Esta es la versin html del archivo http://www.ute.com.uy/compras/normativa/1461-vg5003(Politica%20Seg.%20Inf.-%20versi%C3%B3n%20abreviada).pdf.G o o g l e genera automticamente versions html de los documentos mientras explora la web.Page 1

Poltica de Seguridad Informtica Pgina 1 de 9 NO-UTE-SI-0001/02 POLTICA DE SEGURIDAD INFORMATICA - Versin Abreviada - 2007-04-19 Elaborado por: Aprobado por: Grupo de Mejora de las Polticas de Seguridad Informtica RE 07-456 Directorio de UTE FECHA: 21 de noviembre de 2006 FECHA: 19 de abril de 2007

Page 2

NO-UTE-SI-0001/02 Poltica de Seguridad Informtica Pgina 2 de 9 0.- OBJETIVO El presente documento es una extraccin de las Polticas de Seguridad Informtica de UTE para su difusin y conocimiento en mbitos ajenos o externos a UTE. 1.- INTRODUCCIN UTE ha desarrollado sistemas de informacin que apoyan muchas de las actividades diarias de la mayora de las unidades de la Empresa. Estos sistemas no slo se han transformado en herramientas imprescindibles para gran parte de los procesos de los niveles operativos, sino que constituyen una importante fuente de datos para la toma de decisiones operativas,tcticas y estratgicas. La base de la eficacia y eficiencia de estos sistemas de informacines su credibilidad, que est dada por la confiabilidad y seguridad de la informacin que mantienen. Con tal motivo se ha definido la Poltica de Seguridad Informtica, que comprende un conjunto de normas y controles aplicables a la informacin utilizada en la Empresa, a los procesos de administracin de la misma y a toda la infraestructura y tecnologa asociada,utilizada por UTE para s o para terceros. 1.1 DEFINICIN DE SEGURIDAD DE LA INFORMACIN La informacin y los procesos que la apoyan, los sistemas y las redes son importantesactivos del negocio. Definir, alcanzar, mantener y mejorar la seguridad de la informacin es esencial para lograr los objetivos del negocio de la organizacin. Cualquiera sea la forma que tome la informacin o los medios por los que se comparta o almacene, la misma debe estar siempre protegida adecuadamente. La informacin manejada y producida por los sistemas de informacin debe ser relevante y pertinente para los procesos del negocio, debe ser entregada de manera oportuna, correcta,consistente y utilizable (principio de efectividad), procurando ser provista a travs de laptima utilizacin de los recursos (principio de eficiencia). Debe adems ser apropiada paraque la Gerencia pueda cumplir con sus responsabilidades relacionadas con la operacin de la Empresa (principio de confiabilidad) y con el cumplimiento de leyes, regulaciones y acuerdos contractuales (principio de cumplimiento). La seguridad de la informacin se orienta a preservar los siguientes principios de la seguridad informtica: Confidencialidad: La informacin debe estar protegida contra la divulgacin no autorizada y solo puede ser accedida por las personas autorizadas. Integridad: La informacin debe ser precisa, completa y vlida de acuerdo con los valores y expectativas del negocio, por lo que debe estar protegida contra la alteracin, eliminacin odestruccin no autorizadas o en forma accidental. Disponibilidad: La informacin debe estar disponible cuando sea requerida por los procesos de negocios, ahora y en el futuro; esto incluye la salvaguarda de los recursosnecesarios y capacidades asociadas.

