Post on 11-Apr-2020
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
Fecha: 2016-08-05
POLÍTICAS DE SEGUNDO NIVEL DE SEGURIDAD DE LA INFORMACIÓN
Elaborado: Oficina de Tecnología de la Información
POLITICAS
POLÍTICA DE SEGURIDAD DE LA
INFORMACIÓN
POLÍTICA PARA LA MITIGACIÓN DEL
RIESGO
POLÍTICA PARA DISPOSITIVOS
MÓVILES
POLÍTICA PARA TELETRABAJO
POLÍTICA PARA USO DE LLAVES Y
CONTROLES CRIPTOGRÁFICOS
POLÍTICA DE DERECHOS DE
PROPIEDAD INTELECTUAL
POLÍTICA PARA CONTROL DE
ACCESO A REDES
POLÍTICA SOBRE EL USO DE
CONTROLES CRIPTOGRAFICOS
POLÍTICA CONTROL DE LLAVES
CRIPTOGRAFICAS
POLÍTICA DE CONTROL Y
ADMINISTRACION DE ACCESOS
POLÍTICA DE SEGURIDAD FISICA
Y DEL ENTORNO
POLÍTICA DE INSTALACION DE
SOFTWARE
POLÍTICA CONTRA CODIGO
MALICIOSO
POLÍTICA DE RESPALDO DE
INFORMACION
POLÍTICA DE GESTION DE
CONTRASEÑAS
POLÍTICA DE ESCRITORIO
LIMPIO Y PANTALLA LIMPIA
POLÍTICA PARA LA GESTION DE
CONTINUIDAD
POLÍTICA PARA DESARROLLO
SEGURO
POLÍTICA DE TRANSFERENCIA
DE INFORMACIÓN
POLÍTICA DE GESTIÓN DE
INCIDENTES DE SEGURIDAD
POLÍTICA PARA RELACIÓN CON
TERCEROS
Política de seguridad de la información
PROPENDE POR EL ASEGURAMIENTO DE LACONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDADDE LA INFORMACIÓN DE LA SUPERINTENDENCIA DESALUD MEDIANTE MECANISMOS DE CONTROL, DEACUERDO A LOS LINEAMIENTOS ESTABLECIDOS ENLA NORMA ISO 27001:2013
Política para la mitigación del riesgo
CONOCIMIENTO DE LOS POSIBLES RIESGOS, CAUSAS Y VULNERABILIDADES ASOCIADOS A CADA ACTIVO DE INFORMACIÓN CON LOS QUE INTERACTÚAN EN FUNCIÓN DE SUS ACTIVIDADES LABORALES, ESTO CON EL FIN DE PROPENDER POR GARANTIZAR LOS PRINCIPIOS DE CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LOS MISMOS
Política para dispositivos móviles
ADMINISTRAR LOS PERMISOS A LOS DISPOSIVOS MOVILES PARA EL INGRESO DE LA PLATAFORMA O DEL USO DELAS REDES INALAMBRICAS DE LA SUPERINTENDENCIA DE SALUD.
Política para teletrabajo
ESTABLECE LAS CIRCUNSTANCIAS Y REQUISITOS PARA EL ESTABLECIMIENTO DE CONEXIONES REMOTAS A LAPLATAFORMA TECNOLÓGICA DE LA ENTIDAD; ASÍ MISMO, SUMINISTRA LAS HERRAMIENTAS Y CONTROLESNECESARIOS PARA QUE DICHAS CONEXIONES SE REALICEN DE MANERA SEGURA
Política de control y administración de accesos
CONTROLAR EL ACCESO DE LA INFORMACIÓN Y RESTRINGIRLASOLO AL PERSONAL AUTORIZADO CONFORME EL PERFIL DEACCESO, TENIENDO EN CUENTA MECANISMOS DE PROTECCIÓNPARA LA RED, DATOS Y LA INFORMACIÓN, ASÍ MISMOIMPLEMENTACIÓN DE PERÍMETROS DE SEGURIDAD PARA LAPROTECCIÓN DE ÁREAS CON INSTALACIONES DEPROCESAMIENTO DE INFORMACIÓN, SUMINISTRO DE ENERGÍA YCUALQUIER OTRA ÁREA CONSIDERADA CRITICA PARAOPERATIVIDAD DE LA SUPERINTENDENCIA NACIONAL DE SALUD.
