Download - Politicas de seguridad

diciembre 1

2013

Alex Delgado Altamirano Jirvin Johnathan Gamarra Nicolás Kreisler Umbo Ruiz

[COFISOM]

Auditoria en Sistemas de Información –2013

ÍNDICE

I. INTRODUCCIÓN......................................................................................2

II. ALCANCE................................................................................................2

III. OBJETIVOS.............................................................................................2

IV. DEFINICIONES........................................................................................3

V. RESPONSABILIDAD...............................................................................4

VI. POLITICAS GENERALES:......................................................................6

VII. POLITICAS Y LINEAMIENTOS ESPECIFICOS:.....................................7

A) SOBRE LOS DERECHOS DE AUTOR, ADQUISICIÓN DE SOFTWARE Y LICENCIAS

DE USO......................................................................................................7

B) SOBRE LAS MEDIDAS DE SEGURIDAD FÍSICA................................................9

C) SOBRE LOS BIENES INFORMÁTICOS...........................................................10

D) SOBRE LA SEGURIDAD LÓGICA Y CONFIDENCIALIDAD DE LA INFORMACIÓN. .13

E) SOBRE EL ACCESO A LA BASE DE DATOS EN PRODUCCIÓN........................14

F) SOBRE EL USO DE LOS SERVICIOS DE LA RED DE DATOS INSTITUCIONAL Y

LAS CUENTAS DE LOS USUARIOS...............................................................15

G) SOBRE CONEXIÓN A OTRAS REDES...........................................................17

H) SOBRE EL DESARROLLO DE SISTEMAS Y OTROS SERVICIOS INFORMÁTICOS18

I) SOBRE LA SEGURIDAD A CONSIDERAR EN EL DESARROLLO DE SISTEMAS...19

J) SOBRE LAS SANCIONES APLICABLES.........................................................21

K) SOBRE EL PERSONAL INFORMÁTICO..........................................................22

L) SOBRE LOS CONTRATOS CON PROVEEDORES DE BIENES O SERVICIOS

INFORMÁTICOS.........................................................................................22

M) SOBRE EL PROCESO DE ADQUISICIÓN E IMPLEMENTACIÓN.........................22

N) POLÍTICAS DE BACKUPS............................................................................23

VIII. CONSIDERACIONES............................................................................24

1


INTRODUCCIÓN

En la actualidad cuando escuchamos hablar sobre seguridad, en general

nos podemos imaginar que se refiere a alguna forma de mantener seguro

algún objeto o a nosotros mismos como personas, pero existe otro tema

muy importante que viene como consecuencia del uso de las tecnologías,

deberíamos mencionar las formas en que podríamos mantener segura la

información, los equipos que la contienen y por ende las personas que

deben acceder a la información de nuestra organización.

Lo más importante con lo que cuenta una empresa es la información y

dependiendo de cuanta y de que sea la misma, es el valor que tiene.

Personas ajenas pueden entrar a la empresa, acceder a esa información,

y no podemos imaginar que intenciones tenga al salir de la empresa con

parte de nuestros datos. Es ahí en que se comienzan a hacer uso de

ciertas reglas internas que todo integrante de una empresa forzosamente

debe cumplir, ese conjunto de reglas comúnmente llamadas “políticas” se

crean por la necesidad de restringir accesos a los datos de los diversos

departamentos que una empresa pueda tener.

Sin embargo no todas las empresas están teniendo en cuenta el tema de

la seguridad en informática, quizá será porque ellos desconocen que ya

desde hace varios años atrás existen personas que pueden obtener su

información con ayuda de programas informáticos. O algunos no lo hacen

porque sus empresas son pequeños negocios y los directivos dicen:

¿Quién va a querer robarnos nuestra información? Y como no han tenido

un problema así en su empresa pues no han colocado medidas

preventivas en su organización.

2


ALCANCE

La Política General de Seguridad de la Información de la empresa

COFISOM E.I.R.L., se dicta en cumplimiento de las disposiciones legales

vigentes, con el objeto de gestionar adecuadamente la seguridad de la

información.

La presente política debe ser conocida y cumplida por todo el personal de

la empresa COFISOM E.I.R.L. (Gerente General, Administrador, Jefes de

áreas y personal).

Esta Política se aplica en todo el ámbito de la Institución, a sus recursos y

a la totalidad de los procesos, internos y externos, vinculados a la entidad.