Page 3

NO-UTE-SI-0001/02 Poltica de Seguridad Informtica Pgina 3 de 9 1.2 OBJETIVO DE LA SEGURIDAD DE LA INFORMACIN El objetivo principal de la seguridad de la informacin es la proteccin de la informacincontra una amplia gama de amenazas para asegurar la continuidad de las operaciones de laEmpresa, reducir al mnimo los daos causados por una contingencia y maximizar el retorno de las inversiones y las oportunidades de negocio. Los controles que se consideran prctica habitual para conseguir la seguridad de lainformacin, comprenden: a) la documentacin de la poltica de seguridad de la informacin b) la asignacin de responsabilidades de seguridad c) la concienciacin, formacin y capacitacin en seguridad de la informacin d) el correcto procesamiento de las aplicaciones e) la gestin de la vulnerabilidad tcnica f) la gestin de la continuidad del negocio g) la gestin de incidentes de seguridad de la informacin 2.- MARCO DE REFERENCIALa seguridad de la informacin se consigue implementando un conjunto adecuado decontroles, incluyendo polticas, procesos, procedimientos, estructuras organizativas y funciones de hardware y software. Estos controles deben ser establecidos, implementados, supervisados, revisados y mejorados cuando fuere necesario para asegurar que se cumplenlos objetivos especficos de seguridad de la Empresa. Estas tareas deben realizarse enforma conjunta con los otros procesos de la administracin del negocio. Sobre la base de la familia de normas ISO/IEC relativas a la seguridad de la informacin y a las mejores prcticas recomendadas por organismos de reconocido prestigio tales comoColegio Nacional de Contadores, Information Systems Audit & Control Association, Information Systems Audit & Control Foundation, Instituto Uruguayo de Auditora Interna,Institute of Internal Auditors, UNIT, etc., la Empresa identificar los requisitos de seguridad, considerando la evaluacin de los riesgos de la Organizacin, los requisitos externos(legales, normativos y contractuales) y los requisitos internos (principios y objetivos queforman parte del procesamiento de la informacin). En base a estos criterios seimplementarn los controles y los procesos que permitan evaluar, mantener y gestionar laseguridad de la informacin. 3.- POLTICAS GENERALES 3.1 CUMPLIMIENTO DE REQUISITOS LEGALES,REGULADORESY CONTRACTUALES Se debe identificar, analizar y aplicar en los procesos de negocio las normas relativas a la seguridad de la informacin incluidas en leyes, decretos y reglamentaciones de organismosnacionales e internacionales que sean de aplicacin obligatoria en UTE. La utilizacin de cualquier producto de software o informacin de terceras partes debeceirse a las especificaciones de uso de su autor.

Page 4

NO-UTE-SI-0001/02 Poltica de Seguridad Informtica Pgina 4 de 9 3.2 REQUISITOS DE FORMACIN, ENTRENAMIENTO Y CONOCIMIENTO EN SEGURIDAD Todos los empleados (en cualquier carcter), consultores y personal contratado, que hacen uso de la informacin provista por UTE, deben participar de las actividades de capacitacinnecesarias para proteger adecuadamente los recursos de informacin de UTE. Estas actividades deben estar incluidas en un plan de formacin continua que abarque los diferentes aspectos de la presente Poltica. Todas las personas que brinden sus servicios a UTE, ya sean proveedores, o socios denegocio, deben estar en conocimiento y cumplir con la Poltica de Seguridad Informtica. Esta obligacin estar debidamente especificada en los acuerdos contractuales que tengancon UTE dependiendo de la naturaleza del servicio. 3.3 ATRIBUTOS DE LA INFORMACIN La informacin presenta grados variables de sensibilidad y criticidad. El esquema de sensibilidad a utilizar en UTE considera cuatro niveles: Confidencial: solo puede acceder a este tipo de informacin una lista de personas. Restringida a la Empresa: el acceso a este tipo de informacin solo es permitido a personas dentro de la Empresa. Compartible con terceros ajenos a la Empresa: informacin que se puede compartir con grupos de personas u organismos ajenos a la Empresa, previoacuerdo escrito de divulgacin o confidencialidad. Pblica: informacin que por sus caractersticas la Empresa puede publicar enprensa, Internet, etc. La informacin deber ser protegida contra la divulgacin no autorizada, por ejemplo atravs del correo electrnico, disquetes, o cualquier otro medio. La informacin confidencial que sea trasportada por terceros o trasmitida por un medio de comunicacin inseguro (Internet, disquete, etc.) deber contar con protecciones adicionales (encriptacin, contratos, precintos, etc.). La informacin confidencial debe ser explcitamente identificada como tal y debe ser destruida al final de su vida til. Los informes de naturaleza confidencial deben imprimirse de acuerdo a un procedimientoque garantice la privacidad de la informacin. La informacin debe estar disponible cuando sta es requerida por los procesos de negocio de la Empresa. En consecuencia, se deben adoptar las medidas necesarias parasalvaguardar la misma as como los recursos necesarios para su procesamiento. 3.4 GESTIN DE CONTINUIDAD DEL NEGOCIO La informacin involucrada en operaciones crticas de la Empresa, debe contar alternativas adecuadas que permitan recuperar la operativa ante contingencias, de modo de reducir almnimo los daos causados por las mismas.

