Política en materia de seguridad de la información

1. La política en materia de seguridad de la información establece las bases para que el PNUD (Programa de las Naciones Unidas para el Desarrollo) proteja la confidencialidad, la integridad y la disponibilidad de sus datos, para clasificar y manejar información confidencial, y para abordar las infracciones de esta política.

2. El Sistema de Gestión de la Seguridad de la Información (ISMS, Information Security Management System, por sus siglas en inglés) estipulado por la norma ISO 27001 requiere un documento integral sobre la política en materia de seguridad de la información que abarque todas las áreas de la seguridad de la información y, dada la prevalencia de las técnicas de manejo automatizado de la información, particularmente en el área de seguridad de la tecnología de la información y las comunicaciones (TIC). Este documento satisface dicho requisito.

3. La estructura de esta política en materia de seguridad de la información sigue la estipulada por ISO/IEC 27001 y 27002 para facilitar la correlación entre los requisitos de la norma y las declaraciones de políticas asociadas del PNUD. El diagrama siguiente detalla la relación entre el plan estratégico del PNUD, la estrategia de gestión de la información del PNUD, la política en materia de seguridad de la información del PNUD y las normas subordinadas que brindan una orientación más detallada sobre la implementación de los requisitos de la política en materia de seguridad de la información.

Propósito

4. La gestión de la seguridad de la información es la selección razonable y la implementación efectiva de controles apropiados para proteger activos críticos de información de la organización. Los controles y los procesos de gestión, junto con el posterior seguimiento de su idoneidad y efectividad, forman los dos elementos principales del programa de seguridad de la información. Los tres objetivos de la seguridad de la información incluyen:

a) Confidencialidadb) Integridadc) Disponibilidad

5. La dirección contenida en la Reglamentación 1.2(i) del Estatuto del Personal de las Naciones Unidas requiere que los miembros del personal ejerzan la máxima discreción en relación con todos los aspectos de las cuestiones oficiales. No deben comunicar a ningún Gobierno, entidad, persona o ninguna otra fuente ninguna información que conozcan por motivos de su posición oficial que saben o debían haber sabido que no ha sido publicada, excepto según corresponda en el curso normal de sus obligaciones o por autorización del Secretario General. Dicha dirección es apoyada e implementada por esta política.

6. Esta política establece la base para la protección de la información, facilitando las decisiones sobre gestión de la seguridad, y orientando los objetivos que establecen, promueven y

Página 1 de 18 Fecha de entrada en vigor: 26/07/2016 Versión n.º: 7

garantizan los mejores controles y gestión de la seguridad de la información dentro del ambiente de trabajo del PNUD.

Alcance

7. Esta política establece amplios principios de gestión que orientan el programa de seguridad de la información vigente dentro del PNUD. Esta política rige para todas las áreas físicas bajo del control del PNUD. En el caso en que otras políticas funcionales específicas establezcan requisitos más estrictos, estos tienen prioridad en dichas áreas funcionales. Esta política en materia de seguridad de la información debe ser revisada por la Oficina de Gestión y Tecnología de la Información (OIMT, Office of Information Management and Technology, por sus siglas en inglés)/Buró de Gestión de Servicios (BMS, Bureau for Management Services, por sus siglas en inglés) a intervalos regulares para garantizar su idoneidad, adecuación y efectividad continuas.

8. Las normas de seguridad de la información y las instrucciones de trabajo relacionadas con la seguridad de la información están subordinadas a esta política y brindan detalles más específicos sobre la implementación de esta política en materia de seguridad de la información.

Objetivos

9. Establecer la dirección hacia la seguridad de la información y el compromiso con esta y garantizar que se comunique, se aplique y se cumpla a lo largo de la organización. Además, desarrollar e implementar la arquitectura de seguridad de la información, para proteger los activos de información contra pérdidas o uso indebido, y para mitigar el riesgo de pérdidas financieras, de productividad y de reputación para el PNUD.

10. La política en materia de seguridad de la información consiste en una declaración principal, que establece la posición sobre la seguridad de la información y define los tres principios de seguridad sobre los cuales se forma esta política, seguidos por nueve declaraciones de políticas de respaldo que desarrollan dichos principios.

Principios

11. El PNUD reconoce que los datos y la información (tanto los propios como los confiados a su cuidado) son centrales para su capacidad para cumplir su misión.

