POLITICA DE SEGURIDAD DE LA INFORMACIÓN MUNICIPALIDAD … · Seguridad de la información en el...

POLITICA DE SEGURIDAD DE LA INFORMACIÓN

MUNICIPALIDAD DE COMODORO RIVADAVIA

Política de Seguridad de la Información

Municipalidad de Comodoro Rivadavia 2

CONTENIDO: Capítulo 0. Prólogo............................................................................................................................8 Capítulo 1. Introducción....................................................................................................................9

Referencias ............................................................................................................................................9 Capítulo 2. Términos y Definiciones..............................................................................................11 Capítulo 3. Estructura del documento ............................................................................................13

Referencias cruzadas...........................................................................................................................13 Capítulo 4. Cláusula: Administración de riesgos...........................................................................19

Generalidades ......................................................................................................................................19 Alcance ................................................................................................................................................19 Directivas.............................................................................................................................................19

Directiva 4.1. Análisis y tratamiento de riesgos ............................................................................19 Control 4.1.1. Análisis y evaluación de riesgos.............................................................................19 Control 4.1.2. Tratamiento de riesgos ............................................................................................20 Capítulo 5. Cláusula: Política de Seguridad de la Información....................................................21


Directiva 5.1. Política de Seguridad de la Información ................................................................21 Control 5.1.1. Documento Política de Seguridad de la Información............................................21 Control 5.1.2. Revisión de la Política de Seguridad de la Información .......................................22 Control 5.1.3. Documentos subordinados ......................................................................................22 Capítulo 6. Cláusula: Organización de la Seguridad.....................................................................25


Directiva 6.1. Organización Interna ...............................................................................................25 Control 6.1.1. Compromiso de las autoridades ..............................................................................25 Control 6.1.2. Coordinación de actividades ...................................................................................26 Control 6.1.3. Asignación de funciones y responsabilidades específicas ....................................27 6.1.3.1. Comité de Seguridad de la Información..........................................................................27 6.1.3.2. Responsable de Seguridad Informática ...........................................................................28 Control 6.1.4. Autorización de instalaciones de procesamiento ...................................................28 Control 6.1.5. Acuerdos de confidencialidad.................................................................................28 Control 6.1.6. Contacto con autoridades y otras organizaciones..................................................29 Control 6.1.7. Contacto con especialistas en seguridad ................................................................29



Control 6.1.8. Revisión independiente - Auditoría........................................................................30 Directiva 6.2. Relaciones con Terceros..........................................................................................30 Control 6.2.1. Riesgos provenientes del acceso de terceras partes...............................................30 Control 6.2.2. Riesgos provenientes del acceso de los contribuyentes ........................................31 Control 6.2.3. Identificación de riesgos en acuerdos con terceros ...............................................31 Capítulo 7. Cláusula: Clasificación y Control de Activos ............................................................32


Directiva 7.1. Responsabilidad de los activos ...............................................................................32 Control 7.1.1. Inventario de activos................................................................................................32 Control 7.1.2. Propietarios de los activos.......................................................................................33 Control 7.1.3. Normas de uso de los activos ..................................................................................33 Directiva 7.2. Clasificación de la información ..............................................................................33 Control 7.2.1. Clasificación y actualización ..................................................................................33 7.2.1.1. Valores de Clasificación...................................................................................................34 7.2.1.2. Nivel de Criticidad............................................................................................................34 Control 7.2.2. Rotulado y manejo de la Información ....................................................................35 Capítulo 8. Cláusula: Seguridad del Personal................................................................................36


Directiva 8.1. Consideraciones previas al empleo.........................................................................36 Control 8.1.1. Roles y responsabilidades previas al empleo.........................................................36 Control 8.1.2. Criterio de idoneidad ...............................................................................................37 Control 8.1.3. Términos y condiciones de empleo ........................................................................37 Directiva 8.2. Condiciones durante el empleo...............................................................................37 Control 8.2.1. Responsabilidad de los funcionarios durante el empleo .......................................37 Control 8.2.2. Concientización, educación y entrenamiento.........................................................38 Control 8.2.3. Infracciones y violaciones a la Política ..................................................................38 Directiva 8.3. Terminación o cambio de empleo...........................................................................39 Control 8.3.1. Responsabilidades en la terminación del empleo ..................................................39 Control 8.3.2. Devolución de activos .............................................................................................39 Control 8.3.3. Remoción de derechos de uso y acceso..................................................................40 Capítulo 9. Cláusula: Seguridad Física y Ambiental.....................................................................41


Directiva 9.1. Áreas protegidas ......................................................................................................41 Control 9.1.1. Perímetros de seguridad física ................................................................................41 Control 9.1.2. Controles de acceso físico.......................................................................................42



Control 9.1.3. Protección de oficinas, recintos e instalaciones.....................................................42 Control 9.1.4. Protección contra amenazas externas y ambientales .............................................42 Control 9.1.5. Desarrollo de tareas en Áreas protegidas ...............................................................43 Control 9.1.6. Áreas públicas, de carga y despacho ......................................................................43 Directiva 9.2. Seguridad del equipamiento....................................................................................44 Control 9.2.1. Ubicación y protección de equipos.........................................................................44 Control 9.2.2. Suministro de energía ..............................................................................................44 Control 9.2.3. Seguridad del cableado............................................................................................45 Control 9.2.4. Mantenimiento de equipos ......................................................................................45 Control 9.2.5. Seguridad de equipos fuera de las instalaciones ....................................................46 Control 9.2.6. Desafectación y reutilización de equipos...............................................................46 Control 9.2.7. Retiro de activos ......................................................................................................46 Capítulo 10. Cláusula: Gestión de Comunicaciones y Operaciones...............................................48


Directiva 10.1. Procedimientos y responsabilidades operativas.....................................................48 Control 10.1.1. Documentación de los procedimientos operativos............................................48 Control 10.1.2. Gestión y control de cambios .............................................................................49 Control 10.1.3. Segregación de tareas..........................................................................................49 Control 10.1.4. Segregación de ambientes...................................................................................49 Directiva 10.2. Gestión de servicios de terceros..............................................................................50 Control 10.2.1. Provisión de servicios .........................................................................................50 Control 10.2.2. Monitoreo y revisión de los servicios provistos de terceros.............................50 Control 10.2.3. Gestión de cambios en los servicios de terceros ...............................................50 Directiva 10.3. Planificación y aceptación de sistemas ..................................................................51 Control 10.3.1. Manejo y previsión de capacidades ...................................................................51 Control 10.3.2. Aceptación de sistemas.......................................................................................51 Directiva 10.4. Protección contra el malware..................................................................................51 Control 10.4.1. Controles contra el código malicioso.................................................................51 Control 10.4.2. Controles contra el código móvil .......................................................................52 Directiva 10.5. Backup......................................................................................................................52 Control 10.5.1. Resguardo de la información..............................................................................52 Directiva 10.6. Gestión de seguridad de las redes ...........................................................................53 Control 10.6.1. Gestión y control de redes ..................................................................................53 Control 10.6.2. Seguridad de los servicios de red .......................................................................53 Directiva 10.7. Manipulación de medios .........................................................................................54 Control 10.7.1. Manejo de medios removibles............................................................................54 Control 10.7.2. Eliminación de medios de información .............................................................54 Control 10.7.3. Procedimientos para el manejo de la información ............................................55 Control 10.7.4. Seguridad de la documentación de los sistemas................................................55



Directiva 10.8. Intercambio de información....................................................................................56 Control 10.8.1. Políticas y procedimientos para el intercambio de información ......................56 Control 10.8.2. Seguridad en los acuerdos de intercambio con otras organizaciones ..............56 Control 10.8.3. Seguridad de los medios físicos en tránsito.......................................................57 Control 10.8.4. Seguridad de la mensajería electrónica..............................................................58 Directiva 10.9. Seguridad del Gobierno electrónico .......................................................................58 Control 10.9.1. Seguridad en los servicios de Gobierno electrónico .........................................59 Control 10.9.2. Transacciones en línea ........................................................................................59 Control 10.9.3. Información pública ............................................................................................60 Directiva 10.10. Monitoreo ............................................................................................................60 Control 10.10.1. Registro de actividad...........................................................................................60 Control 10.10.2. Monitoreo del uso de las instalaciones ..............................................................61 Control 10.10.3. Protección de sistemas y registros de monitoreo ..............................................61 Control 10.10.4. Registro de actividad de administradores y operadores....................................62 Control 10.10.5. Registro de fallas.................................................................................................62 Control 10.10.6. Sincronización de relojes ....................................................................................63 Capítulo 11. Cláusula: Control de Accesos......................................................................................64


Directiva 11.1. Requerimientos de control de acceso .....................................................................64 Control 11.1.1. Normas de control de acceso..............................................................................64 Directiva 11.2. Gestión de Accesos..................................................................................................65 Control 11.2.1. Registración de usuarios .....................................................................................65 Control 11.2.2. Gestión de privilegios .........................................................................................66 Control 11.2.3. Gestión de contraseñas........................................................................................66 Control 11.2.4. Revisión de derechos de acceso y privilegios ...................................................67 Directiva 11.3. Responsabilidad de los usuarios .............................................................................67 Control 11.3.1. Uso de contraseñas..............................................................................................67 Control 11.3.2. Equipos desatendidos..........................................................................................68 Control 11.3.3. Cultura de escritorios y pantallas limpias..........................................................69 Directiva 11.4. Control de acceso a la red .......................................................................................70 Control 11.4.1. Normas de uso de servicios de red.....................................................................70 Control 11.4.2. Autenticación de usuarios en conexiones externas ...........................................70 Control 11.4.3. Identificación de equipos de red.........................................................................71 Control 11.4.4. Protección del diagnóstico y la configuración remota......................................71 Control 11.4.5. Segregación de redes...........................................................................................71 Control 11.4.6. Control de conexiones de red .............................................................................71 Control 11.4.7. Control del enrutamiento de red.........................................................................72 Control 11.4.8. Acceso a Internet.................................................................................................72 Directiva 11.5. Control de acceso al sistema operativo ..................................................................72 Control 11.5.1. Seguridad del acceso al sistema operativo ........................................................72 Control 11.5.2. Identificación y autenticación de usuarios.........................................................73



Control 11.5.3. Sistema de administración de contraseñas.........................................................74 Control 11.5.4. Uso de utilitarios del sistema..............................................................................74 Control 11.5.5. Desconexión por inactividad ..............................................................................75 Control 11.5.6. Limitación de horarios de conexión...................................................................75 Directiva 11.6. Control de acceso a la información y a las aplicaciones .......................................76 Control 11.6.1. Restricción de acceso a la información..............................................................76 Control 11.6.2. Aislamiento de sistemas sensibles .....................................................................76 Directiva 11.7. Computación móvil y tele-trabajo ..........................................................................77 Control 11.7.1. Seguridad en la computación móvil...................................................................77 Control 11.7.2. Seguridad en el tele-trabajo ................................................................................77 Capítulo 12. Cláusula: Adquisición, desarrollo y mantenimiento de Sistemas .............................79


Directiva 12.1. Requerimientos de seguridad de los sistemas de información..............................79 Control 12.1.1. Análisis y especificación de los requerimientos de seguridad .........................79 Directiva 12.2. Procesamiento correcto de las aplicaciones ...........................................................80 Control 12.2.1. Validación de los datos de entrada.....................................................................80 Control 12.2.2. Control del procesamiento interno.....................................................................80 Control 12.2.3. Integridad de los mensajes..................................................................................81 Control 12.2.4. Validación de los datos de salida .......................................................................81 Directiva 12.3. Controles criptográficos ..........................................................................................82 Control 12.3.1. Normas de uso de sistemas criptográficos.........................................................82 Control 12.3.2. Administración de claves....................................................................................82 Directiva 12.4. Seguridad de los sistemas de archivos ...................................................................83 Control 12.4.1. Control del software productivo.........................................................................83 Control 12.4.2. Protección de los datos de prueba del sistema ..................................................84 Control 12.4.3. Control de acceso al código fuente ....................................................................84 Directiva 12.5. Seguridad en los procesos de desarrollo y soporte ................................................85 Control 12.5.1. Procedimientos de control de cambios ..............................................................85 Control 12.5.2. Revisión técnica de las aplicaciones por cambio del sistema operativo..........86 Control 12.5.3. Restricción de cambios en paquetes de software ..............................................87 Control 12.5.4. Fugas de información..........................................................................................87 Control 12.5.5. Desarrollo de software tercerizado.....................................................................88 Directiva 12.6. Gestión de vulnerabilidades técnicas......................................................................88 Control 12.6.1. Control de vulnerabilidades técnicas .................................................................88 Capítulo 13. Cláusula: Manejo de incidentes de seguridad de la información ..............................90




Directiva 13.1. Reporte de eventos y debilidades ...........................................................................90 Control 13.1.1. Reporte de eventos de seguridad de la información .........................................90 Control 13.1.2. Reporte de debilidades de seguridad..................................................................91 Directiva 13.2. Gestión de incidentes y mejoras .............................................................................92 Control 13.2.1. Responsabilidades y procedimientos .................................................................92 Control 13.2.2. Aprendizaje de los incidentes.............................................................................93 Control 13.2.3. Recolección de evidencias..................................................................................93 Capítulo 14. Cláusula: Continuidad de las Actividades ..................................................................94


Directiva 14.1. Proceso de gestión de la continuidad de las actividades .......................................94 Control 14.1.1. Seguridad de la información en el proceso de continuidad..............................94 Control 14.1.2. Plan estratégico para la continuidad de las actividades ....................................95 Control 14.1.3. Desarrollo e implementación de planes de contingencia..................................95 Control 14.1.4. Marco de trabajo para la planificación de la continuidad.................................96 Control 14.1.5. Comprobación, mantenimiento y re-evaluación de planes de contingencia ...97 Capítulo 15. Cláusula: Cumplimiento ..............................................................................................99


Directiva 15.1. Cumplimiento de los requerimientos legales .........................................................99 Control 15.1.1. Identificación de la legislación aplicable...........................................................99 Control 15.1.2. Derechos de propiedad intelectual ...................................................................100 Control 15.1.3. Protección de los registros municipales...........................................................100 Control 15.1.4. Protección de datos y privacidad de la información personal........................101 Control 15.1.5. Prevención del uso inadecuado de las instalaciones .......................................101 Control 15.1.6. Regulación de los controles criptográficos......................................................101 Directiva 15.2. Cumplimiento de seguridad de la infraestructura tecnológica............................102 Control 15.2.1. Cumplimiento de las políticas y estándares de seguridad ..............................102 Control 15.2.2. Comprobación del cumplimiento tecnológico ................................................102 Directiva 15.3. Consideraciones de auditoría de sistemas de la información..............................103 Control 15.3.1. Controles de auditoría sobre sistemas en producción.....................................103 Control 15.3.2. Protección de las herramientas de auditoría de sistemas ................................104



Capítulo 0. Prólogo La MCR ha elaborado y promueve la presente Política de Seguridad de la Información como respuesta a una situación de actualidad en la que la administración pública, y en general toda la sociedad, depende en forma creciente de las tecnologías de la información y las comunicaciones (TICs) para el logro de sus objetivos de servicio. La razón de ser de la Política de Seguridad de la Información está directamente relacionada con la generalización del uso de los medios electrónicos, informáticos y telemáticos, con beneficios tangibles para MCR y para los ciudadanos, pero la cual, inherentemente da lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que generen confianza en el uso de los recursos. Este emprendimiento no constituye una cruzada aislada de MCR, sino por el contrario, es un proyecto alineado con las iniciativas nacionales e internacionales en materia de seguridad de la información y cumplimiento de las normas relevantes de los organismos de estandarización de la Argentina y del mundo. Esta Política de Seguridad de la Información pretende brindar las respuestas apropiadas frente a un cambiante ambiente de nuevas amenazas, a través del cultivo y promoción de una cultura de seguridad, es decir tanto centrándose en la seguridad del desarrollo de sistemas y redes de información, como en la adopción de nuevas formas de pensamiento y comportamiento en el uso de las TICs. La compenetración de los conceptos, responsabilidades y hábitos de seguridad en todo el ámbito municipal es un requisito previo e indispensable para instaurar una cultura de seguridad en la MCR, para el cual se requiere liderazgo y amplia participación de todos los sectores, asegurando que se le otorgue debida importancia a la planificación y administración de la seguridad. La Política de Seguridad de la Información elaborada y adoptada por MCR es el plan maestro para proteger adecuada y racionalmente sus sistemas de información y comunicación, el cual está estrictamente alineado con su misión y objetivos, y satisface el marco de requisitos legales, normativos, reglamentarios y contractuales relevantes para el desarrollo de sus actividades.



Capítulo 1. Introducción La información es un recurso que, como el resto de los activos importantes, tiene valor para MCR y por consiguiente debe ser debidamente protegida. El objetivo del plan de seguridad de la información es proteger la información, las redes, los sistemas de procesamiento, las instalaciones, los equipos, los servicios, el software, el personal, y todo otro elemento relacionado con sus funciones, de una amplia gama de amenazas, a fin de garantizar la continuidad de las actividades, minimizar los daños y maximizar el retorno sobre las inversiones y el desarrollo de las oportunidades. La información puede existir en muchas formas. Puede estar impresa o escrita en papel, almacenada electrónicamente, transmitida por correo o utilizando medios electrónicos, presentada en imágenes, o expuesta en una conversación: cualquiera sea la forma que adquiere la información, o los medios por los cuales se distribuye o almacena, siempre debe ser protegida en forma adecuada. La seguridad de la información se define aquí, prioritariamente, como la preservación de las siguientes características elementales:

1) Confidencialidad: se garantiza que la información sea accesible sólo a aquellas personas y/o procesos autorizados a tener acceso a ella.

2) Integridad: se salvaguarda la exactitud y totalidad de la información y los métodos de tratamiento.

3) Disponibilidad: se garantiza que los usuarios autorizados y/o procesos tengan acceso a la información y a los recursos relacionados con ella toda vez que sea requerido.

La seguridad de la información se logra implementando un conjunto adecuado de controles, que comprende políticas, normas, estándares, procedimientos, estructuras organizacionales, equipos, dispositivos, y funciones del software. Los controles han sido establecidos para satisfacer el logro de los objetivos específicos de seguridad de MCR.

Referencias Para la definición y redacción de la presente Política de Seguridad de la Información se han considerado y analizado, principalmente y entre otros, los siguientes documentos: 1) Estándar internacional 17799:2005 – Tecnologías de la Información – Técnicas de Seguridad –

Código de Práctica para la Gestión de la Seguridad de la Información - Norma ISO/IEC JTC 1/SC27 N 4354 – En inglés: ISO/IEC FDIS 17799: 2005-02-11 ― Information techniques ― Security techniques ― Code of practice for information security management (2nd edition).

2) Norma ISO/IRAM 17799 - Código de Práctica para la Administración de la Seguridad de la Información.2002.

3) Modelo de Política de Seguridad de la Información para Organismos de la Administración Pública Nacional. Oficina Nacional de Tecnologías de la Información (ONTI) de la Subsecretaría de Gestión Pública de la Jefatura de Gabinete de Ministros, en virtud de las facultades conferidas por la Decisión Administrativa Nº 669/2004 y por la Resolución SGP Nº 45/2005, con el objeto de facilitar a los Organismos de la Administración Pública Nacional la redacción o bien la adecuación de su propia Política de Seguridad de la Información. Versión 1



Julio-2005.

4) Directrices para la Seguridad de Sistemas y Redes de Información – Organización para la Cooperación y el Desarrollo Económico (OCDE). 2002, OECD. 2004 para la versión en español.



Capítulo 2. Términos y Definiciones Los siguientes términos y definiciones ayudan a comprender el propósito de la presente Política.

CUADRO 2 – GLOSARIO DE TÉRMINOS Y DEFINICIONES Término (español) Término (inglés) Definición

Activo Asset

Elementos del sistema de información – o estrechamente relacionados – necesarios para que MCR funcione correctamente y alcance los objetivos propuestos en su plan de gobierno.

Administración de riesgos

Risk management Actividades coordinadas para la dirección y control de una organización respecto del riesgo. Incluye la estimación, tratamiento, aceptación y comunicación.

Amenaza Threat Causa potencial de incidentes no deseados que podrían resultar dañosos para los activos de MCR.

Análisis de riesgos Risk analysis Uso sistemático de la información para identificar y estimar la magnitud de las fuentes de riesgos a los que está expuesto MCR.

Cláusula Clause Cada una de las 12 áreas (incluyendo el Análisis de Riesgo) de aplicación de la Política de Seguridad de la Información.

Código malicioso Malicious code Término aplicado a los virus, gusanos, troyanos y todo otro software no deseado, con capacidad de provocar disrupción, indisponibilidad y acciones no autorizadas.

Código móvil Mobile code

Software transmitido desde una fuente remota, a través de una red, hasta un sistema local donde es ejecutado, frecuentemente sin acción explícita por parte del usuario. Ejemplos son: controles ActiveX, applets Java, scripts (JavaScript, VBScript), animaciones Flash, películas Shockwave y Xtras, macros embebidas en documentos Office, y mail HTML. También es conocido como código descargable o contenido activo.

Computación móvil Mobile computing

Disponibilidad y acceso a funciones de computación utilizando notebooks, laptops, PDAs (Asistente Personal Digital), teléfonos celulares, y otros dispositivos portátiles que utilizan comunicaciones sobre tecnologías cableadas e inalámbricas.

Control Control

Medio de administrar un riesgo, incluyendo políticas, procedimientos, guías, prácticas o estructuras organizacionales de naturaleza administrativa, técnica, gestión o legal. Sinónimos: salvaguarda, contramedida.

Directiva Directive,

command guide line

Orientación o dirección específica respecto a una política, a cuya la cual contribuyen uno o más controles.

Estimación de riesgos Risk assessment Proceso global del análisis y evaluación de riesgo.

Evaluación de riesgos Risk evaluation Proceso de comparación del riesgo estimado contra un criterio dado para determinar su importancia.

Evento de seguridad de la información

Information security event

Ocurrencia identificada del estado de un sistema, servicio o red, indicando una posible infracción a la política de seguridad de la información o falla en las contramedidas, o una situación desconocida que puede ser relevante para la seguridad.



CUADRO 2 – GLOSARIO DE TÉRMINOS Y DEFINICIONES Término (español) Término (inglés) Definición

Guía Guideline Una descripción que clarifica lo que debería hacerse y como, para cumplir los objetivos establecidos en las políticas.

Incidente de seguridad de la información

Information security incident

Ocurrencia de eventos (aislados o seriales) no deseados o no esperados, con significativas probabilidades de comprometer las operaciones o amenazar la seguridad.

Instalaciones de procesamiento de la

información

Information processing facilities

Todo sistema de procesamiento de la información, servicio o infraestructura, o las instalaciones físicas que los albergan.

Malware Malware Todo tipo de software diseñado para infiltrar o dañar un sistema.

Medios removibles Removible media Como medios removibles se incluyen: cintas, discos, memorias flash, discos rígidos, CDs, DVDs, y medios impresos.

Mensajería instantánea

Instant Messaging

Sistema de intercambio de mensajes escritos en tiempo real a través de la red, como .NET Messenger Service, AOL Instant Messenger, Excite/Pal, Gadu-Gadu, Google Talk, iChat, ICQ, Jabber, Qnext, QQ, Skype, y Yahoo! Messenger


Information Security Policy

Expresión formal, legal y completa de la intención y dirección de MCR en materia de seguridad.

Registro de actividad Audit logging Proceso de registración detallada de eventos y actividades acaecidos en la red y en los sistemas.

Riesgo Risk

Estimación del grado de exposición proveniente de la materialización de una amenaza sobre uno o más activos, causando daños y/o perjuicios a MCR. Combinación de la probabilidad de ocurrencia y consecuencias derivadas de un evento.

Seguridad de la información

Information security

Preservación de la confidencialidad, integridad, y disponibilidad de la información; adicionalmente puede incluir otras propiedades como autenticidad, no repudio, auditabilidad y confiabilidad.

Servicios de red Network services

Los servicios de red incluyen desde servicios sencillos de ancho de banda no gestionado hasta bundlings complejos de valor agregado, tales como la provisión de conexiones, servicios de red privada, redes de valor agregado, y soluciones gestionadas de seguridad de red.

Terceras partes Third party Persona u organización reconocidamente independiente de las partes involucradas en un determinado asunto.

Tratamiento de riesgo Risk Treatment Proceso de selección e implementación de medidas para modificar un riesgo.

Trazabilidad Accountability Aseguramiento de que en todo momento se podrá determinar quién hizo qué y cuándo.

Vulnerabilidad Vulnerability Debilidad de un activo o de un grupo de activos.



Capítulo 3. Estructura del documento El presente documento mantiene, dentro de lo posible, la estructura y numeración del estándar de seguridad ISO/IEC FDIS 17799:2005 – Information techniques – Security techniques – Code of practice for information security management (2nd. edition). La razón principal para procurar dicha coincidencia ha sido facilitar el manejo, desarrollo y mantenimiento de esta Política, respecto de las referencias a sus cláusulas y controles que realizan otras normas, recomendaciones, listas de comprobación1, futuras actualizaciones del mismo estándar 17799, y comunicaciones con otras organizaciones. Esta Política consta de 12 cláusulas de control (incluyendo la cláusula de Análisis y Tratamiento de Riesgos), las cuales contienen colectivamente 40 Directivas de seguridad y un total de 141 controles y sub-controles de seguridad. Todas las cláusulas han sido redactadas respetando la estructura que se define a continuación: 5) Se dedica un capítulo para cada cláusula.

Las cláusulas comienzan con el capítulo 4 y finalizan con el capítulo 15 (es decir 12 cláusulas). a) Las cláusulas constituyen áreas de aplicación de la Política de Seguridad de la

Información. b) Se han hecho coincidir los capítulos con los del estándar ISO 17799, con el objetivo de

facilitar la búsqueda de referencias. 6) Cada una de las cláusulas queda caracterizada por los siguientes títulos:

a) Generalidades: Breve descripción de la cláusula y de su contexto de aplicación. b) Alcance: Campo de aplicación de la cláusula c) Directivas: Una o más expresiones concretas de la Política de Seguridad de la Información

en el contexto de la Cláusula o área de aplicación de la Política. 7) Cada cláusula contiene una o más Directivas de seguridad.

Las Directivas de seguridad son los objetivos de control que conforman la Política de Seguridad propiamente dicha. a) El inciso a) es la definición de la Directiva. b) El inciso b) es el objetivo de la Directiva.

8) Cada Directiva contiene uno o más controles de seguridad que deben ser aplicados para lograr los objetivos de control expresados por la Directiva.

Referencias cruzadas No obstante lo expresado respecto a mantener, dentro de lo posible, la estructura y numeración del estándar 17799, reconociendo que los requerimientos de seguridad de MCR podrían conducir al desarrollo de directivas y/o controles diferentes a los indicados en el código de práctica mencionado, se incluye el siguiente cuadro con referencias cruzadas entre las cláusulas de esta Política y las del estándar, para facilitar el control de cumplimiento. En la columna “CONTROLES (Política MCR)” se incluyen los controles de la presente Política. En la columna “CONTROLES (ISO/IEC 17799:2005)” se incluyen los controles del estándar.

1 Son de particular importancia los siguientes documentos: - ISO/IEC FDIS 27001:2005 “Information technology – Security techniques – Information security management systems – Requirements. - SAN Institute - BS ISO IEC 17799 2005 Audit Checklist



Cuando un control existente en la Política MCR no posee equivalencia en el estándar, se indica con N/D (No Disponible) en la columna “CONTROLES (ISO/IEC 17799:2005)”. Se indica de la misma manera en la columna “CONTROLES (Política MCR)” si ocurre en sentido inverso, es decir cuando un control del estándar no ha sido incluido en la Política MCR. También se han introducido en la Política MCR subcontroles (por ejemplo 6.1.3.1 y 6.1.3.2) que están relacionados con un único control del estándar, y se hace constar de dicha manera.

