CENTRO DE ALTOS ESTUDIOS NACIONALES

CALEN
Curso de Ciberseguridad
Profesores:
CN Ing. Roberto Ambrosoni
Tte. Cnel. Ing. Pablo Camps
Gabriel Baycorria
DOCUMENTO 1
Grupo 4:
Cnel. Helder de Freitas
Ing. Guillermo Rehermann
Carlos Prez
Poltica de Seguridad
de la Informacin
Versin 1
Pgina 1 de 29
Contenido
Revisiones del documento........................................................................................................................ 3
Premisas del ambiente objeto de este anlisis........................................................................................... 4
a) Letra del proyecto......................................................................................................................................4
b) Premisas complementarias........................................................................................................................4
c) Contexto.....................................................................................................................................................5
Glosario de trminos................................................................................................................................ 6
1. Organizacin....................................................................................................................................... 11
. !ntroduccin....................................................................................................................................... 11
3. Obje"vos............................................................................................................................................ 1
4. #lcance............................................................................................................................................... 1
$. %ontrol de cambios & a'robacin........................................................................................................ 1
6. Pol("ca de seguridad........................................................................................................................... 13
). *eguridad organizacional.................................................................................................................... 13
7.1 Infraestructura de la Seguridad de la Informacin................................................................................1!
7." #e$isin peridica independiente..........................................................................................................1!
7.! Coordinacin de la Seguridad de la Informacin...................................................................................14
7.4 %e&nicin de responsables sobre la informacin..................................................................................14
+. %lasi,cacin & control de ac"vos......................................................................................................... 1$
'.1 (edidas de seguridad generales...........................................................................................................15
'." Clasi&cacin de la informacin..............................................................................................................1)
'.! (anipulacin de la informacin............................................................................................................1)
-. *eguridad del 'ersonal........................................................................................................................ 1)
*.1 #esponsabilidades generales.................................................................................................................17
*." #espuestas a incidentes de seguridad...................................................................................................17
1.. /so ace'table de los recursos............................................................................................................ 1+
1+.1 ,so de Internet....................................................................................................................................1'
1+." ,so de las comunicaciones telefnicas................................................................................................1'
11. *eguridad 0sica & ambiental.............................................................................................................. 1-
11.1 Controles de acceso -sico....................................................................................................................1*
11." Per.metro de seguridad y seguridad de o&cinas..................................................................................1*
11.! Seguridad del e/uipamiento................................................................................................................"+
11.4 Pol.0ca de escritorios limpios y pantallas limpias................................................................................"+
Curso de Ciberseguridad Centro de Altos Estudios Nacionales
Pgina 2 de 29
1. #d1uisicin2 desarrollo & mantenimiento de los sistemas de in3ormacin..........................................1
1".1 %esarrollo interno e implantacin de sistemas..................................................................................."1
1"." #e/uisitos de seguridad de los sistemas.............................................................................................."1
1".! 1mbientes para el proceso de desarrollo............................................................................................""
1".4 Implantacin de so23are creado externamente................................................................................""
1".5 4ratamiento de datos sensibles en la red e internet............................................................................""
1".) 1n5lisis de seguridad externo..............................................................................................................""
13. Ges"n de la con"nuidad del negocio............................................................................................... 3
14. %um'limiento legal & norma"vo........................................................................................................ 3
14.1 Licencias de so23are..........................................................................................................................."4
1$. 4ibliogra0a....................................................................................................................................... $
Curso de Ciberseguridad Centro de Altos Estudios Nacionales
Pgina 3 de 29
Revisiones de do!u"en#o
Elaboracin: Grupo 4
Guillermo Rehermann
Helder F. Braga
Carlos Pre
Revisin: Grupo 4 Aprobacin Urugnesis
Fecha! "#$%&$"%'4 Fecha!
Versin 2:
Guillermo Rehermann
Helder F. Braga
Carlos Pre
Fecha! %($%)$"%'4
Curso de Ciberseguridad Centro de Altos Estudios Nacionales
Pgina 4 de 29
Pre"isas de a"bien#e ob$e#o de es#e an%isis
a& Le#ra de pro'e!#o
Se deber establecer una poltica de seguridad de la informacin para una empresa
nacional de mediano porte, cuyo giro es la biotecnologa aplicada a la produccin
agropecuaria, llamada Urugnesis biotecnologa.
La infraestructura geogrfica de la empresa consta de una casa central, en la capital del
pas, y cuatro sucursales en los siguientes departamentos: rtigas, !anelones, "aldonado y
#oc$a. La cone%in entre todos los locales debe ser permanente.
La organi&acin empresarial es sencilla, se puede clasificar en tres sectores bien
diferenciados: 'erencia, !ontabilidad y (roduccin.
Urugnesis produce para el mercado interno y para la e%portacin. La informacin
mane)ada por la gerencia es e%tremadamente confidencial y sera un riesgo para la
continuidad del negocio si fuera mane)ada por cual*uiera de los otros dos sectores de la
empresa.
dems del correo electrnico, la empresa mantiene un sitio +eb del cual depende su
,nculo con clientes de todo el mundo. -l ser,icio de intercambio de arc$i,os debe estar
garanti&ado por su relacin con los pedidos de mercadera.
.esde otros pases $ay in,estigadores *ue traba)an remotamente, usando y aportando
informacin sensible para la continuidad de las in,estigaciones de a,an&ada *ue lle,a
adelante la empresa.
Los ,isitantes a la casa central, en "onte,ideo, deben poder acceder a /nternet
utili&ando un enlace inalmbrico.
b& Pre"isas !o"pe"en#arias
0os parece interesante fi)ar algunas premisas adicionales, para enmarcar con me)or
precisin el plan de seguridad *ue ,amos a proponer.