12. El PNUD está totalmente comprometido a proteger la información y los ambientes en los que la información se procesa, transmite y almacena, de conformidad con los siguientes principios de seguridad:

a) Mejores prácticas en seguridad de la informaciónb) El valor o nivel de sensibilidadc) Todas las leyes, las políticas, los estatutos, los reglamentos y los requisitos

contractuales aplicables

Página 2 de 18 Fecha de entrada en vigor: 26/07/2016 Versión n.º: 7

13. Todo el personal del PNUD y otras personas o entidades autorizadas son responsables de mantener el control apropiado de la información bajo su cuidado y de comunicar a los miembros apropiados de la dirección cualquier amenaza potencial a la confidencialidad, la integridad o la disponibilidad de dicha información. Se pondrán en práctica programas apropiados de capacitación y sensibilización para apoyar y reforzar dicha responsabilidad.

14. Las siguientes declaraciones de políticas, estructuradas en la norma ISO/IEC 27002, respaldan la declaración principal y definen los requisitos de cumplimiento de la gestión de la política en materia de seguridad de la información. Las declaraciones abordan las siguientes áreas:

a) Gestión de activos

b) Seguridad de recursos humanos1*

c) Seguridad física y ambiental

d) Gestión de las comunicaciones y las operaciones

e) Control de acceso

f) Adquisición, desarrollo y mantenimiento de sistemas de información

g) Gestión de incidentes de seguridad de la información

h) Gestión de la continuidad de las operaciones

i) Cumplimiento

16. El cumplimiento tanto de la política como de las normas relacionadas de seguridad de la información es obligatorio para todo el personal y para otras personas y entidades autorizadas, y debe incorporarse en los procedimientos de trabajo pertinentes.

17. La OIMT/BMS llevará a cabo el seguimiento periódico y la Oficina de Auditoría e Investigaciones (OAI) realizará auditorías periódicas de las unidades del PNUD para confirmar el cumplimiento de esta política y de las normas relacionadas.

Gestión de activos

18. Lograr y mantener la protección y el control apropiados de los activos de información del PNUD y garantizar que la responsabilidad y la rendición de cuentas por este control y protección se confieran de manera apropiada a los propietarios/custodios de la información designados. Asegurar que los procedimientos de manejo apropiado rijan para los activos importantesde información.

1 Se refiere a las acciones de personal realizadas durante el período de actividad del empleo de un miembro del personal o titular de un contrato que afectan la seguridad de la información de la organización.

Página 3 de 18 Fecha de entrada en vigor: 26/07/2016 Versión n.º: 7

Responsabilidad de los activos

19. Todos los activos deben estar claramente identificados y deberá elaborarse y mantenerse un inventario de todos los activos importantes relacionados con la información para fines de seguridad de la información.

Dichos activos importantes relacionados con la información para la protección pueden incluir, entre otros, los siguientes:

a) Información: bases de datos y archivos de datos, contratos y acuerdos, documentación de sistemas, manuales de usuarios, material de capacitación, procedimientos operativos o de apoyo, planes de continuidad de las operaciones, acuerdos de solución alternativa, registros de auditoría e información archivada

b) Activos de software: software de aplicaciones, software de sistemas, herramientas de desarrollo y utilidades

c) Activos físicos: equipos informáticos, equipos de comunicaciones, medios extraíbles y otros equipos

d) Servicios: servicios informáticos y de comunicaciones, servicios públicos generales, p. ej., calefacción, iluminación, energía y aire acondicionado

20. Toda la información y los activos asociados con los sistemas de información deberán ser propiedad de una unidad designada del PNUD. El propietario designado (persona o entidad que tiene responsabilidad de gestión aprobada del control de la custodia, la producción, el desarrollo, el mantenimiento, el uso y la seguridad de los activos; las tareas de rutina pueden delegarse, p. ej., a un custodio que vigila el activo diariamente, pero la responsabilidad permanece con el propietario) debe:

a) Garantizar que la información y los activos asociados con los sistemas de información bajo su control se clasifiquen de manera apropiada

b) Revisar periódicamente las restricciones y clasificaciones de acceso, teniendo en cuenta las políticas de acceso aplicables

21. Las reglas y normas para el uso aceptable de la información y los activos asociados con los sistemas de información deben identificarse, documentarse e implementarse. Consulte la política de Uso de recursos de TIC del PNUD (Política “Traiga su propio dispositivo”).

Clasificación de la información

22. La información debe clasificarse o categorizarse en términos de su valor, sus requisitos legales, su sensibilidad y su esencialidad para el PNUD.

23. Deberán desarrollarse e implementarse procedimientos apropiados para etiquetar y manejar la información delicada. Dichos procedimientos pueden incorporar calificadores de manejo

Página 4 de 18 Fecha de entrada en vigor: 26/07/2016 Versión n.º: 7

especial u otras advertencias de diseminación como «confidencial» y/o «solo para uso interno».