De acuerdo a lo anterior, la información que genera y gestiona la

institución constituye un activo estratégico clave para asegurar la

continuidad del negocio, por lo que la Seguridad de la Información es una

herramienta para garantizar su integridad, disponibilidad y

confidencialidad.

OBJETIVOS

3.1. Objetivo General

Lograr niveles adecuados de integridad, confidencialidad y

disponibilidad para toda la información institucional relevante, con

el objeto de asegurar la continuidad operacional de los procesos y

servicios que desarrolla la empresa COFISOM E.I.R.L.

3.2. Objetivo Específicos

Analizar los activos, con mayor grado de riesgo potencial y el

impacto que esta pueda tener frente a la organización, con la

3


finalidad de dar cumplimiento de la confidencialidad, integridad y

disponibilidad de la información.

Establecer políticas de seguridad que permitan resguardar y

proteger los activos de información de la empresa COFISOM

E.I.R.L.

DEFINICIONES

Para efectos del presente documento, serán de aplicación las siguientes

definiciones:

4.1. Activo Estratégico:

Los activos estratégicos son aquellos que brindan una ventaja

competitiva duradera para la organización (información).

4.2. Confidencialidad:

Es la propiedad de la información, por la que se garantiza que está

accesible únicamente a personal autorizado a acceder a dicha

información.

4.3. Disponibilidad:

Es la propiedad de la información, por la que debe estar disponible en

forma organizada para los usuarios autorizados cuando sea

requerida.

4.4. Integridad:

Propiedad de la información, por la que debe ser debe ser completa,

exacta y válida.

4.5. Información:

Es un conjunto organizado de datos procesados, susceptibles de ser,

distribuida y almacenada.

4


4.6. Procesos:

Un proceso es un conjunto de actividades o eventos (coordinados u

organizados) que se realizan o suceden (alternativa o

simultáneamente) bajo ciertas circunstancias en un determinado lapso

de tiempo.

4.7. Políticas:

Son pautas generales para la acción establecidas por la

administración para la empresa. Una política bien formulada se basa

en objetivos, adhiere a verdades conocidas en la materia, es estable y

flexible.

4.8. Programa Informático:

Es un conjunto de instrucciones que una vez ejecutadas realizarán

una o varias tareas en una computadora.

4.9. Seguridad:

Se refiere a la ausencia de riesgo o también a la confianza en algo o

alguien.

4.10. Seguridad Informática:

Es la disciplina que se ocupa de diseñar las normas, procedimientos,

métodos y técnicas destinados a conseguir un sistema de información

seguro y confiable.

4.11. Tecnologías

Es el conjunto de conocimientos técnicos, ordenados científicamente,

que permiten diseñar y crear bienes y servicios que facilitan la

adaptación al medio ambiente y satisfacer tanto las necesidades

esenciales como los deseos de la humanidad.

5


RESPONSABILIDAD

El Gerente, Jefaturas de Áreas/Oficinas/Unidades Organizativas, son

responsables de la implementación de esta Política de Seguridad de la

Información dentro de sus áreas de responsabilidad, así como del

cumplimiento de dicha Política por parte de su equipo de trabajo.

La Política de Seguridad de la Información es de aplicación obligatoria

para todo el personal de la empresa COFISOM E.I.R.L., cualquiera sea su

condición laboral, el área en la cual se encuentre laborando y cualquiera

sea el nivel de las tareas que desempeñe.

El Jefe de Sistemas cumplirá la función de cubrir los requerimientos de

seguridad informática establecidos para la operación, administración y

comunicación de los sistemas y recursos de tecnología de la empresa

COFISOM E.I.R.L. Por otra parte tendrá la función de efectuar las tareas

de desarrollo y mantenimiento de sistemas, siguiendo una metodología de

ciclo de vida de sistemas apropiada, y que contemple la inclusión de

medidas de seguridad en los sistemas en todas las fases, asimismo

verificará el cumplimiento de la presente Política en la gestión de todos los

contratos, acuerdos u otra documentación de la empresa con sus

empleados y con terceros.