La definicin de la magnitud de la empresa, como de mediano porte en Uruguay,
permite asumir un cierto margen para la in,ersin en tecnologa y seguridad de la
informacin.
(or otra parte, el tama1o de la empresa tambin fa,orece la difusin y adopcin de una
cultura corporati,a 2nica, con fle%ibilidad y posibilidades de control real. -sto es
ine%istente en una (3"- y muy difcil de controlar o con posibilidades de cambio
fle%ibles, en una gran empresa.
simismo, una empresa de rango medio se relacionar con otras desde una posicin de
cliente, debiendo en este caso asegurarse el cumplimiento de ciertos criterios de seguridad
por parte de sus pro,eedores.
.eterminar un giro industrial altamente probable en nuestro pas, nos ayuda a precisar
con mayor e%actitud el conte%to de seguridad *ue debe ser identificado para dar comien&o
a nuestro traba)o. gregamos una ra&n de peso para la seguridad de las comunicaciones
*ue puedan establecerse, desde /nternet, con los sistemas de la empresa, por*ue en este
caso la in,estigacin es una acti,idad ,ital para crecer y diferenciarse en el mercado de la
biotecnologa.
Curso de Ciberseguridad Centro de Altos Estudios Nacionales
Pgina 5 de 29
!& Con#e(#o
-n base a lo anterior, ,amos a asumir el siguiente conte%to:
c.45 La cultura corporati,a 2nica y controlable est basada en el dilogo abierto y
respetuoso con la organi&acin sindical, aspecto este *ue permite asegurar el
cumplimiento de la poltica de seguridad *ue ser planteada en este documento.
Una prctica corporati,a *ue impulsa la superacin del personal, en un ambiente de
dilogo y respeto, fa,orece la comprensin del plan de seguridad informtica *ue
se proponga y, en consecuencia, su correcta aplicacin.
c.65 -l giro altamente competiti,o e%pone a la empresa a enfrentarse a muc$as
situaciones riesgosas: desde litigios internacionales por patentes $asta acciones de
espiona)e industrial y comercial.
La biotecnologa es $oy un aspecto del conocimiento $umano *ue est a la
,anguardia en cuanto a la aplicacin inmediata de la ciencia a la produccin
material. Se comprende entonces la necesidad de securiti&ar al m%imo las
comunicaciones confidenciales y los datos generados por la acti,idad de la
empresa, tanto en el rea de in,estigacin como en la de comerciali&acin.
c.75 La seguridad en las comunicaciones es esencial, tanto para el funcionamiento de los
ni,eles gerenciales, como para asegurar el traba)o de los in,estigadores en el
e%terior. Los datos generados por estos actores son de importancia sustanti,a, pues
aseguran la rentabilidad de las in,ersiones reali&adas en inno,acin y desarrollo.
c.85 La produccin para el mercado interno $ace sustentable en el tiempo el
mantenimiento y desarrollo de importantes nic$os en el e%terior. tender tanto a
los clientes en el pas como en el e%terior implica el funcionamiento
ininterrumpido del sitio +eb. dems, toda la informacin generada por los
clientes cuando utili&an los ser,icios +eb brindados en el sitio, es un insumo
importante en la toma de decisiones respecto al desarrollo de las nue,as lneas de
in,estigacin9produccin.
Curso de Ciberseguridad Centro de Altos Estudios Nacionales
Pgina 6 de 29
Gosario de #)r"inos
Se definen a*u los trminos *ue se utili&arn com2nmente en el presente documento. -ste
glosario garanti&a la unificacin de criterios y significados, permitiendo *ue se apli*uen
consistentemente en todas las reas de la empresa.
Acceso remoto:
!onectarse a los recursos informticos de red desde una ubicacin e%terna, a tra,s
de una red p2blica.
Accin correctiva:
:area *ue se lle,a a cabo para eliminar la causa de una no conformidad con las
normas y pre,enir su repeticin. -s ms *ue una simple correccin.
Aceptacin del riesgo:
.ecisin informada de asumir un riesgo concreto.
Activo:
:odo a*uello *ue ,iene ,alor para la empresa. -n relacin con la seguridad de la
informacin, se refiere a cual*uier informacin o elemento relacionado con el
tratamiento de la misma, *ue tenga ,alor para la organi&acin.
Administrador de la informacin:
-s una persona a la *ue los responsables de la informacin le $an delegado
obligaciones sobre el mane)o de la misma.
Alcance:
mbito de la empresa *ue *ueda sometido al Sistema de 'estin de la Seguridad de
la /nformacin.
Amenaza:
!ausa potencial de un incidente no deseado, *ue puede pro,ocar da1os a un sistema
o a la empresa.
Anlisis de riesgo:
(roceso para comprender la naturale&a del riesgo y determinar su ni,el de
peligrosidad para la consecucin de los ob)eti,os del negocio.
Asociado del negocio:
(ara la empresa, sus actuales asociados de negocios coinciden con los in,estigadores
*ue traba)an desde el e%terior en los proyectos de inno,acin y desarrollo de la
misma.
Auditora:
(roceso sistemtico, independiente y documentado para obtener e,idencias de
auditora y e,aluarlas ob)eti,amente para determinar el grado en el *ue se cumplen
los criterios establecidos por la poltica de seguridad de la informacin.
Autenticacin:
(roceso por el cual un sistema informtico confirma la identidad de un usuario,
e*uipo u otro sistema. Usualmente a tra,s de la ,alidacin de una cuenta y el
es*uema de ,erificacin de contrase1as.