Seguridad de la información sobre recursos humanos

24. El PNUD garantiza que el personal y otras personas o entidades autorizadas comprenden sus responsabilidades para reducir el riesgo de robo, fraude o uso indebido de las instalaciones. (Consulte la página del Marco Jurídico para Casos de Incumplimiento de las Normas de Conducta de las Naciones Unidas, los procedimientos y políticas de Recursos Humanos del PNUD y la política antifraude. Los candidatos para empleo y todas las demás personas autorizadas deben seleccionarse de manera adecuada y deben realizarse verificaciones de referencias detalladas, en especial para trabajos delicados. Las responsabilidades de seguridad de la información deben abordarse antes del empleo, en las descripciones de los puestos de trabajo y en los términos y condiciones del empleo.

Antes del empleo

25. Las funciones y responsabilidades de seguridad de todo el personal y de otras personas o entidades autorizadas con respecto a los activos de información del PNUD deberán definirse y documentarse en los términos y condiciones apropiados antes del empleo o de la finalización del contrato, de modo que reflejen los requisitos de esta política.

26. La verificación de la información crítica, incluidas las calificaciones académicas, los idiomas, la nacionalidad, los antecedentes laborales y las verificaciones de referencias detalladas de todos los candidatos para empleo, contratistas y usuarios externos deberá realizarse de conformidad con las políticas y procedimientos pertinentes, y de manera proporcional a los requisitos de la organización, la clasificación de la información a la que debe accederse y los riesgos percibidos. Las verificaciones de referencias deben tener en cuenta todos los procedimientos y políticas pertinentes establecidos basados en la privacidad, la protección de datos personales y/o el empleo y deben, siempre que esté permitido, incluir lo siguiente:

a) Disponibilidad de referencias satisfactoriasb) Una verificación (de la integridad y la precisión) del currículum/formulario de

antecedentes personales de los candidatos (P.11)c) Confirmación de las calificaciones académicas y profesionales solicitadasd) Una verificación de identidad independientee) Verificaciones más detalladas según corresponda

27. Como parte de su obligación contractual, el personal de las Naciones Unidas debe cumplir con la cláusula 1.2. (i) del Reglamento y Estatuto del Personal de las Naciones Unidas.

Durante el empleo

28. Todo el personal y otras personas o entidades autorizadas que utilizan activos de información del PNUD deben aplicar medidas de seguridad de conformidad con todos los reglamentos, reglas, políticas y procedimientos pertinentes del PNUD. Todos los datos, archivos y registros

Página 5 de 18 Fecha de entrada en vigor: 26/07/2016 Versión n.º: 7

de RR. HH. se consideran delicados y confidenciales. El PNUD debe garantizar que todo el personal y otras personas o entidades autorizadas:

Sean informados de manera apropiada sobre sus funciones y responsabilidades de seguridad de la información antes de que se les otorgue acceso a información o sistemas de información delicados.

Reciban directrices suficientes que detallen las expectativas de seguridad de la información para su función dentro del PNUD.

29. Todo el personal del PNUD y, cuando sea pertinente, otras personas o entidades autorizadas, deben recibir capacitación apropiada y actualizaciones regulares sobre las políticas y procedimientos relacionados con la seguridad de la información según sea pertinente para su función.

30. Cualquier procedimiento disciplinario requerido que resulte de un uso indebido de los activos o de un incumplimiento grave de los protocolos de seguridad de la información deberá realizarse de conformidad con las disposiciones pertinentes del Reglamento y Estatuto del Personal del PNUD.

Separación, reasignación y rescisión del nombramiento del personal

31. Las responsabilidades de realizar la separación, reasignación y rescisión del empleo deben ser definidas y asignadas con claridad. Consulte las Políticas de separación en las Políticas y Procedimientos de Operaciones y Programas (POPP, Programme and Operations Policies and Procedures, por sus siglas en inglés).

32. El personal y otras personas o entidades autorizadas deberán devolver todos los activos del PNUD que tengan en su posesión luego de la separación del empleo, el contrato o el acuerdo. El proceso de separación formalizará la devolución de todos los activos de información previamente emitidos.

33. Los derechos de acceso de todo el personal y otras personas o entidades autorizadas a la información y los sistemas de información deberán ser eliminados o modificados luego de la separación o rescisión de su empleo, contrato o acuerdo, o ajustados luego de su reasignación. Cualquier desviación de este requisito podrá ocurrir solamente con el consentimiento del Director de Sistemas de Información (CIO, Chief Information Officer, por sus siglas en inglés).

Seguridad física y ambiental

34. Asegurar que las instalaciones, las áreas de trabajo y los activos de información del PNUD estén protegidos de manera adecuada contra los riesgos identificados para los activos de información. Los sistemas de información críticos o delicados deben almacenarse en áreas seguras, protegidos mediante perímetros de seguridad definidos, con barreras de seguridad y controles de ingreso apropiados.