También se encargará de revisar y proponer a la Gerencia General para la

aprobación de la Política de Seguridad de la Información y las funciones

generales en materia de seguridad de la información; monitorear cambios

significativos en los riesgos que afectan a los recursos de información

frente a las amenazas más importantes; tomar conocimiento e investigar

los incidentes relativos a la seguridad; proponer iniciativas para

incrementar la seguridad de la información, de acuerdo a las

competencias y responsabilidades asignadas a cada área, así proponer

metodologías y procesos específicos relativos a seguridad de la

información; garantizar que la seguridad sea parte del proceso de

planificación de la información; evaluar y coordinar la implementación de

controles específicos de seguridad de la información para nuevos

6


sistemas o servicios; promover la difusión y apoyo a la seguridad de la

información dentro de la empresa y coordinar el proceso de administración

de la continuidad de las actividades de la institución.

También, es responsable de practicar auditorías periódicas sobre los

sistemas y actividades vinculadas con la tecnología de información,

debiendo informar sobre el cumplimiento de las especificaciones y

medidas de seguridad de la información establecidas por esta Política y

por las normas, procedimientos y prácticas que de ella surjan.

Los usuarios de la información y de los sistemas utilizados para su

procesamiento son responsables de dar a conocer, y hacer cumplir la

Política de Seguridad de la Información vigente.

POLITICAS GENERALES:

Toda persona que para el desempeño de sus funciones utilice o tenga

acceso a los bienes o servicios informáticos que ofrece la empresa

COFISOM E.I.R.L. deberá observar lo prescrito en el presente

documento. El desconocimiento del mismo, no lo exonera de las

responsabilidades asociadas con su cumplimiento.

La Unidad de Informática vigilará que se acaten las políticas informáticas

vigentes.

POLITICAS Y LINEAMIENTOS ESPECIFICOS:

a) Sobre los Derechos de Autor, Adquisición de Software y Licencias

de Uso

DERECHO DE USO Y ADQUISICION DE SOFTWARE

Adquirir, reproducir, transmitir y usar el software de computación

en cumplimiento con las obligaciones de tratados internacionales

y leyes de Perú.

7


Mantener sólo software legal en las computadoras y redes de

computación de la empresa COFISOM E.I.R.L.

Todas las adquisiciones de hardware que incluyen un paquete

de software serán documentadas e identificadas a la unidad de

Informática, que verificará que la Agencia tenga una licencia

apropiada para el uso de dicho paquete de software.

Ningún empleado puede usar o distribuir software que posea en

forma personal en las computadoras o redes de la organización.

Se almacenará en una ubicación segura y central todas las

licencias de software originales y documentación al recibir todo

nuevo software, incluyendo copias de tarjetas de inscripción

completas.

La unidad de Informática designara aquellos empleados

autorizados para instalar software en las computadoras de la

organización.

Ningún empleado instalará o distribuirá software si la

organización carece de la licencia apropiada del mismo.

Ningún empleado instalará ninguna actualización de software en

una computadora que no cuenta previamente con la versión

original de dicho software.

La unidad de Informática responsable de la adquisición debe

establecer y mantener un sistema de registro de las licencias del

software, información de usuario, e información de revisión.

Mantenga esta información en un lugar central, seguro.

La unidad de Informática Autorizará y controlará el uso de

software o programas comerciales que no requieren de licencias

de uso (freeware), o que son de prueba (shareware),

estableciendo la finalidad de su uso, periodo de utilización y

autorizaciones de fabricante.

8


DERECHOS DE LICENCIAS DE USO

Definir normas y procedimientos para el cumplimiento del

derecho de propiedad intelectual de software que defina el uso

legal de productos de información y de software.

Conservar pruebas y evidencias de propiedad de licencias,

discos maestros, manuales, etc.

Verificar que sólo se instalen productos con licencia y software

autorizado.

Elaborar y divulgar un procedimiento para el mantenimiento de

condiciones adecuadas con respecto a las licencias.

Llevar un inventariado y control de las licencias de software y el

medio en el que se encuentran, adquiridas por la empresa

COFISOM E.I.R.L. así como también se responsabilizará de su

custodia, considerando licencias individuales, en uso, software

preinstalado y corporativo.

Mediante acta de entrega de equipos y/o software, deberá

informar al usuario de las licencias y programas instalados en el

bien informático a su cargo, cuya adición de nuevos programas

en el bien informático deberá ser registrado en el documento

entregado previamente.

9


b) Sobre las Medidas de Seguridad Física

Seguridad en el perímetro físico

El perímetro de seguridad debe ser claramente definido.

El sitio donde se ubiquen los recursos informáticos debe ser

físicamente sólido, y protegido de accesos no autorizados

factores naturales, usando mecanismos de control, barreras

físicas, alarmas, barras metálicas etc.