Autenticidad:
(ropiedad *ue permite afirmar *ue una entidad es lo *ue afirma ser.
Autorizacin:
(ermisos asociados con la identidad de un usuario, a los cuales ste puede acceder
Curso de Ciberseguridad Centro de Altos Estudios Nacionales
Pgina 7 de 29
luego de su autenticacin.
BCI:
;usiness !ontinuity (lan. (lan de continuidad del negocio, asimilable a el con)unto
de los planes de contigencia utili&ados por la empresa.
CID:
crnimo en espa1ol de confidencialidad, integridad y disponibilidad, las
dimensiones bsicas de la seguridad de la informacin.
Cifrado:
plicacin de un algoritmo especfico a los datos a fin de alterar su apariencia y
,ol,erlos incomprensibles, de manera tal *ue solo puedan ser accedidos por el
destinatario.
Concientizacin:
(roceso por el cual se pro,oca la toma de conciencia, de todos los in,olucrados, con
respecto a los problemas de la seguridad de la informacin y las acciones *ue se
toman para e,itar los riesgos in$erentes a su mane)o.
Confidencialidad:
(ropiedad de la informacin *ue determina *ue la misma no est disponible ni sea
re,elada a indi,iduos, entidades o procesos no autori&ados.
Control:
Las polticas, los procedimientos, las prcticas y las estructuras organi&ati,as
concebidas para mantener los riesgos de seguridad de la informacin por deba)o del
ni,el de riesgo asumido. !ontrol es tambin utili&ado como sinnimo de sal,aguarda
o contramedida.
CPD, Data Center:
-s el lugar fsico en el cual estn resguardados los ser,idores principales de la
empresa, sus bases de datos y los espacios de almacenamiento de la informacin
generada en el mbito de la misma.
Datos:
!ual*uier pie&a de informacin, sin importar la forma, contenida o procesada por el
e*uipamiento de sistemas de informacin, redes de comunicaciones o medios de
almacenamiento. -stos datos pueden presntarse en diferentes medios, incluyendo:
copias impresas, medios magnticos, fic$as, almacenamientos en lnea, materiales
fsicos, etc.
Desastre:
!ual*uier e,ento accidental, natural o malintencionado *ue interrumpe las
operaciones o ser,icios $abituales de la empresa durante un tiempo suficiente como
para ,erse afecta la misma de manera significati,a.
Disponibilidad:
!aracterstica de los datos, informacin y sistemas de informacin, *ue determina
*ue stos sean accesibles y utili&ables en el momento y formas re*ueridas por
*uienes estn autori&ados.
D!:
<ona desmilitari&ada o red perimetral. -s una red local *ue se ubica enre la red
interna de la organi&acin y una red e%terna, generalmente /nternet. Su ob)eti,o es
recibir las cone%iones desde la red interna y desde la red e%terna, pero solo permitir
Curso de Ciberseguridad Centro de Altos Estudios Nacionales
Pgina 8 de 29
permitir las cone%iones $acia la red e%terna. (ermite brindar ser,icios a la red
e%terna a la ,e& *ue protege la red interna.
"ntidad certificadora:
-mpresa u organismo acreditado por una utoridad !ertificadora =!5 *ue puede
emitir certificados electrnicos y administrar su autenticidad y ,alide& a lo largo del
tiempo.
"stimacin de riesgos:
(roceso global de identificacin, anlisis y estimacin de riesgos *ue luego debern
ser e,aluados para determinar si su magnitud es aceptable o tolerable.
#ire$all %cortafuego&:
/dentifica a un ser,icio de red *ue permite el filtrado de los pa*uetes de red, su re>
enrutamiento o redefincin. (uede ser utili&ado como un ser,icio com2n en un
e*uipo informtico cuyas interfaces de red comuni*uen a distintas sub>redes o puede
estar embebido en un $ard?are especialmente fabricado a esos efectos.
#irma electrnica:
-s un concepto )urdico *ue define el e*ui,alente electrnico de la firma manuscrita.
Una firma electrnica crea un $istorial de auditoria *ue incluye la ,erificacin de
*uin en,a el documento firmado y la marca de fec$a y $ora.
#uncionario, empleado:
@ace referencia a todo el personal de la empresa.
#'P:
Ser,icio de transferencia de arc$i,os, publicado $acia /nternet o la intranet.
(estin de claves:
@ace referencia a los controles relacionados a la gestin de cla,es criptogrficas.
ID):
Sistema de deteccin de intrusos =/ntrusion .etection System5, es un programa usado
para detectar accesos no autori&ados a un computador o a una red. -l /.S suele tener
sensores ,irtuales =por e)emplo, un sniffer de red5 con los *ue el n2cleo del /.S
puede obtener datos e%ternos =generalmente sobre el trfico de red5. -l /.S detecta,
gracias a dic$os sensores, anomalas *ue pueden ser indicio de la presencia de
ata*ues o falsas alarmas.
Integridad:
!aracterstica de los datos y la informacin *ue los identifica como correctos y
completos. La preser,acin de la correccin y completitud de los mismos debe estar
garanti&ada por la certe&a *ue el ingreso, modificacin o eliminacin de los datos es
reali&ado solamente por personal autori&ado.
Inventario de activos:
Lista de todos a*uellos recursos =fsicos, de informacin, soft?are, documentos,
ser,icios, personas, intangibles, etc.5 dentro del alcance del Sistema de 'estin de la
Seguridad de la /nformacin, *ue tengan ,alor para la organi&acin y necesiten por
tanto ser protegidos de potenciales riesgos.
I)*:
Argani&acin /nternacional de 0ormali&acin, con sede en 'inegra. -s una
agrupacin de entidades nacionales de normali&acin, cuyo ob)eti,o es establecer y
gestionar estndares.