Activos de información

Página 6 de 18 Fecha de entrada en vigor: 26/07/2016 Versión n.º: 7

35. Todo el personal y otras personas o entidades autorizadas deberán garantizar que los documentos que contienen información delicada estén protegidos cuando no estén siendo utilizados.

36. Los activos de información delicada no deben retirarse de las instalaciones del PNUD sin la autorización apropiada.

Áreas de trabajo

37. Deben utilizarse perímetros de seguridad (barreras como paredes, portones y puertas de entrada controlados con tarjeta y mesas de recepción vigiladas) para proteger las áreas que contienen información y sistemas de información.

38. Los perímetros de seguridad deben estar definidos con claridad, y deben implementarse todas las medidas de seguridad.

Equipos

39. Los sistemas de información deben ubicarse y protegerse para reducir los riesgos de amenazas y peligros ambientales, y las oportunidades de acceso no autorizado. Los cables de energía y telecomunicaciones que transportan datos o los servicios de información de respaldo deben estar protegidos contra la intercepción o los daños.

40. Los sistemas de información deben estar protegidos de los cortes de electricidad y otras alteraciones provocadas por fallas en los servicios públicos de respaldo. Dicha protección deberá integrarse con los planes de continuidad de las operaciones (BCP, Business Continuity Plan, por sus siglas en inglés) y con la recuperación en casos de desastre (DR, Disaster Recovery, por sus siglas en inglés).

41. Los sistemas de información deberán mantenerse de manera correcta para garantizar la disponibilidad e integridad continuas. Solamente el personal o los contratistas de mantenimiento autorizados deberán realizar el mantenimiento, y deberán conservarse registros adecuados de todo el mantenimiento. Cuando sea apropiado, la información deberá borrarse de los equipos de almacenamiento antes de realizar el mantenimiento.

42. La seguridad deberá regir para los sistemas y equipos de información externos, teniendo en cuenta los diferentes riesgos de trabajar fuera de las instalaciones del PNUD. Dicha seguridad puede incluir medidas para proteger contra el robo casual al viajar, el uso inapropiado o la pérdida de confidencialidad de los activos de información.

43. Los sistemas y equipos de información que contienen medios de almacenamiento deberán controlarse para garantizar que todos los datos delicados o el software con licencia hayan sido eliminados o destruidos de manera segura antes de la enajenación.

44. Los sistemas y equipos de información no deben retirarse de las instalaciones del PNUD sin la autorización apropiada.

Página 7 de 18 Fecha de entrada en vigor: 26/07/2016 Versión n.º: 7

Gestión de las comunicaciones y las operaciones

45. Garantizar la operación correcta y segura de los sistemas de información, que los procesos operativos y de apoyo clave incorporen controles efectivos de seguridad de la información, y que existan procedimientos operativos adecuados para la gestión y operación de los sistemas de información del PNUD.

Responsabilidades y procedimientos operativos

46. Deberán establecerse, mantenerse y ponerse a disposición procedimientos documentados formales para todas las actividades que involucren el procesamiento de información y las instalaciones de comunicación.

47. Los cambios en los sistemas y aplicaciones de información estarán sujetos al control de gestión de cambios. Los procedimientos de gestión de cambios deberán desarrollarse con la documentación apropiada para demostrar el cumplimiento.

48. La segregación apropiada de tareas y responsabilidades deberá implementarse en la mayor medida de lo posible para reducir la posibilidad de que cualquier persona pueda comprometer una aplicación, una política, un procedimiento o una actividad, o realizar modificaciones no autorizadas o no intencionales en los activos de información o realizar un uso indebido de estos.

49. Las instalaciones de desarrollo, prueba y operación (producción) deberán estar separadas para reducir los riesgos de acceso no autorizado o cambios en el sistema operativo.

Gestión de prestación de servicios de terceros

50. Los niveles de prestación de servicios así como los controles de seguridad proporcionados por proveedores externos que participan en el apoyo de los servicios de telecomunicaciones o de procesamiento de la información del PNUD deben supervisarse para garantizar que los servicios se implementen, operen y mantengan de conformidad con las obligaciones contractuales.

51. Los cambios en la prestación de servicios de terceros deben gestionarse cuidadosamente, teniendo en cuenta la esencialidad de los sistemas y procesos de información involucrados y la revaloración de todos los riesgos pertinentes.

Planeamiento y aceptación de sistemas

52. Deben establecerse criterios de aceptación para los sistemas de información nuevos o actualizados, y deben llevarse a cabo pruebas apropiadas de los sistemas durante el desarrollo y antes de la aceptación.