Debe existir un área de recepción que solo permita la entrada

de personal autorizado.

Todas las salidas de emergencia en el perímetro de seguridad

deben tener alarmas sonoras y cierre automático

.

Seguridad en el control de acceso

Personal de la empresa, visitantes o terceras personas, que

ingresen a un área definida como segura por la empresa

COFISOM E.I.R.L., deberán poseer una identificación a la vista

que claramente los identifique como tal y estas identificaciones

monitoreadas.

No deberán existir señales, ni indicaciones de ningún tipo sobre

la ubicación de los centros de procesamiento en la

organización.

Seguridad de personas ajenas a la empresa

Todos los visitantes o extraños deben ser acompañados

durante su estadía en la empresa de COFISOM E.I.R.L., debido

a la existencia de información confidencial o hurto.

Equipos como videograbadoras, cámaras fotográficas,

grabadoras, sniffers, analizadores de datos, (ej: hardware

especial) etc, no debe ser permitidos su uso dentro de las

instalaciones de la empresa COFISOM E.I.R.L. a menos que

exista una autorización formal por el oficial de seguridad o

personal de seguridad.

10


Todo elemento que ingrese a SISTESEG, debe ser

inspeccionado por la compañía de seguridad rigurosamente con

el fin de identificar material peligroso y que coincida con su

respetiva autorización de ingreso.

El material entrante o saliente debe ser registrado, con el fin de

mantener el listado de inventario actualizado.

Seguridad de los equipos

En todos los centros de procesamiento, sin excepción, deberán

existir detectores de calor y humo, instalados en forma

adecuada y en número suficiente como para detectar el más

mínimo indicio de incendio. Los detectores deberán ser

probados de acuerdo a las recomendaciones del fabricante o al

menos una vez cada 6 meses y estas pruebas deberán estar

previstas en los procedimientos de mantenimiento y de control

del Manual de Seguridad Física.

Se deben tener extintores de incendios debidamente probados,

y con capacidad de detener fuego generado por equipo

eléctrico, papel o químicos especiales.

Las salas de procesamiento de la información deberán estar

ubicadas en pisos a una altura superior al nivel de la calle a fin

de evitar inundaciones.

El cableado de la red debe ser protegido de interferencias por

ejemplo usando canaletas que lo protejan.

Los equipos deben ser protegidos de fallas de potencia u otras

anomalías de tipo eléctrico. Los sistemas de abastecimiento de

potencia deben cumplir con las especificaciones de los

fabricantes de los equipos.

11


El correcto uso de UPS (Uninterruptable power suply), las

cuales se deben probar según las recomendaciones del

fabricante, de tal forma que garanticen el suficiente tiempo para

realizar las funciones de respaldo en servidores y aplicaciones.

Se deben tener interruptores eléctricos adicionales, localizados

cerca de las salidas de emergencia, para lograr un rápido

apagado de los sistemas en caso de una falla o contingencia.

Las luces de emergencia deben funcionar en caso de fallas en

la potencia eléctrica.

c) Sobre los Bienes Informáticos

BIENES TANGIBLES

Bajo ninguna circunstancia se deberá extraer ningún bien

informático fuera de las instalaciones, sin previa autorización.

Los bienes que requieran atención por motivos de fuerza mayor, se

registrará la hora y la fecha de salida y reingreso, así también, se

deberá mencionar el motivo y el personal encargado que realiza la

extracción.

Los usuarios deben proteger los bienes que están a su disposición,

para prevenir desgaste y fallos.

El uso del equipo de cómputo será destinado únicamente para

apoyar las funciones que son propias de la empresa COFISOM

E.I.R.L.; así mismo el responsable del equipo tendrá el resguardo

de todo el equipo y programas de cómputo autorizados, quien

firmará el resguardo respectivo.

Antes de retirar el bien informático sujeto a reasignar o a dar de

baja, el usuario deberá verificar que se le de formato al disco duro

del equipo que entrega, así como el borrado de los archivos en el

directorio temporal utilizado para restaurar la información al equipo

asignado.

12


Es responsabilidad del usuario a quien esté asignado el equipo de

escritorio o portátil, la información contenida en la misma.

BIENES INTANGIBLES

Los usuarios no pueden modificar el software instalado en los

equipos de cómputo.

Los usuarios no pueden realizar instalación de software que no

esté contemplado en las políticas de la empresa.