Curso de Ciberseguridad Centro de Altos Estudios Nacionales
Pgina 9 de 29
I)*+I"C ,-./0:
0orma conocida como B!riterios !omunesB =!!5. (roporciona un con)unto de
re*uisitos funcionales comunes para los productos de :/, los *ue permiten comparar
los resultados entre distintas e,aluaciones independientes de dic$os productos. La
palabra producto $ace referencia a $ard?are, soft?are o firm?are.
I)*+I"C 12//,:
0orma *ue establece los re*uisitos para un sistema de gestin de la seguridad de la
informacin =S'S/5. (rimera publicacin en 6CCDE segunda edicin en 6C47. -s la
norma en base a la cual se certifican los S'S/ a ni,el mundial.
I)*+I"C 12//1:
!digo de buenas prcticas en gestin de la seguridad de la informacin. (rimera
publicacin en 6CCDE segunda edicin en 6C47. 0o es certificable.
L0:
Local rea 0et?orF, red de rea local. /dentifica a un grupo de computadores en red,
*ue por estar cerca fsicamente se conectan a una misma subred dentro de la
empresa.
3o conformidad:
/ncumplimiento de un re*uisito de este documento.
3o repudio:
-l no repudio es un ser,icio de seguridad *ue permite probar la participacin de las
partes en una comunicacin.
Plan de continuidad del negocio:
(lan orientado a permitir la continuacin de las principales funciones del negocio en
el caso de un e,ento impre,isto *ue las ponga en peligro.
Proceso:
!on)unto de acti,idades interrelacionadas o interactuantes, *ue transforman unas
entadas en salidas.
Proveedor:
(ersona fsica o )urdica *ue pro,ee o abastece a Urugnesis de bienes o ser,icios.
.ebe cumplir con algunas normas especficas para colaborar al mantenimiento y
aplicacin de la poltica de seguridad de la informacin.
4ecursos de tratamiento de informacin:
!ual*uier sistema, ser,icio o infraestructura de tratamiento de informacin o
ubicaciones fsicas utili&adas para su alo)amiento.
4egistro:
Se refiere a cual*uier informacin generada como resultado de un procedimiento o
utili&ada de acuerdo con un procedimiento y cuyos re*uerimientos obliguen a su
retencin.
4iesgo:
(osibilidad de *ue una amena&a concreta pueda e%plotar una ,ulnerabilidad para
causar una prdida o da1o en un acti,o de informacin. Suele considerarse como una
combinacin de la probabilidad de un e,ento y sus consecuencias.
)eguridad de la informacin:
(reser,acin de la confidencialidad, integridad y disponibilidad de la informacin.
Curso de Ciberseguridad Centro de Altos Estudios Nacionales
Pgina 10 de 29
)eguridad fsica:
!on)unto tangible de controles aplicados al acceso a a*uellos acti,os de informacin
*ue impactan en la operacin continua del ambiente informtico y en la continuidad
del negocio.
)eguridad lgica:
!ontroles basados en soft?are, comunes en los sistemas de informacin, dispuestos
para cumplir con los ob)eti,os de la poltica de seguridad de la informacin.
)ervicios de terceros:
-n este documento, los ser,icios de terceros incluyen: almacenamiento de datos,
pro,eedores de $ard?are9soft?are, consultores de negocio y personal de seguridad.
)()I:
Sistema de 'estin de la Seguridad de la /nformacin.
)istemas de informacin:
!on)unto de acti,os de informacin *ue permiten la toma de decisiones en el
negocios, independiente del medio en *ue se encuentren soportados.
))5:
Secure SocFets Layer, capa de cone%in segura. -s un protocolo criptogrfico *ue
proporciona una comunicacin segura en una red, com2nmente /nternet.
'razabilidad:
!ualidad *ue permite *ue todas las acciones reali&adas sobre la informacin o un
sistema de tratamiento de la informacin sean asociadas de modo ine*u,oco a un
indi,iduo o entidad.
'I:
bre,iatura de :ecnologas de la /nformacin, es una gerencia de la empresa.
6suarios principales del sistema de informacin:
#esponsable de la /nformacin: -s *uien mane)a com2nmente la informacin.
!omprende claramente la naturale&a de la misma, pudiendo ad,ertir si est completa
y es correcta. :iene capacidad para corregir la informacin en base a su propio
conocimiento. !onoce el tiempo de resguardo re*uerido para la informacin.
dministrador de la /nformacin: -s un funcionario *ue tiene la responsabilidad de
mantener y9o soportar la informacin corporati,a.
Usuario de la /nformacin: -s un empleado autori&ado a utili&ar la informacin en el
desempe1o de sus tareas.
7ulnerabilidad:
.ebilidad de un acti,o o control *ue puede ser e%plotada por una o ms amena&as.
8A3:
+ide rea 0et?orF, red de rea amplia. -s un agrupamiento de redes de rea local
=L05, *ue se e%tiende en general por un rea geogrfica grande, utili&ando una
cone%in de alta ,elocidad. (uede utili&arse como sinnimo de red interna.
Curso de Ciberseguridad Centro de Altos Estudios Nacionales
Pgina 11 de 29
*+ Organi,a!i-n
-l presente documento pretende establecer una poltica para la completa gestin de la
seguridad de la informacin en la empresa Urugnesis. -st elaborado en base a las
necesidades del negocio, utili&ando la gua para la elaboracin de documentacin ya
e%istente en la empresa.
Su organi&acin est basada en las indicaciones de la norma /SA 6GCC4 y en los
controles sugeridos por la /SA 6GCC6.