53. Los recursos del sistema de información existente deben supervisarse y ajustarse según sea necesario, y deben realizarse proyecciones de los requisitos de capacidad futura para garantizar el desempeño continuo a los niveles requeridos.

Página 8 de 18 Fecha de entrada en vigor: 26/07/2016 Versión n.º: 7

Protección contra código malicioso y móvil

54. Deberán implementarse controles preventivos, correctivos y de detección, además de procedimientos apropiados de sensibilización del usuario para la protección contra el código malicioso.

55. Cuando el uso del código móvil esté autorizado, la configuración deberá asegurar que el código móvil autorizado opere de acuerdo con una política de seguridad claramente definida.

Respaldo

56. Deberán implementarse y mantenerse acuerdos apropiados de respaldo, incluida la prueba anual, para proteger la información y el software y para garantizar que todos los activos y procesos críticos de información puedan recuperarse si se requieren por algún motivo.

Gestión de seguridad de red

57. Las redes informáticas y de comunicaciones deben gestionarse y controlarse de manera adecuada para estar protegidas de las amenazas y para mantener la seguridad para los sistemas y aplicaciones que usan la red, incluida la información en tránsito.

58. Las funciones de seguridad, los niveles de servicios y los requisitos de gestión de todos los servicios de red, tanto internos como subcontratados, deben identificarse e incluirse en todos los acuerdos de servicios de red.

Manejo de medios de almacenamiento

59. Deben establecerse procedimientos para la gestión de medios de almacenamiento extraíbles, incluidos los procedimientos para la eliminación segura y protegida de los medios de almacenamiento cuando ya no sean necesarios.

60. Deben establecerse procedimientos para el manejo y el almacenamiento de información para protegerla contra la divulgación no autorizada o el uso indebido.

Seguimiento

61. Deben establecerse procedimientos para supervisar el uso de los sistemas de información y los resultados de las actividades de seguimiento deben revisarse con regularidad. El seguimiento debe utilizarse para determinar que el uso real cumple con el uso autorizado.

62. Los registros de auditoría sobre las actividades de los usuarios, las excepciones y los eventos de seguridad de la información deben producirse y mantenerse durante un período acordado para asistir en las posibles investigaciones y/o el seguimiento del control de acceso. Las instalaciones y la información de registro deben protegerse contra la adulteración y el acceso no autorizado.

Página 9 de 18 Fecha de entrada en vigor: 26/07/2016 Versión n.º: 7

Las actividades del administrador de sistemas y del operador de sistemas deben mantenerse en un registro. Las fallas deben registrarse y analizarse, y deben tomarse las medidas apropiadas.

63. Los relojes de todos los sistemas pertinentes de procesamiento de la información dentro del PNUD deben sincronizarse con una fuente de tiempo precisa acordada.

Procedimientos de intercambio de información

Partes externas

64. Las partes externas, en esta política, incluyen asociados como otras entidades y contratistas de las Naciones Unidas. Para mantener la seguridad de la información y de las instalaciones de procesamiento de la información de la organización a las que tienen acceso partes externas, como otras entidades y contratistas de las Naciones Unidas, o que son procesadas o gestionadas por estas partes o comunicadas a ellas, rigen las siguientes condiciones:

a) Los riesgos para la información y las instalaciones de procesamiento de la información de la organización derivados de los procesos operativos que involucran a partes externas deben identificarse y deben implementarse los controles apropiados antes de otorgar acceso o de compartir información con dichas entidades.

b) Los acuerdos con terceros que involucran el acceso, el procesamiento, la comunicación o la gestión de la información o las instalaciones de procesamiento de la información de la organización, o el agregado de productos o servicios a las instalaciones de procesamiento de la información deben cubrir todos los requisitos de seguridad pertinentes.

(Para el manejo de partes externas más amplias como los medios de comunicación y el público en general, consulte la Política de divulgación de información [Poner la información a disposición del público], que detalla la lista de contenido que no se publica)

65. No deberá realizarse el intercambio de información delicada del PNUD con ningún tercero sin autorización y sin los controles apropiados establecidos para proteger la información contra la divulgación no autorizada. Deben establecerse acuerdos para el intercambio de información y software entre el PNUD y las partes externas.

Comercio electrónico y sistemas de información comercial

66. La información asociada con la interconexión de los sistemas de información comercial deberá estar protegida para evitar el uso indebido o la alteración. La información involucrada en el comercio electrónico que se transmite a través de redes públicas deberá estar protegida contra actividades fraudulentas, diferencias contractuales, y divulgación y modificación no autorizadas.