CUADRO 3 – REFERENCIAS CRUZADAS

CAPÍTULO – CLÁUSULAS

DIRECTIVAS / CONTROLES CONTROLES (Política MCR)

CONTROLES (ISO/IEC 17799:2005)

CAPÍTULO 4 – CLAUSULA: ADMINISTRACIÓN DE RIESGOS DIRECTIVA 4.1 Análisis y tratamiento de Riesgos Análisis y Evaluación de Riesgos 4.1.1 N/D Tratamiento de Riesgos 4.1.2 N/D

CAPÍTULO 5 – CLAUSULA: POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DIRECTIVA 5.1 Política de Seguridad de la Información Documento Política de Seguridad 5.1.1 5.1.1 Revisión de la Política 5.1.2 5.1.2 Documentos subordinados 5.1.3 N/D

CAPÍTULO 6 – CLAUSULA: ORGANIZACIÓN DE LA SEGURIDAD DIRECTIVA 6.1 Organización interna Compromiso de las autoridades 6.1.1 6.1.1 Coordinación de actividades 6.1.2 6.1.2 Asignación de funciones y responsabilidades específicas 6.1.3 6.1.3 Comité de Seguridad de la Información (sub-control) 6.1.3.1 6.1.3 Responsable de Seguridad Informática (sub-control) 6.1.3.2 6.1.3 Responsable de Auditoria de Seguridad Informática (sub-control) 6.1.3.3 6.1.3

Autorización de instalaciones de procesamiento 6.1.4 6.1.4 Acuerdos de confidencialidad 6.1.5 6.1.5 Contacto con autoridades y otras organizaciones 6.1.6 6.1.6 Contacto con especialistas en seguridad 6.1.7 6.1.7 Revisión independiente – Auditoria 6.1.8 6.1.8 DIRECTIVA 6.2 Relaciones con terceros Riesgos provenientes del acceso de terceras partes 6.2.1 6.2.1 Riesgos provenientes del acceso de los contribuyentes 6.2.2 6.2.2 Identificación de riesgos en acuerdos con terceros 6.2.3 6.2.3

CAPÍTULO 7 – CLAUSULA: CLASIFICACIÓN Y CONTROL DE ACTIVOS DIRECTIVA 7.1 Responsabilidad de los activos Inventario de Activos 7.1.1 7.1.1 Propietarios de los Activos 7.1.2 7.1.2 Normas de uso de los Activos 7.1.3 7.1.3 DIRECTIVA 7.2 Clasificación de la información Clasificación y Actualización 7.2.1 7.2.1 Valores de Clasificación (sub-control) 7.2.1.1 7.2.1 Nivel de Criticidad (sub-control) 7.2.1.2 7.2.1 Rotulado y manejo de la Información 7.2.2 7.2.2

CAPÍTULO 8 - CLAUSULA : SEGURIDAD DEL PERSONAL DIRECTIVA 8.1 Consideraciones previas al empleo







Roles y Responsabilidades previas al empleo 8.1.1 8.1.1 Criterio e idoneidad 8.1.2 8.1.2 Términos y condiciones de empleo 8.1.3 8.1.3 DIRECTIVA 8.2 Condiciones durante el empleo Responsabilidad de los funcionarios durante el empleo 8.2.1 8.2.1 Concientización, educación y entrenamiento durante el empleo 8.2.2 8.2.2

Infracciones y violaciones a la Política 8.2.3 8.2.3 DIRECTIVA 8.3 Terminación o cambio de empleo Responsabilidades en la terminación del empleo 8.3.1 8.3.1 Devolución de activos 8.3.2 8.3.2 Remoción de derechos de uso y acceso 8.3.3 8.3.3

CAPÍTULO 9 - CLAUSULA : SEGURIDAD FÍSICA Y AMBIENTAL DIRECTIVA 9.1 Áreas protegidas Perímetros de seguridad física 9.1.1 9.1.1 Controles de acceso físico 9.1.2 9.1.2 Protección de oficinas, recintos e instalaciones 9.1.3 9.1.3 Protección contra amenazas externas y ambientales 9.1.4 9.1.4 Desarrollo de tareas en áreas protegidas 9.1.5 9.1.5 Áreas públicas, de carga y despacho 9.1.6 9.1.6 DIRECTIVA 9.2 Seguridad del equipamiento Ubicación y protección de equipos 9.2.1 9.2.1 Suministro de energía 9.2.2 9.2.2 Seguridad del cableado 9.2.3 9.2.3 Mantenimiento de equipos 9.2.4 9.2.4 Seguridad de equipos fuera de las instalaciones 9.2.5 9.2.5 Desafectación y reutilización de equipos 9.2.6 9.2.6 Retiro de activos 9.2.7 9.2.7

CAPÍTULO 10 - CLAUSULA : GESTIÓN DE COMUNICACIONES Y OPERACIONES DIRECTIVA 10.1 Procedimientos y responsabilidades operativas Documentación de los procedimientos operativos 10.1.1 10.1.1 Gestión y control de cambios 10.1.2 10.1.2 Segregación de tareas 10.1.3 10.1.3 Segregación de ambientes 10.1.4 10.1.4 DIRECTIVA 10.2 Gestión de servicios de terceros Ubicación y protección de equipos 10.2.1 10.2.1 Suministro de energía 10.2.2 10.2.2 Seguridad del cableado 10.2.3 10.2.3 DIRECTIVA 10.3 Planificación y aceptación de sistemas Mantenimiento de equipos 10.3.1 10.3.1 Seguridad de equipos fuera de las instalaciones 10.3.2 10.3.2 DIRECTIVA 10.4 Protección contra el malware Desafectación y reutilización de equipos 10.4.1 10.4.1 Retiro de activos 10.4.2 10.4.2 DIRECTIVA 10.5 Backup Resguardo de la información 10.5.1 10.51 DIRECTIVA 10.6 Gestión de seguridad de las redes Gestión y control de redes 10.6.1 10.6.1







Seguridad de los servicios de red 10.6.2 10.6.2 DIRECTIVA 10.7 Manipulación de medios Manejo de medios removibles 10.7.1 10.7.1 Eliminación de medios de información 10.7.2 10.7.2 Procedimientos para el manejo de la información 10.7.3 10.7.3 Seguridad de la documentación de los sistemas 10.7.4 10.7.4 DIRECTIVA 10.8 Intercambio de información Políticas y procedimientos para el intercambio de información 10.8.1 10.8.1 Seguridad en los acuerdos de intercambio con otras organizaciones 10.8.2 10.8.2

Seguridad de los medios físicos en tránsito 10.8.3 10.8.3 Seguridad de la mensajería electrónica 10.8.4 10.8.4 Sistemas de información de negocios N/D 10.8.5 DIRECTIVA 10.9 Seguridad del Gobierno Electrónico Seguridad en los servicios de Gobierno Electrónico 10.9.1 10.9.1 Transacciones en línea 10.9.2 10.9.2 Información pública 10.9.3 10.9.3 DIRECTIVA 10.10 Monitoreo Registro de actividad 10.10.1 10.10.1 Monitoreo del uso de los sistemas 10.10.2 10.10.2 Protección de sistemas y registros de monitoreo 10.10.3 10.10.3 Registro de actividad de administradores y operadores 10.10.4 10.10.4 Registro de fallas 10.10.5 10.10.5 Sincronización de relojes 10.10.6 10.10.6

CAPÍTULO 11 - CLAUSULA : CONTROL DE ACCESOS DIRECTIVA 11.1 Procedimientos y responsabilidades operativas Normas de control de acceso 11.1.1 11.1.1 DIRECTIVA 11.2 Gestión de accesos Registración de usuarios 11.2.1 11.2.1 Gestión de privilegios 11.2.2 11.2.2 Gestión de contraseñas 11.2.3 11.2.3 Revisión de derechos de acceso y privilegios 11.2.4 11.2.4 DIRECTIVA 11.3 Responsabilidad de los usuarios Uso de contraseñas 11.3.1 11.3.1 Equipos desatendidos 11.3.2 11.3.2 Cultura de escritorios y pantallas limpias 11.3.3 11.3.3 DIRECTIVA 11.4 Control de acceso a la red Normas de uso de servicios de red 11.4.1 11.4.1 Autenticación de usuarios en conexiones externas 11.4.2 11.4.2 Identificación de equipos de red 11.4.3 11.4.3 Protección del diagnóstico y la configuración remota 11.4.4 11.4.4 Segregación de redes 11.4.5 11.4.5 Control de conexiones de red 11.4.6 11.4.6 Control de enrutamiento de red 11.4.7 11.4.7 Acceso a Internet 11.4.8 N/D DIRECTIVA 11.5 Control de acceso al sistema operativo Seguridad de acceso al sistema operativo 11.5.1 11.5.1 Identificación y autenticación de usuarios 11.5.2 11.5.2







Sistema de administración de contraseñas 11.5.3 11.5.3 Uso de utilitarios del sistema 11.5.4 11.5.4 Desconexión por inactividad 11.5.5 11.5.5 Limitación de horarios de conexión 11.5.6 11.5.6 DIRECTIVA 11.6 Control de acceso a la información y a las aplicaciones Restricción de acceso a la información 11.6.1 11.6.1 Aislamiento de sistemas sensibles 11.6.2 11.6.2 DIRECTIVA 11.7 Computación móvil y tele-trabajo Seguridad en la computación móvil 11.7.1 11.7.1 Seguridad en el tele-trabajo 11.7.2 11.7.2

CAPÍTULO 12 - CLAUSULA : ADQUISICIÓN, DESARRLLO Y MANTENIMIENTO DE SISTEMAS DIRECTIVA 12.1 Requerimientos de seguridad de los sistemas de información Análisis y especificación de los requerimientos de seguridad 12.1.1 12.1.1 DIRECTIVA 12.2 Procesamiento correcto de las aplicaciones Validación de los datos de entrada 12.2.1 12.2.1 Control del procesamiento interno 12.2.2 12.2.2 Integridad de los mensajes 12.2.3 12.2.3 Validación de los datos de salida 12.2.4 12.2.4 DIRECTIVA 12.3 Controles criptográficos Normas de uso de sistemas criptográficos 12.3.1 12.3.1 Administración de claves 12.3.2 12.3.2 DIRECTIVA 12.4 Seguridad de los sistemas de archivos Control del software productivo 12.4.1 12.4.1 Protección de los datos de prueba del sistema 12.4.2 12.4.2 Control de acceso al código fuente 12.4.3 12.4.3 DIRECTIVA 12.5 Seguridad en los procesos de desarrollo y soporte Procedimientos de control de cambios 12.5.1 12.5.1 Revisión de aplicaciones por cambio del sistema operativo 12.5.2 12.5.2 Restricción de cambios en paquetes de software 12.5.3 12.5.3 Fugas de información 12.5.4 12.5.4 Desarrollo de software tercerizado 12.5.5 12.5.5 DIRECTIVA 12.6 Gestión de vulnerabilidades técnicas Control de vulnerabilidades técnicas 12.6.1 12.6.1

CAPÍTULO 13 - CLAUSULA : MANEJO DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN DIRECTIVA 13.1 Reporte de eventos y debilidades Reporte de eventos de seguridad de la información 13.1.1 13.1.1 Reporte de debilidades de seguridad 13.1.2 13.1.2 DIRECTIVA 13.2 Gestión de incidentes y mejoras Responsabilidades y procedimientos 13.2.1 13.2.1 Aprendizaje de los incidentes 13.2.2 13.2.2 Recolección de evidencias 13.2.3 13.2.3

CAPÍTULO 14 - CLAUSULA : CONTINUIDAD DE LAS ACTIVIDADES DIRECTIVA 14.1 Proceso de gestión de la continuidad de las actividades Seguridad de la información en el proceso de continuidad 14.1.1 14.1.1 Plan estratégico para la continuidad de las actividades 14.1.2 14.1.2 Desarrollo e implementación de planes de contingencia 14.1.3 14.1.3 Marco de trabajo para la planificación de la continuidad 14.1.4 14.1.4 Comprobación, mantenimiento y re-evaluación de planes de 14.1.5 14.1.5







contingencia CAPÍTULO 15 - CLAUSULA : CUMPLIMIENTO

DIRECTIVA 15.1 Cumplimiento de los requerimientos legales Identificación de la legislación aplicable 15.1.1 15.1.1 Derechos de propiedad intelectual 15.1.2 15.1.2 Protección de los registros municipales 15.1.3 15.1.3 Protección de datos y privacidad de la información personal 15.1.4 15.1.4 Prevención del uso inadecuado de las instalaciones 15.1.5 15.1.5 Regulación de los controles criptográficos 15.1.6 15.1.6 DIRECTIVA 15.2 Cumplimiento de seguridad de la infraestructura tecnológica Cumplimiento de las políticas y estándares de seguridad 15.2.1 15.2.1 Comprobación del cumplimiento tecnológico 15.2.2 15.2.2 DIRECTIVA 15.3 Consideraciones de auditoria de sistemas de la información Controles de auditoria sobre sistemas en producción 15.3.1 15.3.1 Protección de las herramientas de auditoria de sistemas 15.3.2 15.3.2



Capítulo 4. Cláusula: Administración de riesgos

Generalidades Dado que no existen dos sistemas de información iguales, la evaluación de seguridad de cada sistema específico requiere la consideración minuciosa de los elementos que lo constituyen. Las tareas de análisis y gestión de riesgos no son un fin en sí mismas, sino eslabones de una cadena continua de gestión de la seguridad. El análisis de riesgos permite determinar el valor, la situación de contexto, y el grado de protección de los activos respecto del criterio de aceptación de riesgos adoptado por MCR en función de un balance entre el valor que cada activo detenta para el cumplimiento de sus objetivos y el costo de las medidas para protegerlo.

Alcance La presente cláusula aplica a todo el personal, instalaciones, redes y sistemas de información de MCR.

Directivas

Directiva 4.1. Análisis y tratamiento de riesgos a) Definición: MCR debe adoptar un criterio de aceptación de riesgos en función de sus

objetivos relevantes, y una metodología sistemática para identificar, analizar y tratar los riesgos de seguridad de la información.

b) Objetivo: Proteger adecuada y racionalmente los sistemas de información relevantes para el cumplimiento de la misión y los objetivos de MCR.

Control 4.1.1. Análisis y evaluación de riesgos MCR debe identificar, cuantificar y priorizar los riesgos de seguridad de la información respecto de su criterio de aceptación de riesgos. El Responsable de Seguridad Informática, debe adoptar una metodología de análisis y evaluación de riesgos de los sistemas de información que provea un enfoque sistemático adecuado para identificar, cuantificar y priorizar los riesgos de seguridad de la información. El Responsable de Seguridad Informática, con la colaboración de los Propietarios de la Información y el Responsable del Área Informática, debe aplicar la metodología adoptada para efectuar el análisis de riesgos en forma periódica y cada vez que se identifiquen cambios en los requerimientos o en la situación. El Comité de Seguridad de la Información debe aprobar la metodología y los resultados.



Control 4.1.2. Tratamiento de riesgos MCR debe adoptar decisiones de tratamiento por cada uno de los riesgos identificados en su análisis y evaluación de riesgos.

El Responsable del Área Informática conjuntamente con el Responsable de Seguridad Informática deben determinar y definir los controles de seguridad necesarios para manejar los riesgos identificados y caracterizados en el control de Análisis y evaluación de riesgos (ver control 4.1.1) de acuerdo con el criterio de aceptación de riesgos de MCR. Dicho manejo puede incluir una o más de las siguientes opciones:

a) Aplicar controles apropiados para reducir los riesgos a un nivel aceptable. b) Aceptar consciente y objetivamente los riesgos que claramente satisfacen la política y el

criterio de aceptación de MCR. c) Evitar los riesgos eliminando las situaciones y/o las acciones que provocarían su

ocurrencia. d) Transferir los riesgos a otras partes (por ejemplos compañías de seguros o proveedores).



Capítulo 5. Cláusula: Política de Seguridad de la Información

Generalidades La información es un recurso crítico para MCR y por consiguiente debe ser debidamente protegida. El objetivo de la Política de Seguridad de la Información es planificar la protección de la información de una amplia gama de amenazas, a fin de garantizar la continuidad de los sistemas de información, minimizar los riesgos de daño y asegurar el eficiente cumplimiento de los objetivos de gobierno. Reconociendo que es importante que los principios de la Política de Seguridad sean parte de una cultura organizacional, a tal fin cuenta con el compromiso manifiesto de las Autoridades Municipales.

Alcance La presente Política de Seguridad de la Información es de aplicación obligatoria en todo el ámbito de MCR; a sus recursos; a la totalidad de los procesos y a todo el personal, cualquiera sea su situación de revista, el área a la cual se encuentre asignado, y cualquiera sea el nivel de las tareas que desempeñe. También alcanza a terceros vinculados a MCR.

Directivas

Directiva 5.1. Política de Seguridad de la Información

a) Definición: MCR debe dictar y mantener una política explícita para el soporte del proceso de seguridad de la información, alineado con sus objetivos de gobierno y las leyes y regulaciones relevantes.

b) Objetivo: Demostrar un enfoque y acciones claras en materia de seguridad de la información, alineadas con los principios y objetivos de gobierno de MCR.

Control 5.1.1. Documento Política de Seguridad de la Información

MCR debe aprobar, comunicar, publicar y mantener el presente documento de Política de Seguridad de la Información. El documento Política de Seguridad de la Información debe expresar directivas estratégicas, contar con el compromiso explícito de MCR y representar el enfoque de su postura respecto a la gestión de la seguridad del conocimiento y la información. La Política de Seguridad de la Información debe ser comunicada en forma efectiva y relevante a todo el personal de MCR, y a los terceros que se relacionen con MCR a través de los contratos y/o acuerdos que formalicen el vínculo.



Control 5.1.2. Revisión de la Política de Seguridad de la Información

La Política de Seguridad de la Información debe ser revisada para asegurar su aplicabilidad, suficiencia y efectividad. Las revisiones de la política deben incluir:

a) El aforo de oportunidades de mejora, considerando la información del comportamiento del proceso de seguridad en marcha –tales como datos históricos, estadísticas, acciones correctivas y preventivas realizadas, incumplimientos, incidentes de seguridad, recomendaciones de fuentes autorizadas-.

b) El enfoque de gestión para responder adecuadamente a los cambios organizacionales, circunstancias políticas y sociales, condiciones legales y/o la evolución tecnológica y del conocimiento.

Las revisiones de la política pueden resultar en decisiones y acciones tendientes a:

a) Mejorar la forma en la que MCR administra el proceso de seguridad. b) Perfeccionar las Directivas de seguridad y los controles. c) Optimizar la asignación de recursos y/o responsabilidades.

El Comité de Seguridad de la Información debe efectuar, como mínimo, una revisión por año, y toda vez que se identifique la ocurrencia de cambios significativos.

Control 5.1.3. Documentos subordinados La Política de Seguridad de la Información es un documento en el cual se declaran objetivos de control (Directivas) y controles de seguridad de alto nivel estratégico para MCR. Estas directivas indican “qué” debe hacerse, pero sin especificar “cómo”. Los siguientes documentos deben quedar subordinados y alineados con las directivas de la Política de Seguridad de la Información, con el objetivo de dar cumplimiento a los controles de seguridad:

a) Estándar: b) Norma c) Procedimiento d) Informe de insuficiencias

Estándar: Documento que especifica características, funcionalidad, capacidad, calidad y otros atributos/cualidades mínimas que deben satisfacer los productos y/o servicios utilizados por MCR para el procesamiento de la información, a los efectos de cumplir con los controles de seguridad de esta Política. Por ejemplo: Estándar de cableados, estándar de equipamiento de red, estándar de servicios de telecomunicaciones, etc. Los documentos con categoría de “Estándar” deberán ser elevados por el Comité de Seguridad para su aprobación mediante Resolución Municipal.



Norma: Documento que proporciona directivas, reglas y características de aplicación obligatoria en todo el ámbito de MCR, con el fin de procurar el cumplimiento de los controles de seguridad expresados en esta Política. Por ejemplo: Normas de uso de los sistemas, norma de uso del correo electrónico, norma de uso de Internet, etc. Los documentos con categoría de “Norma” deberán ser elevados por el Comité de Seguridad para su aprobación mediante Resolución Municipal. Procedimiento: Documento que proporciona una secuencia de acciones concatenadas y ordenadas, de aplicación obligatoria en sistemas y/o ámbitos específicos de MCR, tendientes al cumplimiento de determinados controles de seguridad expresados en la presente Política. Por ejemplo: Procedimientos de backup, procedimientos de control de acceso a áreas protegidas, procedimientos de configuración de equipos, etc. Los documentos con categoría de “Procedimiento” deberán ser aprobados por el Responsable del Área Informática y el Director del Área pertinente, con el visado del Responsable de Seguridad Informática. Informe de Insuficiencias: Documento que identifica, describe y aprueba la ausencia o debilidad de los controles indicados para reducir los riesgos de seguridad. El Responsable de Seguridad Informática y el Responsable de Auditoria de Seguridad Informática deben confeccionar Informes de Insuficiencia cada vez que identifiquen incoherencias entre los controles que se necesitan; y los que existen y las divergencias entre la magnitud del riesgo y la eficacia actual de los controles. Los Propietarios de la Información deberán informar al Responsable de Seguridad Informática, en forma inmediata, de toda situación (permanente o transitoria) en la que o sea posible implementar los controles en la forma y/o con el alcance indicados en la Política de Seguridad y sus documentos subordinados. Un Informe de Insuficiencias debe contener:

a) Descripción detallada de la insuficiencia. b) Sistema de información, aplicación, red ó proceso afectado. c) Cláusula de la Política de Seguridad en la que se encuadra o debería encuadrarse la

insuficiencia. d) Control de la Política de Seguridad afectado por la insuficiencia. e) Documento subordinado afectado por la insuficiencia.

f) Emisor del Informe de Insuficiencias (Responsable de Seguridad Informática o Responsable de Auditoria de Seguridad Informática).

g) Medidas recomendadas (por el Responsable de Seguridad Informática o el Responsable de Auditoria de Seguridad Informática) para resolver o minimizar la insuficiencia.

h) Plan de respuesta de la insuficiencia determinado por el Comité de Seguridad, incluyendo responsables, plazos, contrataciones, partidas presupuestarias y todo otro elemento que permita su implementación y seguimiento.

i) Aprobación del Informe de Insuficiencias por parte del Comité de Seguridad El Comité de Seguridad debe aceptar la responsabilidad de las insuficiencias. La decisión no es exclusivamente técnica, puede ser una decisión política o gerencial o puede estar determinada por las leyes o por compromisos contractuales con proveedores o usuarios. Estos niveles de aceptación se pueden establecer por activo o por agregación de activos (en un determinado departamento, en un determinado servicio, en una determinada dimensión, etc.) Cualquier nivel de impacto y/o riesgo es aceptable si lo conoce y acepta formalmente el Comité de Seguridad a través del Informe de Insuficiencias.



CUADRO 5.1.3 – Documentos de soporte para la Seguridad de la Información Indicador Documento Objetivo Aplicación Nivel Aprobación

n/a Política

Manifestar el compromiso explícito, el enfoque de la po-lítica y las directivas estraté-gicas respecto del manejo de la seguridad del conocimiento y la información de MCR.

Todo el ámbito de

MCR Estratégico

Comité de Seguridad

Ordenanza ó

Resolución

E Estándar

Especificar características, funcionalidad, capacidad, calidad y otros atributos/ cualidades mínimas que deben satisfacer los productos y/o servicios utilizados por MCR para el procesamiento de la información, al efecto de cumplir con los controles de seguridad de la Política.

Todo el ámbito de

MCR Táctico


Resolución Municipal

N Norma

Brindar directivas, reglas y características de aplicación obligatoria con el fin de procurar el cumplimiento de los controles de seguridad expresados en la Política.

Todo el ámbito de

MCR Táctico


Resolución Municipal

P Procedimiento

Describir maneras probadas y metódicas de realizar opera-ciones repetitivas tendientes al cumplimiento de controles de seguridad específicos ex presados en la Política.

Área y/o sistema

específico Operativo

Responsable del Área

Informática

I Informe de

Insuficiencias

Identificar, describir y aprobar la ausencia o debilidad de las salvaguardas que aparecen como oportunas para reducir los riesgos de seguridad.

Todo el ámbito de

MCR

Estratégico/ táctico/

operativo


El Responsable de Seguridad Informática debe participar en todos los casos en los que deba redactarse un documento subordinado, quién debe definir la nomenclatura de identificación y la estructura de cada uno los documentos. Asimismo debe aplicar un método efectivo para el control de las versiones, el mantenimiento los documentos, su historial de actualizaciones y las versiones vigentes. Los documentos (E, N, P e I) se deben clasificar en función de la sensibilidad de la información que contienen. La clasificación de confidencialidad de los Informes de Insuficiencias (Documentos I) debe ser, en todos los casos: “RESERVADO”. Solamente el Comité de Seguridad de la Información, el Director General de Gestión Informática, el Responsable de Área Informática, el Responsable de Seguridad Informática y el Responsable de Auditoria de Seguridad Informática pueden acceder al repositorio total de los documentos. Los responsables de cada área tendrán acceso sólo a los Informes de Insuficiencias relativos a su propia área. El documento de Política de Seguridad de la Información debe ser clasificado como “USO INTERNO”.



Capítulo 6. Cláusula: Organización de la Seguridad

Generalidades La administración de la seguridad de la información es parte fundamental de los objetivos y actividades de MCR, por ello, debe definirse un ámbito de gestión formal para efectuar tareas tales como la aprobación de la Política, la coordinación de su implementación y la asignación de funciones y responsabilidades. Se debe contemplar la necesidad de disponer de fuentes con conocimiento y experimentadas para el asesoramiento, cooperación y colaboración en materia de seguridad de la información. Además, debe tenerse en cuenta que ciertas actividades de MCR pueden requerir que terceros accedan a información interna, o ser necesaria la tercerización de ciertas funciones relacionadas con el procesamiento de la información. En estos casos debe contemplarse la implantación de las medidas adecuadas para la protección de la información.

Alcance La presente Política se aplica a todos los recursos de MCR y a todas sus relaciones con terceros que impliquen uso y/o acceso a los datos, recursos, administración y cualquier función de control de los sistemas de información.

Directivas

Directiva 6.1. Organización Interna a) Definición: MCR debe crear el marco administrativo y la organización interna adecuada

para iniciar y controlar la implantación del proceso de seguridad de la información.

b) Objetivo: Administrar con eficacia el proceso de seguridad de la información en el ámbito de MCR.

Control 6.1.1. Compromiso de las autoridades Las autoridades de MCR deben apoyar, propiciar, cumplir y hacer cumplir las directivas de seguridad, a cuyo efecto deberán:

a) Asegurar que las metas de seguridad de la información identificadas satisfacen los requerimientos de MCR, y que sean integradas en los procesos relevantes.

b) Formular, revisar y aprobar la Política de Seguridad de la Información. c) Verificar la efectividad de la implementación de la Política de Seguridad de la Información d) Proveer direcciones claras y soporte manifiesto a las iniciativas de seguridad. e) Proveer los recursos requeridos para mantener el proceso de seguridad. f) Aprobar la asignación de los roles y responsabilidades específicas para la seguridad de la

información en todo el ámbito de MCR. g) Organizar planes y programas para crear una cultura de la seguridad.



h) Asegurar que la implementación de los controles de seguridad de la información sean coordinados en todo el ámbito de MCR.

Control 6.1.2. Coordinación de actividades Todos los funcionarios de MCR que desempeñen funciones y/o puestos de relevancia deben coordinar sus actividades de seguridad con el Responsable del Área Informática, con el objetivo de asegurar la coherencia y la consolidación de la cultura de seguridad de la información, debiendo en sus respectivas áreas de responsabilidad:

a) Asegurar que las actividades de seguridad sean ejecutadas de conformidad con la Política. b) Identificar como manejar las faltas de conformidad. c) Aprobar metodologías y procesos de seguridad de la información. d) Identificar potenciales exposiciones de la información y de las instalaciones de

procesamiento ante amenazas significativas. e) Evaluar la adecuación, coordinar e implantar los controles de seguridad. f) Promover efectivamente la educación, capacitación y concientización de la cultura de la

seguridad de la información. g) Evaluar los informes de resultados recibidos del monitoreo y revisión de los incidentes de

seguridad, y recomendar apropiadas acciones de respuesta. En todos los casos mencionados, los funcionarios deben coordinar sus acciones y mantener permanentemente informado al Responsable del Área Informática y/o al Responsable de Seguridad Informática. Sin que el listado sea exhaustivo, se identifican las responsabilidades de los siguientes funcionarios: De la DIRECCIÓN GENERAL DE RECURSOS HUMANOS : el responsable del Área de Recursos Humanos debe notificar a todo el personal efectivo, contratado e ingresante de sus obligaciones respecto del cumplimiento de esta Política, de todas las normas, procedimientos y estándares que de ella emanen, como así también de sus posteriores modificaciones. Además, deberá instrumentar la suscripción de los compromisos (por ejemplo de confidencialidad) del personal, y las tareas de capacitación continua en materia de seguridad. De la DIRECCIÓN GENERAL DE GESTION INFORMATICA : 1. EL responsable de la Dirección General de Gestión Informática debe coordinar y supervisar la actividad del Responsable del Área de Administración Informática y del Responsable de Seguridad Informática a los efectos asegurar el cumplimiento de la presente Política de Seguridad. Aprobara previo a su presentación al Comité de Seguridad los Documentos de soporte para la Seguridad de la Información definidos como de Nivel Estratégico y/o Táctico (Política, Estándar y Normas) 1.1. Responsable del Área de Administración Informática: debe asegurar el cumplimiento de los requerimientos de seguridad establecidos para la adquisición, diseño, desarrollo, operación, administración y mantenimiento de los sistemas operativos, bases de datos y recursos tecnológicos vinculados de MCR.

1.12Responsable del Área de Sistemas: debe asegurar el cumplimiento de los requerimientos de seguridad establecidos para la adquisición, diseño, desarrollo, operación, administración y mantenimiento de los sistemas de producción.