(ara ser efecti,os se aplicaron las me)ores prcticas en el conte%to del negocio,
enfocando las recomendaciones donde su utili&acin proporciona el mayor beneficio a la
organi&acin y teniendo el buen criterio de desec$ar indicaciones no aplicables a la
realidad concreta de la empresa.
La alta direccin, los gerentes, auditores, )efes de sector y directores de :/ traba)an en
armona para asegurar un proceso sistemtico, documentado y conocido por toda la
organi&acin en la elaboracin de esta poltica de seguridad de la informacin y en la
actuali&acin permanente de la misma.
.+ In#rodu!!i-n
La gestin de la seguridad de la informacin debe reali&arse mediante un proceso
sistemtico, documentado y conocido por toda la organi&acin. -ste proceso es el *ue
permite construir un Sistema de 'estin de la Seguridad de la /nformacin.
La alta direccin, los gerentes, auditores, )efes de sector y directores de :/, )unto al resto
del personal, traba)an en armona para asegurar el cumplimiento de esta poltica de
seguridad de la informacin y la actuali&acin de sus disposiciones, cada ,e& *ue sea
necesario.
-n el conte%to *ue $emos identificado, se entiende por informacin todo a*uel con)unto
de datos organi&ados, en poder de la empresa, *ue poseen ,alor para la misma,
independientemente de la forma en *ue se guarde o trasmita o de la fec$a de su
elaboracin.
Los fundamentos de la gestin correcta de la seguridad de la informacin, seg2n /SA
6GCC4, consisten en la correcta identificacin de su ciclo de ,ida y en los aspectos
rele,antes adoptados para garanti&ar:
Confidencialidad: la informacin no se pone a disposicin ni se re,ela a indi,iduos,
entidades o procesos no autori&ados.
Integridad: mantenimiento de la e%actitud y completitud de la informacin y sus
mtodos de procesamiento.
Disponibilidad: acceso y utili&acin de la informacin y de los sistemas de
tratamiento de la misma, por parte de los indi,iduos, entidades o procesos
autori&ados, cuando lo re*uieran.
-n base al conocimiento del ciclo de ,ida de cada informacin rele,ante, se debe
adoptar el uso de un proceso sistemtico, documentado y conocido por toda la
organi&acin, desde un enfo*ue de riesgo empresarial y aseguramiento de la continuidad
del negocios. -ste proceso es el ob)eti,o a lograr con el presente traba)o.
Curso de Ciberseguridad Centro de Altos Estudios Nacionales
Pgina 12 de 29
d,ertimos *ue garanti&ar un ni,el de proteccin total es ,irtualmente imposible,
incluso en el caso de disponer de un presupuesto ilimitado. -l ob)eti,o de un sistema de
gestin de la seguridad de la informacin es, por tanto, garanti&ar *ue los riesgos de la
seguridad de la informacin sean conocidos, asumidos, gestionados y minimi&ados por la
organi&acinE de una forma documentada, sistemtica, estructurada, repetible, eficiente y
adaptada a los cambios *ue se produ&can en los riesgos, el entorno y las tecnologas.
/+ Ob$e#ivos
Los ob)eti,os principales de este Sistema de 'estin de la Seguridad de la /nformacin,
son:
.efinir claramente y trasmitir a toda la organi&acin las directrices de seguridad.
Sistemati&ar de manera consistente, a lo largo del tiempo, las actuaciones de
seguridad
nali&ar y pre,enir los riesgos en los sistemas de informacin.
"e)orar los procesos y procedimientos de gestin de la informacin.
!umplir adecuadamente con la legislacin ,igente.
-stablecer una imagen de calidad frente a clientes y pro,eedores.
4+ A!an!e
-ste documento $a sido elaborado de acuerdo al anlisis de riesgos y ,ulnerabilidades
*ue, con respecto a la seguridad de la informacin, est e%puesta la empresa Urugnesis,
por lo tanto el mismo se circunscribe a esta empresa.
La poltica emanada del mismo se aplica a todos los empleados, consultores,
in,estigadores asociados y otras personas relacionadas con la empresa. /ncluye a todo
personal e%terno *ue utilice un e*uipo conectado a la red pri,ada de la compa1a.
-sta poltica tambin aplica, cuando $aya referencia e%presa, a pro,eedores o
arrendatarios de recursos tecnolgicos utili&ados por la empresa.
0+ Con#ro de !a"bios ' aproba!i-n
Las amena&as a ni,el informtico estn en continuo proceso de cambio y e%pansin.
Unido a esto, se constata un aumento constante de la dependencia del negocio de los
sistemas informacin. (or esa ra&n, estas normas debern ser re,isadas y actuali&adas en
un pla&o m%imo de seis meses a partir de su aprobacin, manteniendo esta cadencia de
actuali&acin a no ser *ue $aya la necesidad de reali&ar cambios sustanciales en la
infraestructura tecnolgica.
partir de la aprobacin de este documento por parte del !omit de Seguridad de la
empresa, se abrir una primera etapa de discusin con la direccin sindical *ue deber
culminar en la aprobacin definiti,a por parte de la direccin de Urugnesis. posteriori,
todo funcionario y persona alcan&ada por estas normas deber ser informada formalmente
de su e%istencia y comprometida con el cumplimiento de las mismas.
Curso de Ciberseguridad Centro de Altos Estudios Nacionales
Pgina 13 de 29
1+ Po2#i!a de seguridad
La poltica de seguridad de la informacin debe pro,eer directi,as y apoyo a la
direccin de la empresa, al establecer un marco de implementacin de seguridad y asegurar
el cumplimiento de la seguridad de la informacin en Urugnesis.