Las modificaciones de software propio y de terceros que estén

asociados a la organización serán realizadas de manera

automática, después de realizar la documentación pertinente,

dichos documentos deberán ser firmados por el Responsable del

Área.

Queda estrictamente prohibida la instalación de programas de

cómputo sin autorización por parte del personal.

El usuario deberá definir y preparar la información que se va a

respaldar incluyendo todos sus archivos y carpetas de trabajo

d) Sobre la Seguridad Lógica y Confidencialidad de la Información

La administración de los servidores debe realizarse únicamente

por el personal aprobado por el Área de Informática, a fin de

mantener consistencia con las Políticas de Seguridad.

Es necesario la utilización de sistemas de seguridad (Firewall),

para detección de intrusos y el personal encargado de la

administración del firewall deberá ser aprobado por el Área de

Informática. Dicho sistema deberá de manejar bitácoras que

registre intentos de acceso autorizados y no autorizados.

La administración de la contraseña del o los equipos de

cómputo o servidores donde residen los sistemas que se

comparten al SYSCOFISO es responsabilidad del Área de

Informática.

13


Cerciorarse de los archivos, las aplicaciones y programas que

se utilizan en la compañía se adaptan a las necesidades y se

usan de manera adecuada por los empleados.

Se otorgan los privilegios mínimos a los usuarios del sistema

informático. Es decir, sólo se conceden los privilegios que el

personal necesita para desempeñar su actividad.

Controlar que la información que entra o sale de la empresa es

íntegra y sólo está disponible para los usuarios autorizados.

Realizar chequeos de los correos electrónicos recibidos para

comprobar que no suponen una amenaza para la entidad.

e) Sobre el acceso a la Base de Datos en Producción.

Se debe contar con un DBA designado quien será el único

responsable de la creación, modificación y eliminación de

objetos de base de datos. Este podrá delegar algunas de esas

tareas a personal calificado, restringiendo los permisos

necesarios a sus cuentas de acceso a las bases de datos.

Se debe contar con mecanismos que permitan auditar las

operaciones realizadas a los objetos de la base de datos. En la

medida de lo posible, se debe contar con mecanismos que

permitan determinar al usuario, proceso y fecha de última

modificación de los registros en operaciones de tipo Insert y

Update, así como con un historial sobre las de tipo Delete.

No se deben realizar modificaciones manuales a los datos de

las bases de datos de Producción, salvo en los casos que por

errores o necesidades urgentes del usuario no haya otra

manera de solucionarse, para lo cual, invariablemente debe

14


quedar registro documentado de las acciones llevadas a cabo,

en el cual se debe manifestar la autorización de las áreas

involucradas.

Para acceder a los sistemas en los cuales se realicen

operaciones de captura, modificación o eliminación, los

sistemas deben contar con mecanismos para identificar y

autentificar al usuario que desea realizar dichas operaciones.

Este mecanismo puede implementarse mediante cuentas de

acceso o algún otro que asegure la identificación y

autentificación del usuario. No se debe programar en el código

las cuentas de acceso. Las operaciones de consulta, pudiesen

no tener dichos mecanismos si es que así lo solicita el área

requirente del sistema.

f) Sobre el Uso de los Servicios de la Red de Datos Institucional y

las Cuentas de los Usuarios

Establecer las medidas y mecanismos de control, monitoreo y

seguridad, tanto para los accesos a páginas o sitios de Internet,

como para los mensajes de correo, con contenidos u orígenes

Sospechosos.

Que las conexiones a Internet cuenten con elementos de prevención,

detección de intrusos, filtros contra virus, manejo de contenidos,

entre otros, que afectan la integridad de los

sistemas y la información institucionales.

Reducir el tráfico de mensajes, paquetes o transacciones no

permitidos, que saturan la infraestructura informática y generan

actividad innecesaria en los servidores.

15


Mejorar el rendimiento de la infraestructura, con servidores de cache,

aceleradores de servicio y accesos regionales a Internet.

Asignar la capacidad de memoria de almacenamiento a cada usuario

en función del perfil establecido y la disponibilidad del recurso en los

servidores

g) Sobre Conexión a Otras Redes

La unidad de informática tiene la responsabilidad de difundir este

reglamento para el uso de la red para su posterior cumplimiento.

La unidad de informática es el encargado de proporcionar a los

usuarios el acceso a la red y por consiguiente a los recursos

informáticos.

La unidad de informática debe verificar el uso responsable del

acceso a la red del acuerdo al reglamento.