CONTROL
Política de control de acceso a redes
• La conexión a las redes de la Superintendencia Nacional deSalud se hace a través de protocolos seguros.
• EL área de mesa de ayuda, para dar acceso a la utilizaciónde la red inalámbrica debe capacitar a los usuarios einformar sobre los riesgos asociados al uso de estatecnología.
• No podrán tener acceso a la red inalámbrica de laSuperintendencia Nacional de Salud, usuarios y equipos noautorizados por la Oficina de Tecnologías de la información.
• El administrador de la red inalámbrica debe teneractualizado el firmware de los equipos para mitigar lasposibles vulnerabilidades de seguridad que se puedanpresentar.
CONTROL
Política uso de llaves y controles criptográficos
TÉCNICAS DE CIFRADO PARA LA
PROTECCIÓN DE LA INFORMACIÓN DE
ACUERDO CON LAS EXIGENCIAS
NORMATIVAS Y SU CRITERIO O
CRITICIDAD DE LA INFORMACIÓN ACIFRAR
Política de seguridad para internet
DEFINEN LAS PAUTAS DE UTILIZACIÓN DE INTERNET PARA TODOS LOSUSUARIOS.
• LIMITAR SIN EXCEPCIÓN, EL ACCESO A PÁGINAS DEENTRETENIMIENTO, PORNOGRAFÍA O FUERA DEL CONTEXTOLABORAL.
• TODA CONEXIÓN DEBERÁ ESTAR PROTEGIDA POR UN FIREWALL YDEBERÁ REALIZARSE A TRAVÉS DEL SERVIDOR PROXY DE LAENTIDAD.
• LIMITAR SIN EXCEPCIÓN LA INSTALACIÓN Y/O USO DE CUALQUIERTIPO DE JUEGO A TRAVÉS DE INTERNET, ASÍ COMO LA UTILIZACIÓNDE LA RED PARA TRATAR O PROMOVER NEGOCIOS PERSONALES.
Política sobre el uso de controles criptográficos
La Superintendencia Nacional deSalud utiliza técnicas de cifradopara la protección de lainformación de acuerdo con lasexigencias normativas y su criterioo criticidad de la información acifrar
Política de protección de llaves criptográficas
Se implementa en la Superintendencia Nacionalde Salud un sistema de administración de clavescriptográficas para garantizar la confidencialidade integridad de la información sensible de laEntidad.Las claves criptográficas son un activo deinformación esencial para proteger laconfidencialidad e integridad de la información,garantizando así que tanto el emisor como elreceptor de la información, envían y recibeninformación fidedigna, veraz e integra
Política de seguridad física y del entorno
Los mecanismos de control de acceso físico para elpersonal y terceros deben permitir el acceso a lasinstalaciones y áreas restringidas de la entidad solo alpersonal autorizado para la salvaguarda de los equipos decómputo y comunicaciones.La empresa de vigilancia de la Entidad, debe ser elresponsable de permitir o denegar acceso a las áreascríticas de la misma.Las áreas de procesamiento de información, como eldatacenter debe estar protegido con mecanismos quegaranticen la seguridad de los equipos, así como laintegridad, confidencialidad y disponibilidad de lainformación de la Entidad.
Política de escritorio limpio y pantalla limpia
Política de escritorios limpios para proteger documentos en
papel y dispositivos de almacenamiento removibles y una
política de pantallas limpias en las instalaciones de
procesamiento de información, a fin de reducir los riesgos de
acceso no autorizado, pérdida y daño de la información, tanto
durante el horario normal de trabajo como fuera del mismo.
La carpeta donde guarda la información de trabajo
el funcionario debe estar sincronizada con
“Onedrive”, para garantizar la disponibilidad de la
información en todo momento.
Política de controles contra códigos maliciosos
Proporcionará los mecanismos necesariosque garanticen la protección de lainformación y la plataforma tecnológica,esto incluye el procesamiento yalmacenamiento de información, paraidentificar y minimizar los riesgos, evitardivulgación, modificación o dañopermanente por la filtración de softwaremalicioso. Así mismo se culturizan a losfuncionarios, contratistas y personalexterno a la Entidad la importancia de laseguridad de la información y los ataquespor código malicioso.