La poltica de seguridad de la informacin debe pro,eer una direccin estratgica
adecuada para demostrar la importancia de la seguridad de la informacin para la
organi&acin.
Las m%imas autoridades de la empresa, sus directores, deben aprobar, publicar, y
apoyar la (oltica de Seguridad de la /nformacin.
La aplicacin del S'S/ ser responsabilidad de un !omit de Seguridad /nformtica
=!S/5, integrado por representantes de la alta gerencia de la empresa, un e)ecuti,o del rea
contable, una persona perteneciente a la gerencia Aperacional, la gerencia de :ecnologas
de la /nformacin y un delegado de la organi&acin sindical de los empleados de la
empresa.
3+ Seguridad organi,a!iona
-sta poltica define los diferentes roles y responsabilidades dentro de Urugnesis,
relacionados a la proteccin de los acti,os de informacin.
!ual*uier persona ,inculada con la empresa tiene un rol a cumplir en la consecucin de
los ob)eti,os de seguridad de la informacin. (or medio de la definicin clara de roles y
responsabilidades relacionados a la seguridad de la informacin, Urugnesis puede
asegurar *ue e%ista una proteccin adecuada de sus acti,os.
3+* Infraes#ru!#ura de a Seguridad de a Infor"a!i-n
La infraestructura tecnolgica para el procesamiento de la informacin es pro,ista por la
empresa, cual*uier nue,a incorporacin debe estar autori&ada y aprobada por la 'erencia
'eneral.
!ada e*uipamiento ad*uirido debe cumplir con los re*uerimientos de seguridad de la
informacin de la empresa. -l control correspondiente es responsabilidad de la gerencia de
:/. -l uso de todos los dispositi,os de procesamiento de informacin propiedad del
personal =por e). computadoras de los funcionarios, asistentes personales digitales, etc.5
deben ser aprobados y autori&ados por la gerencia de :/ si los mismos son utili&ados para
almacenar y9o procesar informacin de la empresa. -ste e%tremo deber ser siempre
considerado una e%cepcin, dado *ue la empresa ,elar por pro,eer del e*uipamiento
necesario a todos los empleados.
3+. Revisi-n peri-di!a independien#e
La poltica de seguridad de la empresa deber ser re,isada peridicamente por personal
a)eno a la misma. Se reali&ar una auditora dirigida a la me)ora de las polticas y
procedimientos planteados. Se sugiere reali&ar esta re,isin en perodos no superiores a los
4H meses.
Curso de Ciberseguridad Centro de Altos Estudios Nacionales
Pgina 14 de 29
3+/ Coordina!i-n de a Seguridad de a Infor"a!i-n
-l !omit de Seguridad de la /nformacin debe reunirse por lo menos dos ,eces al a1o
para e)ercer los siguientes cometidos:
#e,isar el estado actual de la seguridad de la informacin de Urugnesis.
#e,isar y anali&ar el seguimiento de los incidentes de seguridad dentro de la empresa.
probar las medidas de la seguridad de la informacin nue,as o modificadas.
#eali&ar cual*uier otra acti,idad de administracin de la seguridad de la informacin de
alto ni,el, *ue sea necesaria.
-s responsabilidad de los miembros de !S/ la promocin de la seguridad a tra,s de
todos los procesos de negocio, garanti&ando *ue la misma est contemplada en la
planificacin y e)ecucin de todos los planes de la empresa.
-l !omit tendr como principal preocupacin la comunicacin de los conceptos
bsicos de la poltica de seguridad a todos los usuarios, incluyendo la formali&acin e
implementacin de un programa de concienti&acin en seguridad.
simismo, podr delegar en sub>comisiones integradas por personal de :/, aspectos
tales como el desarrollo, identificacin y documentacin de los controles tcnicos de
seguridad, incluyendo el seguimiento de las ,ulnerabilidades de los sistemas
documentados por los pro,eedores y las organi&aciones de seguridad e%ternas. La
administracin e in,estigacin de cual*uier incidente de seguridad y9o ,iolacin a la
seguridad de la empresa. La asistencia a las distintas reas de la empresa en la
identificacin de amena&as y ,ulnerabilidades de seguridad de la informacin, en base a las
cuales cada una reali&ar un anlisis de riesgo para tomar las medidas correspondientes.
3+4 Defini!i-n de responsabes sobre a infor"a!i-n
Se definen tres ni,eles de responsabilidad, de acuerdo a la relacin *ue *ueda persona
tenga con la informacin sensible de la empresa.
#esponsable de la /nformacin:
!onoce con profundidad la naturale&a de la informacin *ue mane)a, sabiendo de
su correctitud y completitud. (uede corregirla en caso necesario y sabe cunto
tiempo debe ser guardada. .ebe asegurar la e%istencia de controles de acuerdo al
ni,el de clasificacin *ue asigne a la informacin *ue mane)a. :ambin debe
determinar los ni,eles de respaldo necesarios.
Los responsables de la informacin pueden delegar el mantenimiento y las
responsabilidades sobre la propiedad de la informacin a los dministradores de la
/nformacin.
dministrador de la /nformacin:
-s responsable por la custodia de la informacin, conociendo y administrando las
$erramientas mediante las cuales se almacena, registra, procesa o distribuye la
informacin.
-l administrador de la informacin debe dar asistencia al #esponsable de la
/nformacin para determinar las me)ores soluciones tcnicas. .ebe brindar
confidencialidad, disponibilidad e integridad sobre la informacin *ue mane)a.
Usuario de la /nformacin:
Curso de Ciberseguridad Centro de Altos Estudios Nacionales
Pgina 15 de 29
-s el empleado o persona autori&ada a utili&ar la informacin para reali&ar su tarea.