Todo equipo de cómputo que es conectado a la red deben sujetarse

a los procedimientos de acceso.

Toda persona que requiera conectarse remotamente a algún sistema

de información deberá llenar la solicitud de acceso remoto para su

debida autorización.

Un empleado o usuario, quien se le concede el privilegio de acceso

remoto, deberá estar consciente tanto de la conexión entre su hogar

y la empresa COFISOM E.I.R.L. son extensiones de la red de la

empresa, como de la responsabilidad que esto conlleva.

Toda conexión remota debe coordinarse con el área de informática

h) Sobre el Desarrollo de Sistemas y Otros Servicios Informáticos

Todo desarrollo, invención o aplicación informática efectuada por

funcionarios o por personal externo contratado, durante el

desempeño de sus funciones, utilizando recursos institucionales,

será propiedad intelectual de la empresa COFISOM E.I.R.L. y

16


deberá ser registrada de acuerdo a la reglamentación establecida

para ello.

Todo desarrollo e implementación de sistemas informáticos deberá

estar considerado en los planes y cronogramas de trabajo de la

unidad de Informática y se ejecutará de acuerdo a un orden de

prioridades.

Evaluar periódicamente el comportamiento de los sistemas y el nivel

de conformidad de los usuarios.

El código fuente de los programas deberán estar bajo la custodia del

Jefe unidad de Informática, para ello se debe contar con un registro

de actualizaciones.

El usuario está en la obligación de participar activamente en todas y

cada una de las etapas del proceso de desarrollo de sistemas

informáticos.

El usuario final se responsabilizará de los datos ingresados en los

sistemas o servicios informáticos que le sean provistos, asi como

también de la validación de los reportes.

i) Sobre la Seguridad a Considerar en el Desarrollo de Sistemas

Aspectos Generales de Seguridad

Para accesar a los sistemas en los cuales se realicen

operaciones de captura, modificación o eliminación, los

sistemas deben contar con mecanismos para identificar y

autentificar al usuario que desea realizar dichas operaciones.

Este mecanismo puede implementarse mediante cuentas de

acceso o algún otro que asegure la identificación y

17


autentificación del usuario. No se debe programar en el código

las cuentas de acceso.

Para sistemas clasificados como críticos, las claves de acceso

deben almacenarse de forma encriptada en la base de datos, ya

sea de forma nativa o mediante algoritmos de programación.

En los sistemas clasificados como críticos, los permisos de los

usuarios se deben estructurar en perfiles o roles, y cada cuenta

de usuario debe asociarse a un perfil, el cual permite realizar un

conjunto de operaciones predefinidas dentro del sistema.

El sistema deberá garantizar que no se pueda definir un código

de acceso operable, sin que esté asociado a los perfiles que le

correspondan.

Aspectos que debe Incluir el Modulo de Administración de la

Seguridad en los Sistemas

Todo sistema deberá contar con un modulo de seguridad que integre

las siguientes funcionalidades:

o Permitir el acceso a las funcionalidades del modulo de

seguridad, solamente al personal registrado con el perfil de

administrador de sistemas.

o Proveer una contraseña inicial, asociada al código de acceso,

que no se pueda identificar o predecir con facilidad.

o Permitir cambiar la contraseña del administrador del módulo

de seguridad.

o Deberá obligar al usuario a cambiar su contraseña, la primera

vez que ingresa al sistema, de manera que no pueda acceder

a ninguna funcionalidad sin haber completado este paso.

18


o Deberá permitir a los usuarios el cambio de contraseña o

provocar que el usuario tenga que realizar este cambio,

cuando considere necesario o conveniente.

o Deberá permitir asociar o desasociar perfiles de usuario, por

parte del administrador del sistema, sin requerir cambiar el

código de acceso.

o El usuario deberá registrarse y utilizar la contraseña en forma

encriptada.

o No deberá permitir el acceso simultáneo de un usuario a dos

o más estaciones de trabajo.

o No deberá permitir reutilizar la misma contraseña en un

periodo mínimo de un 6 meses.

j) Sobre las Sanciones Aplicables

Cualquier violación a las políticas y normas de seguridad serán

sancionadas de acuerdo a reglamento emitido por el departamento

informático. Las sanciones serán evaluadas de acuerdo a ello se

valoraran si es una sanción es leve, moderado o grave.

Las sanciones leves pueden ser desde una llamada de atención o

informar al usuario la suspensión del servicio dependiendo de la

gravedad de la falta.