1.3. Responsable del Área de Redes: debe asegurar el cumplimiento de los requerimientos de seguridad establecidos para el diseño, implantación, operación, administración y control de las redes y sistemas de comunicaciones de MCR. DE ASESORIA LETRADA: el responsable del Área Legal debe verificar el cumplimiento de la presente Política en la gestión de todos los contratos, acuerdos y toda otra documentación oficial de MCR con sus empleados y con terceros. Además, debe asesorar en materia legal a MCR en lo concerniente a los incidentes de seguridad de la información. DE LA DIRECCIÓN GENERAL DE AUDITORIA: El responsable de Auditoria de Seguridad Informática debe practicar revisiones de auditoria en forma periódica sobre los sistemas y actividades vinculadas con los procesos y los recursos de tecnología de la información, debiendo registrar e informar sobre el cumplimiento de las especificaciones y medidas de seguridad de la información establecidas por esta Política y por las normas, estándares y procedimientos que de ella emanen. El informe de auditoria deberá dictaminar sobre la adecuación de las medidas y controles a esta Política, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Asimismo, deberá incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y recomendaciones propuestas. DE LA DIRECCIÓN GENERAL DE COMPRAS Y CONTRATACIONES : El responsable del Área de Administración Patrimonial debe cumplir la función de incluir en los contratos con proveedores de servicios de tecnología y cualquier otro proveedor de bienes o servicios cuya actividad afecte directa o indirectamente a los activos de información, la obligatoriedad del cumplimiento de la Política de Seguridad de la Información y de todos los estándares, normas y procedimientos relacionados. Usuarios y depositarios de la información, recursos e instalaciones de procesamiento: deben conocer, hacer conocer, cumplir y hacer cumplir la Política en todos sus alcances, debiendo informar a su superior inmediato y al Responsable de Seguridad Informática sobre todo tipo de anormalidad o vulnerabilidad relacionada con los procesos de seguridad de MCR.

Control 6.1.3. Asignación de funciones y responsabilidades específicas

Además de las responsabilidades inherentes a todo el personal de MCR, se deben asignar las funciones y responsabilidades específicas que aquí se indican, relacionadas con el proceso de seguridad de la información.

6.1.3.1. Comité de Seguridad de la Información El Comité de Seguridad de la Información estará integrado por todos los Secretarios del Poder Ejecutivo de MCR, el Asesor Letrado y el Director General de Gestión Informática, y tendrá entre sus funciones:

a) Garantizar el apoyo manifiesto de las autoridades a las iniciativas de seguridad. b) Revisar y proponer para su aprobación, la Política y las funciones generales en materia de

seguridad de la información.



c) Monitorear cambios significativos en los riesgos que afectan a los recursos de información frente a las amenazas más importantes.

d) Tomar conocimiento y supervisar la investigación y monitoreo de los incidentes relativos a la seguridad.

e) Evaluar las principales iniciativas para incrementar la seguridad de la información, de acuerdo a las competencias y responsabilidades asignadas a cada área.

f) Acordar y aprobar metodologías y procesos específicos relativos a la seguridad de la información.

g) Garantizar que la seguridad sea parte del proceso de planificación de la información. h) Evaluar y coordinar la implementación de controles específicos de seguridad de la

información para nuevos sistemas o servicios. i) Promover la difusión y apoyo a la seguridad de la información dentro de MCR. j) Coordinar el proceso de administración de la continuidad de las operaciones de los

sistemas de procesamiento de la información de MCR frente a interrupciones imprevistas. El Comité de Seguridad de la Información dictará las reglas para su propio funcionamiento. La MCR designara mediante Resolución al Coordinador del Comité de Seguridad. El Coordinador del Comité de Seguridad de la Información será el responsable de coordinar las acciones del Comité de Seguridad de la Información y de impulsar la implementación y cumplimiento de la Política.

6.1.3.2. Responsable de Seguridad Informática MCR debe nombrar al Responsable de Seguridad Informática, quien debe gestionar el cumplimiento de la presente Política, asesorar en materia de seguridad de la información a los integrantes de MCR, y coordinar la interacción con organismos y grupos especializados. El Responsable de Seguridad Informática debe tener a cargo las funciones operativas relativas a la seguridad de los sistemas de información de MCR, es decir con ingerencia y supervisión sobre todos los aspectos inherentes a seguridad informática tratados en esta Política.

Control 6.1.4. Autorización de instalaciones de procesamiento

La implantación y uso de todo nuevo sistema o facilidad de procesamiento de la información en el ámbito de MCR debe ser autorizada por el Director General de Gestión Informática y aprobada por el Comité de Seguridad de la Información en los casos relevantes, debiendo aplicarse previamente el correspondiente proceso de revisión de la seguridad por parte del Responsable de Seguridad Informática. Asimismo, quedarán sujetos al proceso de aprobación los recursos e instalaciones personales o privados utilizados en relación con la información y/o los recursos de MCR.

Control 6.1.5. Acuerdos de confidencialidad



Deben utilizarse acuerdos de confidencialidad y no divulgación para proteger adecuadamente la información clasificada (encuadrada en los niveles de confidencialidad 1, 2 o 3) de la Declaración 7.2. Los acuerdos deben contener recaudos que contemplen la devolución o destrucción de los activos de información utilizados por empleados y terceros al extinguirse el vínculo laboral. En la redacción de los acuerdos debe participar el Responsable del Área de Recursos Humanos y el Responsable del Área Legal para garantizar que se utilicen fórmulas y términos con la fuerza legal necesaria para llegar a instancias judiciales, si se produjeran violaciones a los acuerdos. El Comité de Seguridad de la Información y el Responsable de Seguridad informática determinarán la necesidad de utilizar diferentes modelos de acuerdos de confidencialidad y no divulgación, de acuerdo con las circunstancias, y de realizar la revisión periódica de los mismos.

Control 6.1.6. Contacto con autoridades y otras organizaciones

El Responsable de Seguridad Informática debe establecer los procedimientos pertinentes para identificar a las autoridades y organizaciones relevantes en materia de seguridad de la información, y la forma de proceder al tomar contacto con ellas, con motivo de las actividades inherentes a los procesos de seguridad de la información. Algunos ejemplos (no exhaustivos) son:

a) Organismos regulatorios: para preparar y anticipar futuros cambios en las leyes y regulaciones.

b) Electricidad, emergencias, bomberos: con relación a la continuidad de las operaciones. c) Proveedores de telecomunicaciones: con relación a la seguridad y disponibilidad de las

redes. También ante la ocurrencia de ataques informáticos desde Internet. d) Policía: ante violaciones de las leyes.

El Responsable de Seguridad Informática debe mantener registros y documentar con el mayor detalle posible el resultado de estas actividades, debiendo asistir y proporcionar el soporte técnico adecuado al Responsable del Área de Administración Informática

Control 6.1.7. Contacto con especialistas en seguridad

El Responsable de Seguridad Informática debe desarrollar actividades para identificar y mantener contactos y membresías con grupos de interés, asociaciones profesionales y foros de seguridad de reconocido prestigio, atendiendo a las siguientes finalidades:

a) Incrementar el conocimiento de “mejores prácticas” y mantenerse actualizado respecto a la información relevante en materia de seguridad

b) Asegurar que la comprensión del entorno de seguridad de MCR es integral y está actualizado.

c) Recibir advertencias precoces de alertas, recomendaciones y parches relacionados con ataques y vulnerabilidades.

d) Acceder al consejo de especialistas en seguridad.



e) Compartir e intercambiar información relacionada con nuevas tecnologías, productos, amenazas y vulnerabilidades.

f) Establecer los contactos adecuados para el tratamiento de incidentes de seguridad de la información.

El Responsable de Seguridad Informática debe mantener registros y documentar con el mayor detalle posible el resultado de estas actividades, debiendo asistir y proporcionar el soporte técnico adecuado al Responsable del Área de Administración Informática.

Control 6.1.8. Revisión independiente - Auditoria La Política de Seguridad de la Información, su enfoque, su gestión, y su implementación (es decir las directivas, controles, estándares, normas, procedimientos e informes de insuficiencias) deben ser objeto de revisión por parte del Responsable de Auditoria de Seguridad Informática, a intervalos planificados que no deben exceder de un (1) año. Asimismo, el Comité de Seguridad de la Información puede encargar la revisión total o parcial del proceso de seguridad de la información en MCR a otros grupos internos o terceras partes idóneas contratadas para esa finalidad. Los resultados de las revisiones deben ser registrados y reportados al Comité de Seguridad de la Información, quien se encargará de conservarlos y utilizarlos para implementar planes de mejora.

Directiva 6.2. Relaciones con Terceros a) Definición: Se deben definir y acordar los controles apropiados a implantar cuando fuese

necesario conceder cualquier tipo de acceso de terceros a la información o a las instalaciones de MCR.

b) Objetivo: Mantener la seguridad de la información y las instalaciones de procesamiento de la información que son accedidas, procesadas, comunicadas o administradas por partes externas a MCR.

Control 6.2.1. Riesgos provenientes del acceso de terceras partes

Deben identificarse los riesgos sobre los activos de la información provenientes de las actividades desarrolladas por terceras partes, y aplicarse los controles de seguridad apropiados previamente a conceder cualquier tipo de acceso (físico, lógico, conectividad de redes, etc.) a la información y/o a las instalaciones de procesamiento de la información de MCR. El Responsable de Seguridad Informática, juntamente con el Responsable del Área de Administración Informática, deberá realizar el correspondiente análisis de riesgos para identificar y aplicar los controles de seguridad adecuados, debiendo quedar todas estas actuaciones documentadas, como requisitos previos para otorgar la autorización. Ejemplos a tener en cuenta (no exhaustivos) son:

a) Proveedores b) Servicios de soporte y mantenimiento técnico



c) Mantenimiento de edificios e instalaciones d) Servicios de mudanzas e) Limpieza, “catering”, guardia de seguridad y otros servicios mercerizados f) Pasantías, personal temporario y otras designaciones de corto plazo g) Consultores h) Contribuyentes

Debe asegurarse que los terceros cuyo acceso ha sido autorizado conozcan y acepten sus obligaciones y responsabilidad legal relacionadas con los activos de la información de MCR.

Control 6.2.2. Riesgos provenientes del acceso de los contribuyentes

Deben identificarse los riesgos sobre los activos de la información y aplicarse los controles de seguridad apropiados previamente a habilitar servicios a los contribuyentes que involucren la concesión de cualquier tipo de acceso (físico, lógico, conectividad de redes, etc.) a la información y/o a las instalaciones de procesamiento de la información de MCR. El Responsable de Seguridad Informática, juntamente con el Responsable del Área de Administración Informática y el Responsable del área que brinda el servicio, deberán realizar el correspondiente análisis de riesgos para identificar y aplicar los controles de seguridad adecuados, debiendo quedar todas estas actuaciones documentadas, como requisitos previos para autorizar y habilitar el servicio. Si fuera necesario y/o conveniente, se requerirán acuerdos de aceptación y responsabilidad de los contribuyentes como requisito para conceder el uso de los servicios. En la redacción de los acuerdos deberá participar el Responsable del Área Legal.

Control 6.2.3. Identificación de riesgos en acuerdos con terceros

Deben identificarse los riesgos sobre los activos de la información, y aplicarse los controles de seguridad apropiados previamente a la firma de acuerdos con terceras partes que incluyan la incorporación de productos o servicios adicionales, acceso, procesamiento, comunicación o administración de la información o las instalaciones de procesamiento de la información de MCR. El Responsable de Seguridad Informática, juntamente con el Responsable del Área de Administración Informática y el funcionario responsable del área que gestiona el acuerdo, deberán realizar el correspondiente análisis de riesgos para identificar y aplicar los controles de seguridad adecuados, debiendo quedar todas estas actuaciones documentadas, como requisitos previos para autorizar la suscripción del acuerdo. Si fuera necesario y/o conveniente, se requerirá la incorporación en el contrato de las restricciones, derechos de auditoria, controles y términos específicos que signifiquen el reconocimiento de la Política de Seguridad de la Información y la aceptación expresa de las obligaciones y la responsabilidad por parte de los terceros respecto de los activos de la información de MCR, en cuya redacción deberá participar el Responsable del Área Legal.



Capítulo 7. Cláusula: Clasificación y Control de Activos

Generalidades Es pre-requisito para la administración de riesgos adquirir y mantener conocimiento sobre todos los Activos de Información de MCR, sus responsables y depositarios. Los activos de información deben ser clasificados y rotulados de acuerdo con la sensibilidad y criticidad de la información que contienen, con el objeto de determinar cómo han de ser tratados y protegidos. La clasificación debe ser revisada para determinar si el valor de la información ha variado con el tiempo para ser reclasificada, o si se ha tornado obsoleta para ser eliminada.

Alcance Esta Cláusula se aplica a toda la información administrada por MCR, cualquiera sea el soporte en que se encuentre.

Directivas

Directiva 7.1. Responsabilidad de los activos a) Definición: Todos los activos de MCR deben ser asignados a un Propietario, responsable

por su mantenimiento y por la aplicación de los controles de seguridad indicados en esta Política.

b) Objetivo: Lograr y mantener el nivel de protección apropiado sobre los activos de MCR.

Control 7.1.1. Inventario de activos Cada uno de los Propietarios de la Información de MCR, con la asistencia del Responsable del Área de Administración Informática, debe identificar e inventariar todos los activos significativos asociados a cada sistema de información bajo su responsabilidad, debiendo indicarse el nombre del área encargada de su custodia. Aún cuando los Propietarios pueden delegar el uso, la operación, el mantenimiento y/o la implementación de controles específicos, ellos mantendrán plena responsabilidad sobre los activos asignados. El listado de inventario debe mantenerse actualizado y será revisado con una periodicidad no mayor a 6 (seis) meses.



Control 7.1.2. Propietarios de los activos Todos y cada uno de los activos identificados e inventariados en el Control 7.1.1 deben poseer un Propietario. El término Propietario no significa que las personas poseen derechos de propiedad reales sobre los Activos, simplemente identifica a un individuo o entidad que posee responsabilidad, administrativamente aprobada por MCR, para controlar la producción, desarrollo, mantenimiento, uso y seguridad de los Activos.

Control 7.1.3. Normas de uso de los activos Los Propietarios de la Información, con la colaboración del Responsable del Área de Administración Informática, son los encargados de redactar y aplicar las normas de uso aceptable de los recursos asociados con las instalaciones de procesamiento de la información. A todos los empleados, contratistas y terceras partes que utilicen o posean acceso a los activos de MCR se les debe exigir el reconocimiento de estas normas, particularmente de las responsabilidades que adquieren por el simple hecho de utilizarlos y/o accederlos.

Directiva 7.2. Clasificación de la información a) Definición: La información debe ser clasificada de acuerdo con los criterios aquí

establecidos para identificar su necesidad, prioridad y nivel de protección.

b) Objetivo: Determinar las características de sensibilidad y criticidad de la información.

Control 7.2.1. Clasificación y actualización Los Propietarios de la Información son los encargados de clasificar, documentar y actualizar dicha clasificación. Los Propietarios de la Información en cada una de las Direcciones de MCR, con la asistencia del Responsable de Seguridad Informática y del Responsable del Área de Administración Informática, deben clasificar los Activos de Información, en función de su valor, requerimientos legales, sensibilidad y criticidad para MCR, utilizando los criterios que se indican en el punto 7.2.2. A partir de la clasificación de la información, los Propietarios de la misma deben identificar los recursos asociados (sistemas, equipamiento, servicios, etc.) y los perfiles funcionales con acceso a la misma. Sólo los Propietarios de la Información pueden asignar o cambiar el nivel de clasificación, debiendo para ello cumplir con los siguientes requisitos previos:

a) Asignar una fecha de efectividad (posterior al acto de reclasificación). b) Cursar comunicación fehaciente, con fecha previa a la de efectividad, al depositario del

recurso. c) Cursar comunicación fehaciente, con fecha previa a la de efectividad a los usuarios de la

información.



7.2.1.1. Valores de Clasificación Para clasificar cada uno de los Activos de Información, se deben evaluar las tres características de la información en las cuales se basa la seguridad, a saber: confidencialidad, integridad y disponibilidad. Se debe asignar a la información un valor de clasificación por cada una de las características (Confidencialidad, Integridad y Disponibilidad), de acuerdo con los criterios indicados en el siguiente cuadro:

CUADRO 7.2.1.1 - CRITERIOS DE CLASIFICACIÓN DE ACTIVOS VALOR DE CLASIFICACIÓN

CARACTERISTICAS 0 1 2 3

NO CLASIFICADA INFORMACIÓN CLASIFICADA

Confidencialidad

PÚBLICO Información que pue de ser conocida y utilizada sin autori zación por el perso nal de MCR o terce ros.

USO INTERNO Información que puede ser conocida y utilizada por todo el personal y algu nas entidades exter nas autorizadas. La divulgación o uso no autorizado podría ocasionar pérdidas leves a MCR o a terceros.

CONFIDENCIAL Información que sólo puede ser conocida y utilizada por un grupo del personal para su trabajo. La divulgación o uso no autorizado podría ocasionar pérdidas significativas MCR o a terceros.

RESERVADO Información sólo conocida y utilizada por un grupo muy reducido del perso nal de alto rango. La divulgación o uso no autorizado podría ocasionar pérdidas graves MCR o a terceros.

Integridad

Información cuya modificación no autorizada puede repararse fácilmente y no afecta la operatoria de MCR

Información cuya modificación no autorizada puede repararse aunque podría ocasionar pérdidas leves a MCR o a terceros.

Información cuya modificación no autorizada es de difícil reparación y podría ocasionar pérdidas significativas al MCR o a terceros

Información cuya modificación no autorizada no podría repararse, y ocasio na pérdidas graves MCR o a terceros

Disponibilidad

Información cuya inaccesibilidad no afecta la operatoria de MCR

Información cuya inaccesibilidad permanente durante 10 días podría ocasionar pérdidas significativas para MCR o terceros.

Información cuya inaccesibilidad permanente durante 3 días podría ocasionar pérdidas significati vas para MCR o terceros.

Información cuya inaccesibilidad per manente durante 1 día podría ocasionar pérdidas significati vas para MCR o terceros.

Al referirse a pérdidas, se deben contemplar aquellas mesurables (materiales) y no mesurables (imagen, valor estratégico de la información, obligaciones contractuales o públicas, disposiciones legales, etc.). Se denomina “información clasificada” (o “datos clasificados”) a aquella que se encuadre en los niveles 1, 2 o 3 de Confidencialidad.

7.2.1.2. Nivel de Criticidad Para determinar la criticidad de cada uno de los Activos de Información, se deben considerar los valores de clasificación asignados a todas sus características, correspondiéndole el nivel de



criticidad (Bajo, Medio o Alto) que surja de la aplicación del criterio establecido en el siguiente cuadro:

CUADRO 7.2.1.2 - CRITERIOS DE CRITICIDAD NIVEL DE CRITICIDAD CRITERIO

BAJO MEDIO ALTO

CLASIFICACIÓN Ninguno de los valores asignados a las características supera el valor 1

Alguno de los valores asignados a las características es igual a 2

Alguno de los valores asignados a las características es igual a 3

El Responsable de Seguridad Informática es el encargado de asegurar que los controles aplicados a los recursos de la tecnología de información satisfagan los requerimientos de seguridad establecidos, de acuerdo con la criticidad de la información que procesan.

Control 7.2.2. Rotulado y manejo de la Información

Deben definirse procedimientos para el rotulado y manejo de información, de acuerdo con el esquema de clasificación definido. Los mismos deben contemplar los recursos de información tanto en formatos físicos como electrónicos. Para cada valor de clasificación se deben definir los procedimientos de manipulación, procesamiento, almacenamiento, transmisión, desclasificación y destrucción. Asimismo, deben elaborarse procedimientos para las cadenas de custodia y el registro de eventos relevantes de seguridad. Los medios de salida de los sistemas que contienen información clasificada deben portar el rótulo de clasificación correspondiente, de acuerdo con las reglas establecidas en el punto 7.2.2 (Uso Interno, Confidencial, ó Reservado). Los medios a considerados incluyen:

a) Información impresa b) Información en pantalla c) Información almacenada (cintas, discos, CDs, DVDs, etc) d) Mensajes electrónicos e) Transferencia de archivos f) Fax g) Envío postal



Capítulo 8. Cláusula: Seguridad del Personal

Generalidades La seguridad de la información se basa en la capacidad para preservar la integridad, confidencialidad y disponibilidad de la información y de todos los recursos involucrados en su tratamiento. Particularmente los recursos humanos son esenciales en todo proceso de la información. Por consiguiente, es fundamental educar e informar al personal desde su ingreso y en forma continua, cualquiera sea su situación de revista, respecto de las medidas de seguridad que afectan al desarrollo de sus funciones y de las expectativas depositadas en ellos en este sentido, con el objetivo de crear una verdadera cultura de la seguridad de la información.

Alcance Esta cláusula se aplica a todo el personal de MCR, cualquiera sea su situación de revista, contratistas y todo personal externo que efectúe tareas relacionadas con los activos de la información de MCR.

Directivas

Directiva 8.1. Consideraciones previas al empleo a) Definición: Las responsabilidades en materia de seguridad deben ser conocidas y

evaluadas por ambas partes previamente a la formalización del empleo.

b) Objetivo: Asegurar que empleados, contratistas y terceras partes conozcan con anticipación sus responsabilidades, y evaluar con criterio objetivo su idoneidad para desempeñar los roles para los que MCR los considera.

Control 8.1.1. Roles y responsabilidades previas al empleo

Los roles y responsabilidades en materia de seguridad de empleados, contratistas y terceras partes deben ser definidos y documentados de conformidad con la Política de Seguridad de la Información. El Responsable del Área de Recursos Humanos incluirá las funciones relativas a la seguridad de la información en las descripciones de puestos de los empleados.



Control 8.1.2. Criterio de idoneidad Se deben verificar los antecedentes de los candidatos externos a posiciones de empleo, contratistas y terceras partes. Los candidatos deben ser advertidos respecto de las averiguaciones de las que serán objeto. Para el caso de candidatos a empleos de carrera o de la planta temporaria, se aplicarán los requisitos y condiciones contemplados en los Capítulos IV y V del Estatuto y Escalafón del Personal Municipal (Ordenanza 6418-1/97), debiendo considerarse dentro de los requisitos del puesto los roles y responsabilidades en materia de seguridad expresados en esta Política. El Responsable del Área de Recursos Humanos debe asegurar que se incluyan los requisitos en materia de seguridad de la información entre los criterios de evaluación de idoneidad para acceder al empleo.

Control 8.1.3. Términos y condiciones de empleo

Como parte de las obligaciones contractuales, empleados, contratistas y terceras partes deberán acordar y suscribir los términos y condiciones de la relación, entre los cuales se deben incluir las responsabilidades mutuas respecto de la seguridad de la información. El Responsable del Área de Recursos Humanos debe informar a todo el personal que ingresa de sus obligaciones respecto del cumplimiento de la Política de Seguridad de la Información y debe gestionar los Compromisos de Confidencialidad con el personal, de manera de dejar formalizado y detallado los alcances del Capítulo II. Título II Deberes y Prohibiciones del Empleado Municipal, contemplados en el Estatuto del Personal Municipal. El Responsable del Área de Administración y los Responsables de las áreas en las que se contrate personal deben asegurar que se aplique el mismo tenor a los contratos celebrados con contratistas y terceras partes.

Directiva 8.2. Condiciones durante el empleo a) Definición: Se debe proveer un nivel adecuado de concientización, educación y

entrenamiento continuo sobre los procedimientos de seguridad y uso correcto de los activos.

b) Objetivo: Asegurar que los empleados, contratistas y terceras partes son concientes de sus responsabilidades, de las amenazas y las cuestiones de seguridad, y que disponen de los recursos para sustentar la Política de Seguridad durante el desarrollo normal de sus tareas, minimizando los riesgos por errores humanos.

Control 8.2.1. Responsabilidad de los funcionarios durante el empleo

Todos los funcionarios sin excepción, deben cumplir y hacer cumplir los controles de seguridad de esta Política a empleados, contratistas y terceras partes, en todo el ámbito de MCR.



Debe tenerse muy presente que la pobreza en el gerenciamiento y la desmotivación conducen a la negación de los controles, prevaricación de los activos y crean situaciones de alto riesgo. Los funcionarios deberán asegurar que los empleados, contratistas y terceras partes bajo su área de responsabilidad:

a) Están apropiadamente capacitados en sus roles y responsabilidades de seguridad en el contexto de la labor que desempeñan.

b) Están motivados para satisfacer la Política de Seguridad de la Información. c) Conforman los términos y condiciones de empleo. d) Mantienen las aptitudes y calificaciones apropiadas.

El Responsable del Área de Recursos Humanos debe asegurar que se incluyan los roles, conocimientos y responsabilidades en materia de seguridad de la información dentro de los conceptos que integran la hoja de calificaciones del Régimen de Calificaciones.

Control 8.2.2. Concientización, educación y entrenamiento

Todos los empleados de MCR (y cuando sea relevante, contratistas y terceras partes) deben recibir la capacitación de concientización y las actualizaciones apropiadas al contexto en el que desempeñan sus tareas. El Responsable de Seguridad Informática y el Responsable del Área de Recursos Humanos deben planificar las actividades de concientización, capacitación, entrenamiento y actualización en materia de seguridad de la información.

Control 8.2.3. Infracciones y violaciones a la Política

Toda infracción a la Política de Seguridad de la información determinará la aplicación de sanciones administrativas previstas por MCR para el o los causantes, sin perjuicio de las acciones civiles y/o penales que pudieren corresponderle por sus acciones u omisiones. MCR debe aplicar el régimen disciplinario contemplado en el Capítulo VI del Estatuto y Escalafón del Personal Municipal (Ordenanza 6418-1/97) para todos los empleados de MCR, y el Código de Ética Pública (Ordenanza 7092/00) para los funcionarios indicados en las excepciones del artículo 4º del mencionado Estatuto. MCR debe estar en condiciones, debiendo contar con los compromisos firmados y las pruebas pertinentes, para iniciar las acciones judiciales que correspondan a las violaciones de los acuerdos por parte de contratistas y terceras partes.



Directiva 8.3. Terminación o cambio de empleo a) Definición: Debe contarse con los procedimientos y la asignación de responsabilidades

para asegurar que la terminación o cambio de empleo de empleados, contratistas y terceras partes se realice de manera controlada, cumpliendo y haciendo cumplir cabalmente los compromisos contraídos.

b) Objetivo: Asegurar que empleados, contratistas y terceras partes que egresan o cambian

de empleo en MCR, lo hagan de manera ordenada.

Control 8.3.1. Responsabilidades en la terminación del empleo

Se deben definir y asignar con claridad las responsabilidades ante la finalización o cambio de las relaciones contractuales con empleados, contratistas y terceros. Las responsabilidades y obligaciones subsistentes con posterioridad a la terminación del empleo deben estar incluidas en los contratos de los empleados, contratistas y terceras partes. El cambio de responsabilidad o empleo dentro del ámbito de MCR no significa que deban superponerse los privilegios de ambas funciones, sino que debe manejarse como la finalización de una responsabilidad y el inicio de una nueva bajo los términos de los controles de la Declaración 8.1. El Responsable del Área de Recursos Humanos debe coordinar con los Responsables de las áreas donde se desempeñen los que egresan, las acciones tendientes a hacerles cumplir con la totalidad de los compromisos que contrajeron, contando para ello con los acuerdos y contratos correspondientes.

Control 8.3.2. Devolución de activos Se deben formalizar el alcance en los documentos e implantar procedimientos efectivos de terminación del empleo para procurar que empleados, contratistas, y terceras partes retornen la totalidad de los activos bajo su posesión, pertenecientes a MCR, cuando finalice el empleo, contrato o acuerdo. El proceso de finalización debe incluir la devolución de los siguientes activos (listado no exhaustivo):

a) Software b) Documentos municipales c) Equipos d) Tarjetas e identificaciones de acceso e) Manuales f) Información almacenada en diversos medios

En los casos en los que los empleados, contratistas o terceras partes hubieren utilizado equipos de su propiedad, debe documentarse y extremarse los medios para que toda información relevante sea transferida a MCR y eliminada en forma segura de esos equipos.



En los casos en los que empleados, contratistas y terceras partes posean conocimientos e información importante para la continuidad de las operaciones de MCR, debe documentarse y extremarse los medios para que esa información sea debidamente documentada y transferida a MCR. El responsable del Área de Recursos Humanos, el Responsable del Área de Administración y todos los funcionarios que intervengan en las contrataciones de personal, con la colaboración del Representante el Área Legal, deben incorporar los términos necesarios en los respectivos contratos para procurar el cumplimiento de los controles indicados.

Control 8.3.3. Remoción de derechos de uso y acceso

Los derechos de acceso a la información y a las instalaciones de procesamiento de empleados, contratistas y terceras partes deben ser removidos o modificados al producirse el término del empleo, contrato o acuerdo. El Responsable de Seguridad Informática y el Responsable del Área de Administración Informática deben identificar los sistemas, instalaciones, áreas, información, programas y todo otro activo de información al que tuviere acceso el que egresa, para actuar en consecuencia. Asimismo, deberán tomar en consideración la posibilidad de reducir o remover los derechos de acceso inmediatamente, o en forma previa a la partida del que egresa, debiendo evaluar los factores de riesgo tales como:

a) Si la terminación o cambio ha sido iniciada por el que egresa o por MCR, y el motivo de la misma.

b) Las responsabilidades y los privilegios de acceso del que egresa. c) El valor de los activos a los que posee acceso.