67. La información involucrada en transacciones en línea deberá estar protegida para evitar la transmisión incompleta, la entrega equivocada, la alteración no autorizada de mensajes, la

Página 10 de 18 Fecha de entrada en vigor: 26/07/2016 Versión n.º: 7

divulgación no autorizada, y la duplicación o reproducción no autorizadas de mensajes. La integridad de la información proporcionada en sistemas disponibles para el público deberá protegerse para evitar la modificación no autorizada.

Requisito comercial de control de acceso

68. Para garantizar las restricciones apropiadas en el acceso a la información, deberá aplicarse un control de acceso adecuado a los activos de información para garantizar que el acceso esté disponible solamente para los miembros actuales del personal (u otras personas o entidades autorizadas) que lo requieran en el curso de sus tareas oficiales y que los derechos de acceso de usuario tengan debidamente en cuenta el tipo y el nivel de sensibilidad de la información involucrada.

Control de acceso al sistema de información

69. Los sistemas de información, redes, servicios, software operativo y aplicaciones del PNUD deben configurarse para garantizar que los mecanismos apropiados de control y autorización de acceso se implementen y sean funcionales y efectivos.

70. El uso de programas de utilidades que tengan la capacidad de invalidar los controles del sistema u otros controles de acceso deberá estar restringido y controlado de manera estricta.

71. Las sesiones interactivas deberán cerrarse después de un período definido de inactividad, y deberán utilizarse restricciones en los tiempos de conexión para proporcionar seguridad adicional para aplicaciones de alto riesgo.

Seguridad de la información en las redes

72. Deberá utilizarse la identificación automática de equipos para autenticar las conexiones desde los equipos si es importante que las comunicaciones solo puedan iniciarse desde una ubicación o un equipo específicos.

73. El acceso físico y lógico a los puertos de diagnóstico y configuración deberá estar controlado.

74. Los grupos de servicios de información, usuarios y sistemas de información deben segregarse en las redes. Para las redes compartidas, especialmente aquellas que superan los límites del PNUD, la capacidad de los usuarios para conectarse a la red debe restringirse a los propósitos comerciales del PNUD en la medida en que se necesite.

75. Deberán implementarse controles de enrutamiento en las redes para garantizar que las conexiones informáticas y los flujos de información no infrinjan la política de control de acceso de las aplicaciones.

76. El acceso a los sistemas operativos debe estar controlado mediante un procedimiento seguro de inicio de sesión. Todos los usuarios deben tener una identificación de usuario única solamente para su uso personal y deberá utilizarse una técnica apropiada de autenticación para autenticar a los usuarios.

Página 11 de 18 Fecha de entrada en vigor: 26/07/2016 Versión n.º: 7

77. Los sistemas delicados deben tener un entorno informático dedicado (aislado).

78. Deberán desarrollarse e implementarse una política, planes operativos y procedimientos formales para las actividades de trabajo a distancia y deberán adoptarse medidas de seguridad apropiadas para proteger contra los riesgos de uso de las instalaciones de comunicación y de informática móvil.

Adquisición, desarrollo y mantenimiento de sistemas de información

79. Objetivos: Garantizar que los sistemas de información (p. ej., aplicaciones, infraestructuras, servicios, etc.) estén diseñados con la seguridad como componente integral y se pongan en funcionamiento con todos los requisitos de seguridad específicos de los sistemas completamente comprendidos e implementados.

Requisitos de seguridad para los sistemas de información

80. Los nuevos sistemas de información y las principales mejoras de los sistemas deberán presentarse formalmente a la Junta de TIC y deberán estar aprobados por esta antes de ser adquiridos o desarrollados. Los nuevos sistemas de información y las mejoras de los sistemas deben someterse a pruebas formales en un entorno controlado con pruebas de aceptación del usuario (UAT, User Acceptance Testing, por sus siglas en inglés) antes de ser promovidos al estado de producción. Las pruebas formales deben incluir pruebas apropiadas de todos los requisitos de seguridad para garantizar tanto su corrección como su adecuación. Las pruebas deben estar documentadas y los resultados de las pruebas deben conservarse como activos de información.

81. Los requisitos de seguridad de un sistema nuevo de información o una mejora de sistema deben identificarse y acordarse antes del desarrollo o la adquisición del sistema.

82. Las responsabilidades de apropiación con respecto a un nuevo sistema de información deben acordarse antes de su implementación.

83. Los controles de validación de datos deben incorporarse durante el desarrollo y el mantenimiento de los sistemas de información para detectar y prevenir cualquier alteración de la información a través de errores de entrada, procesamiento o salida. Deberán identificarse los requisitos para garantizar la autenticidad y proteger la integridad de los mensajes en las aplicaciones, y los controles apropiados deben identificarse e implementarse.