Page 5

NO-UTE-SI-0001/02 Poltica de Seguridad Informtica Pgina 5 de 9 3.5 INCIDENTES DE SEGURIDAD Los usuarios, ante cualquier sospecha o evidencia de violacin de seguridad de lainformacin o de la presente poltica, deben reportar en forma directa o a travs de su lneajerrquica la situacin inmediatamente a la Divisin Sistemas de Informacin (en adelanteSIS) y/o a la correspondiente Unidad Administradora de Recursos Informticos (en adelanteUARI) segn entienda conveniente. SIS y la UARI ante un incidente de seguridad deben tomar las medidas pertinentes para minimizar el impacto en la continuidad del negocio, dando aviso al responsable funcional. Deacuerdo al caso se dispondr la adopcin de las medidas cautelares que se considerenecesarias. SIS y la UARI deben reportar todo incidente de seguridad cuanto antes a la Unidad deSeguridad Informtica, quien registrar el mismo y realizar la investigacin tcnicacorrespondiente. En funcin de los resultados del estudio tcnico podr solicitar el inicio de una investigacin administrativa. Seguridad Informtica debe informar a las UARIs y a las unidades administradoras de recursos de SIS de todo incidente de seguridad que pueda afectar alguno de los recursos que dichas unidades administran. Seguridad Informtica debe: disear los procedimientos para el reporte y administracin de problemas, que permitan registrar los mismos, reducir su incidencia y prevenir su recurrencia. Los usuarios deben estar en conocimiento de estos procedimientos, los que sern difundidos en los planes de formacin correspondientes, realizar anualmente un anlisis de las violaciones y problemas reportados (y de los efectos asociados) y elevar un plan de accin al Comit de Seguridad de laInformacin, informar peridicamente a las UARIs sobre las incidencias de seguridad detectadas ylos efectos que provocaron en la Empresa. conservar bajo custodia, la informacin relativa a violaciones, problemas oinvestigaciones relacionadas con la seguridad de la informacin durante al menoscinco (5) aos. SIS y las UARIS debern informar a Seguridad Informtica y al Comit de Seguridad de la Informacin las violaciones y problemas reportados en su mbito de forma de contar con un nico repositorio de incidentes. 3.6 RESPONSABILIDAD DE LA DIRECCIN Es responsabilidad de la Direccin y de las gerencias y jefaturas de UTE, el velar por elcumplimiento de esta Poltica, as como proveer los recursos necesarios para asegurar laseguridad de la informacin corporativa. 4.- POLTICAS ESPECFICAS Todos los usuarios estn obligados a cumplir y hacer cumplir (en su marco de actuacin)todas las polticas y procedimientos de seguridad vigentes.