Si el personal que egresa tuviere conocimiento de contraseñas de cuentas y sistemas activos, las mismas deben ser modificadas.



Capítulo 9. Cláusula: Seguridad Física y Ambiental

Generalidades La seguridad física y ambiental brinda el marco para minimizar los riesgos de daños e interferencias a la información y a las operaciones del Organismo. Asimismo, pretende evitar al máximo el riesgo de accesos físicos no autorizados, mediante el establecimiento de perímetros de seguridad.

Alcance Esta cláusula aplica a la seguridad de la información relacionada con las amenazas físicas y ambientales sobre los activos de información de MCR.

Directivas

Directiva 9.1. Áreas protegidas a) Definición: Las instalaciones de procesamiento de información crítica deben ser albergadas

en áreas adecuadamente protegidas por perímetros de seguridad, con barreras y controles de entrada.

b) Objetivo: Prevenir el acceso físico no autorizado, interferencias y daños a las instalaciones de procesamiento y a la información.

Control 9.1.1. Perímetros de seguridad física MCR debe utilizar perímetros de seguridad para proteger las áreas que contienen instalaciones de procesamiento de información, suministro de energía eléctrica, aire acondicionado, y cualquier otra área considerada crítica para el correcto funcionamiento de los sistemas de información. El perímetro de seguridad debe estar delimitado por barreras (por ejemplo una pared, una puerta de acceso controlado por dispositivo de autenticación o un escritorio u oficina de recepción atendidos por personas). El diseño, emplazamiento y la fortaleza de las barreras, deben ser definidos por el Responsable del Área de Administración Informática con el asesoramiento del Responsable de Seguridad Informática, de acuerdo con la evaluación de riesgos efectuada. El Responsable de Seguridad Informática debe mantener un registro actualizado de los sitios protegidos, con los siguientes datos:

a) Identificación del Edificio y Área. b) Principales elementos a proteger. c) Medidas de protección física.



Control 9.1.2. Controles de acceso físico Las áreas protegidas deben ser resguardadas mediante el empleo de controles de acceso físico, los cuales deben ser determinados por el Responsable de Seguridad Informática junto con el Responsable del Área de Administración Informática, a fin de permitir el acceso sólo al personal autorizado. El acceso y la permanencia de visitantes sólo serán permitidos mediando propósitos específicos y autorizados, y deberán ser adecuadamente registrados.

Control 9.1.3. Protección de oficinas, recintos e instalaciones

Deben aplicarse principios de seguridad física en el diseño e implementación de oficinas, recintos e instalaciones dedicadas al procesamiento de la información. El Responsable del Área de Administración Informática y el Responsable de Seguridad Informática deben definir y elaborar normas para la protección de oficinas, recintos e instalaciones, debiendo tomar en cuenta las siguientes consideraciones:

a) Cumplimiento de las regulaciones, estándares y mejores prácticas de seguridad e higiene laboral.

b) Las instalaciones críticas deben emplazarse de manera adecuada para evitar el acceso al público y personas ajenas a las actividades que allí se desarrollan.

c) Cuando sea aplicable, los edificios deben ser discretos, o poco llamativos, en el sentido de brindar mínima indicación de su propósito de procesamiento de la información.

d) No deben ponerse a libre disposición del público guías ni listados que brinden información de ubicaciones, números de teléfono y cualquier otro dato relacionado con las instalaciones críticas de procesamiento de la información.

Control 9.1.4. Protección contra amenazas externas y ambientales

Deben considerarse, y adoptarse recaudos pertinentes, para evitar potenciales daños ocasionados por incendio, inundación, explosión, agitación civil y otras formas de desastres naturales o provocados por el hombre, entre los que se destacan:

a) No se deben almacenar materiales peligrosos y combustibles sino a una distancia segura de las áreas protegidas.

b) No se deben almacenar grandes volúmenes de insumos, como papelería, en áreas protegidas.

c) Los equipos de emergencia y los medios de backup deben ubicarse a distancia segura para evitar que se dañen como consecuencia del mismo desastre que pudiere impactar en el sitio principal.

d) Debe disponerse del equipo apropiado de lucha contra el fuego, convenientemente ubicado.

e) Debe considerarse la amenaza de filtración de aguas desde techos, tanques y depósitos. f) Deben considerarse las amenazas provenientes de edificios lindantes.



El Responsable del Área de Administración Informática y el Responsable de Seguridad Informática, deben efectuar una evaluación completa de riesgos para identificar los controles apropiados.

Control 9.1.5. Desarrollo de tareas en Áreas protegidas

Se deben cumplir las siguientes directivas, las cuales aplican tanto para empleados, contratistas y terceras partes que desarrollen tareas en las áreas protegidas:

a) Solamente el personal que lo requiera para el desempeño normal de sus funciones debe tener conocimiento de la existencia de las áreas protegidas y de las actividades que allí se desarrollan.

b) Se debe evitar la ejecución de trabajos no supervisados y fuera del horario normal de tareas.

c) Las áreas protegidas deben quedar cerradas, aseguradas y ser periódicamente inspeccionadas fuera del horario normal de trabajo.

d) Se debe Impedir el ingreso de equipos portátiles de computación, fotográficos, de vídeo, audio o cualquier otro tipo de equipamiento que registre información, a menos que hayan sido formalmente autorizados por el Responsable del área o el Responsable del Área de Administración Informática y el Responsable de Seguridad Informática.

e) Se debe prohibir comer, beber y fumar dentro de las áreas protegidas.

Control 9.1.6. Áreas públicas, de carga y despacho

Se deben controlar posibles accesos de personas no autorizadas a través de las áreas públicas, de carga y despacho de materiales, y en lo posible, aislarlas de las instalaciones de procesamiento de la información. Para ello se deben establecer controles físicos que consideren las siguientes directivas:

a) Limitar el acceso desde el exterior a las áreas de depósito de MCR sólo al personal previamente identificado y autorizado.

b) El área de depósito debe permitir la descarga de suministros sin que el personal que realiza la entrega tenga acceso a otros sectores del edificio.

c) Las puertas exteriores del depósito deben protegerse cuando se abren las puertas internas.

d) Se debe inspeccionar el material entrante para descartar peligros potenciales antes de ser trasladado desde el área de depósito hasta el lugar de uso.

e) El material entrante debe ser registrado en su ingreso de acuerdo con los procedimientos de Clasificación y Control de activos indicados en la cláusula 7.

f) Las remesas entrantes y salientes deben ser, dentro de lo posible, físicamente segregadas.



Directiva 9.2. Seguridad del equipamiento a) Definición: El equipamiento de MCR debe ser adecuadamente protegido de las amenazas

físicas y ambientales.

b) Objetivo: Prevenir pérdidas, daños, robo, sustracción o compromiso de activos e interrupciones en las actividades de MCR,

Control 9.2.1. Ubicación y protección de equipos

Todos los equipos de MCR deben ser convenientemente ubicados y protegidos para reducir los riesgos y peligros ambientales, así como las oportunidades de acceso no autorizado. El Responsable del Área de Administración Informática, el Responsable del Área de Redes y el Responsable de Seguridad Informática, deben planificar la ubicación y la protección de equipos considerando las siguientes directivas:

a) Los equipos deben emplazarse en sitios donde se minimice el acceso innecesario. b) Los recursos que requieren protección especial deben ser aislados para reducir el nivel de

protección general de otros recursos. c) Deben monitorearse las condiciones ambientales (como temperatura, humedad, polvo,

vibraciones, etc.) que podrían afectar adversamente la normal operación de las instalaciones.

d) Deben implantarse sistemas anti-rayo en los edificios y protecciones contra descargas eléctricas en todas las líneas de energía y cables de comunicaciones.

e) Debe considerarse si es necesario proteger los equipos que procesan información sensible ante el riesgo de la intercepción de datos a través del monitoreo de las emanaciones electromagnéticas (Tempest).

Control 9.2.2. Suministro de energía El equipamiento debe estar protegido contra posibles fallas en el suministro de energía y otras anomalías eléctricas. El Responsable del Área de Administración Informática, el Responsable del Área de Redes y el Responsable de Seguridad Informática, deben planificar el suministro eléctrico considerando las siguientes directivas:

a) El suministro de energía deberá satisfacer las especificaciones del fabricante o proveedor de cada equipo.

b) Se procurará que los interruptores de emergencia se ubiquen cerca de las salidas de emergencia de las salas donde se encuentra el equipamiento, a fin de facilitar un corte rápido de la energía en caso de producirse una situación crítica.

c) Se deberá proveer iluminación de emergencia en caso de producirse una falla en el suministro principal de energía.

d) Se debe disponer de conexiones múltiples del prestador eléctrico para evitar un único punto de falla en el suministro de energía.

e) Se debe disponer de fuentes de energía ininterrumpible (UPS) para asegurar el apagado regulado y sistemático o la ejecución continua del equipamiento que sustenta operaciones críticas de MCR.



Los equipos de UPS deben ser inspeccionados y probados periódicamente para asegurar que funcionan correctamente y que mantienen la autonomía requerida.

f) Se debe implantar un generador eléctrico de respaldo para los casos en que el procesamiento deba continuar ante una falla prolongada en el suministro de energía. Se debe disponer contar con una reserva de combustible apropiada para garantizar el funcionamiento del generador por el período planificado. Si el encendido del generador no se produce automáticamente, debe preverse que el tiempo de autonomía de la UPS permita el encendido manual del mismo. El generador debe ser inspeccionado y probado periódicamente para asegurar que funcione según lo previsto.

El Responsable del Área de Administración Informática, el Responsable del Área de Redes y el Responsable de Seguridad Informática deben definir la necesidad de aplicar las medidas indicadas en los anteriores incisos e) y f) en función de la criticidad de la información de las instalaciones de procesamiento de la información determinada en la Cláusula 7.

Control 9.2.3. Seguridad del cableado El cableado de energía eléctrica y de comunicaciones que transporta datos o brinda apoyo a los servicios de información estará protegido contra la intercepción o daño. El Responsable del Área de Redes, con la colaboración del Responsable de Seguridad Informática, debe diseñar los cableados considerando las siguientes directivas:

a) Se debe cumplir con los requisitos técnicos vigentes de la República Argentina. b) Se debe utilizar, siempre que sea posible pisoductos, cableados embutidos o bandejas

pasacables. c) El cableado de la red de datos debe estar protegido contra la intercepción no autorizada o

daño, mediante el uso de conductos o evitando trayectos que atraviesen áreas de acceso público.

d) Los cables de energía deben estar separados de los cables de comunicaciones para evitar interferencias y riesgos al personal.

e) Se deben utilizar rótulos claramente identificables para minimizar los errores de manipulación.

f) Debe mantenerse un listado de patcheo actualizado y documentado. g) Deben controlarse las conexiones de red vacantes en los puestos de trabajo. h) Debe controlarse el acceso a los paneles, racks y salas de cableados i) Debe protegerse el tendido del cableado troncal mediante la utilización de ductos

blindados. j) Se deben instalar conductos blindados y recintos o cajas con cerradura en los puntos

terminales y de inspección. k) Se deben utilizar rutas o medios de transmisión alternativos.

Control 9.2.4. Mantenimiento de equipos El equipamiento debe ser debidamente mantenido para asegurar su disponibilidad e integridad. El Responsable del Área de Administración Informática y el Responsable del Área de Redes deben planificar el mantenimiento de los equipos considerando las siguientes directivas:

a) El equipamiento debe ser mantenido de acuerdo con los intervalos de servicio y especificaciones recomendados por el proveedor.



b) Se debe mantener un listado actualizado del equipamiento, con el cronograma de mantenimiento preventivo a realizarse.

c) Debe establecerse que sólo el personal autorizado puede brindar mantenimiento y llevar a cabo reparaciones en el equipamiento.

d) Se deben registrar todas las fallas presuntas y reales, y la totalidad de las actividades de mantenimiento preventivo y correctivo realizadas.

e) Debe registrarse todo retiro de equipamiento de la sede de MCR, con fines de mantenimiento.

f) Se debe eliminar la información confidencial que contenga cualquier equipamiento que sea necesario retirar, realizándose previamente las respectivas copias de resguardo.

g) Deben cumplimentarse los requerimientos expresados en las pólizas de seguro, si las hubiere.

h) Debe considerarse la aplicación de controles especiales cuando sea necesario realizar mantenimiento de equipos en tareas de producción.

Control 9.2.5. Seguridad de equipos fuera de las instalaciones

Los equipos que sean utilizados fuera del ámbito de MCR deben ser objetos de controles de seguridad. El uso de equipos (sean o no propiedad de MCR) que procesen información perteneciente al patrimonio de MCR debe ser expresamente autorizado, por escrito, por el responsable a cargo de los activos en cuestión (Propietario de la Información). La autorización debe tener en cuenta que la seguridad debe ser equivalente a la suministrada dentro del ámbito de MCR por la aplicación de los controles indicados por esta Política e identificados por el Responsable de Seguridad Informática en función de la clasificación de dicha información. Además, si el equipo es propiedad de MCR, se deben respetar permanentemente las instrucciones del fabricante respecto del cuidado del equipo y se debe mantener una adecuada cobertura de seguro para proteger el patrimonio de MCR, cuando sea conveniente.

Control 9.2.6. Desafectación y reutilización de equipos

Todos los componentes de equipos que contengan medios de almacenamiento deben ser verificados para asegurar que todo dato sensible o licencias de software han sido irreversiblemente eliminados o sobrescritos de manera segura, antes de disponer su desafectación. El Responsable de Seguridad Informática debe definir el proceso a aplicar a los dispositivos que contengan información sensible previamente a disponer su reutilización o desafectación del patrimonio de MCR para ser desechados o donados.

Control 9.2.7. Retiro de activos No debe permitirse el retiro de equipos, información o software del ámbito de MCR sin la debida autorización previa, otorgada por escrito.



El retiro de activos fuera del ámbito de MCR solamente podrá ser efectuado mediante autorización escrita, firmada por el Responsable del área a cargo del activo en cuestión. El personal debe ser advertido que MCR podrá realizar comprobaciones puntuales para detectar el retiro no autorizado de activos.



Capítulo 10. Cláusula: Gestión de Comunicaciones y Operaciones

Generalidades Los individuos y las organizaciones de todo tipo y envergadura experimentan crecientes dependencias sobre las tecnologías de la información y la comunicación (TICs) para desarrollar casi todas sus actividades esenciales. MCR reconoce que la única manera de prestar servicios útiles y valiosos a la comunidad está basada en la eficiencia y confiabilidad de sus instalaciones de procesamiento de la información. Para lograr el objetivo de disponibilidad se hace preciso mantener a las redes y sistemas bajo condiciones predecibles de funcionamiento, eliminando al máximo todo factor que introduzca incertidumbre, y en buena medida, ello se logra contando con planes y rutinas que garanticen actividades programadas, exentas de los errores de la improvisación.

Alcance Esta cláusula aplica a todas las redes e instalaciones de procesamiento de información de MCR.

Directivas

Directiva 10.1. Procedimientos y responsabilidades operativas

a) Definición: MCR debe mantener procedimientos de operación y administración de las instalaciones de procesamiento de la información. b) Objetivo: Asegurar el desarrollo correcto, preciso, confiable y seguro de las operaciones en las

instalaciones de procesamiento de la información de MCR.

Control 10.1.1. Documentación de los procedimientos operativos

Se deben documentar y mantener procedimientos de operación de todas las actividades de sistemas asociadas con el procesamiento y la comunicación de información, colocándolos a disposición de los agentes de MCR que los requieran para el desempeño de su trabajo. El Responsable del Área de Administración Informática con la asistencia del Responsable de Seguridad Informática, deben elaborar los procedimientos aplicables a las actividades de sus respectivas áreas de responsabilidad. Los procedimientos deben ser tratados como documentos formales, adecuadamente clasificados, y sus cambios deben ser autorizados por el Comité de Seguridad.



Control 10.1.2. Gestión y control de cambios Todo cambio en los sistemas, aplicaciones y procedimientos de MCR debe ser instrumentado siguiendo un proceso apropiado que asegure su planificación, comprobación, aprobación, control, reversión, responsabilidades, análisis de impacto, comunicación y registro. El Responsable del Área de Administración Informática y el Responsable del Área de Redes deben definir los procedimientos para el control de cambios en los componentes de sus respectivas áreas de responsabilidad, debiendo evaluar posibles impactos operativos de los cambios previstos y verificar su correcta implementación. El Responsable de Seguridad Informática debe asistir y controlar que los cambios no afecten la seguridad.

Control 10.1.3. Segregación de tareas Las tareas y áreas de responsabilidad deben ser segregadas para reducir los riesgos de modificaciones no autorizadas, mal uso de la información o los servicios, deliberadas o accidentales, por falta de independencia en la ejecución de funciones críticas. Los Propietarios de la Información y el Responsable del Área de Administración Informática deben identificar y comunicar al Responsable de Seguridad Informática, la existencia de potenciales situaciones de colusión y/o usufructo de privilegios de uso, acceso y/o modificación de activos sin autorización o detección. Si por algún motivo no fuera posible efectuar la segregación de funciones, el Responsable de Seguridad Informática debe confeccionar el correspondiente Informe de Insuficiencias con la justificación formal de los motivos y la descripción de los controles adicionales adecuados para prevenir incidentes.

Control 10.1.4. Segregación de ambientes Los ambientes de desarrollo, prueba y operaciones, siempre que sea posible, deben estar separados preferentemente en forma física, y se deben definir y documentar las reglas para la transferencia de software desde el estado de desarrollo hacia el estado operativo. Los Propietarios de la Información y el Responsable del Área de Administración Informática, con la asistencia del Responsable de Seguridad Informática, deben identificar el nivel de separación entre los ambientes de desarrollo, prueba y operaciones necesario para prevenir problemas operacionales, debiendo implementar los controles apropiados. Si por cualquier motivo, la segregación de ambientes resultara inadecuada o insuficiente a los efectos del cumplimiento de la presente Política, el Responsable de Seguridad Informática debe confeccionar el correspondiente Informe de Insuficiencias y determinar la implantación de controles adicionales.



Directiva 10.2. Gestión de servicios de terceros a) Definición: MCR debe verificar y monitorear el cumplimiento de los acuerdos en los servicios

provistos por terceros.

b) Objetivo: Garantizar que los servicios sean brindados con los niveles de calidad y seguridad acordados con los proveedores.

Control 10.2.1. Provisión de servicios Se deben establecer procedimientos para verificar y controlar que las definiciones de servicio, los controles de seguridad y los niveles de calidad incluidos en los acuerdos de provisión de servicios sean implementados, operados y mantenidos por los proveedores. El Responsable de Seguridad Informática juntamente con el responsable del área que recibe los servicios (Responsable del Área de Administración Informática, Responsable del Área de Sistemas, Responsable del Área de Redes, Responsable del Área de Bienes Patrimoniales, etc.), deben confeccionar el procedimiento adecuado para la verificación y control del cumplimiento de los términos acordados.

Control 10.2.2. Monitoreo y revisión de los servicios provistos de terceros

MCR debe monitorear y revisar regularmente los servicios, reportes y registros provistos por terceros, debiendo efectuar auditorias regulares. El manejo de la relación con el proveedor debe ser ejercida por el responsable del área que recibe los servicios (Responsable del Área de Administración Informática, Responsable del Área de Sistemas, Responsable del Área de Redes, Responsable del Área de Bienes Patrimoniales, etc.), debiendo controlar la calidad, los reportes de servicio, registro de incidentes y la resolución adecuada de los problemas identificados. Todo evento o incidente, derivado de servicios provistos por terceros, que afecte la seguridad de la información debe ser comunicada de inmediato al Responsable de Seguridad Informática.

Control 10.2.3. Gestión de cambios en los servicios de terceros

Todo cambio en los servicios provistos por terceros (tales como cambios y mejoramiento de redes, utilización de nuevas tecnologías, adopción de nuevos productos/versiones/releases, nuevas herramientas de desarrollo, cambios en ubicaciones físicas o instalaciones de servicios, cambio de proveedores, etc.) debe ser convenientemente evaluado, tomando en consideración la criticidad de los sistemas y/o procesos afectados y las potenciales modificaciones en el análisis de riesgo. El Responsable de Seguridad Informática, juntamente con el Responsable del Área en el que se producirán los cambios en los servicios, debe confeccionar el plan de migración correspondiente, con indicación expresa del análisis de riesgo efectuado.



Directiva 10.3. Planificación y aceptación de sistemas a) Definición: MCR debe planificar adecuadamente la disponibilidad y capacidad de los

recursos y definir los criterios y pruebas de aceptación de sistemas para garantizar la continuidad de sus operaciones.

b) Objetivo: Minimizar el riesgo de fallas y sobrecargas en los sistemas.

Control 10.3.1. Manejo y previsión de capacidades

Se debe monitorear, conformar y proyectar el uso de los recursos para asegurar que el comportamiento de los sistemas no sufra interrupciones ni degradaciones motivadas en la falta de planificación y previsión de capacidades. Se debe prestar especial atención sobre los recursos críticos, principalmente sobre aquellos con tiempos de adquisición y/o procuración extensos y/o costos elevados. El Responsable del Área de Administración Informática debe coordinar con los responsables de otras áreas de MCR con ingerencia en el aprovisionamiento, operación y mantenimiento de los sistemas de información y confeccionar informes de planificación y previsión de capacidades de los activos, los cuales deben ser revisados por el Responsable de Seguridad Informática.

Control 10.3.2. Aceptación de sistemas Deben establecerse los criterios y las pruebas a satisfacer por los nuevos sistemas de información, migración y actualización, como condición previa a su aceptación para la puesta en producción. El Responsable del Área de Sistemas conjuntamente con el Responsable de Seguridad, deben definir y documentar los criterios y las pruebas de aceptación de sistemas.

Directiva 10.4. Protección contra el malware a) Definición: MCR debe adoptar precauciones para prevenir la introducción de código

malicioso y código móvil no autorizado.

b) Objetivo: Proteger la integridad del software y la información.

Control 10.4.1. Controles contra el código malicioso

MCR debe definir, documentar, implementar y mantener procedimientos de prevención, detección, actualización, y recuperación contra el código malicioso.



El Responsable del Área de Administración Informática, el Responsable del Área de Redes y el Responsable de Seguridad Informática deben definir y documentar estándares, normas y/o procedimientos, y el Responsable del Área Informática y el Responsable del Área de Redes deben aplicar los controles indicados.

Control 10.4.2. Controles contra el código móvil MCR debe definir, documentar, implementar y mantener procedimientos de uso del código móvil autorizado y prevención de descarga y ejecución del código móvil no autorizado. El Responsable del Área de Administración Informática, el Responsable del Área de redes y el Responsable de Seguridad Informática deben definir y documentar estándares, normas y/o procedimientos, y el Responsable del Área de Administración Informática y el Responsable del Área de Redes deben aplicar los controles indicados.

Directiva 10.5. Backup a) Definición: Deben definirse las políticas y los procedimientos de rutina y especiales para

resguardar la información de MCR.

b) Objetivo: Mantener la integridad y disponibilidad de la información y las instalaciones de procesamiento de la información.

Control 10.5.1. Resguardo de la información Se deben definir las políticas y los procedimientos para el resguardo de la información, tomando en consideración las siguientes directivas:

a) Definición de la extensión (full, diferencial, incremental), frecuencia, y período de retención de las copias de backup de la información de los sistemas de acuerdo con los requerimientos de las actividades de MCR.

b) Determinación del sitio de almacenamiento adecuado en términos de distancia geográfica, conservación y protección.

c) Comprobación y verificación periódica de los medios de backup y de la eficacia de los procedimientos de restauración.

d) Planificación del esquema de renovación de medios y destrucción de los desechados. e) Definición de un esquema de rotulado de copias que permitan la identificación,

administración y restauración eficaz de la información. El Responsable de Seguridad Informática, junto al Responsable del Área de Administración Informática, al Responsable del Área de Redes y a los Propietarios de Información, debe determinar los requerimientos de resguardo de la información y del software de MCR en función de su criticidad. Con esta información, el Responsable de Seguridad Informática debe definir y documentar la política y los procedimientos de resguardo de la información de cada uno de los sistemas de MCR. El Responsable del Área de Administración Informática debe disponer y controlar la realización de las copias de resguardo, así como la comprobación periódica de su restauración.



Directiva 10.6. Gestión de seguridad de las redes a) Definición: MCR debe administrar y controlar la seguridad de sus redes y los datos que

transportan, dentro y fuera de sus dominios.

b) Objetivo: Brindar protección a la infraestructura de redes y a la información que transportan.

Control 10.6.1. Gestión y control de redes MCR debe administrar y controlar adecuadamente la operación de sus redes de información, brindando protección a su infraestructura de soporte, a los servicios conectados, y a la información en tránsito. Debe tomarse en consideración las siguientes directivas:

a) La responsabilidad operativa de las redes debe estar separada de las operaciones de los sistemas.

b) Establecimiento de responsabilidades y procedimientos para la gestión de equipamiento remoto.

c) Definir controles especiales para la salvaguarda de la confidencialidad e integridad de los datos en tránsito sobre redes públicas y redes inalámbricas, y protección de los sistemas y aplicaciones conectadas a estas redes.

d) Definición y aplicación de actividades de registro y monitoreo de acciones de seguridad relevantes.

e) Coordinación de las actividades de gestión para optimizar el servicio y para asegurar que los controles se apliquen consistentemente a través de toda la infraestructura de procesamiento de la información.

El Responsable de Seguridad Informática, junto al Responsable del Área de Redes, debe definir y documentar los procedimientos de seguridad, y el Responsable del Área de Redes debe aplicar los controles indicados en dichos procedimientos.

Control 10.6.2. Seguridad de los servicios de red MCR debe identificar las funciones de seguridad, niveles de servicio y los requerimientos de gestión de todos los servicios de red, los cuales deben ser incluidos en todo acuerdo de servicios, ya sea que se provean interna como externamente. Asimismo, cuando los servicios lo requieran, debe determinarse la habilidad del proveedor de servicios de red para manejar de manera segura los servicios acordados, debiendo MCR dejar reservado y ejercer su derecho a monitorear permanentemente y auditar periódicamente. El Responsable de Seguridad Informática, junto al Responsable del Área de Redes, debe identificar y documentar los requerimientos de seguridad de los servicios de red, y el Responsable del Área de Redes debe incluirlos en los acuerdos de servicios y monitorearlos.



Directiva 10.7. Manipulación de medios a) Definición: MCR debe proteger y controlar sus medios, estableciendo procedimientos

operativos apropiados para proteger sus documentos, medios de computación, datos de entrada/salida, y la documentación de los sistemas.

b) Objetivo: Prevenir la revelación no autorizada, modificación, remoción y/o destrucción de activos y la interrupción de las actividades de MCR.

Control 10.7.1. Manejo de medios removibles MCR debe mantener procedimientos de gestión de medios informáticos removibles, de acuerdo con las siguientes directivas:

a) El contenido de todo medio re-utilizable, previamente a ser desechado por MCR, debe procesarse para hacerlo irrecuperable.

b) Cuando sea necesario y práctico se deberá requerir autorización para retirar medios de MCR, dejándose la correspondiente constancia escrita.

c) Todo medio debe ser almacenado en un ambiente protegido y seguro, de acuerdo con las especificaciones del fabricante.

d) Si el tiempo de guarda de la información almacenada fuera mayor que el tiempo de vida de los medios de soporte deberán adoptarse previsiones para evitar pérdidas por degradación física.

e) Los dispositivos de soporte de medios removibles en los sistemas solamente deberán ser habilitados cuando existan razones operativas que lo justifiquen.

El Responsable de Seguridad Informática, junto al Responsable del Área de Administración Informática y al Responsable del Área de Redes, debe definir y documentar los procedimientos de gestión de medios informáticos removibles, y el Responsable del Área de Administración Informática y el Responsable del Área de Redes deben aplicar los controles indicados en dichos procedimientos.

Control 10.7.2. Eliminación de medios de información

Cuando ya no sean requeridos, MCR debe eliminar sus medios de información de manera segura y efectiva, utilizando procedimientos formales. El Responsable de Seguridad Informática debe elaborar los procedimientos de eliminación segura de medios, considerando las siguientes directivas:

a) Los medios que contienen información sensible deben ser almacenados y eliminados de manera segura y efectiva, ya sea mediante incineración, destrucción o borrado de datos para ser utilizados por otra aplicación dentro de MCR o entregados en donación.

b) Identificación de los ítems críticos. c) Optimización del proceso de eliminación d) Considerar e) Considerar la conveniencia de registrar la eliminación de ítems críticos. f) Considerar que la acumulación de medios para su eliminación podría causar que una gran

cantidad de información no sensible sea convertida en sensible por efecto de la agregación.



El Responsable del Área de Administración Informática y el Responsable del Área de Redes deben aplicar los controles indicados en los procedimientos de eliminación segura de medios.