Política de respaldo de la información
Los procedimientos de copias de seguridadvigentes de los sistemas de computacióndeben estar almacenados en una zonadiferente de donde reside la informaciónoriginal con el fin de asegurar la integridad ydisponibilidad de la información, esta labordebe ser realizada por el grupo deInfraestructura para los sistemas deinformación y cada uno de los funcionariospara la información contenida en elcomputador de trabajo
Política de gestión de contraseñas
PROPENDE POR PROTEGER LA INFORMACIÓN QUE TIENENNUESTROS ACTIVOS DE INFORMACIÓN, MEDIANTECONTRASEÑAS SEGURAS QUE CUMPLAN LOS MINIMOSREQUERIMIENTOS.
Política para la instalación de software
Los funcionarios de la SuperintendenciaNacional de Salud no podrán instalarningún programa o Software diferentes alos requeridos para el desempeño de susactividades. De requerirse su instalaciónserá necesaria la justificación a su jefeinmediato.Las instalaciones y/o actualizaciones de losprogramas vigentes en la SuperintendenciaNacional de Salud son realizadas por laOficina de Tecnologías de la informaciónsiendo está área la única que puederealizarlas.
Política de transferencia de información
LA SUPERINTENDENCIA NACIONAL DE SALUD ASEGURA LAPROTECCIÓN DE LA INFORMACIÓN EN EL MOMENTO DE SERTRASFERIDA O INTERCAMBIADA CON OTRAS ENTIDADES YESTABLECERÁ LOS PROCEDIMIENTOS QUE PERMITAN LASEGURIDAD, INTEGRIDAD, CONFIDENCIALIDAD YDISPONIBILIDAD DE LA INFORMACIÓN COMPARTIDA.
PROPORCIONARÁ LOS MECANISMOS NECESARIOS QUEGARANTICEN LA PROTECCIÓN DE LA INFORMACIÓN Y LAPLATAFORMA TECNOLÓGICA Y ESTO INCLUYE PARTE ELPROCESAMIENTO Y ALMACENAMIENTO DE INFORMACIÓN, ELCUAL PERMITA IDENTIFICAR Y MINIMIZAR LOS RIESGOSASOCIADOS, ADEMÁS DE EVITAR DIVULGACIÓN,MODIFICACIÓN O DAÑO PERMANENTE POR LA FILTRACIÓN DESOFTWARE MALICIOSO.
Política para desarrollo seguro
Velará porque el desarrollo interno o externo de los sistemas de información cumpla con losrequerimientos de seguridad esperados, con las buenas prácticas para desarrollo seguro deaplicativos, así como con metodologías para la realización de pruebas de aceptación yseguridad al software desarrollado. Además, se asegurará que todo software desarrollado oadquirido, interna o externamente cuenta con el nivel de soporte requerido por la Entidad
Política para las relaciones con proveedores
Los proveedores, contratistas y demáspersonal externo que trabaje para lasuperintendencia nacional de saludgarantizan la confidencialidad e integridadde la información a la cual tengan accesodurante la permanencia en las instalaciones
Política de Gestión de incidentes
Asegurar la adecuada
gestión de los incidentes
que se generen dentro de
la organización, establece
el procedimiento de
gestión de incidentes de
seguridad de lainformación
Política de Continuidad
Un proceso de continuidad de negocioscon la finalidad de mitigar el impacto deacciones como desastres naturales,accidentes, fallas de los equipos yacciones deliberadas de terceros en loscuales la entidad no tiene injerenciadirecta, pero establece acciones parapoder recuperarse rápidamente y que laoperación de la entidad no se veacomprometida.
Política de derechos de la propiedad intelectual
Establece que todo software comercial que use la superintendencia nacional de saluddeberá estar legalmente registrado. la propiedad intelectual del software comercial esexclusiva de sus desarrolladores y la superintendencia nacional de salud respeta lapropiedad intelectual y se rige por el tipo de licencia
Referencias
• https://www.argentina.gob.ar/jefatura
• www.muycomputerpro.com
• es.dreamstime.com
• www.c3systems.es