Sus funciones incluyen mantener la confidencialidad de las contrase1as de los
sistemas y aplicaciones. #eportar cual*uier sospec$a de ,iolacin de la seguridad.
Utili&ar la informacin corporati,a y los recursos de informacin con
responsabilidad y los propsitos autori&ados.
dministradores:
Los administradores de sistemas son *uienes deben mantener, operar e implementar
las soluciones tecnolgicas de la empresa. Son responsables por instalar,
implementar y reali&ar el seguimiento de los controles de seguridad dentro de la
operati,a bsica.
Su acti,idad debe incluir: aplicacin de actuali&aciones de seguridad a los sistemas,
la documentacin de los sistemas, la atencin sobre la performance y seguridad de
los sistemas, la aplicacin de los controles tcnicos de seguridad *ue sean
necesarios y la comunicacin sobre incidentes y asuntos relacionados con la
seguridad de la informacin.
:erceros y contratos con pro,eedores:
Urugnesis debe establecer re*uerimientos para *ue sus pro,eedores ad$ieran
como mnimo al mismo ni,el de restricciones *ue sus empleados. Las compa1as
*ue pro,een productos y9o ser,icios deben firmar un acuerdo de confidencialidad
adecuado.
-l acceso remoto, por parte de personas a)enas a la empresa, a los sistemas de
informacin de la misma, ser pro,isto solo en casos de necesidad e%trema del
negocio. !ual*uier configuracin de cone%in debe estar siempre por defecto
des$abilitada $asta *ue su uso sea necesario.
4+ Casifi!a!i-n ' !on#ro de a!#ivos
-sta poltica define los re*uerimientos para la clasificacin y control de acti,os. Un
acti,o es definido como cual*uier tem tangible o no, posedo o controlado por Urugnesis.
-sto incluye acti,os lgicos y fsicos y se aplica a todo el personal, pro,eedores y
asociados de negocios de la empresa.
:odos los acti,os =tangibles o no5 deben tener un responsable y ser controlados de
manera adecuada. -stos acti,os son cruciales para el %ito de Urugnesis y deben ser
protegidos por los controles adecuados para minimi&ar cual*uier riesgo de da1o,
interrupcin de ser,icios o re,elacin de informacin propietaria.
4+* 5edidas de seguridad generaes
cti,o Ii)o. La gerencia !ontable debe recopilar y mantener un catlogo de todos los
acti,os fsicos de la empresa. Su actuali&acin debe ser peridica y debe contener una
descripcin del acti,o, su ubicacin y la referencia a *uin es el responsable por el mismo.
La gerencia de :/ es responsable por mantener un catlogo de todos los acti,os de
$ard?are y soft?are, tanto informtico como de comunicaciones. -ste catlogo debe ser
re,isado y actuali&ado peridicamente. .ebe contener informacin sobre el pro,eedor del
Curso de Ciberseguridad Centro de Altos Estudios Nacionales
Pgina 16 de 29
acti,o, ubicacin del mismo, responsable y responsabilidades del administrador de los
datos. simismo, se debe lle,ar un estricto control de las licencias *ue permiten la
utili&acin del soft?are.
La incorporacin de sistemas basados en soft?are libre u Bopen sourceB, solo podr
producirse luego de constatada y documentada la e%istencia de comunidades estables y
reconocidas, ya sea constituidas en fundaciones u otras formas )urdicas usuales. Lo
anterior no e%ime del anlisis al cual deber someterse el te%to de la licencia '(L o similar
*ue presente el sistema en cuestin.
4+. Casifi!a!i-n de a infor"a!i-n
Las personas *ue deben en,iar informacin son responsables por asegurarse *ue sus
destinatarios tengan derec$o a conocerla. :odo usuario *ue necesite acceder a determinada
informacin para cumplir con un proceso de negocio real, tiene permitido el acceso a dic$a
informacin.
La informacin en Urugnesis, sin importar el formato en *ue est soportada, debe ser
protegida por todos los empleados, pro,eedores y asociados del negocio de la empresa,
seg2n su ,alor, determinado por la clasificacin de la misma.
La informacin sensible, en cual*uier formato, re*uiere procedimientos especiales
durante el almacenamiento para protegerla de di,ulgacin accidental o maliciosa. La
referencia a informacin personal debe cumplir todos los e%tremos pre,isto en la Ley 0J
4H.774 =(roteccin de .atos (ersonales y ccin de $abeas data5.
Los responsables por la administracin de los datos de nuestros clientes debern
elaborar una declaracin de ad$esin a las directrices emanadas de la mencionada ley,
resaltando las garantas *ue brinda la empresa en la sal,aguarda de la informacin personal
de sus clientes. .ic$a declaracin deber ser comunicada al pie de todo formulario en el
cual se recaben datos personales.
Una accin similar deber adoptar la gerencia de (ersonal, para informar a todos los
empleados *ue ingresen a la plantilla, la forma en *ue la empresa cumple con las
obligaciones se1aladas en la ley de (roteccin de .atos (ersonales.
4+/ 5anipua!i-n de a infor"a!i-n
!uando una informacin de la empresa sea catalogada como sensible o reser,ada, todos
los medios *ue se utilicen como soporte de la misma deben ser eti*uetados con la
clasificacin correspondiente.
Los informacin catalogada como sensible o reser,ada se debe asegurar de una de las
siguientes maneras:
La informacin en papel debe mantenerse en un rea de acceso controlado, *ue
permane&ca cerrado =asegurado5 cuando no se encuentre ocupado. La informacin en papel
tambin puede ser almacenada en arc$i,os ba)o lla,e, si no $ay disponible una sala segura.