Control 10.7.3. Procedimientos para el manejo de la información

MCR debe mantener y aplicar procedimientos para la manipulación, comunicación y almacenamiento de la información, consistentes con los criterios de clasificación, al efecto de prevenir la revelación no autorizada y la prevaricación. El Responsable de Seguridad Informática debe formular los procedimientos de manipulación de la información de acuerdo con las siguientes directivas:

a) Rotulación y manejo de todos los medios de acuerdo con su nivel de clasificación. b) Restricciones de acceso para prevenir la revelación a personas o procesos no autorizados. c) Mantenimiento de registros formales de los receptores autorizados de los datos. d) Garantizar que los datos de entrada son completos, que el procesamiento es correcto, y

que se validan los datos de salida. e) Protección de los datos en las áreas de spooling (colas de impresión). f) Almacenamiento de los medios de acuerdo con las especificaciones del fabricante. g) Mantener al mínimo la distribución de los datos h) Marcado visible de todas las copias de medios para la atención del receptor autorizado. i) Incluir en la protección a documentos, sistemas informáticos, redes, computación móvil,

comunicaciones móviles, correo, correo de voz, comunicaciones de voz en general, multimedia, servicios e instalaciones postales, uso de máquinas de fax y cualquier otro ítem potencialmente sensible.

Todos los funcionarios de MCR deben cumplir y garantizar el cumplimiento en sus áreas de responsabilidad de los procedimientos de manipulación de la información.

Control 10.7.4. Seguridad de la documentación de los sistemas

La documentación de los sistemas contiene información sensible tal como descripción de procesos de aplicación, procedimientos, estructuras de datos y procesos de autorización, por lo que se deben considerar los siguientes recaudos para su protección:

a) Almacenar la documentación del sistema en lugar seguro. b) Restringir el acceso a la documentación del sistema al personal estrictamente necesario. c) Restringir los derechos de acceso a la documentación de los sistemas disponibles en

servidores conectados a redes públicas y privadas. El Responsable de Seguridad Informática, junto al Responsable del Área de Administración Informática, debe documentar los procedimientos de protección de la documentación de los sistemas y el Responsable del Área de Administración Informática y el Responsable del Área de Redes deben aplicar los controles indicados en dichos procedimientos.



Directiva 10.8. Intercambio de información a) Definición: Todo intercambio de información y software con otra organización debe

circunscribirse a un marco de acuerdo previo, formalizado sobre la base de las directivas de intercambio de MCR.

b) Objetivo: Mantener la seguridad de la información y el software intercambiado en el seno de MCR y con entidades externas.

Control 10.8.1. Políticas y procedimientos para el intercambio de información

MCR debe mantener políticas, procedimientos y controles formales para proteger el intercambio de información y software sobre todo tipo de facilidades de comunicación. El Responsable del Área de Administración Informática, junto al Responsable de Seguridad Informática, debe formular las políticas generales y procedimientos para proteger el intercambio de información, debiendo tener en cuenta las siguientes directivas:

a) Protección de los intercambios de información de la intercepción, copia, modificación, destrucción y enrutamiento erróneo.

b) Detección y protección contra el código malicioso que pudiere ser transmitido a través de las comunicaciones electrónicas.

c) Protección de los archivos adjuntos con información sensible. d) Guía de uso aceptable de las facilidades de comunicación electrónica. e) Consideraciones del uso de comunicaciones inalámbricas. f) Responsabilidad en el uso de los recursos para mantener indemne a MCR respecto a

actividades de difamación, impersonalización, acoso, participación en cadenas de cartas/ e-mails, compras no autorizadas, etc.

g) Utilización de sistemas criptográficos. h) Consideraciones respecto a la información sensible enviada a facilidades de impresión

(impresoras, fotocopiadoras y faxes). i) Restricciones y controles asociadas el re-envío de facilidades de comunicación (por

ejemplo el re-envío automático del correo electrónico hacia direcciones externas. j) Concientización del personal respecto de las precauciones que deben adoptar cuando

intercambien información sensible a través de diferentes facilidades de comunicación (telefonía fija y celular, e-mail, fax, contestador telefónico, voice-mail, SMS, Chat, IM, video conferencias, tele conferencia, descarga de software de Internet, etc).

Todos los funcionarios de MCR deben cumplir y garantizar el cumplimiento en sus áreas de responsabilidad de las políticas generales y procedimientos para el intercambio de información.

Control 10.8.2. Seguridad en los acuerdos de intercambio con otras organizaciones

MCR debe establecer acuerdos marco para formalizar todo intercambio de información y software con otras organizaciones. El Responsable del Área de Administración Informática y el Responsable de Seguridad Informática deben participar en la redacción de los acuerdos, los cuales deben cumplimentar las políticas y



procedimientos de seguridad generales para el intercambio de información y software, considerando además las siguientes condiciones:

a) Responsabilidad de los funcionarios municipales por el control y la notificación de transmisiones, envíos y recepciones.

b) Procedimientos de notificación de emisión, transmisión, envío y recepción. c) Procedimientos para asegurar la trazabilidad y el no repudio d) Estándares técnicos mínimos para el empaquetado y la transmisión e) Pautas para la identificación del prestador del servicio de correo. f) Responsabilidades y obligaciones en caso de incidentes de seguridad de la información, tal

como la pérdida de datos. g) Uso de un sistema convenido de rotulado para la información sensible o crítica,

garantizando que el significado de los rótulos sean inmediatamente comprendidos y que la información sea adecuadamente protegida.

h) Consideraciones para la protección de los medios en tránsito (ver control 10.8.3). i) Formalización apropiada de los acuerdos sobre medios tradicionales documentales o

medios electrónicos. Todos los funcionarios de MCR deben cumplir y garantizar el cumplimiento en sus áreas de responsabilidad de los procedimientos y controles establecidos en los acuerdos específicos que se formalicen con cada organización.

Control 10.8.3. Seguridad de los medios físicos en tránsito

MCR debe proteger los medios físicos que contengan información, durante su transporte fuera de los edificios de la municipalidad, contra el acceso no autorizado, prevaricación y corrupción. El Responsable de Seguridad Informática, junto al Responsable del Área de Administración Informática y al Responsable del Área de Redes, debe redactar los procedimientos generales de transporte de medios informáticos (envíos postales, mensajería, etc.), debiendo tener en cuenta las siguientes directivas:

a) La utilización de medios de transporte o servicios de mensajería confiables. b) Considerar la confección de un listado de prestadores de servicios a ser utilizados en

función de los requerimientos de seguridad de los envíos. c) Embalaje apropiado para envío de medios a través de servicios postales o de mensajería,

siguiendo las especificaciones de los fabricantes o proveedores. d) Adopción de controles especiales, cuando resulte necesario, a fin de proteger la

información sensible contra divulgación o modificación no autorizadas. Entre los ejemplos se incluyen:

e) Uso de contenedores cerrados con llave o combinación. f) Entrega en mano. g) Embalaje a prueba de apertura no autorizada (revelación cualquier intento de acceso). h) En casos excepcionales, división de los ítems a enviar en más de una entrega y despacho

por diferentes proveedores. Todos los funcionarios de MCR deben cumplir y garantizar el cumplimiento en sus áreas de responsabilidad de los procedimientos generales de transporte de medios informáticos, y deben poner en conocimiento del Responsable de Seguridad Informática si existen medios que requieran la aplicación de controles especiales para su envío.



Control 10.8.4. Seguridad de la mensajería electrónica

MCR debe proteger apropiadamente sus sistemas de mensajería electrónica y la información involucrada. El Responsable de Seguridad Informática debe redactar los procedimientos de uso aceptable de los sistemas de mensajería electrónica (e-mail, IM, EDI, etc.), debiendo tener en cuenta las siguientes directivas:

a) La vulnerabilidad de los mensajes al acceso o modificación no autorizados o a la negación de servicio.

b) La posible intercepción y el consecuente acceso a los mensajes en los medios de transferencia que intervienen en la distribución de los mismos.

c) Las posibles vulnerabilidades a errores, por ejemplo, consignación incorrecta de la dirección o dirección errónea, y la confiabilidad y disponibilidad general del servicio.

d) La posible recepción de código malicioso en un mensaje de correo, el cual afecte la seguridad de la estación receptora y de la red a la que se encuentra conectada.

e) Las consideraciones legales, como la necesidad potencial de contar con prueba de origen, envío, entrega y aceptación.

f) Las implicancias de la publicación externa de listados de personal, accesibles al público. g) El acceso de usuarios remotos a las cuentas de correo electrónico. h) El uso inadecuado por parte del personal. i) Protección contra ataques al correo electrónico, por ejemplo virus, intercepción, etc. j) Protección de archivos adjuntos de correo electrónico. k) Uso de técnicas criptográficas para proteger la confidencialidad e integridad de los

mensajes electrónicos. l) Retención de mensajes que, si se almacenaran, pudieran ser usados en caso de litigio. m) Controles adicionales para examinar mensajes electrónicos que no pueden ser

autenticados. n) Aspectos operativos para garantizar el correcto funcionamiento del servicio (ej.: tamaño

máximo de información transmitida y recibida, cantidad de destinatarios, tamaño máximo del buzón del usuario, etc.).

o) Definición de los alcances del uso del correo electrónico por parte del personal de MCR. p) Potestad del Organismo para auditar los mensajes recibidos o emitidos por los servidores

de MCR. Esto debe ser incluido en el “Compromiso de Confidencialidad”. q) Autorización para utilizar servicios públicos externos, tales como mensajería instantánea o

archivos compartidos en red. Todos los funcionarios de MCR deben cumplir y garantizar el cumplimiento en sus áreas de responsabilidad de los procedimientos de uso aceptable de los sistemas de mensajería electrónica.

Directiva 10.9. Seguridad del Gobierno electrónico a) Definición: Deben aplicarse controles de seguridad, desde su concepción, a todos los

planes de Gobierno Electrónico emprendidos por MCR.

b) Objetivo: Brindar seguridad a los servicios y al uso del Gobierno Electrónico, preservando la eficacia, reputación e indemnidad legal de MCR.



Control 10.9.1. Seguridad en los servicios de Gobierno electrónico

MCR debe proteger la información relacionada con los servicios de Gobierno Electrónico, desde y hacia contribuyentes y otras organizaciones, que transitan por redes de acceso público, contra actividades fraudulentas, disputas contractuales, modificación y revelación no autorizada. El Responsable del Área de Administración Informática – con la colaboración del Responsable de Seguridad Informática, el Responsable del Área de Redes, el Responsable del Área Legal y los recursos profesionales internos y externos necesarios – debe definir las políticas, normas y procedimientos destinados a proteger la infraestructura, los servicios, el uso y la información en los planes de Gobierno Electrónico de MCR, tomando en consideración las siguientes directivas:

a) Determinar e instaurar los procesos de autenticación apropiados al nivel de confianza que cada parte requiere sobre las identidades manifestadas por los demás.

b) Determinar e instaurar los proceso de autorización apropiados para fijar los privilegios de los usuarios

c) Determinar e instaurar los procesos apropiados para garantizar la confidencialidad, integridad, disponibilidad, trazabilidad, pruebas de despacho y recepción, no repudiación de contratos y transacciones, unicidad de las operaciones, y todo otro requerimiento específico de las aplicaciones del Gobierno Electrónico.

d) Determinar e instaurar sistemas criptográficos, en sistemas y redes, para brindar soluciones apropiadas a los requerimientos del Gobierno Electrónico.

e) Definir los medios de pago apropiados y las medidas contra el fraude. f) Determinar la necesidad y conveniencia de tercerizar servicios. g) Determinar la necesidad y conveniencia de contratar seguros. h) Identificar las responsabilidades y obligaciones administrativas y legales de las acciones

desarrolladas por los usuarios de los sistemas de Gobierno Electrónico. i) Confeccionar los términos de uso y acuerdos de responsabilidad de todos los usuarios

(personal municipal, contribuyentes registrados, otras organizaciones y terceros), asegurando que todos sean completamente informados de sus deberes, derechos, responsabilidades y penalidades por incumplimiento.

Control 10.9.2. Transacciones en línea La información comprendida en toda transacción en línea debe ser protegida para prevenir transmisiones incompletas, enrutamientos erróneos, alteración no autorizada de mensajes, repeticiones y duplicación no autorizada de mensajes. El alcance de los controles que se deben adoptar debe estar relacionado con el nivel de riesgo asociado con cada forma de transacción en línea El Responsable del Área de Administración Informática – con la colaboración del Responsable de Seguridad Informática, el Responsable del Área de Redes, el Responsable del Área Legal y los recursos profesionales internos y externos necesarios – debe definir las políticas, normas y procedimientos destinados a proteger el contenido de las transacciones en línea en los planes de Gobierno Electrónico de MCR, tomando en consideración las siguientes directivas:

a) Uso de firmas electrónicas de las partes intervinientes en las transacciones b) Seguridad de todos los aspectos de las transacciones c) Credenciales válidas y verificadas de todas las partes d) Confidencialidad de la transacción e) Preservación de la privacidad de las partes intervinientes f) Cifrado de todos los canales de comunicación utilizados por las partes



g) Segurización de todos los protocolos utilizados por las partes. h) Establecimiento de áreas de almacenamiento de los datos de las transacciones en

ubicaciones protegidas de los ambientes de acceso público. i) Cuando se utilicen autoridades de confianza, la seguridad debe integrarse y aplicarse

sobre el proceso completo de gestión de certificados/ firmas, de extremo a extremo (por ejemplo en la expedición y mantenimiento de certificados y/o firmas digitales).

Control 10.9.3. Información pública La integridad de la información puesta a disposición del público en forma electrónica debe ser protegida para prevenir que su modificación no autorizada pueda dañar la reputación/imagen de MCR, y/u ocasionarle responsabilidades legales. El Responsable de Seguridad Informática debe elaborar las políticas y procedimientos para garantizar la seguridad de las publicaciones y envíos de información y contenidos a contribuyentes, terceros y otras organizaciones que se realicen mediante sitios Web, mensajería electrónica, descargas/transferencias de archivos, ejecución de contenido activo, y toda otra forma de información electrónica. A tal efecto, se debe tomar en consideración las siguientes directivas:

a) Existencia de procesos de aprobación formal previos a la publicación, al efecto de garantizar la validez y vigencia de la información publicada por MCR.

b) Existencia de mecanismos de control, revisión y aprobación previa de contenidos susceptibles de ser publicados por terceros en los sistemas de MCR, procurando que se registre al responsable de dicha publicación.

c) Verificar que la información sea obtenida, almacenada, procesada y proporcionada de acuerdo con la normativa legal vigente.

d) Verificar que la información que se ingresa al sistema de publicación, o aquella que procesa el mismo, sea procesada en forma completa, exacta y oportuna.

e) Impedir que el acceso al sistema de publicación permita el acceso accidental a las redes a las cuales se conecta el mismo.

Directiva 10.10. Monitoreo a) Definición: Los sistemas de información de MCR deben ser monitoreados y los eventos de

seguridad de la información deben ser verificados, interpretados y registrados.

b) Objetivo: Verificar la efectividad de los controles, identificar problemas y detectar actividades no autorizadas de comunicaciones y procesamiento de la información.

Control 10.10.1. Registro de actividad Deben generarse registros de las actividades de los usuarios, excepciones y eventos de seguridad de la información acaecidos en las redes y sistemas. El Responsable del Área de Administración Informática junto al Responsable de Seguridad Informática y al Responsable del Área de Redes, debe definir y elaborar los procedimientos para el registro de actividad en redes y sistemas, debiendo incorporar, cuando sea relevante, los siguientes ítems:



a) Período de guarda b) ID de usuario c) Fecha, hora y detalles de eventos importantes (como log-on, log-off, etc.). d) ID de la Terminal o ubicación. e) Intentos de acceso exitoso y fallido. f) Cambios de configuración de sistemas y redes g) Uso de privilegios h) Uso de aplicaciones y herramientas del sistema i) Tipos de accesos a los archivos j) Direcciones de red y protocolos k) Alarmas l) Activación y desactivación de sistemas de protección, tales como sistemas anti-virus,

firewalls, detector de intrusiones, listas de acceso, etc. m) Los usuarios, operadores y administradores no deben tener permisos para borrar o

desactivar la registración de sus propias actividades (ver Control 10.1.3 Segregación de actividades)

El Responsable del Área de Administración Informática y el Responsable del Área de Redes deben implementar los procedimientos y controles en sus respectivas áreas de responsabilidad. El Responsable de Auditoria de Seguridad Informática debe tener acceso a los sistemas y a los registros de actividad, con el objetivo de colaborar en el control y efectuar recomendaciones de mejora.

Control 10.10.2. Monitoreo del uso de las instalaciones

Debe monitorearse el uso de las instalaciones de procesamiento de la información, debiendo dejarse registros, los cuales deben ser revisados regularmente. El Responsable del Área de Administración Informática junto al Responsable de Seguridad Informática, debe definir y elaborar los procedimientos de monitoreo, almacenamiento, revisión e interpretación requeridos por cada instalación específica, en función de los resultados de su análisis de riesgo. A tal efecto debe considerar las siguientes áreas:

a) Autorización de acceso b) Operaciones privilegiadas c) Intentos de acceso no autorizado d) Alertas y fallas de sistemas e) Cambios e intentos de cambio de configuraciones y controles de seguridad

El Responsable del Área de Administración Informática debe implementar los procedimientos y controles en su área de responsabilidad. El Responsable de Auditoria de Seguridad Informática debe tener acceso a los sistemas y a los registros de monitoreo, con el objetivo de colaborar en el control y efectuar recomendaciones de mejora.

Control 10.10.3. Protección de sistemas y registros de monitoreo



Tanto los sistemas de monitoreo, como la información registrada durante las actividades de monitoreo deben ser protegidos contra la alteración indebida y el acceso no autorizado. El Responsable del Área de Administración Informática junto al Responsable de Seguridad Informática, debe definir y elaborar los procedimientos y controles para la protección de los sistemas de monitoreo y los registros producidos y almacenados, con atención a las siguientes cuestiones:

a) Alteración del tipo de mensaje b) Edición y borrado de registros/archivos c) Límites en la capacidad de almacenamiento de los medios y modalidad de escritura. d) Racionalización de eventos significativos mediante copiado o filtros en línea y fuera de

línea. e) Prácticas de análisis y manejo de archivos

El Responsable del Área de Administración Informática y el Responsable del Área de Redes deben implementar los procedimientos y controles en sus respectivas áreas de responsabilidad. El Responsable de Auditoria de Seguridad Informática debe tener acceso a los sistemas y a los registros de monitoreo, con el objetivo de colaborar en el control y efectuar recomendaciones de mejora.

Control 10.10.4. Registro de actividad de administradores y operadores

Las actividades de operadores y administradores deben ser registradas y verificadas regularmente. El Responsable del Área de Administración Informática junto al Responsable de Seguridad Informática, debe definir procedimientos para obtener, mantener y revisar el registro de actividad de operadores y administradores de sistemas y redes, debiendo considerar, de acuerdo con los requerimientos específicos de los sistemas, que los registros contengan la siguiente información:

a) Fecha y hora de ocurrencia del evento (exitoso o fallido). b) Información adicional específica de cada evento c) Cuenta del operador/administrador causante del evento d) Sistemas y procesos involucrados

El Responsable del Área de Administración Informática y el Responsable del Área de Redes deben implementar los procedimientos y controles en sus respectivas áreas de responsabilidad, cuidando que la administración de los sistemas de registración y los archivos producidos queden fuera del control de los operadores y administradores involucrados. El Responsable de Auditoria de Seguridad Informática debe tener acceso a al registro de actividad de operadores y administradores, con el objetivo de colaborar en el control y efectuar recomendaciones de mejora.

Control 10.10.5. Registro de fallas Toda falla acaecida en redes y sistemas debe ser registrada y analizada para producir acciones de respuesta apropiadas.



El Responsable del Área de Administración Informática junto al Responsable de Seguridad Informática y al Responsable del Área de Redes, debe definir procedimientos claros para reportar y registrar problemas en redes y sistemas, debiendo tomar en cuenta, de acuerdo con los requerimientos y características específicas de los sistemas, las siguientes consideraciones:

a) Elaboración del registro de fallas reportadas por usuarios, programas y sistemas. b) Revisión de registros de fallas para asegurar que los problemas han sido

satisfactoriamente resueltos. c) Revisión de las medidas correctivas para garantizar acciones de respuesta plenamente

autorizadas y que los controles de seguridad no han sido comprometidos. d) Consideración de posibles degradaciones en el comportamiento de redes y sistemas

derivadas de la registración automática de fallas y errores El Responsable del Área de Administración Informática y el Responsable del Área de Redes deben implementar los procedimientos de registro de fallas y errores en sus respectivas áreas de responsabilidad.

Control 10.10.6. Sincronización de relojes Los relojes de todos los elementos relevantes de redes y sistemas de procesamiento de la información deben estar configurados apropiadamente y sincronizados respecto de una fuente de tiempo precisa. El Responsable del Área de Administración Informática junto al Responsable de Seguridad Informática al Responsable del Área de Redes, debe definir procedimientos para la configuración y sincronización de los relojes de los equipos de red y sistemas. El Responsable del Área de Administración Informática y el Responsable del Área de Redes deben implementar dichos procedimientos en sus respectivas áreas de responsabilidad.



Capítulo 11. Cláusula: Control de Accesos

Generalidades Requisito indispensable de todo sistema de seguridad informática es la planificación y la implementación de un sistema de control de acceso destinado a prevenir y controlar los intentos de acceso no autorizados, y a administrar los derechos de los usuarios autorizados a acceder a la información, a las redes y a los sistemas, de conformidad con el nivel de privilegios otorgados.

Alcance Esta cláusula aplica a todas las formas de acceso de aquellos a quienes, sin importar la función que desempeñen, empleados municipales o terceros, se les haya otorgado permisos sobre cualquier activo de la Información de propiedad de MCR.

Directivas

Directiva 11.1. Requerimientos de control de acceso a) Definición: Debe controlarse el acceso a la información, instalaciones de procesamiento,

redes, y procesos de MCR.

b) Objetivo: Controlar el acceso a la información.

Control 11.1.1. Normas de control de acceso Deben aplicarse normas de control de acceso basadas en las necesidades operativas y los requerimientos de seguridad de MCR. El Responsable del Área de Administración Informática junto al Responsable de Seguridad Informática, debe definir y redactar las normas y procedimientos en los que se determinen claramente los derechos y las reglas de control de acceso de los usuarios y grupos de usuarios de todas las redes y sistemas de información de MCR. A tal efecto debe tomar en cuenta las siguientes consideraciones:

a) Los requerimientos de seguridad de cada una de las aplicaciones b) Identificación de la información relacionada con las aplicaciones y los riesgos que afrontan. c) Efectuar la difusión de la información y el otorgamiento de autorizaciones en base a los

principios: mínimos privilegios, todo está prohibido a menos que sea expresamente permitido, necesidad de saber, niveles de seguridad y clasificación de la información.

d) Consistencia entre el control de acceso y la Directiva de Clasificación de la Información para los diferentes sistemas y redes.

e) Legislación relevante y obligaciones contractuales relativas a la protección del acceso a los datos o a los servicios.

f) Perfiles de acceso de usuario estándares para roles de trabajo comunes. g) Segregación de los roles de control de acceso (por ejemplo la solicitud, autorización y la

administración).



h) Proceso de de autorización formal de las solicitudes de acceso con responsabilidades definidas.

i) Revisión periódica de los controles de acceso. j) Remoción de los derechos de acceso vencidos/caducos, etc.

El Responsable del Área de Administración Informática y el Responsable del Área de Redes deben implementar las normas, procedimientos y controles en sus respectivas áreas de responsabilidad.

Directiva 11.2. Gestión de Accesos a) Definición: Deben emplearse procedimientos para controlar la asignación de derechos de

acceso a las redes y sistemas de información que cubran todas las etapas del ciclo.

b) Objetivo: Garantizar sólo el acceso de los usuarios autorizados.

Control 11.2.1. Registración de usuarios MCR debe utilizar un procedimiento de registración formal para el alta y baja de usuarios que garantice el otorgamiento y la revocación de accesos a todos los sistemas y servicios. El Responsable de Seguridad Informática, junto al Responsable del Área de Administración Informática y al Responsable del Área de Redes, debe definir el procedimiento formal de registro de usuarios.

a) Utilizar IDs. (identificadores de usuario) únicos que permitan relacionar, sin ambigüedades, la identidad y la responsabilidad de los usuarios. El uso de IDs. grupales sólo debe ser permitido cuando sean convenientes para el trabajo o por razones operativas, debiendo ser expresamente documentado y autorizado.

b) Verificar que el usuario tiene autorización del Propietario de la Información para el uso del sistema de información o servicio. Asimismo, es conveniente que la aprobación del derecho de acceso sea otorgada por una instancia diferente.

c) Verificar que el nivel de acceso otorgado es adecuado para el propósito de la función del usuario y es coherente con la Política de Seguridad, por ejemplo que no compromete la segregación de tareas.

d) Entregar a los usuarios un detalle escrito de sus derechos de acceso. e) Requerir que los usuarios firmen declaraciones señalando que comprenden y aceptan las

condiciones para el acceso. f) Garantizar que los proveedores de servicios no otorguen acceso hasta que se hayan

completado los procedimientos de autorización. g) Mantener un registro formal de todas las personas registradas para utilizar el servicio h) Cancelar inmediatamente los derechos de acceso de los usuarios que cambiaron sus

tareas, o de aquellos a los que se les revocó la autorización, se desvincularon de MCR ó sufrieron la pérdida/robo de sus credenciales de acceso.

i) Identificar los roles que permitan el compendio de derechos de acceso para determinar perfiles de usuario que faciliten la administración y el control.

j) Efectuar revisiones periódicas con el objeto de: a. cancelar identificadores y cuentas de usuario redundantes b. inhabilitar cuentas inactivas por más de 60 días.



c. eliminar cuentas inactivas por más de 120 días. d. En el caso de existir excepciones, deberán ser debidamente justificadas y

aprobadas. k) Garantizar que los identificadores de usuario redundantes no se asignen a otros usuarios. l) Incluir cláusulas en los contratos de personal y de servicios que especifiquen sanciones si

el personal o los agentes que prestan un servicio intentan accesos no autorizados. El Responsable del Área de Administración Informática y el Responsable del Área de Redes deben implementar los procedimientos de registro de usuarios.

Control 11.2.2. Gestión de privilegios Debe restringirse y controlarse la asignación y el uso de privilegios en los sistemas y redes. El Responsable de Seguridad Informática, junto al Responsable del Área de Administración Informática y al Responsable del Área de Redes, debe definir procesos de autorización formal para controlar la asignación de privilegios a los sistemas multiusuario con requerimientos de protección contra el acceso no autorizado, debiendo tener en cuenta las siguientes consideraciones:

a) Deben identificarse los accesos privilegiados asociados a cada producto del sistema (sistema operativo, sistema de administración de bases de datos, aplicaciones, elementos de red, etc.), y los usuarios que necesitan la asignación de privilegios.

b) Deben asignarse los privilegios a los individuos en base a su estricta necesidad de uso y en modo evento a evento, es decir alineado con la Política de control de acceso (11.1.1)

c) Debe utilizarse un proceso de autorización y un registro de todos los privilegios asignados. d) Los privilegios no deben ser otorgados hasta que se haya completado el proceso formal de

autorización. e) Debe establecerse un período de vigencia para el mantenimiento de los privilegios (en

base a la utilización que se le dará a los mismos) luego del cual los mismos deben ser revocados.

f) Debe promoverse el desarrollo y uso de rutinas del sistema para evitar la necesidad de otorgar privilegios a los usuarios.

Los Propietarios de Información deben conocer y aprobar la asignación de privilegios a usuarios y solicitar su implementación, lo cual será supervisado por el Responsable de Seguridad Informática.

Control 11.2.3. Gestión de contraseñas Debe existir un proceso de gestión formal para la asignación de contraseñas. El Responsable de Seguridad Informática, junto al Responsable del Área de Administración Informática /Área de Redes, debe definir un proceso de gestión formal para asignar y administrar las contraseñas, debiendo tener en cuenta las siguientes consideraciones:

a) Se debe requerir que los usuarios firmen una declaración por la cual se comprometen a mantener sus contraseñas personales en secreto y las contraseñas de los grupos de trabajo exclusivamente en el seno del grupo. Esta declaración puede incluirse en el Compromiso de Confidencialidad (Ver 8.1.3. Términos y condiciones de empleo).

b) Se debe asegurar que los usuarios cambien las contraseñas provisorias asignadas inicialmente en la primera vez que ingresan al sistema.



c) Sólo deben asignarse contraseñas provisorias, nuevas, o reemplazos a usuarios fehacientemente identificados.

d) No debe permitirse la participación de terceros o el uso de mensajes de correo electrónico sin protección (texto claro) en el mecanismo de entrega de la contraseñas provisorias

e) Las contraseñas provisorias deben ser únicas y no adivinables f) Los usuarios deben brindar acuse de recibo por las contraseñas provisorias. g) No deben almacenarse contraseñas en sistemas que no cuenten con los mecanismos de

protección adecuados. h) Las contraseñas por omisión de los fabricantes deben ser inmediatamente modificadas al

instalar el hardware y/o software. i) Se deben utilizar otras tecnologías de autenticación y autorización de usuarios, como

métodos biométricos, verificación de firma, uso de autenticadores por hardware, etc., cuando la evaluación de riesgos realizada por el Responsable de Seguridad Informática así lo determine.

j) Se debe procurar la aplicación de las siguientes configuraciones: a. Las contraseñas tengan no menos de 8 caracteres. b. Se suspenda o bloquee permanentemente al usuario luego de 3 intentos de entrar

con una contraseña incorrecta. Deberá solicitar rehabilitación de la cuenta. c. Requerir cambio de contraseña cada 60 días. d. Impedir la reutilización de las últimas 12 contraseñas utilizadas.