Page 6

NO-UTE-SI-0001/02 Poltica de Seguridad Informtica Pgina 6 de 9 4.1 POLTICA SOBRE PROPIEDAD INTELECTUAL DE SOFTWARE Todo software de terceros que se utilice en la Empresa debe tener un acuerdo de licencia debidamente documentado. Este acuerdo deber indicar si existe alguna limitacin en su utilizacin, como ser alguna limitacin al nmero de equipos informticos en los cuales puede ser instalado el software, alguna limitacin al nmero de usuarios concurrentes, etc. Se deben realizar revisiones peridicas del software instalado en los equipos informticos de la Empresa a efectos de verificar el cumplimiento de los acuerdos de licencia vigentes. Todo software desarrollado en la Empresa por personal propio o ajeno es propiedadintelectual de UTE, debiendo analizarse en todo caso la conveniencia de su inscripcin en el Registro de Derechos de Autor. 4.2 POLTICA SOBRE CONTROLES DE SEGURIDAD FSICA La seguridad fsica de los Centros de Procesamiento de Datos, de las bvedas de almacenamiento y de todos los locales donde existan recursos informticos o decomunicaciones de uso Empresarial, es necesaria por las siguientes razones: a) Para evitar la utilizacin no autorizada de los recursos. b) Para garantizar que los recursos estn protegidos contra peligros naturales, hurtoy dao. 4.2.1.- Acceso fsico El acceso fsico al equipamiento informtico, fuentes de energa elctrica, cableado, aireacondicionado, provisin de agua, sector de conexiones de telecomunicaciones y perifricos, debe limitarse al personal que lo necesita para el desempeo de sus tareas habituales. El acceso fsico a las instalaciones y al equipamiento informtico ser autorizado por elresponsable de la instalacin de acuerdo a un procedimiento establecido para ello.Debe registrarse en un sistema de control de visitas, cualquier acceso por parte de terceros y funcionarios a los locales con equipamiento informtico crtico, cualquiera sea el motivo dela visita. Al acceder al local, la persona deber estar debidamente identificada, por ejemplopresentando su cdula de identidad o tarjeta de identificacin de funcionario. 4.2.2.- Controles y servicios auxiliares El equipamiento informtico crtico debe albergarse en un ambiente equipado condispositivos para la deteccin y extincin de incendios. Los dispositivos mencionados debern ser probados peridicamente. Las instalaciones deben contar con rutas de escape y salidas de emergenciaadecuadamente sealizadas, para facilitar la evacuacin del personal en forma rpida y segura en caso de siniestro. Deben existir fuentes de energa ininterrumpibles (UPS, bancos de bateras, inversores y grupos generadores si corresponde) para garantizar la disponibilidad del servicio en caso defalla del suministro de energa elctrica, de acuerdo a los niveles de servicio requeridos.