Controles criptográficos

84. La implementación de controles criptográficos durante la adquisición, el desarrollo y el mantenimiento de los sistemas de información deberá gestionarse e incorporar procedimientos apropiados de gestión de claves.

Seguridad de los archivos de sistema

Página 12 de 18 Fecha de entrada en vigor: 26/07/2016 Versión n.º: 7

85. Deberán implementarse procedimientos para controlar la instalación de software en los sistemas operativos. Las responsabilidades específicas de la instalación del software en los sistemas operativos deberán definirse y asignarse únicamente a los usuarios autorizados que estén debidamente capacitados. Deberán mantenerse bibliotecas de software operativas y el acceso al código fuente de los programas deberá estar restringido.

Seguridad en los procesos de desarrollo y soporte

86. Todos los cambios en los sistemas de información de producción (y su código fuente) deben autorizarse y controlarse formalmente para evitar el compromiso potencial de los procesos operativos y los acuerdos de seguridad. Deberán realizarse pruebas adecuadas y documentadas de todos los cambios.

87. Antes de realizar cambios en los sistemas operativos, deberán revisarse y probarse las aplicaciones críticas para las operaciones para garantizar que no haya impactos adversos en la seguridad o las operaciones organizacionales.

88. Las unidades apropiadas del PNUD deberán realizar el seguimiento y supervisar el desarrollo subcontratado de software.

Gestión de vulnerabilidades técnicas

89. Deberá obtenerse información oportuna sobre las vulnerabilidades técnicas de los sistemas de información utilizados, y asimismo deberá evaluarse la exposición a dichas vulnerabilidades y tomarse medidas apropiadas para abordar los riesgos asociados.

90. La OIMT realiza el seguimiento y lleva a cabo evaluaciones periódicas del riesgo para los procesos, la información, los sistemas y las instalaciones, las cuales deben realizarse teniendo en cuenta los cambios en las amenazas y las vulnerabilidades técnicas.

Gestión de incidentes de seguridad de la información

91. Objetivos: Garantizar que los incidentes que afectan a la seguridad de la información dentro del PNUD se informen y se aborden de manera oportuna y eficiente para permitir que se tomen medidas correctivas.

Informes de incidentes y debilidades de seguridad de la información

92. Todos los miembros del personal y otras personas o entidades autorizadas deben informar los presuntos incidentes o debilidades de seguridad de la información a la unidad de Seguridad de TIC de la DG (Dirección de Gestión)/Oficina de Sistemas y Tecnología de la Información (OIST, Office of Information Systems and Technology, por sus siglas en inglés (ict.abuse@undp.org).

Gestión de incidentes y mejoras de seguridad de la información

93. La Sección de Seguridad de la Información/OIST/DG debe desarrollar y mantener procedimientos de informes y elevación a un nivel superior de eventos de seguridad de la información para garantizar que los eventos y las debilidades de seguridad de la información

Página 13 de 18 Fecha de entrada en vigor: 26/07/2016 Versión n.º: 7

asociados con los sistemas de información se comuniquen de una manera que permita que se tomen medidas correctivas oportunas.

94. En casos en los que un incidente de seguridad de la información pueda involucrar acciones legales o una investigación interna, el Director de la OIMT consultará con la Oficina Jurídica y/o la Oficina de Auditoría e Investigaciones (OAI) para autorizar la recopilación y retención de pruebas relacionadas y su posterior presentación a la Oficina Jurídica y/o la OAI.

Gestión de la continuidad de las operaciones

95. Objetivo: Garantizar que el PNUD esté equipado para reaccionar a las interrupciones en las operaciones y garantizar la reanudación oportuna de los procesos operativos críticos, luego de los desastres o de las fallas importantes de los sistemas de información.

Aspectos de seguridad de la información de la gestión de la continuidad de las operaciones

96. Para garantizar la continuidad de las operaciones, se estableció la Política de normas de recuperación en casos de desastre de TIC.

Cumplimiento con los requisitos legales

97. Para garantizar el cumplimiento con los requisitos legales, estatutarios, regulatorios y contractuales aplicables, deben implementarse procedimientos para orientar al PNUD en términos de sus obligaciones. Dichas obligaciones pueden derivarse, entre otras, de lo siguiente:

a) Decisiones de órganos normativos del PNUDb) Directivas administrativas

Cumplimiento con políticas y normas de seguridad

98. Los gerentes del PNUD deben garantizar que todos los procedimientos de seguridad dentro de su área de responsabilidad se lleven a cabo de manera correcta para lograr el cumplimiento con las políticas y normas de seguridad. Los gerentes en los centros regionales y las Oficinas de País deben realizar una autocertificación anual de su cumplimiento con esta política en materia de seguridad de la información y sus normas relacionadas. El Director de la OIMT realizará una declaración similar por cuenta de la sede del PNUD. Cualquier incumplimiento deberá documentarse junto con los motivos del incumplimiento.