Control 11.2.4. Revisión de derechos de acceso y privilegios

Deben revisarse regularmente los derechos de acceso y los privilegios de las redes y sistemas. Con la finalidad de mantener un control eficaz del acceso a los datos y servicios de información, los Propietarios de la Información, el Responsable del Área de Administración Informática, el Responsable del Área de Redes y el Responsable de Seguridad Informática deben revisar los derechos de acceso y los privilegios sobre los sistemas y elementos de red, debiendo cumplimentar los siguientes controles:

a) Revisar los derechos de acceso de los usuarios al menos una vez cada 6 meses. b) Revisar las autorizaciones de privilegios especiales al menos una vez cada 3 meses. c) Revisar las modificaciones en las cuentas privilegiadas al menos una vez cada 2 meses.

Directiva 11.3. Responsabilidad de los usuarios a) Definición: Debe lograrse la mayor cooperación de los usuarios brindándoles

conocimientos, concientización, capacitación y soporte para fortalecer su responsabilidad y participación en el proceso de seguridad.

b) Objetivo: Prevenir accesos y actividades no autorizadas de los usuarios.

Control 11.3.1. Uso de contraseñas Se debe requerir a los usuarios que adhieran a las buenas prácticas en la selección y utilización de contraseñas.



Las contraseñas constituyen un medio de validación y autenticación de la identidad de los usuarios utilizados como medio para establecer derechos de acceso a las instalaciones o servicios de procesamiento de información, en consecuencia el Responsable de Seguridad Informática debe coordinar con el Responsable del Área de Recursos Humanos y con el Responsable del Área de Administración Informática las actividades adecuadas de capacitación, concientización y asesoramiento para difundir y arraigar el buen uso de las contraseñas, fundamentado sobre los siguientes controles:

a) Mantener las contraseñas en secreto. b) Evitar mantener un registro de las contraseñas, a menos que se utilicen métodos

autorizados de almacenamiento seguro c) Pedir el cambio de la contraseña siempre que exista una sospecha de compromiso del

sistema o de las contraseñas. d) Seleccionar contraseñas de calidad con una longitud mínima y que:

a. Sean fáciles de recordar. b. No estén basadas en algún dato que otra persona pueda adivinar u obtener

fácilmente mediante información relacionada con la persona, por ejemplo nombres, números de teléfono, fechas de nacimiento, etc.

c. No sean vulnerables a ataques por diccionario d. No tengan caracteres idénticos consecutivos o grupos totalmente numéricos o

totalmente alfabéticos. e) Cambiar las contraseñas a intervalos regulares o cada vez que el sistema lo solicite y no

reutilizar o reciclar viejas contraseñas. f) Cambiar las contraseñas provisorias en el primer inicio de sesión (“log on”). g) Evitar incluir contraseñas en los procesos automatizados de inicio de sesión, por ejemplo,

aquellas almacenadas en una tecla de función o macro. h) No compartir contraseñas de uso individual i) No utilizar las mismas contraseñas para propósitos de trabajo y actividades particulares j) Notificar de acuerdo a lo establecido en 6.3.1 – “Comunicación de Incidentes Relativos a la

Seguridad”, cualquier incidente de seguridad relacionado con las contraseñas: pérdida, robo o sospecha de pérdida de confidencialidad.

k) Si los usuarios necesitan acceder a múltiples servicios o plataformas, requiriéndose que mantengan múltiples contraseñas, debe notificarse que los mismos pueden utilizar una única contraseña para todos los servicios que le aseguren un nivel adecuado de protección de las contraseñas almacenadas.

El Responsable de Seguridad Informática debe verificar e inculcar el cumplimiento de las buenas prácticas en la selección y uso de las contraseñas.

Control 11.3.2. Equipos desatendidos Los usuarios deben procurar una adecuada protección a los equipos bajo su responsabilidad susceptibles de experimentar períodos de desatención. Los equipos instalados en áreas de usuarios o con acceso del público, por ejemplo estaciones de trabajo o servidores de archivos, requieren una protección específica contra accesos no autorizados cuando se encuentren desatendidos. El Responsable de Seguridad Informática debe coordinar con el Responsable del Área de Recursos Humanos y con el Responsable del Área de Administración Informática las actividades adecuadas de capacitación, concientización y asesoramiento de usuarios, con relación a la protección de los equipos desatendidos y el alcance de su responsabilidad. Deben considerarse los siguientes controles:



a) Concluir las sesiones activas al finalizar las tareas, a menos que puedan protegerse mediante un mecanismo de bloqueo adecuado, por ejemplo, un protector de pantalla protegido por contraseña.

b) Ejecutar el proceso ordenado de cierre de las sesiones con mainframes, servidores y otros equipos centralizados, ya que las sesiones pueden quedar abiertas si simplemente se apaga la Terminal o PC.

c) Proteger las PC’s o terminales contra usos no autorizados mediante un bloqueo de seguridad o control equivalente, por ejemplo, contraseña de acceso cuando no se utilizan.

El Responsable de Seguridad Informática debe verificar e inculcar el cumplimiento de los controles sobre los equipos desatendidos.

Control 11.3.3. Cultura de escritorios y pantallas limpias

Se debe adoptar una cultura de escritorios limpios para proteger documentos en papel y dispositivos de almacenamiento removibles y pantallas limpias en las instalaciones de procesamiento de información, a fin de reducir los riesgos de acceso no autorizado, pérdida y daño de la información, tanto durante el horario normal de trabajo como fuera del mismo. El Responsable de Seguridad Informática, junto al Responsable del Área de Administración Informática, debe definir y confeccionar el procedimiento destinado a instaurar la cultura de escritorios y pantallas limpias, teniendo en cuenta los siguientes controles:

a) Almacenar bajo llave, cuando corresponda, los documentos en papel y los medios informáticos, en gabinetes y/u otro tipo de mobiliario seguro cuando no están siendo utilizados, especialmente fuera del horario de trabajo.

b) Desconectar de la red / sistema / servicio las computadoras personales, terminales e impresoras asignadas a funciones críticas, cuando están desatendidas. Las mismas deben ser protegidas mediante cerraduras de seguridad, contraseñas u otros controles cuando no están en uso (como por ejemplo la utilización de protectores de pantalla con contraseña). Los responsables de cada área mantendrán un registro de las contraseñas o copia de las llaves de seguridad utilizadas en el sector a su cargo. Tales elementos se encontrarán protegidos en sobre cerrado o caja de seguridad para impedir accesos no autorizados, debiendo dejarse constancia de todo acceso a las mismas, y de los motivos que llevaron a tal acción.

c) Proteger los puntos de recepción y envío de correo postal y las máquinas de fax no atendidas.

d) Bloquear el uso no autorizado de fotocopiadoras y toda otra tecnología de reproducción, especialmente fuera del horario normal de trabajo.

e) Retirar inmediatamente la información sensible o confidencial de impresoras, faxes y scanner.

El Responsable de Seguridad Informática debe verificar e inculcar la cultura de escritorios y pantallas limpias.



Directiva 11.4. Control de acceso a la red a) Definición: Se debe controlar el acceso a los servicios de red internos y externos,

salvaguardando la seguridad de las infraestructuras de red de MCR.

b) Objetivo: Prevenir el acceso no autorizado a los servicios de red.

Control 11.4.1. Normas de uso de servicios de red

Los usuarios deben ser provistos solamente con el acceso a los servicios a los que han sido específicamente autorizados a utilizar. Las conexiones no seguras a los servicios de red pueden afectar a toda la municipalidad, por consiguiente debe controlarse el acceso a los servicios de red tanto internos como externos. Esto es necesario para garantizar que los usuarios que tengan acceso a las redes y a sus servicios, no comprometan la seguridad de MCR. El Responsable de Seguridad Informática debe coordinar con el Responsable del Área de Administración Informática y el Responsable del Área de Redes la definición y elaboración de las normas y procedimientos de uso de las redes y los servicios de red. A tal efecto deben tener en cuenta los siguientes controles:

a) Las redes y los servicios de red cuyo acceso está permitido b) Procedimientos de autorización para determinar a quién se permite el acceso a qué redes

y servicios de red c) Controles y procedimientos de gestión para proteger el acceso a las conexiones y servicios

de red. d) Los medios utilizados para acceder a las redes y servicios de red e) Las normas de uso de los servicios de red debe ser consistente con las normas de control

de acceso (11.1.1) El Responsable del Área de Redes debe implementar las normas, procedimientos y controles en su área de responsabilidad.

Control 11.4.2. Autenticación de usuarios en conexiones externas

Deben utilizarse métodos de autenticación apropiados para controlar el acceso de usuarios remotos. Las conexiones externas son de gran potencial para accesos no autorizados a la información de MCR, por consiguiente, el acceso de usuarios remotos estará sujeto al cumplimiento de procedimientos de autenticación explícitamente autorizados. El Responsable de Seguridad Informática, conjuntamente con el Responsable del Área de Administración Informática y el Responsable del Área de Redes, realizarán una evaluación de riesgos a fin de determinar el mecanismo de autenticación y las tecnologías admisibles que corresponda en cada caso.



Control 11.4.3. Identificación de equipos de red Deben utilizarse métodos de identificación automática de equipos como forma de autenticar las conexiones desde equipos y ubicaciones específicas. El Responsable de Seguridad Informática debe coordinar con el Responsable del Área de Redes la definición y redacción de los procedimientos de identificación de equipos de red.

Control 11.4.4. Protección del diagnóstico y la configuración remota

Se debe proteger y controlar el acceso físico y lógico a las interfaces de diagnóstico y configuración de los equipos de red. El Responsable de Seguridad Informática debe coordinar con el Responsable del Área de Redes la definición y redacción de los procedimientos de configuración para la protección de las interfaces de configuración y administración de los equipos de red.

Control 11.4.5. Segregación de redes Se debe procurar la optimización del comportamiento y la seguridad mediante la segregación de las redes, segmentando usuarios, servicios y sistemas de información. El Responsable de Seguridad Informática debe coordinar con el Responsable del Área de Redes y el Responsable del Área de Administración Informática la definición y redacción de las normas y procedimientos de diseño y configuración de las redes, procurando establecer redes virtuales, dominios públicos y privados, perímetros y líneas de defensa (en función de la clasificación de la información, normas de control de acceso, y otros criterios) controlados por “gateways” y firewalls que permitan implementar puntos de coerción de las políticas de seguridad. El Responsable del Área de Redes debe implementar las normas, procedimientos y controles en su área de responsabilidad.

Control 11.4.6. Control de conexiones de red Se debe restringir la capacidad de los usuarios para conectarse a redes compartidas, externas a MCR. El Responsable de Seguridad Informática debe coordinar con el Responsable del Área de Redes y el Responsable del Área de Administración Informática, la definición y redacción de los procedimientos para la restricción y control de conexión a redes externas, alineados con las normas de control de acceso (11.1.1) y las normas de uso de los servicios de red (11.4.1). Los controles podrán implementarse en los “gateways” que separen los diferentes dominios de la red (Ver 11.4.5. Segregación de redes). Algunos ejemplos de los entornos a las que deben implementarse restricciones son:

a) Mensajería.



b) Transferencia de archivos. c) Acceso interactivo. d) Conexiones peer-to-peer e) Contenidos inapropiados. f) Acceso a la red fuera del horario laboral.

Control 11.4.7. Control del enrutamiento de red Se deben aplicar controles de enrutamiento en las redes para asegurar que las conexiones y flujos de información no violan las normas de control de acceso (11.1.1) y las normas de uso de los servicios de red (11.4.1) El Responsable de Seguridad Informática debe coordinar con el Responsable del Área de Redes la definición, redacción y aplicación de controles que contemplen mínimamente la verificación positiva de direcciones de origen y destino, y adicionalmente diversos métodos incluyendo entre otros autenticación de protocolos de ruteo, ruteo estático, traducción de direcciones y listas de control de acceso.

Control 11.4.8. Acceso a Internet El acceso a Internet debe ser utilizado con propósitos autorizados o con el destino por el cual fue provisto. El Responsable del Área de Administración Informática junto al Responsable de Seguridad Informática Área Informática debe definir y redactar los procedimientos para solicitar y aprobar accesos a Internet., así como las pautas de utilización de Internet para todos los usuarios. El acceso a Internet es un recurso de MCR, y como tal, su uso debe ser monitoreado y controlado. Se debe requerir que los usuarios firmen una declaración por la cual toman conocimiento y aceptan las condiciones de uso del recurso. Esta declaración puede incluirse en el Compromiso de Confidencialidad (Ver 8.1.3. Términos y condiciones de empleo).

Directiva 11.5. Control de acceso al sistema operativo a) Definición: Debe restringirse, controlarse, registrarse y monitorearse el acceso a los

sistemas operativos de las instalaciones de procesamiento de la información y elementos de red.

b) Objetivo: Prevenir el acceso no autorizado a los sistemas operativos.

Control 11.5.1. Seguridad del acceso al sistema operativo

El acceso a los sistemas operativos debe ser controlado por un procedimiento seguro de inicio de sesión (log-on), minimizando la oportunidad de accesos no autorizados.



El Responsable de Seguridad Informática debe coordinar con el Responsable del Área de Administración Informática y el Responsable del Área de Redes la definición de los controles a aplicar en el acceso a los sistemas operativos, teniendo en cuenta que un buen procedimiento debe cumplir las siguientes condiciones:

a) Divulgar la mínima información posible acerca del sistema, a fin de evitar proveer de asistencia innecesaria a un usuario no autorizado.

b) Mantener en secreto los identificadores de sistemas o aplicaciones hasta tanto se halla llevado a cabo exitosamente el proceso de conexión.

c) Desplegar un aviso general advirtiendo que sólo los usuarios autorizados pueden acceder al sistema.

d) Evitar todo mensaje de ayuda que pudieran asistir a un usuario no autorizado durante el procedimiento de conexión.

e) Validar la información de la conexión sólo al completarse la totalidad de los datos de entrada. Si surge una condición de error, el sistema no debe indicar que parte de los datos es correcta o incorrecta.

f) Limitar el número de intentos de conexión no exitosos permitidos y: a. Registrar los intentos exitosos y no exitosos. b. Forzar un tiempo de retardo, o impedir otros intentos de identificación una vez

superado el límite permitido, o combinación de ambos. c. Desconectar el enlace de comunicación. d. Enviar mensajes de alarma a la consola u otras fuentes de recepción de alarmas

g) Limitar el tiempo máximo permitido para el procedimiento de conexión. Si este es excedido, el sistema debe finalizar la conexión.

h) Desplegar la siguiente información, al completarse una conexión exitosa: a. Fecha y hora de la conexión exitosa anterior. b. Detalles de los intentos de conexión no exitosos desde la última conexión exitosa.

i) No mostrar la contraseña ingresada o enmascararla mediante símbolos. j) No transmitir contraseñas en texto explícito sobre las redes.

Control 11.5.2. Identificación y autenticación de usuarios

Todos los usuarios deben poseer un identificador de usuario (ID) único para su uso personal y una técnica apropiada de autenticación para verificar la identidad de las credenciales alegadas. El Responsable de Seguridad Informática, conjuntamente con el Responsable del Área de Administración Informática y el Responsable del Área de Redes, coordinarán sus acciones para lograr que todos los usuarios (incluido el personal de soporte técnico, operadores, administradores de red, programadores de sistemas y administradores de bases de datos) posean un identificador único (ID de usuario) solamente para su uso personal exclusivo, de manera que las actividades puedan rastrearse con posterioridad hasta llegar al individuo responsable. Los identificadores de usuario no darán ningún indicio del nivel de privilegio otorgado. En circunstancias excepcionales, de existir claro beneficio para MCR, podrá utilizarse un identificador compartido para un grupo de usuarios o una tarea específica, debiendo documentarse y aprobarse dicha justificación. Si la sensibilidad y/o criticidad de los sistemas requiriera métodos de autenticación y verificación de identidad más seguros, los responsables mencionados anteriormente determinarán la necesidad de utilizar métodos alternativos a las contraseñas, tales como medios criptográficos, tarjetas inteligentes (smart-cards), tokens o medios biométricos.



Control 11.5.3. Sistema de administración de contraseñas

Se deben utilizar sistemas interactivos para la administración de contraseñas que provean resultados de calidad. Teniendo en cuenta que las contraseñas constituyen uno de los principales medios de validación de la autoridad de un usuario para acceder a un servicio informático, el Responsable de Seguridad Informática juntamente con el Responsable del Área de Administración Informática, deben asegurar que el sistema de administración de contraseñas constituya una herramienta eficaz e interactiva que garantice contraseñas de calidad, debiendo cumplir los siguientes controles:

a) Imponer el uso de contraseñas individuales para deslindar responsabilidades. b) Permitir que los usuarios seleccionen y cambien sus propias contraseñas e incluir un

procedimiento de confirmación para contemplar los errores de ingreso. c) Imponer una selección de contraseñas de calidad según lo señalado en el control 11.3.1 -

Uso de contraseñas. d) Imponer cambios en las contraseñas, según lo señalado en el control 11.3.1 -Uso de

contraseñas. e) Obligar a los usuarios a cambiar las contraseñas provisorias en su primer procedimiento de

identificación, según lo señalado en el control 11.2.3 -Gestión de contraseñas. f) Mantener un registro de las últimas contraseñas utilizadas por el usuario, y evitar la

reutilización de las mismas. g) Evitar mostrar las contraseñas en pantalla, cuando son ingresadas. h) Almacenar en forma separada los archivos de contraseñas y los datos de sistemas de

aplicación. i) Almacenar las contraseñas en forma cifrada utilizando un algoritmo de cifrado

unidireccional. j) Modificar todas las contraseñas predeterminadas por el vendedor, una vez instalado el

software y el hardware (por ejemplo sistemas operativos, claves de impresoras, switches, routers, etc.).

k) Garantizar que el medio utilizado para acceder/utilizar el sistema de contraseñas, asegure que no se tenga acceso a información temporal o en tránsito de forma no protegida.

En los casos que las aplicaciones requieran que las contraseñas sean asignadas por una autoridad independiente, algunos de los controles indicados no son de aplicación.

Control 11.5.4. Uso de utilitarios del sistema Se debe restringir y controlar el uso de utilidades, aplicaciones y herramientas del sistema con capacidades de eludir y/o sobrescribir los controles de seguridad. Teniendo en cuenta que las instalaciones informáticas poseen paquetes de programas utilitarios con la capacidad de pasar por alto los controles de sistemas y aplicaciones, el Responsable de Seguridad Informática junto al Responsable del Área de Administración Informática debe identificar este tipo de herramientas en cada sistema y establecer los procedimientos de uso de los mismos, observando la aplicación de los siguientes controles:

a) Utilizar procedimientos de autenticación para utilitarios del sistema. b) Mantener aparte los utilitarios del sistema respecto del software de aplicaciones.



c) Limitar el uso de utilitarios del sistema a la cantidad mínima viable de usuarios fiables y autorizados (ver el control 11.2.2 Gestión de privilegios).

d) Evitar que personas ajenas a MCR tomen conocimiento de la existencia y modo de uso de los utilitarios instalados en las instalaciones informáticas.

e) Establecer autorizaciones para uso ad hoc de utilitarios de sistema. f) Limitar la disponibilidad de utilitarios de sistema, por ejemplo durante el transcurso de un

cambio autorizado. g) Registrar todo uso de utilitarios del sistema. h) Definir y documentar los niveles de autorización para utilitarios del sistema. i) Remover todo el software basado en utilitarios y software de sistema que sean

innecesarios.

Control 11.5.5. Desconexión por inactividad Las sesiones de los usuarios con los sistemas y aplicaciones deben ser desconectadas después de transcurrido un determinado tiempo período de inactividad. El Responsable de Seguridad Informática, junto con el Responsable del Área de Administración Informática, debe definir cuáles son las terminales de alto riesgo, por ejemplo áreas públicas o externas fuera del alcance de la gestión de seguridad física de MCR, o que sirven a sistemas de alto riesgo, para aplicar procedimientos automáticos que limpien las pantallas de estas terminales y cierren la sesión de la aplicación y de la red. El período de inactividad que provoca la desconexión debe responder a los riesgos de seguridad del área y de la información que se manejen desde dichas terminales. Para las PC’s, se debe implementar la desconexión por inactividad que limpie la pantalla y evite el acceso no autorizado, pero sin cerrar la sesión de la aplicación o de red. Si un agente debe abandonar su puesto de trabajo momentáneamente, debe activar el protector de pantalla con contraseña.

Control 11.5.6. Limitación de horarios de conexión

Deben utilizarse restricciones en los horarios de conexión a las aplicaciones con alto riesgo de seguridad. Las restricciones al horario de conexión deben suministrar seguridad adicional a las aplicaciones de alto riesgo. La limitación del periodo durante el cual se permiten las conexiones de terminales a los servicios informáticos reduce el espectro de oportunidades para el acceso no autorizado. El Responsable de Seguridad Informática, junto con el Responsable del Área de Administración Informática debe implementar procedimientos de control de esta índole para aplicaciones informáticas sensibles, especialmente aquellas terminales instaladas en ubicaciones de alto riesgo, tales como áreas públicas o externas que estén fuera del alcance de la gestión de seguridad física de MCR. Se debe tomar en consideración la aplicación de los siguientes controles:

a) Utilizar horarios predeterminados, por ejemplo para transmisiones de archivos por lotes, o sesiones interactivas periódicas de corta duración.

b) Limitar los tiempos de conexión al horario normal de oficina, de no existir un requerimiento operativo de horas extras o extensión horaria.

c) Documentar debidamente los agentes que no tienen restricciones horarias y las razones de su autorización, así como las excepciones para extensiones horarias ocasionales.



d) Procurar la re-autenticación periódica, por ejemplo limitando la duración de la sesión activa, obligando de esta forma a reiterar la autenticación.

Directiva 11.6. Control de acceso a la información y a las aplicaciones

Definición: Deben utilizarse controles de seguridad para restringir el acceso a las aplicaciones y entre sistemas de aplicación de acuerdo con las normas de control de acceso.

Objetivo: Prevenir el acceso no autorizado a la información almacenada en los sistemas de aplicación.

Control 11.6.1. Restricción de acceso a la información

Se debe restringir el acceso de los usuarios y del personal de soporte a la información a las funciones de los sistemas de aplicaciones, de acuerdo con lo establecido en las normas de control de acceso (Control 11.1.1). Los usuarios de sistemas de aplicación, incluido el personal de soporte, tendrán acceso a la información y a las funciones de los sistemas de aplicación de conformidad con las normas de control de acceso definidas, y sobre la base de los requerimientos de cada aplicación. El Responsable de Seguridad Informática, junto con el Responsable del Área de Administración Informática debe implementar procedimientos de control para restringir el acceso a las aplicaciones informáticas, tomando en consideración la aplicación de los siguientes controles:

a) Proveer menús o interfaces para controlar el acceso a las funciones de los sistemas de aplicación.

b) Restringir el conocimiento de los usuarios sobre la información o las funciones de los sistemas de aplicación a las cuales no se encuentren autorizados a acceder.

c) Controlar los derechos de acceso de los usuarios (por ejemplo, lectura, escritura, supresión y ejecución).

d) Garantizar que las salidas, impresas o por pantalla, de los sistemas de aplicación que contienen información sensible, incluyan sólo la información que resulte pertinente para las tareas, y que dichas salidas sean enviadas solamente a las terminales y ubicaciones autorizadas. Revisar periódicamente dichas salidas a fin de garantizar la remoción de la información no necesaria.

e) Restringir el acceso a la información por fuera del sistema encargado de su procesamiento, es decir, la modificación directa del dato almacenado.

Control 11.6.2. Aislamiento de sistemas sensibles Se deben aislar los sistemas sensibles asignándoles un entorno de procesamiento dedicado, creado a partir de métodos físicos o lógicos (ver el control 11.4.5 Segregación de redes). Algunos sistemas de aplicación son suficientemente sensibles a pérdidas potenciales y requieren un tratamiento especial. La sensibilidad puede señalar que el sistema de aplicación debe ejecutarse en una computadora dedicada, que sólo debe compartir recursos con los sistemas de aplicación confiables, o no tener limitaciones.



El Responsable de Seguridad Informática, junto con el Responsable del Área de Administración Informática y el Propietario de la Información, debe identificar los sistemas sensibles, establecer las condiciones de operación, documentar e implementar los procedimientos de control. Cuando una aplicación sensible deba ser ejecutada en un ambiente compartido, se deben Identificar los sistemas de aplicaciones con los que compartirá recursos y los riesgos correspondientes, los cuales deben ser aceptados por el Propietario de la aplicación sensible.

Directiva 11.7. Computación móvil y tele-trabajo a) Definición: Deben aplicarse controles de seguridad conmensurativos con los riesgos

específicos que presentan estas tecnologías y modalidades de trabajo, determinados a partir del correspondiente análisis de riesgo.

Objetivo: Proveer seguridad de la información en el uso de computación móvil y tele-trabajo.

Control 11.7.1. Seguridad en la computación móvil

Se deben establecer las normas y las medidas de seguridad que se deben aplicar al uso de la computación móvil. El Responsable de Seguridad Informática, junto con el Responsable del Área de Administración Informática y el Responsable del Área de Redes, deben definir y documentar las normas y procedimientos para el uso de la computación móvil, tomando en cuenta las siguientes consideraciones:

a) Evaluar los riesgos de trabajar con equipos de computación móvil en entornos no protegidos.

b) Requerimientos de protección física de los equipos. c) Requerimientos especiales en el control de acceso. d) Utilización de sistemas criptográficos. e) Respaldo de la información y las aplicaciones. f) Protección contra el malware. g) Reglas y advertencias para la conexión de dispositivos móviles a las redes públicas y

privadas. h) Reglas y normas de uso de dispositivos móviles en sitios públicos i) Capacitación de los usuarios que utilice computación móvil

Control 11.7.2. Seguridad en el tele-trabajo Se deben establecer e implementar normas, planes operativos y procedimientos relativos a las actividades de tele-trabajo o trabajo remoto, es decir el uso de tecnologías de computación y telecomunicaciones para permitir al personal el trabajo remoto, desde ubicaciones fijas fuera del ámbito de MCR. Las actividades de tele-trabajo deben ser autorizadas por el Comité de Seguridad Informática.



El Responsable de Seguridad Informática, junto con el Responsable del Área de Administración Informática / Responsable del Área de Redes y el Propietario de la Información, deben determinar la suficiencia de los controles de seguridad disponibles antes de solicitar la autorización de las actividades de tele-trabajo, y documentar las normas y procedimientos para su implementación, tomando en cuenta las siguientes consideraciones:

a) La seguridad física existente en el sitio de trabajo remoto en el contexto del edificio y del ambiente local.

b) Los requerimientos de seguridad de comunicaciones, analizando las necesidades de acceso remoto a los sistemas internos de MCR, la sensibilidad de la información a transmitir y la sensibilidad del sistema interno.

c) La amenaza de acceso no autorizado a información o recursos por parte de otras personas que utilizan el lugar, por ejemplo, familia y amigos.

d) Prohibir la instalación / desinstalación de software no autorizado por MCR. e) Definir el trabajo permitido, el horario de trabajo, la clasificación de la información que se

puede almacenar en el equipo remoto desde el cual se accede a la red de MCR y los sistemas internos y servicio a los cuales el trabajador remoto está autorizado a acceder.

f) Proveer de un adecuado equipo de comunicación y los métodos para asegurar el acceso remoto.

g) Definir reglas y orientación respecto del acceso de terceros al equipamiento e información. h) Definir los procedimientos de backup y de continuidad de las operaciones. i) Realizar la anulación de las autorizaciones, derechos de acceso y devolución del equipo

cuando finalicen las actividades remotas. j) Asegurar el reintegro del equipamiento en las mismas condiciones en que fue entregado,

en ocasión del cese de las actividades de trabajo remoto. k) Implementar procesos de auditoria específicos para los casos de accesos remotos, que

serán revisados regularmente. Debe llevarse un registro de incidentes a fin de corregir eventuales fallas en la seguridad de este tipo de accesos.



Capítulo 12. Cláusula: Adquisición, desarrollo y mantenimiento de Sistemas

Generalidades El uso de las aplicaciones y servicios indispensables para el desarrollo de las actividades de MCR está basado en la operación de sistemas y redes informáticas de complejidad e interdependencia creciente. En consecuencia, es necesario planificar y aplicar controles adecuados, desde la concepción de todo proyecto informático, para minimizar la ocurrencia de interrupciones, errores, infracciones y accidentes que pongan en riesgo los intereses, el patrimonio y la capacidad de prestar servicios de MCR.

Alcance Esta cláusula aplica a todas las instalaciones de procesamiento de información y redes de MCR.