Constituyen sanciones moderadas aquellas faltas como la incorrecta

utilización de los recursos informáticos que perjudiquen el proceso

normal de la automatización de la información la cual será

sancionada mediante una multa S/. 300.00 a más según la gravedad.

Constituyen sanciones graves aquellas faltas como hurto de

información, divulgación, perjuicios premeditados que perjudiquen

19


seriamente a la organización cuya sanción será el retiro y

posteriormente una demanda ante las instituciones correspondientes.

k) Sobre el Personal Informático

Se debe mantener el registro de acceso del personal autorizado y

de ingresos con el objeto de facilitar procesos de investigación.

Como mecanismo de prevención todos los empleados y visitantes

no deben comer, fumar o beber en el centro de cómputo o

instalaciones con equipos tecnológicos, al hacerlo estarían

exponiendo los equipos a daños eléctricos como a riesgos de

contaminación sobre los dispositivos de almacenamiento.

l) Sobre los Contratos con Proveedores de Bienes o Servicios

Informáticos

De Aplicación por Parte del Administrador de Sistemas

Informáticos

El jefe de la unidad de Informática estipulara que: de haber contratado

dentro del calendario establecido y en los casos que sean necesarios,

autorizará cambios en las fechas.

m) Sobre el Proceso de Adquisición e Implementación

La empresa COFISOM E.I.R.L. debe contar en todo momento con

un inventario actualizado del software de su propiedad, el

comprado a terceros o desarrollado internamente, el adquirido bajo

licenciamiento, el entregado y el recibido como datos. Las licencias

se almacenarán bajo los adecuados niveles de seguridad e

incluidas en un sistema de administración, efectuando continuos

muestreos para garantizar la consistencia de la información allí

almacenada. Igualmente, todo el software y la documentación del

20


mismo que posea la Entidad incluirán avisos de derechos de autor

y propiedad intelectual.

La empresa COFISOM E.I.R.L deberá tener una metodología

formal para el proceso de adquisición de software de misión crítica

o prioritaria a través de terceros que incluya un contrato proforma

con cláusulas básicas para la protección de la información y del

software, así como para la documentación y los respaldos, que

protejan los intereses institucionales frente a las cláusulas

entregadas por el vendedor.

Cuando se adquiera una licencia de uso de software, a través de

un proveedor o la contratación de software a la medida, el

vendedor depositará en custodia en una empresa especializada

una copia del software adquirido y su documentación técnica

respectiva y sus correspondientes actualizaciones. Igualmente

dejará una autorización por escrito para que la Entidad los pueda

retirar, cuando por motivos de fuerza mayor el vendedor deje de

existir en el mercado.

El contrato de adquisición deberá contar con los entregables del

software incluido el código fuente del programa.

n) Políticas de Backups

Las copias de seguridad de la base de datos en el servidor se

realizarán todos los días, esta regla se debe cumplir

obligatoriamente al finalizar el día laboral dentro de la empresa

COFISOM EI.R.L.

La copia de seguridad de los códigos fuentes de los aplicativos se

respaldarán cada vez que se realicen actualizaciones e

implementaciones de cada aplicativo.

La copia de seguridad de archivos de ofimática se realizarán según

el criterio del usuario, recomendable cada vez que realice

significativas modificaciones de archivos de forma obligatoria

deben realizar esta copia de seguridad mensualmente y deben ser

entregados al departamento informático.

21


Para la información contenida en las computadoras personales los

medios para guardar la copia de seguridad pueden ser cintas

magnéticas o medios ópticos DVD de marcas reconocidas, según

la naturaleza de la información.

Las unidades de almacenamiento de respaldo serán verificados

semanalmente para comprobar su correcto estado y de ser

necesario se cambiará de acuerdo a la tecnología de

almacenamiento vigente.

Los backups de los sistemas de computación y redes deben ser

almacenados en una zona de fuego diferente de donde reside la

información original.

Consideraciones

COFISOM EI.R.L. maneja información importante dentro de los

cuales debe ser protegida, sin importar como este guardada o

como este digitada o donde este almacenada.

Los empleados deben estar en constante capacitación y estar

pendiente de las nuevas tendencias que ofrece las tecnologías

porque las concientización hacia los empleados es indispensable.

Deben tener en conocimiento de las políticas de seguridad todo

aquel trabajador que es antiguo o nuevo en la organización.

22