Consideraciones de auditoría de seguridad de la información

99. Los requisitos de auditoría y las actividades que involucran controles en los sistemas operativos deben planificarse minuciosamente y acordarse con anticipación, para minimizar el riesgo de alteraciones en los procesos operativos.

Página 14 de 18 Fecha de entrada en vigor: 26/07/2016 Versión n.º: 7

100. El acceso a las herramientas de auditoría de los sistemas de información deberá estar protegido para evitar cualquier posible infracción en el uso o problema.

Funciones y responsabilidades

101. El Director de la OIMT es responsable de la seguridad de la información dentro del PNUD.

102. El Oficial Principal de Seguridad de la Información (CISO, Chief Information Security Officer, por sus siglas en inglés) de la OIMT proporciona apoyo en materia de asesoramiento técnico al Director de la OIMT.

El programa de seguridad de la información

103. Dentro del PNUD existe un programa de seguridad de la información para garantizar que haya responsabilidades y rendición de cuentas claras, tanto dentro de las unidades de la organización como entre estas, para la gestión de la seguridad de la información. El programa de seguridad de la información consiste en las políticas, normas e instrucciones de trabajo para las unidades de la organización y las personas con responsabilidades de seguridad, y proporciona la estructura y un mecanismo efectivo de coordinación y gestión de la seguridad de la información para la organización.

104. En apoyo del programa de seguridad de la información, la OIMT/BMS ejerce sus obligaciones en las siguientes áreas:

a) Evaluar los riesgos potenciales, determinar los requisitos y recomendar contramedidas apropiadas para gestionar los riesgos, en áreas relacionadas con el manejo y la protección de la información por parte del PNUD

b) Organizar y coordinar la capacitación de los miembros del personal en las áreas de operaciones, información, comunicaciones, usuarios autorizados, instalaciones y procedimientos de seguridad relacionados con la tecnología de la información que deben seguirse al trabajar con el PNUD

105. Al brindar consultoría y apoyo, y al realizar revisiones continuas, la OIMT/BMS ayuda a las unidades individuales de la organización a cumplir con las políticas en apoyo del programa de seguridad de la información.

106. La unidad de Seguridad de TIC de la OIMT también debe participar en el proceso de autorizar nuevos sistemas de información o aplicaciones para garantizar que los elementos necesarios de seguridad se consideren y aborden de manera adecuada antes de que el PNUD apruebe el uso del nuevo sistema.

107. La Oficina de Auditorías e Investigaciones (OAI) deberá proporcionar al personal directivo superior del PNUD una evaluación periódica independiente de la operación y efectividad del programa de seguridad de la información.

Página 15 de 18 Fecha de entrada en vigor: 26/07/2016 Versión n.º: 7

108. Se organizarán reuniones periódicas de gestión de la seguridad de la información compuestas por miembros del personal y contratistas del PNUD que sean claves para implementar el programa de seguridad de la información.

Cumplimiento

109. El incumplimiento de esta política sin obtener una exención previa deberá abordarse de conformidad con el Reglamento y Estatuto del Personal del PNUD o, según corresponda, los términos contractuales del personal.

Excepciones

110. En casos en los que una unidad de organización no pueda cumplir una declaración de política contenida en este documento, el jefe de una unidad deberá obtener una exención del Director de la OIMT/BMS.

111. Todas las solicitudes de exención deberán considerarse temporales y deberán tener una fecha de vencimiento específica. Están sujetas a la revisión del Director de la OIMT/BMS.

112. Si una exención deja de ser necesaria antes de la fecha de vencimiento o de la revisión anual, el jefe de la unidad deberá informar o asesorar al Director de la OIMT/BMS.

Página 16 de 18 Fecha de entrada en vigor: 26/07/2016 Versión n.º: 7

Flujograma

Disclaimer: This document was translated from English into Spanish. In the event of any discrepancy between this translation and the original English document, the original English document shall prevail.

Página 17 de 18 Fecha de entrada en vigor: 26/07/2016 Versión n.º: 7

Descargo de responsabilidad: esta es una traducción de un documento original en Inglés. En caso de discrepancias entre esta traducción y el documento original en inglés, prevalecerá el documento original en inglés.

Página 18 de 18 Fecha de entrada en vigor: 26/07/2016 Versión n.º: 7