Directivas

Directiva 12.1. Requerimientos de seguridad de los sistemas de información

a) Definición: Deben identificarse y acordarse los requerimientos de seguridad de todos los sistemas de información de MCR –sistemas operativos, infraestructura, aplicaciones, productos estándar, servicios y aplicaciones desarrolladas internamente- , previamente a su desarrollo o implementación.

b) Objetivo: Garantizar que la seguridad es parte integral de los sistemas de información.

Control 12.1.1. Análisis y especificación de los requerimientos de seguridad

Se deben incluir los requerimientos de controles de seguridad en las especificaciones técnicas de todo nuevo sistema de información, modificación y/o ampliación de los existentes. El Responsable de Seguridad Informática, junto al Responsable del Área de Sistemas, debe incorporar las especificaciones relacionadas con los requerimientos de controles automáticos y manuales que deben poseer los sistemas de información de MCR, y elaborar los procedimientos de prueba y aceptación formal de los productos. Consideraciones similares deben ser aplicadas cuando se evalúen paquetes de software, desarrollados internamente o a través de terceros. Estos requerimientos de seguridad y procesos para la implementación de la seguridad deben ser integrados en etapas tempranas de los proyectos de sistemas de información, dado que su introducción tardía es mucho más difícil y onerosa. Los requerimientos de seguridad y los controles deben reflejar el valor de los activos de información (ver control 7.2.1) y el daño potencial o impacto derivado de la ausencia ó falla en la seguridad.



En lo que resulte aplicable, a consideración del Responsable de Seguridad Informática, deben utilizarse los criterios de evaluación de la seguridad en productos de tecnología de la información contenidos en la norma ISO/IEC 15408.

Directiva 12.2. Procesamiento correcto de las aplicaciones

a) Definición: Se deben implementar controles apropiados en las aplicaciones utilizadas por MCR para validar los datos de entrada, el procesamiento interno y los datos de salida.

b) Objetivo: Prevenir errores, pérdidas, modificaciones no autorizadas o uso ilegítimo de la información en las aplicaciones.

Control 12.2.1. Validación de los datos de entrada Se deben validar los datos de entrada para asegurar la robustez e integridad de las aplicaciones. El Responsable de Seguridad Informática, junto al Responsable del Área de Sistemas , deben definir los procedimientos, durante la etapa de diseño, especificando los controles que aseguren la validez de los datos ingresados, tan cerca del punto de origen como sea posible, controlando también datos permanentes y tablas de parámetros. Estos procedimientos deben considerar los siguientes controles:

a) Entrada dual u otras comprobaciones de entrada, tales como el chequeo de límites, o limitación de campos a rangos específicos, para detectar los siguientes errores:

a. Valores fuera de rango. b. Caracteres inválidos en campos de datos. c. Datos faltantes o incompletos. d. Exceso en los límites inferior y superior del volumen de datos. e. Datos de control no autorizados o inconsistentes.

b) Control del rango de valores posibles y de su validez, de acuerdo a criterios predeterminados.

c) Control contra valores cargados en las tablas de datos. d) Controles por oposición, de forma tal que quien ingrese un dato no pueda autorizarlo y

viceversa. e) Procedimientos para realizar revisiones periódicas de contenidos de campos o archivos de

datos clave, definiendo quién lo realizará, en qué forma, con qué método, quiénes deberán ser informados del resultado, etc.

f) Procedimientos que expliciten las alternativas a seguir para responder a errores de validación en un aplicativo.

g) Se definirá un procedimiento que permita determinar las responsabilidades de todo el personal involucrado en el proceso de entrada de datos.

Control 12.2.2. Control del procesamiento interno Se deben incorporar procesos de validación en las aplicaciones para detectar cualquier corrupción de la información provocada por errores de procesamiento o actos deliberados.



Aún datos que han sido correctamente ingresados pueden ser posteriormente corrompidos por errores de hardware, errores de procesamiento o mediante actos deliberados. El requerimiento en el alcance de las comprobaciones depende de la naturaleza de las aplicaciones y el impacto que podría sufrir MCR frente a la corrupción de los datos. El Responsable de Seguridad Informática, junto al Responsable del Área de Sistemas, debe definir los procedimientos, listas de comprobación y actividades a aplicar en el diseño e implementación de aplicaciones, para minimizar los riesgos por fallas de procesamiento que puedan derivar en pérdidas de integridad. Debe prestarse atención a las siguientes áreas:

a) El uso funciones: agregar, modificar o eliminar, para Implementar cambios en los datos. b) Prevención de la ejecución de programas fuera de orden, o la ejecución de programas

después de fallas en los procesos precedentes (ver control 10.1.1). c) Uso de programas adecuados para la recuperación ante fallos, asegurando el

procesamiento correcto de los datos. d) Protección contra ataques de desbordamiento (overrun/overflow) de buffers.

Algunos ejemplos de comprobación que deben aplicarse son:

a) Procedimientos que establezcan la revisión periódica de los registros de auditoria, para detectar cualquier anomalía en la ejecución de las transacciones.

b) Procedimientos que realicen la validación de los datos generados por el sistema (ver control 12.2.1).

c) Procedimientos que verifiquen la integridad de los datos y del software cargado o descargado entre computadoras centrales y remotas.

d) Procedimientos que controlen la integridad de registros y archivos (funciones de hash). e) Procedimientos que verifiquen la ejecución de los aplicativos en el momento adecuado. f) Procedimientos que aseguren el orden correcto de ejecución de los aplicativos, la

finalización programada en caso de falla, y la detención de las actividades de procesamiento hasta que el problema sea resuelto.

g) Creación de registros de las actividades de procesamiento (ver control 10.10.1).

Control 12.2.3. Integridad de los mensajes Deben identificarse los requerimientos para asegurar la autenticidad y la integridad de los mensajes de las aplicaciones, debiendo definirse e implementarse los controles apropiados. El Responsable de Seguridad Informática, junto al Responsable del Área de Sistemas, debe analizar los riegos para determinar si es necesario asegurar la autenticidad y la integridad de los mensajes emitidos por las aplicaciones, y en ese caso, identificar el método apropiado para su implementación.

Control 12.2.4. Validación de los datos de salida Deben validarse los datos de salida de las aplicaciones para asegurar que el procesamiento de la información almacenada es correcta y apropiada a las circunstancias. El Responsable de Seguridad Informática, junto al Responsable del Área de Sistemas, debe establecer los procedimientos para validar la salida de los datos de las aplicaciones, incluyendo:

a) Comprobaciones de viabilidad para asumir que los datos de salida son razonables.



b) Control de conciliación de cuentas para asegurar el procesamiento de todos los datos. c) Provisión de la información suficiente para que el lector o sistema de procesamiento

subsiguiente determine la exactitud, totalidad, precisión y clasificación de la información. d) Procedimientos para responder a las pruebas de validación de salidas. e) Definición de las responsabilidades del personal involucrado en el proceso de validación de

los datos de salida. f) Creación de registros correspondientes al proceso de validación de los datos de salida (ver

control 10.10.1).

Directiva 12.3. Controles criptográficos Definición: Se deben establecer las normas relacionadas con el uso de controles criptográficos.

Objetivo: Proteger la confidencialidad, autenticidad e integridad de la información mediante el

uso de controles basados en sistemas criptográficos.

Control 12.3.1. Normas de uso de sistemas criptográficos

Se deben redactar e implementar las normas de uso de controles basados en sistemas criptográficos para la protección de la información de MCR. El Responsable de Seguridad Informática, junto al Responsable del Área de Sistemas y al Responsable del Área de Redes, debe definir y redactar las normas y procedimientos para el uso de controles basados en sistemas criptográficos, tomando en consideración los principios generales de protección de la información (ver control 5.1.1) y los requerimientos particulares de cada sistema. Además, deben definirse las siguientes cuestiones:

a) La posición y el enfoque de MCR respecto al uso de sistemas criptográficos. b) Tipo, fortaleza y calidad de los algoritmos requeridos para cada situación. c) Estándares a adoptar. d) Administración de claves. e) Roles y responsabilidades para la implementación de las normas. f) Regulaciones y leyes aplicables

Control 12.3.2. Administración de claves Se deben poner en práctica procedimientos de administración de claves para sustentar y respaldar el uso de sistemas criptográficos.

Todas las claves criptográficas deben ser protegidas contra la modificación, pérdida y destrucción. Adicionalmente, las claves secretas y privadas requieren protección para garantizar la confidencialidad. Los equipos utilizados para generar, almacenar y archivar claves deben ser protegidos lógica y físicamente. El Responsable de Seguridad Informática, junto al Responsable del Área de Administración Informática y al Responsable del Área de Sistemas, debe definir, acordar y documentar el conjunto



de estándares, procedimientos y métodos de seguridad que le brinden fundamento al sistema de administración de claves de MCR.

Directiva 12.4. Seguridad de los sistemas de archivos Definición: Se debe restringir y controlar el acceso a los sistemas de archivos, al código fuente,

y a los datos de prueba de los programas.

Objetivo: Brindar seguridad al software, a los sistemas de archivos y a los datos.

Control 12.4.1. Control del software productivo

Se deben formular y poner en práctica procedimientos para controlar la instalación de software en los sistemas en producción. El Responsable de Seguridad Informática, junto al Responsable del Área de Administración Informática y al Responsable del Área de Sistemas, debe redactar el procedimiento de instalación, desinstalación y actualización de software en ambientes productivos, tomando en cuenta los siguientes controles:

a) El Director General de Gestión Informática debe asignar la función de “implementador de producción” al personal de su área que considere adecuado, quien tendrá como funciones principales:

a. Coordinar la implementación de modificaciones o nuevos programas en el ambiente de producción.

b. Asegurar que los sistemas aplicativos en uso, en el ambiente de producción, sean los autorizados y aprobados de acuerdo a las normas y procedimientos vigentes.

c. Instalar las modificaciones, controlando previamente la recepción de la prueba aprobada por parte del Analista Responsable, del sector encargado del testeo y del usuario final.

d. Rechazar la implementación en caso de encontrar defectos y/o si faltara la documentación estándar establecida.

e. Proveer a que en los sistemas en producción solamente sea almacenado el código ejecutable autorizado, y nunca herramientas de desarrollo ni compiladores.

b) Los sistemas operativos y el software de aplicación solamente deben ser implementados en producción después de superar pruebas extensivas relativas a la utilización, seguridad, efectos sobre otros sistemas y amigabilidad, ejecutadas en sistemas separados (ver control 10.1.4). Adicionalmente, se debe asegurar que todas las correspondientes librerías fuente de los programas han sido actualizadas.

c) Debe implementarse un sistema de control de configuración para mantener el control del software implementado y la documentación de los sistemas.

d) Debe existir una estrategia de reversión antes de iniciar la implementación de cambios. e) Debe mantenerse un registro de auditoria de las actualizaciones realizadas sobre las

librerías de programas operativos. f) Las versiones previas del software aplicativo deben ser retenidas como medida de

contingencia. g) Las versiones antiguas de software deben ser archivadas juntamente con toda la

información requerida, parámetros, procedimientos, detalles de configuración y software de soporte durante el mismo período que se requiera retener los datos.



h) El software utilizado en ambientes de producción provisto por terceros debe ser mantenido en un nivel de versión soportada técnicamente por el proveedor.

i) Toda decisión de actualización a nuevos releases debe tomar en cuenta las necesidades operativas de MCR para instrumentar el cambio, la estabilidad y la seguridad del release, es decir analizar los beneficios de la introducción de nuevas funcionalidades de seguridad y el número y la severidad de los problemas de seguridad que afecten a la versión.

j) Los parches (patches) de software deben ser aplicados a los ambientes productivos cuando ayuden a eliminar o reducir las debilidades de seguridad, y hayan sido previamente testeados en un ambiente de pruebas.

k) El acceso físico y lógico solamente debe ser otorgado a los proveedores con propósitos de soporte cuando sea necesario, con aprobación expresa, y sus actividades deben ser monitoreadas.

l) Deben controlarse y monitorearse los módulos y el software adicional provisto por terceros (VARs).

Control 12.4.2. Protección de los datos de prueba del sistema

Los datos de prueba de los sistemas deben ser cuidadosamente seleccionados, protegidos y controlados. El Responsable de Seguridad Informática, junto al Responsable del Área de Sistemas debe redactar el procedimiento de uso y protección de los datos de prueba del sistema, tomando en cuenta los siguientes controles:

a) No deben utilizarse bases de datos del ambiente operativo que contengan información personal u otra información sensible con propósitos de prueba.

b) Si fuera necesario utilizar bases de datos del ambiente operativo con propósitos de prueba, deben quitarse o modificarse drásticamente todos los contenidos y detalles sensibles.

c) Debe solicitarse autorización formal al Propietario de la Información, cada vez que se realice una copia de la base operativa para ser utilizada como prueba, debiendo llevarse registro de tal autorización.

d) Eliminar inmediatamente, una vez completadas las pruebas, la información operativa utilizada.

e) La copia y uso de información operativa debe ser registrada para proporcionar evidencia de auditoria.

Control 12.4.3. Control de acceso al código fuente

Se debe restringir y controlar el acceso al código fuente de los programas. El acceso al código fuente de los programas y sus ítems asociados (diseños, especificaciones, planes de verificación y planes de validación) deben ser estrictamente controlados para prevenir la introducción de funcionalidades no autorizadas y evitar cambios no intencionales. El Responsable de Seguridad Informática, junto al Responsable del Área de Sistemas, debe redactar el procedimiento de protección del código fuente, tomando en cuenta los siguientes controles:



a) El Director General de Gestión Informática debe asignar la función de “administrador de programas fuentes” al personal de su área que considere adecuado, quien tendrá en custodia los programas fuentes, debiendo:

a. Proveer al Área de Desarrollo los programas fuentes solicitados para su modificación, manteniendo en todo momento la correlación programa fuente / ejecutable.

b. Llevar un registro actualizado de todos los programas fuentes en uso, indicando nombre del programa, programador, Analista Responsable que autorizó, versión, fecha de última modificación y fecha / hora de compilación y estado (en modificación, en producción).

c. Verificar que el Analista Responsable que autoriza la solicitud de un programa fuente sea el designado para la aplicación, rechazando el pedido en caso contrario. Registrar cada solicitud aprobada.

d. Administrar las distintas versiones de una aplicación. e. Asegurar que un mismo programa fuente no sea modificado simultáneamente por

más de un desarrollador. b) Se debe denegar al “administrador de programas fuentes” permisos de modificación sobre

los programas fuentes bajo su custodia. c) Establecer que todo programa objeto o ejecutable en producción tenga un único programa

fuente asociado que garantice su origen. d) Establecer que el “implementador de producción” efectúe la generación del programa

objeto o ejecutable que estará en producción (compilación), a fin de garantizar tal correspondencia.

e) Desarrollar un procedimiento que garantice que toda vez que se migre a producción el módulo fuente, se cree el código ejecutable correspondiente en forma automática.

f) Evitar que la función de “administrador de programas fuentes” sea ejercida por personal que pertenezca al sector de desarrollo y/o mantenimiento.

g) Prohibir la guarda de programas fuentes históricos (que no sean los correspondientes a los programas operativos) en el ambiente de producción.

h) Prohibir el acceso a todo operador y/o usuario de aplicaciones a los ambientes y a las herramientas que permitan la generación y/o manipulación de los programas fuentes.

i) Realizar las copias de respaldo de los programas fuentes cumpliendo los requisitos de seguridad establecidos por MCR en los procedimientos que surgen de la presente política.

Directiva 12.5. Seguridad en los procesos de desarrollo y soporte

a) Definición: Todos los proyectos de sistemas de la información y sus actividades de soporte deben ser desarrollados en un entorno controlado y de manera segura.

b) Objetivo: Mantener la seguridad del software y la información de los sistemas de aplicaciones.

Control 12.5.1. Procedimientos de control de cambios

La implementación de cambios debe ser controlada mediante la aplicación de procedimientos formales de control de cambios.



A fin de minimizar los riesgos de alteración de los sistemas de información, se implementarán controles estrictos durante la implementación de cambios imponiendo el cumplimiento de procedimientos formales. Éstos deben garantizar que se cumplan los procedimientos de seguridad y control, respetando la división de funciones. Para ello, el Responsable de Seguridad Informática, junto al Responsable del Área de Sistema, debe establecer un procedimiento que incluya las siguientes consideraciones:

a) Verificar que los cambios sean propuestos por usuarios autorizados y respeten los términos y condiciones que surjan de la licencia de uso.

b) Mantener un registro de los niveles de autorización acordados. c) Solicitar la autorización del Propietario de la Información, en caso de tratarse de cambios a

sistemas de procesamiento. d) Identificar todos los elementos que requieren modificaciones (software, bases de datos,

hardware). e) Revisar los controles y los procedimientos de integridad para garantizar que no serán

comprometidos por los cambios. f) Obtener aprobación formal por parte del Director General de Gestión Informática para las

tareas detalladas, antes que comiencen las tareas. g) Solicitar la revisión del Responsable de Seguridad Informática para garantizar que no se

violen los requerimientos de seguridad que debe cumplir el software. h) Efectuar las actividades relativas al cambio en el ambiente de desarrollo. i) Obtener la aprobación por parte del usuario autorizado y del área de pruebas mediante

pruebas en el ambiente correspondiente. j) Actualizar la documentación para cada cambio implementado, tanto de los manuales de

usuario como de la documentación operativa. k) Mantener un control de versiones para todas las actualizaciones de software. l) Garantizar que la implementación se llevará a cabo minimizando la discontinuidad de las

actividades y sin alterar los procesos involucrados. m) Informar a las áreas usuarias antes de la implementación de un cambio que pueda afectar

su operatoria. n) Garantizar que sea el “implementador de producción” quien efectúe el pasaje de los

objetos modificados al ambiente operativo, de acuerdo a lo establecido en “Control del Software Operativo”.

Control 12.5.2. Revisión técnica de las aplicaciones por cambio del sistema operativo

Toda vez que sea necesario realizar un cambio en el sistema operativo, deben revisarse las aplicaciones críticas y testearse para asegurar que no se produzcan impactos adversos en su funcionamiento o seguridad. Para ello, el Responsable de Seguridad Informática, junto al Responsable del Área de Sistemas, debe definir un procedimiento que incluya las siguientes consideraciones:

a) Revisar los procedimientos de integridad y control de aplicaciones para garantizar que no hayan sido comprometidas por el cambio.

b) Garantizar que los cambios en el sistema operativo sean informados con anterioridad a c) la implementación. d) Asegurar que se actualice el Plan de Continuidad de las Actividades de MCR (ver cláusula

14). e) Asignar responsabilidad específica a un individuo o grupo para monitorear las

vulnerabilidades, releases, patches y fixes del fabricante.



Control 12.5.3. Restricción de cambios en paquetes de software

Se deben evitar las modificaciones a los paquetes de software, limitándolas a los cambios estrictamente necesarios, los cuales deben ser controlados. En la medida que sea posible y practicable, los paquetes de software provistos por el fabricante o revendedores deben ser utilizados sin modificaciones. En caso de resultar necesaria la modificación de estos paquetes de software, el Responsable de Seguridad Informática, junto al Responsable del Área de Sistemas, debe definir y aprobar un procedimiento que incluya las siguientes consideraciones:

a) Analizar los términos y condiciones de la licencia a fin de determinar si las modificaciones se encuentran autorizadas.

b) Determinar la posibilidad y la conveniencia de que dicha modificación sea efectuada por MCR, por el proveedor o por un tercero.

c) Evaluar el impacto que se produce si MCR debiera hacerse cargo del mantenimiento futuro.

d) Retener el software original realizando los cambios sobre una copia perfectamente identificada

e) Todo cambio debe ser plenamente testeado y documentado para permitir, si fuera necesario, aplicarlo a futuras versiones.

f) Analizar el riesgo de comprometer los controles embebidos y la integridad de los procesos. g) Si fuera requerido, las modificaciones deben ser testeadas y validadas por un cuerpo de

evaluación independiente.

Control 12.5.4. Fugas de información Se deben prevenir las fugas de información a través del uso y explotación de canales ocultos. Un canal oculto puede exponer información utilizando algunos medios indirectos y desconocidos. Cierto código malicioso está diseñado para afectar a un sistema en forma no autorizada y no requerida por el usuario. El Responsable de Seguridad Informática, junto al Responsable del Área de Administración Informática, al Responsable del Área de Sistemas y al Responsable del Área de Redes, debe redactar un procedimiento que incluya las siguientes consideraciones:

a) El escaneo de medios salientes y enlaces de comunicaciones para detectar información oculta

b) Enmascarar y modular el comportamiento de los sistemas y comunicaciones para reducir la probabilidad de que terceros puedan extraer información.

c) Adquirir programas a proveedores acreditados o productos ya evaluados. d) Examinar los códigos fuentes (cuando sea posible) antes de utilizar los programas. e) Controlar el acceso y las modificaciones al código instalado. f) Utilizar herramientas para la protección contra la infección del software con código

malicioso. g) Monitorear el uso de los recursos.



Control 12.5.5. Desarrollo de software tercerizado El desarrollo tercerizado de software debe ser supervisado y monitoreado por MCR. Cuando se considere la tercerización del desarrollo de software, el Responsable de Seguridad Informática, junto al Responsable del Área de Sistemas, debe establecer los procedimientos que contemplen los siguientes puntos:

a) Acuerdos de licencias, propiedad de código y derechos conferidos (Ver control 15.1.2. Derechos de Propiedad Intelectual).

b) Requerimientos contractuales con respecto a la calidad del código y la existencia de garantías.

c) Procedimientos de certificación de la calidad y precisión del trabajo llevado a cabo por el

proveedor, que incluya auditorias, revisión de código para detectar código malicioso, verificación del cumplimiento de los requerimientos de seguridad del software establecidos, etc.

d) Verificación del cumplimiento de las condiciones de seguridad contempladas en el punto 4.3.1. Requerimientos de Seguridad en Contratos de Tercerización.

e) Acuerdos de custodia de los fuentes del software (y cualquier otra información requerida) en caso de quiebra de la tercera parte.

Directiva 12.6. Gestión de vulnerabilidades técnicas a) Definición: Debe implementarse la gestión de vulnerabilidades técnicas en sistemas y

redes de manera efectiva, sistemática y repetible.

b) Objetivo: Reducir los riesgos resultantes de la explotación de las vulnerabilidades técnicas publicadas.

Control 12.6.1. Control de vulnerabilidades técnicas

Debe obtenerse información oportuna relacionada con las vulnerabilidades técnicas de los sistemas de información y equipos de red utilizados por MCR, evaluar la exposición a dichas vulnerabilidades y adoptar los controles adecuados para manejar los riesgos. El Responsable de Seguridad Informática, junto al Responsable del Área de Administración Informática y al Responsable del Área de Redes, debe establecer los procedimientos de gestión de vulnerabilidades técnicas de los activos de información, debiendo tomar en cuenta las siguientes consideraciones:

a) Definir y establecer los roles y responsabilidades asociadas con la gestión de vulnerabilidades técnicas, incluyendo el monitoreo de vulnerabilidades, evaluación de riesgos, patching, tracking de los activos y responsabilidades de coordinación de actividades.



b) Los recursos de información que deben ser utilizados para identificar vulnerabilidades técnicas relevantes, y para mantener la concientización sobre ellas

c) Definir plazos de respuesta para reaccionar a la notificación de vulnerabilidades técnicas potencialmente relevantes.

d) Determinar los riesgos asociados a una potencial vulnerabilidad técnica identificada, y las acciones que deben adoptarse.

e) Dependiendo de la urgencia con la que deba tratarse una vulnerabilidad técnica, las acciones adecuadas deben implementarse siguiendo los procedimientos de control de cambios (ver control 12.5.1) o los procedimientos de respuesta a incidentes de seguridad de la información (control 13.2).

f) Si existiera un parche disponible, debe evaluarse el riesgo asociado con su instalación respecto al riesgo de la vulnerabilidad.

g) Los parches (patches) deben ser testeados y evaluados antes de ser instalados en ambientes productivos para asegurar que son efectivos y no provocan efectos laterales intolerables. Si no existe remediación mediante parches, debe considerarse:

a. Desactivar los servicios o capacidades asociadas a la vulnerabilidad b. Adaptar o agregar controles de acceso, como por ejemplo en firewalls (ver control

11.4.5) c. Incrementar las actividades de monitoreo para detectar o prevenir ataques d. Difundir el conocimiento de la vulnerabilidad

h) Deben mantenerse registros de auditoria de todas las medidas adoptadas i) El proceso de gestión de vulnerabilidades técnicas debe ser regularmente monitoreado y

evaluado para asegurar su eficacia. j) Los sistemas en alto riesgo / críticos deben ser tratados primero.



Capítulo 13. Cláusula: Manejo de incidentes de seguridad de la información

Generalidades La seguridad de la información no es un producto que se compra o se aplica una sola vez y para siempre. Es un proceso continuo y dinámico que debe adaptarse a los cambios y a la evolución de las actividades y objetivos de MCR. Son inherentes a este proceso la ocurrencia de eventos e incidentes de seguridad de la información, los cuales deben ser adecuadamente comunicados, registrados y tratados. La cuestión no es la ausencia de incidentes, sino la confianza que están bajo control: saber qué puede ocurrir, y saber qué hacer cuando ocurra. Asimismo, debe existir un instrumento que permita identificar cambios, flaquezas, omisiones y oportunidades de mejora, e inyectar acciones positivas en un ciclo de perfeccionamiento continuo.

Alcance Esta cláusula aplica al proceso de gestión de seguridad de la información de MCR.

Directivas

Directiva 13.1. Reporte de eventos y debilidades a) Definición: Deben establecerse procedimientos formales para el reporte, gestión y

escalamiento de eventos y debilidades de seguridad de la información.

b) Objetivo: Garantizar que los eventos y debilidades de seguridad de la información sean comunicados y tratados apropiadamente

Control 13.1.1. Reporte de eventos de seguridad de la información

Los eventos de seguridad de la información deben ser informados, tan pronto como sea posible, a través de los canales formales autorizados. El Responsable de Seguridad Informática debe definir y redactar el procedimiento para el reporte de eventos de seguridad, como así también el procedimiento de respuesta y escalamiento de incidentes, y activar las acciones que deben adoptarse ante la recepción de eventos de seguridad de la información, debiendo tomar en cuenta las siguientes consideraciones:

a) Establecer un punto de contacto, siempre disponible y conocido por todo MCR, para la recepción de reportes de eventos de seguridad de la información, y capacidad para brindar respuestas adecuadas y oportunas.

b) Hacer conocer a todos los empleados, contratistas y usuarios de terceras partes, su responsabilidad respecto a la comunicación de eventos de seguridad y la manera de hacerlo a través del punto de contacto.



c) Establecer un proceso para la notificación de los resultados del tratamiento de los eventos a aquellos que produjeron el reporte.

d) Establecer formularios de reporte para facilitar las acciones de registración de los eventos y recordación de los procesos en vigor relacionados con el reporte de eventos, algunos de los cuales deben ser:

a. Anotar inmediatamente todos los detalles importantes, tales como: tipo de no-cumplimiento o infracción, anomalía acaecida, mensajes en pantalla, comportamientos anómalos, etc.

b. Comunicar inmediatamente el evento al punto de contacto y no asumir ninguna acción por cuenta propia.

c. Hacer referencia al proceso disciplinario vigente aplicable a los empleados, contratistas y usuarios de terceras partes que incurran en violaciones de seguridad de la información.

e) Contemplar, para los sistemas de alto riesgo, la instalación de alarmas silenciosas que permitan a las personas denunciar potenciales situaciones de coacción, y planificar las acciones de respuesta apropiadas.

f) Ejemplos de eventos e incidentes de seguridad son: a. Pérdida de servicio, equipos o instalaciones. b. Anomalías o sobrecargas en los sistemas (podrían ser los síntomas de un ataque

o violación de seguridad). c. Errores humanos. d. Incumplimientos de políticas, estándares, normas y/o procedimientos. e. Violaciones a los ordenamientos de seguridad física. f. Cambios no controlados en los sistemas y redes. g. Anomalías de software y/o hardware. h. Violaciones de acceso.

Control 13.1.2. Reporte de debilidades de seguridad

Toda debilidad o vulnerabilidad en la seguridad de los sistemas y redes, advertida o sospechada, debe ser informada, tan pronto como sea posible, utilizando un proceso formal. El Responsable de Seguridad Informática debe definir, redactar e implementar un procedimiento, tan sencillo y rápido como sea posible, para recibir las advertencias de debilidad o vulnerabilidad en la seguridad de los sistemas y redes, debiendo tomar en cuenta las siguientes consideraciones:

a) Establecer un punto de contacto, conocido por todo MCR, para la recepción de las advertencias de debilidad o vulnerabilidad en la seguridad de los sistemas y redes.

b) Hacer conocer a todos los empleados, contratistas y usuarios de terceras partes, su responsabilidad respecto a la comunicación de debilidades o vulnerabilidades en la seguridad de los sistemas y redes y la manera de hacerlo.

c) Establecer un proceso para la notificación de los resultados del tratamiento de los informes de debilidad o vulnerabilidad a aquellos que produjeron el reporte.

d) Hacer conocer a todos los empleados, contratistas y usuarios de terceras partes, que no deben, bajo ninguna circunstancia, intentar comprobar las sospechas de debilidad o vulnerabilidad, ya que incurrirían en infracción a la política de seguridad de la información.