Page 7

NO-UTE-SI-0001/02 Poltica de Seguridad Informtica Pgina 7 de 9 Deben instalarse unidades de aire acondicionado para mantener un ambiente con los niveles de temperatura y humedad determinados por los fabricantes del equipamientoinformtico. Las instalaciones que alberguen las principales componentes de la infraestructuratecnolgica (Centros de Procesamiento de Datos, Palacio de la Luz, etc.) deben tener un sistema de control que permita monitorizar todos los servicios auxiliares (detectores dehumo, temperatura y humedad), y que permita visualizar la actividad en cada una de las salas. Los controles de acceso fsico y lgico para las copias de respaldo (back-up) de registros ydatos esenciales que se conservan en bvedas de almacenamiento deben tener el mismonivel de proteccin que se da para los originales. Los soportes que se utilizan para mantener datos fuera de lnea deben tener el mismo nivel de proteccin que se brinda para los datos en lnea. La ubicacin del equipamiento informtico, de las instalaciones de comunicaciones y de los respaldos de informacin debe estar en reas diseadas para garantizar que el acceso fsico est bajo control y se mantienen las condiciones edilicias y ambientales adecuadas. Todo el equipamiento informtico debe estar identificado e inventariado mediante un cdigonico que adems se pueda visualizar en el equipo y cualquier modificacin al inventario debe ser autorizada por SIS o por la UARI si corresponde a equipamiento dentro de sumbito de accin. Peridicamente SIS y las UARIs en sus respectivos mbitos de accin deben realizar una revisin general de las instalaciones y de su equipamiento informtico, que incluya laverificacin de los contratos de seguros sobre la base de un anlisis costo-beneficio y a las directrices impartidas por la Empresa. 4.3 POLTICA SOBRE ADQUISICIN DE HARDWARE Y SOFTWARE Siempre que se adquiera hardware y/o software para procesar informacin crtica de la Empresa se deber evaluar la trayectoria del proveedor, la continuidad del producto y sus certificaciones en calidad del proceso y producto. La seguridad debe ser considerada a lo largo de todo el proceso de adquisicin, desde la especificacin de los requerimientos hasta la implantacin del software. Los requerimientos de seguridad deben estar identificados y documentados antes de la eleccin del software a adquirir. Se debe procurar que el proveedor firme un acuerdo escrito de integridad en el cual asegureque todas las caractersticas del hardware y/o software estn documentadas y que no contiene mecanismos ocultos que puedan comprometer la seguridad informtica. Las contraseas que provee el vendedor del software debern ser cambiadas, en formainmediata una vez terminada su instalacin, por otras que cumplan con las reglas definidas en la presenta poltica, excepto que exista una razn tcnica que lo haga desaconsejable (locual se deber documentar). En toda adquisicin de hardware y/o software debe asegurarse el cumplimiento de la polticade seguridad de la Empresa. Toda adquisicin de equipamiento informtico y/o software debe ser gestionada a travs de SIS o por otras unidades en coordinacin con SIS, salvo excepciones acordadas y debidamente documentadas.

Page 8

NO-UTE-SI-0001/02 Poltica de Seguridad Informtica Pgina 8 de 9 Todo software que se adquiera deber contar con una licencia que permita la realizacin decopias con fines de respaldo. SIS o las UARIs en sus correspondientes mbitos de accin realizarn la administracin delos usuarios predefinidos en el software adquirido a terceros, como si fueran usuarios reales.El acceso a las contraseas de estos usuarios estar fuertemente restringido sobre la basede los principios "necesidad de saber" y "necesidad de hacer".

Page 9

NO-UTE-SI-0001/02 Poltica de Seguridad Informtica Pgina 9 de 9 NDICE 0.-OBJETIVO ................................................................................................................................ 21.-INTRODUCCIN..................................................................................................................... 21.1DEFINICIN DE SEGURIDAD DE LA INFORMACIN................................................... 21.2OBJETIVO DE LA SEGURIDAD DE LA INFORMACIN................................................. 32.-MARCO DE REFERENCIA ................................................................................................... 33.-POLTICAS GENERALES ..................................................................................................... 33.1CUMPLIMIENTO DE REQUISITOS LEGALES, REGULADORES YCONTRACTUALES........................................................................................................................... 33.2REQUISITOS DE FORMACIN, ENTRENAMIENTO Y CONOCIMIENTO ENSEGURIDAD...................................................................................................................................... 43.3ATRIBUTOS DE LA INFORMACIN ................................................................................. 43.4GESTIN DE CONTINUIDAD DEL NEGOCIO.................................................................. 43.5INCIDENTES DE SEGURIDAD ........................................................................................... 53.6RESPONSABILIDAD DE LA DIRECCIN ......................................................................... 54.-POLTICAS ESPECFICAS.................................................................................................... 54.1POLTICA SOBRE PROPIEDAD INTELECTUAL DE SOFTWARE ................................. 64.2POLTICA SOBRE CONTROLES DE SEGURIDAD FSICA ............................................. 64.2.1.-Acceso fsico.................................................................................................................... 64.2.2.-Controles y servicios auxiliares ...................................................................................... 64.3POLTICA SOBRE ADQUISICIN DE HARDWARE Y SOFTWARE .............................. 7