Directiva 13.2. Gestión de incidentes y mejoras a) Definición: Deben existir procedimientos y responsabilidades para la gestión efectiva de los

incidentes, eventos y debilidades en la seguridad de la información que hayan sido reportados, incluyendo un proceso de mejora continua.

b) Objetivo: Promover un enfoque consistente, efectivo y proactivo en el manejo de incidentes de seguridad de la información.

Control 13.2.1. Responsabilidades y procedimientos

Deben existir responsabilidades y procedimientos establecidos para reaccionar ante los incidentes de seguridad de la información de manera rápida, efectiva y ordenada. El Responsable de Seguridad Informática, con la colaboración del Responsable del Área Legal, debe definir y redactar los procedimientos de respuesta a los incidentes de seguridad de la información, debiendo tomar en cuenta las siguientes consideraciones:

a) El manejo de diferentes tipos de incidentes de seguridad de la información, incluyendo: a. Fallas y pérdidas de servicio en las redes y los sistemas de información. b. Código malicioso (ver control 10.4.1) c. Negación de servicio. d. Errores resultantes de datos incompletos o inexactos. e. Violaciones de la integridad y la confidencialidad. f. Uso indebido de los sistemas de información

b) Adicionalmente a los planes de contingencia normal, los procedimientos deben contemplar: a. El análisis y la identificación de las causas que provocaron los incidentes. b. Planificación de las acciones de contención. c. Planificación e implementación de acciones correctivas para prevenir la

recurrencia. d. Comunicación con las áreas afectadas o involucradas en la recuperación de

incidentes. e. Denuncias ante las autoridades apropiadas

c) La recolección de evidencias (ver control 12.2.3) para: a. El análisis de problemas internos. b. Utilizar como evidencia forense en casos de incumplimiento de contratos u otras

violaciones con consecuencias legales. c. Negociación de compensaciones con proveedores

d) El controlar formal de las acciones de corrección de fallas en sistemas y redes, y las de recuperación ante violaciones de seguridad, asegurando que:

a. Solamente el personal autorizado pueda acceder a los sistemas y datos (ver los controles de la directiva 6.2 para los casos de acceso externo).

b. Todas las acciones de emergencia que se adopten sean documentadas en detalle y oportunamente revisadas de manera ordenada.

c. Se confirme la integridad de los sistemas y controles con mínima demora. e) Dado que los incidentes de seguridad de la información podrían trascender los límites de

MCR, proyectándose provincial, nacional o internacionalmente, se plantea la necesidad de coordinar acciones de respuesta y compartir información con organizaciones en todos los ámbitos mencionados.

f) Adicionalmente al reporte de eventos y debilidades de seguridad de la información (ver los controles de la directiva 13.1), también deben utilizarse las actividades de monitoreo y alerta (ver control 10.10.2) para detectar incidentes de seguridad de la información.



Control 13.2.2. Aprendizaje de los incidentes Se deben implementar mecanismos para monitorear y cuantificar el tipo, cantidad, el costo y otras características específicas y estadísticas de los incidentes de seguridad. El Responsable de Seguridad Informática debe formular procedimientos y métodos de evaluación y análisis que permitan utilizar la información de los incidentes de seguridad experimentados en pos de la identificación y prevención de situaciones recurrentes o de alto impacto, y la necesidad de adoptar más o mejores controles.

Control 13.2.3. Recolección de evidencias Se debe recolectar, retener y presentar adecuadamente la evidencia relacionada con las violaciones a la seguridad que deriven en acciones legales contra personas u organizaciones. El Responsable de Seguridad Informática, junto con el Responsable del Área Legal y el Responsable del Área de Recursos Humanos, deben desarrollar los procedimientos internos para la recolección, manipulación y presentación de evidencia con el propósito de aplicar sanciones disciplinarias dentro del ámbito de MCR. Además, considerando que los incidentes de seguridad pueden tener derivaciones legales, de alcance inter-jurisdiccional, se debe considerar:

a) Las características de la evidencia: a. Admisibilidad: si la evidencia puede ser utilizada en un juicio. Para lo cual debería

asegurarse que los sistemas de información de MCR cumplen con el código de práctica legalmente aceptado en la producción de evidencia.

b. Peso: la calidad y lo completo de la evidencia. Para lo cual debería asegurarse que los sistemas de control de MCR cumplen con el código de práctica legalmente aceptado para recolectar y proteger íntegra, correcta y consistentemente la evidencia.

b) Todo trabajo forense debe ser realizado sobre copias del material de evidencia, debiendo protegerse la integridad del original.

c) La copia del material de evidencia debe ser supervisada por personal confiable, debiendo dejarse constancias del lugar, fecha, herramientas y programas utilizados e identificación del encargado de realizar la(s) copia(s).



Capítulo 14. Cláusula: Continuidad de las Actividades

Generalidades La capacidad de MCR para prestar servicios y desarrollar sus actividades de gobierno es crecientemente dependiente de la disponibilidad operativa de sus sistemas y redes informáticas. La gestión de la continuidad de las actividades de MCR es un proceso crítico cuya coordinación estratégica emana desde la máxima instancia e involucra a todos los niveles de la organización, con el objetivo de proteger a las instalaciones, sistemas, y procesos críticos mediante la combinación de medidas preventivas y acciones de recuperación, contingencia y restauración. El desarrollo e implementación de planes de contingencia es el instrumento básico para planificar el grado y nivel de continuidad aceptables, minimizando los efectos de potenciales interrupciones, ya sean provocadas por desastres naturales, accidentes, fallas en el equipamiento, acciones deliberadas y otros hechos fortuitos o intencionales.

Alcance Esta cláusula aplica al personal, redes, instalaciones de procesamiento de información y procesos críticos de MCR.

Directivas

Directiva 14.1. Proceso de gestión de la continuidad de las actividades

a) Definición: Debe aplicarse un proceso de gestión de la continuidad de las actividades de MCR para minimizar, a un nivel aceptable, el impacto y la recuperación ante la pérdida de activos de información resultantes de desastres naturales, accidentes, fallas generalizadas, y acciones deliberadas.

b) Objetivo: Contrarrestar potenciales interrupciones en las actividades de MCR, protegiendo los procesos críticos de los efectos de fallas importantes en los sistemas de información y/o situaciones de desastre, y planificación de acciones de reanudación oportuna.

Control 14.1.1. Seguridad de la información en el proceso de continuidad

Debe existir un proceso de gestión de la continuidad de las actividades que satisfaga los requerimientos de seguridad de MCR. El Comité de Seguridad de la Información debe coordinar el desarrollo de los procesos que garanticen la continuidad de las actividades de MCR, debiéndose considerar los siguientes elementos:

a) Identificar y priorizar los procesos críticos en las actividades de MCR (ver control 7.1.1).



b) Asegurar que todos los integrantes comprenden los riesgos que se enfrentan, en términos de probabilidad de ocurrencia e impacto de posibles amenazas, así como los efectos que una interrupción puede tener sobre las actividades de MCR.

c) Elaborar y documentar una estrategia de continuidad de las actividades consecuente con los objetivos y prioridades acordados.

d) Formular y documentar planes de continuidad de las actividades de conformidad con la estrategia acordada.

e) Establecer un cronograma de pruebas periódicas de los planes de contingencia f) Coordinar actualizaciones periódicas de los planes y procesos implementados. g) Considerar la contratación de seguros que podrían formar parte del proceso de continuidad

de las actividades. h) Proponer las modificaciones a los planes de contingencia. i) Asegurar que la gestión de la continuidad de las actividades sea incorporado en los

procesos, y su responsabilidad asignada a un nivel apropiado de la estructura de MCR (ver control 6.1.1)

Control 14.1.2. Plan estratégico para la continuidad de las actividades

Se deben identificar los eventos y las secuencias de eventos susceptibles de causar interrupciones en las actividades de MCR, analizando su probabilidad e impacto en términos de seguridad de la información, con el objetivo de crear un plan estratégico para la continuidad de las actividades. El Responsable de Seguridad Informática, junto con el Responsable del Área de Administración Informática, el Responsable del Área de Redes y los Propietarios de la Información, deben analizar los riesgos a la continuidad, con el objetivo de desarrollar el plan estratégico con el que debe asumirse la gestión de la continuidad de las actividades, debiendo su trabajo contemplar los siguientes puntos:

a) Identificar los eventos (amenazas) que puedan ocasionar interrupciones en los procesos, como por ejemplo fallas en el equipamiento, comisión de ilícitos, interrupción del suministro de energía eléctrica, inundación e incendio, desastres naturales, destrucción edilicia, atentados, etc.

b) Evaluar los riesgos para determinar el impacto de dichas interrupciones, tanto en términos de magnitud del daño, y período de recuperación. Dicha evaluación debe identificar los recursos críticos, los impactos producidos por una interrupción, los tiempos de interrupción aceptables o permitidos, y debe especificar las prioridades de recuperación.

c) Identificar los controles preventivos, como por ejemplo sistemas de supresión de fuego, detectores de humo y fuego, contenedores resistentes al calor y a prueba de agua para los medios de backup, los registros no electrónicos vitales, etc.

El Responsable de Seguridad Informática debe formular el Plan Estratégico para la Continuidad de las Actividades, el cual debe ser aprobado por el Comité de Seguridad de la Información.

Control 14.1.3. Desarrollo e implementación de planes de contingencia

Deben implementarse planes para mantener y/o restaurar las operaciones asegurando que la disponibilidad de la información satisfaga el nivel de servicio requerido, considerando los tiempos



de reanudación, restricciones en la funcionalidad y la cantidad de usuarios y otros requerimientos básicos de la operación en contingencia. Los Propietarios de la Información, con la asistencia del Responsable de Seguridad Informática y el Responsable del Área de Administración Informática, deben elaborar los planes de contingencia apropiados para garantizar la continuidad de las actividades de MCR. Estos procesos deben ser propuestos ante el Comité de Seguridad de la Información para su aprobación. Los planes de contingencia deben considerar los siguientes aspectos:

a) Consistencia con el Plan estratégico para la continuidad de las actividades. b) Identificación y asignación de funciones, responsabilidades, y procedimientos de

emergencia. c) Determinación del máximo nivel tolerable en la pérdida de información y servicios. d) Implementación de procedimientos para permitir la recuperación y restablecimiento en los

plazos requeridos. Se debe dedicar especial atención a la evaluación de las dependencias de actividades externas y a los contratos vigentes.

e) Análisis los posibles escenarios de contingencia y definición de acciones correctivas. f) Documentación de los procedimientos y procesos acordados. g) Instrucción adecuada al personal, en materia de procedimientos y procesos de emergencia

acordados, incluyendo el manejo de crisis. h) Instruir al personal involucrado en los procedimientos de reanudación y recuperación en los

siguientes temas: a. Objetivo del plan. b. Mecanismos de coordinación y comunicación entre equipos (personal involucrado). c. Procedimientos de divulgación. d. Requisitos de la seguridad. e. Procesos específicos para el personal involucrado. f. Responsabilidades individuales.

i) El proceso de planificación debe centrarse en los objetivos de continuidad, como por ejemplo la restauración de servicios específicos de comunicación para clientes dentro de un lapso aceptable. Deben identificarse todos los servicios y recursos que contribuyan a ese logro, incluyendo dotación de personal, otros recursos accesorios al procesamiento de información e instalaciones de contingencia para el procesamiento de información. Los sitios de contingencia pueden incluir acuerdos con terceras partes bajo el esquema de reciprocidad, o contratación comercial de servicios.

j) Los planes de contingencia responden a vulnerabilidades organizacionales, y como tales pueden contener información clasificada que debe ser apropiadamente protegida. Las copias de información para la contingencia deben estar actualizadas y deben ser protegidas con el mismo nivel de seguridad del sitio principal.

k) Los controles de seguridad a aplicar en los sitios alternativos para el procesamiento temporario de información debe ser equivalente a los del sitio principal.

l) Comprobación y actualización de los planes.

Control 14.1.4. Marco de trabajo para la planificación de la continuidad

Deben mantenerse los planes de contingencia integrados y unificados bajo un único marco de trabajo para asegurar su uniformidad y consistencia. El Responsable de Seguridad Informática debe coordinar y supervisar que los planes de contingencia se alineen y contribuyan al Plan Estratégico para la continuidad de las actividades, debiendo tomar en cuenta las siguientes consideraciones:

a) Cada plan de contingencia debe poseer un administrador responsable.



b) El administrador responsable de cada plan de contingencia será el encargado de coordinar las tareas definidas en el mismo.

c) El plan de contingencia debe especificar claramente las condiciones para su puesta en marcha, el responsable de declarar el estado de contingencia que inicie el plan, así como las personas a cargo de ejecutar cada componente del mismo y las vías de contacto posibles.

d) Deben definirse los procedimientos de emergencia que describan las acciones a emprender una vez ocurrido un incidente que ponga en peligro las operaciones de MCR.

e) Deben definirse los procedimientos de emergencia que describan las acciones a emprender para el traslado de actividades esenciales de MCR o de servicios de soporte a sitios transitorios alternativos, y para el restablecimiento de los procesos en los plazos requeridos.

f) Redactar los procedimientos de recuperación que describan las acciones a emprender para restablecer las operaciones normales de MCR.

g) Definir un cronograma de mantenimiento que especifique cómo y cuándo será probado el plan, y el proceso para el mantenimiento del mismo.

h) Efectuar actividades de concientización e instrucción al personal, diseñadas para propiciar la comprensión de los procesos de continuidad las actividades y garantizar que los procesos sigan siendo eficaces.

i) Identificar los activos y recursos críticos necesarios para ejecutar las acciones de emergencia, restauración y reanudación de las actividades.

j) Cada vez que se identifiquen nuevos requerimientos deben modificarse los procedimientos de emergencia establecidos, por ejemplo, los planes de evacuación o los recursos de emergencia existentes.

k) Establecer vínculos eficaces con proveedores, organizaciones y autoridades pertinentes a los efectos de cumplir con los planes de contingencia.

Control 14.1.5. Comprobación, mantenimiento y re-evaluación de planes de contingencia

Los planes de contingencia deben ser testeados y actualizados regularmente para asegurar su vigencia y efectividad. El Responsable de Seguridad Informática, junto al Responsable del Área de Administración Informática, debe proponer un cronograma de pruebas de los planes de contingencia (simulacros), indicando cómo y cuándo se debe testear cada elemento del plan, el cual debe ser aprobado por el Comité de Seguridad de la Información. El objetivo de las pruebas es asegurar que los planes están en condiciones de funcionar cuando sea necesario invocarlos, y deben considerarse las siguientes pautas:

a) Efectuar pruebas de discusión de diversos escenarios para garantizar que los planes funcionarán en condiciones reales (probando medidas para la recuperación de las actividades utilizando diferentes ejemplos de interrupciones).

b) Realizar simulaciones (especialmente para entrenar al personal en el desempeño de sus roles de gestión posterior a incidentes o crisis).

c) Debe asegurarse que todos los miembros del grupo de recuperación y todo otro personal relevante estén familiarizados con los planes, sus responsabilidades, y sus roles cuando el plan sea invocado.

d) Efectuar pruebas de recuperación técnica (garantizando que los sistemas de información puedan ser restablecidos con eficacia).

e) Efectuar pruebas de recuperación en un sitio alternativo (ejecutando los procesos de las actividades de MCR en paralelo con operaciones de recuperación fuera del sitio principal).



f) Realizar pruebas de instalaciones y servicios de proveedores (garantizando que los productos y servicios de proveedores externos cumplan con los compromisos contraídos).

g) Realizar simulacros completos probando que la organización, el personal, el equipamiento, las instalaciones y los procesos pueden afrontar las interrupciones.

h) El cronograma indicará quienes son los responsables de llevar a cabo cada una de las pruebas.

i) Los planes de continuidad de las actividades de MCR deben ser revisados y actualizados periódicamente. Los Propietarios de la Información son responsables de las revisiones periódicas de cada uno de los planes de contingencia bajo su incumbencia, como así también de la identificación de cambios en las disposiciones relativas a las actividades de MCR aún no reflejadas en dichos planes. Debe prestarse especial atención a los cambios de:

a. Personal. b. Direcciones o números telefónicos. c. Estrategia de MCR. d. Ubicación, instalaciones y recursos. e. Legislación. f. Contratistas, proveedores y clientes críticos. g. Procesos, procesos nuevos / eliminados. h. Tecnologías. i. Requisitos operacionales. j. Requisitos de seguridad. k. Hardware, software y otros equipos (tipos, especificaciones, y cantidad). l. Requerimientos de los sitios alternativos. m. Registros de datos vitales.

Los resultados de las pruebas de los planes de contingencia deben ser presentados por el Responsable de Seguridad Informática ante el Comité de Seguridad para su aprobación.



Capítulo 15. Cláusula: Cumplimiento

Generalidades La Política de Seguridad de la Información es un documento fundamental para la gestión adecuada y efectiva del proceso de seguridad en el ámbito de MCR. No obstante, las directivas establecidas en este documento no pueden aplicarse en un marco aislado, sino que deben estar alineadas con los requisitos legales, normativos, estatutarios y contractuales que son relevantes para las actividades de MCR en el orden local, provincial, nacional e internacional. En consecuencia, es imprescindible garantizar el perfecto encuadramiento legal de la Política de Seguridad de la Información. Adicionalmente, debe comprobarse que los controles indicados en la Política de Seguridad de la Información sean aplicados consistente y correctamente en todas las áreas de MCR.

Alcance Esta cláusula es de aplicación y cumplimiento en todo el ámbito de MCR, e involucra

principalmente al Área Legal y al Responsable de Auditoria de Seguridad Informática.

Directivas

Directiva 15.1. Cumplimiento de los requerimientos legales

a) Definición: La formulación e implementación de la política de seguridad y todos sus documentos subordinados aprobados por MCR deben ser encuadrados jurídicamente.

b) Objetivo: Evitar infracciones a las leyes, estatutos, regulaciones, obligaciones contractuales o requerimientos de seguridad.

Control 15.1.1. Identificación de la legislación aplicable

Deben identificarse, definirse, documentarse y actualizarse todos los requerimientos estatutarios, regulatorios y contractuales, así como el enfoque de MCR para cumplimentar estos requerimientos para cada sistema de información. El Responsable de Seguridad Informática, junto al Responsable del Área Legal, debe definir y documentar claramente todos los requisitos normativos y contractuales pertinentes para cada sistema de información, controles específicos y responsabilidades individuales.



Control 15.1.2. Derechos de propiedad intelectual Se deben implementar los procedimientos apropiados para asegurar el cumplimiento de las leyes, regulaciones y requerimientos contractuales relacionados con el uso de material protegido por derechos de propiedad intelectual y el uso de productos de software licenciado o propietario. El Responsable de Seguridad Informática, junto al Responsable del Área Legal, debe definir y documentar claramente los derechos, limitaciones y restricciones de uso de material y software protegido por derechos de propiedad intelectual, debiendo tomar en cuenta las siguientes pautas:

a) Debe publicarse una política de cumplimiento de los derechos de propiedad intelectual que defina el uso legal del software y los productos de información.

b) Deben adquirirse productos de software solamente a través de fuentes confiables para asegurar que no se violan los derechos de propiedad intelectual.

c) Se debe mantener conciencia sobre las políticas de protección de los derechos de propiedad intelectual, y la intención de MCR de adoptar acciones disciplinarias por las infracciones.

d) Debe mantenerse un registro de los activos con requerimientos de protección de derechos de propiedad intelectual.

e) Debe mantenerse prueba y evidencia de la propiedad de las licencias, discos maestros, manuales, etc.

f) Deben implementarse controles para asegurar que no se excede el número de instancias permitidas por las licencias.

g) Deben establecerse comprobaciones para constatar que sólo existen instalaciones de software autorizado y los productos cuentan con su correspondiente licencia.

h) Se debe proveer una política para el mantenimiento de las condiciones de licenciamiento. i) Deben utilizarse herramientas adecuadas de auditoria. j) Se debe cumplir con los términos y condiciones del software y la información obtenida de

sitios públicos. k) Evitar la duplicación, conversión de formatos o extracción de grabaciones comerciales

(film, audio) si no está permitido por la ley de propiedad intelectual. l) Evitar la copia parcial o total de libros, artículos, reportes u otros documentos si no está

permitido por la ley de propiedad intelectual.

Control 15.1.3. Protección de los registros municipales

Se deben proteger los registros importantes de MCR contra pérdida, destrucción y falsificación, de acuerdo con los requerimientos estatutarios, regulatorios, contractuales y de servicio. El Responsable de Seguridad Informática, junto al Responsable del Área Legal y al Responsable del Área de Normas y Procedimientos, debe definir y documentar los procedimientos de protección de los registros, debiendo tomar en cuenta las siguientes pautas:

a) Los registros deben ser categorizados por tipo (por ejemplo, registros contables, registros de base de datos, registros de auditoria y procedimientos operativos, etc.), con detalle del período de retención tipo de medio de almacenamiento, etc.

b) Todo material de acceso a registros protegidos criptográficamente o firmados digitalmente (ver controles de la directiva 12.3) debe ser almacenado conjuntamente, durante el mismo tiempo que los registros, para permitir el descifrado.



c) Debe considerarse la posibilidad de degradación de los medios utilizados para almacenar los registros y adoptar medidas adecuadas.

d) Deben seguirse los procedimientos de almacenamiento y manejo indicados por el fabricante.

e) Deben ponerse en práctica procedimientos para asegurar el acceso a los datos (medios y formatos) durante el período de retención para prevenir pérdidas debido a futuros cambios de tecnología.

f) Los sistemas de almacenamiento deben ser escogidos de manera que los datos requeridos puedan ser recuperados en períodos y formatos aceptables, dependiendo de los requerimientos a satisfacer.

g) El sistema de almacenamiento y manipulación de datos debe asegurar la identificación precisa de los datos y sus períodos de retención, y su destrucción adecuada cuando dejen de ser útiles.

h) Debe mantenerse un inventario de las fuentes de datos importantes. i) Algunos registros pueden requerir una retención segura para cumplir requisitos legales o

normativos, así como para respaldar actividades esenciales de MCR.

Control 15.1.4. Protección de datos y privacidad de la información personal

La protección y privacidad de los datos debe asegurarse de conformidad con los requerimientos legales, regulaciones y cláusulas contractuales. El Responsable de Seguridad Informática, el Responsable del Área de Administración Informática y el Responsable del Área Legal deben redactar la política de protección de datos y privacidad de MCR. Esta política debe ser comunicada a todo el personal, especialmente a las personas involucradas en el procesamiento de información personal.

Control 15.1.5. Prevención del uso inadecuado de las instalaciones

Debe disuadirse a los usuarios de utilizar las instalaciones de procesamiento para fines no autorizados. Todos los usuarios deben tomar conocimiento, y aceptar, el alcance preciso de sus accesos permitidos, y de las actividades de monitoreo ejecutadas por MCR (control 8.1.3). En oportunidad de solicitar una sesión con un sistema, los usuarios deben recibir una advertencia respecto a la necesidad de contar con la debida autorización para proceder. El usuario debe reconocer el mensaje y reaccionar apropiadamente para continuar con el proceso de ingreso (ver control 11.5.1).

Control 15.1.6. Regulación de los controles criptográficos

Los controles basados en sistemas criptográficos deben ser usados en cumplimiento de los acuerdos, leyes y regulaciones relevantes.



El Responsable de Seguridad Informática, junto al Responsable del Área Legal, debe redactar el estándar de cumplimiento legal de los controles basados en sistemas criptográficos utilizados por MCR, tomando en consideración que existen restricciones de importación/exportación del hardware y software que incluyen sistemas criptográficos, y que existen restricciones en el uso de funciones de cifrado.

Directiva 15.2. Cumplimiento de seguridad de la infraestructura tecnológica

a) Definición: Debe revisarse regularmente los sistemas para verificar el cumplimiento de los controles de seguridad.

b) Objetivo: Asegurar que los sistemas cumplen con las directivas y controles de la política de seguridad y sus documentos subordinados.

Control 15.2.1. Cumplimiento de las políticas y estándares de seguridad

Debe asegurarse que todos los controles y procedimientos de seguridad se aplican correctamente en todo el ámbito de MCR. Todos los funcionarios de MCR que desempeñen funciones y/o puestos de relevancia son responsables por la correcta aplicación de los controles de seguridad y la implementación precisa de las normas, estándares y procedimientos, debiendo en sus respectivas áreas de responsabilidad:

a) Revisar regularmente el cumplimiento pleno de la política de seguridad. b) Detectar posibles incumplimientos y determinar las causas. c) Evaluar la necesidad de adoptar acciones para evitar la recurrencia de incumplimientos. d) Determinar e implementar acciones correctivas. e) Realizar el seguimiento de las acciones correctivas. f) Mantener informado al Responsable de Seguridad Informática

Control 15.2.2. Comprobación del cumplimiento tecnológico

Se deben chequear regularmente los sistemas de información y las redes para verificar el cumplimiento de la implementación con los estándares de seguridad. La comprobación del cumplimiento técnico comprende el examen de los sistemas en producción para asegurar que los controles de hardware y software están correctamente implementados. El Responsable de Seguridad Informática, junto al Responsable del Área de Administración Informática debe definir y elaborar los procedimientos para verificar el cumplimiento tecnológico de los sistemas y redes con los controles adoptados, debiendo tomar en consideración:



a) La comprobación puede ser ejecutada manualmente por un profesional experimentado y/o con la asistencia de herramientas automáticas que generan repotes técnicos que deben ser interpretados por un especialista.

b) Si se utilizan tests de penetración o evaluaciones de vulnerabilidad, debe adoptarse previsiones para evitar que tales actividades comprometan la seguridad del sistema. Estas pruebas deben ser planificadas, documentadas y ser repetibles.

c) Toda comprobación técnica debe ser ejecutada por personas competentes, o supervisión de personas competentes, debidamente autorizadas por el Comité de Seguridad.

Directiva 15.3. Consideraciones de auditoria de sistemas de la información

a) Definición: Deben existir controles para proteger, simultáneamente, los sistemas operativos y las herramientas de revisión durante las actividades de auditoría.

b) Objetivo: Maximizar la efectividad de revisión de sistemas minimizando la interferencia mutua con las herramientas de auditoría.

Control 15.3.1. Controles de auditoría sobre sistemas en producción

Se deben planificar cuidadosamente los requerimientos de auditoría y toda actividad que involucre comprobaciones sobre sistemas en producción para minimizar el riesgo de disrupción en las actividades. El Responsable de Seguridad Informática, junto al Responsable de Auditoría de Seguridad Informática, y los Responsables del Área de Administración Informática y de Sistemas , debe definir los procedimientos para efectuar revisiones sobre los sistemas productivos, teniendo en cuenta las siguientes consideraciones:

a) Los requerimientos de auditoría deben ser analizados y consensuados. b) El alcance de la auditoría debe ser acordada y controlada. c) Las comprobaciones deben limitarse, en general, al acceso read-only de datos y software. d) El acceso con privilegios mayores a read-only debe permitirse sólo sobre copias aisladas

de sistemas de archivos, los cuales deben ser eliminados al finalizar la auditoría o protegidos adecuadamente si existe la obligación de retenerlos como parte de la auditoría.

e) Los recursos a utilizar en la auditoría deben ser identificados explícitamente y encontrarse disponibles.

f) Los requerimientos de procesamiento especial o adicional deben ser identificados y acordados.

g) Todos los accesos deben ser monitoreados y registrados para dejar referencias, preferentemente con sellos de fecha y hora (time-stamp).

h) Deben documentarse todos los procedimientos, requerimientos y responsabilidades. i) La(s) persona(s) que ejecutan la auditoría deben ser independientes de las actividades

auditadas.



Control 15.3.2. Protección de las herramientas de auditoría de sistemas

Se deben proteger el acceso a las herramientas de auditoría de sistemas de la información para prevenir posibles compromisos y/o uso indebido. El Responsable de Auditoría de Seguridad Informática, junto al Responsable de Seguridad Informática, al Responsable del Área de Administración Informática, y al Responsable del Área de Sistemas, debe elaborar los procedimientos para la protección de las herramientas de auditoría, tomando en consideración las siguientes pautas:

a) Las herramientas de auditoría de sistemas (software y archivos de datos) deben estar separadas de los sistemas de desarrollo y sistemas productivos, y no pueden estar almacenados en librerías o áreas de usuario a menos que se les brinde el nivel apropiado de protección adicional.

b) Si se involucran terceras partes en la auditoría, deben aplicarse controles adicionales como 6.2.1 y 9.1.2 para contrarrestar los riesgos de utilización indebida de las herramientas, y acceso no autorizado a la información.

Fin del documento

POLITICA DE SEGURIDAD DE LA INFORMACIÓN MUNICIPALIDAD … · Seguridad de la información en el...

Documents

Transcript of POLITICA DE SEGURIDAD DE LA INFORMACIÓN MUNICIPALIDAD … · Seguridad de la información en el...