La informacin electrnica podr estar encriptada, usando un mtodo aprobado por la
gerencia de :/, cuando se almacene en cual*uier medio *ue no cuente con la proteccin de
seguridad de un sistema operati,o.
:oda informacin sensible o reser,ada, con fec$a de caducidad o no necesaria, debe ser
con,enientemente eliminada, de manera tal *ue no pueda ser reconstruida.
Curso de Ciberseguridad Centro de Altos Estudios Nacionales
Pgina 17 de 29
6+ Seguridad de persona
-sta seccin de la poltica de seguridad de la informacin deber aplicarse para asegurar
*ue los aspirantes a un lugar de traba)o en la empresa, sean e,aluados correctamente antes
de ,inculase a la misma. :ambin trata del cuidado con se se tratarn las des,inculaciones
de personal o sus traslados, en cuanto a los accesos de *ue disponga en ese momento.
.ebern seguirse medidas complementarias *ue aseguren la concienti&acin de todos
los empleados en cuanto a sus responsabilidades en la seguridad de la informacin y las
acciones *ue deben reali&ar ante el reporte de incidentes de seguridad.
-l personal de Urugnesis es su acti,o ms importante, sin embargo, la inmensa
mayora de los problemas de seguridad son causados por descuidos, desinformacin o
incluso sabota)e. Se implementarn los procedimientos administrati,os necesarios para
minimi&ar estos riesgos y ayudar al personal a crear un ambiente de traba)o seguro.
!ual*uier accin de capacitacin *ue se implemente debe ser comunicada y discutida
pre,iamente con la organi&acin sindical del personal de la empresa. @acer partcipes a
todos los in,olucrados es el primer paso para una resolucin correcta de los temas de la
seguridad de la informacin.
6+* Responsabiidades generaes
:oda personas con acceso a las instalaciones de la empresa debe regirse por las medidas
establecidas en la poltica de seguridad de Urugnesis.
La gerencia de #ecursos @umanos debe e,aluar a todos los aspirantes a ser empleados
por la empresa. los actuales empleados se les debe facilitar en todo momento la
capacitacin en temas de seguridad de la informacin.
La gerencia de #ecursos @umanos est obligada a comunicar a la gerencia de
:ecnologa de la /nformacin toda des,inculacin funcional con la empresa, as como
cual*uier traslado de personal *ue se realice, para asegurar el borrado del usuario o su
modificacin en cuanto a las posibilidades de acceso a recursos de informacin.
#e,isar, de forma espordica o continua, el correo electrnico y las comunicaciones de
los empleados por parte de los administradores es una ,iolacin de la poltica de seguridad
de la informacin de la empresa. Irente a la posibilidad de un uso inadecuado, el
responsable funcional podr solicitar el anlisis de dic$o contenido con las debidas
garantas para todos los in,olucrados.
Se e%igir la firma de un contrato de confidencialidad a todos los in,estigadores
e%ternos ,inculados a Urugnesis, *ue traba)an remotamente. -n este caso solo podrn
acceder a la red interna si reciben de manera presencial los certificados electrnicos
correspondientes, en las instalaciones del !entro de !mputos de la empresa.
6+. Respues#as a in!iden#es de seguridad
-s responsabilidad del !omit de Seguridad de la /nformacin de la empresa el
promo,er constantemente la concienti&acin en seguridad para todos los usuarios de los
sistemas de informacin.
La gerencia de :ecnologas de la /nformacin es responsable por emitir a,isos de
seguridad a todos los usuarios *ue puedan ,erse afectados por temas de seguridad en los
Curso de Ciberseguridad Centro de Altos Estudios Nacionales
Pgina 18 de 29
sistemas informticos. -stos a,isos deben incluir alertas sobre riesgos especficos como ser
prcticas de ingeniera social, nue,as ,ulnerabilidades tcnicas y riesgos especficos
relacionados con la acti,idad de UrugnesisE as como las medidas asociadas *ue se deben
tomar.
:odos los reportes de incidentes de seguridad deben ser documentados. :ambin se debe
incluir un proceso para re,isar todos los incidentes, documentar los casos ocurridos y
coordinar sesiones de capacitacin y aprendi&a)e para las reas *ue corresponda.
(ara una descripcin detallada de los re*uerimientos ba)o este punto, remitimos al lector
al documento ad)unto, titulado: Lineamientos de la Seguridad de la /nformacin para
definir la continuidad del negocio y la gestin de incidentes
*7+ Uso a!ep#abe de os re!ursos
-sta poltica define el uso apropiado de los recursos informticos. La misma refiere a la
informacin almacenada o transferida por medio de redes informticos, telfonos u otros
dispositi,os de comunicaciones, as como al uso, proteccin y conser,acin de los acti,os
fsicos en s mismos.
-l uso de computadoras, redes, telfonos y dems dispositi,os se $a generali&ado,
constituyendo una parte esencial de todo negocio, para nuestra empresa es, adems de un
acti,o, un insumo indispensable para el traba)o cotidiano. (or ello, es responsabilidad y
obligacin de cada usuario asegurar *ue todos los recursos informticos y de
comunicaciones sean utili&ados solamente para su propsito de negocio y *ue la
informacin contenida o trasmitida por estos medios sea protegida de usos no autori&ados,
apropiacin o corrupcin.
*7+* Uso de In#erne#
-l acceso a /nternet del personal ser con fines de negocio ,lido y )ustificado, y con la
autori&acin *ue se defina. Los usuarios deben estar al tanto de los riesgos asociados al
acceso a /nternet, estos incluyen la falta de confidencialidad e integridad de la informacin
accedida o en,iada por esta ,a.
!ada gerencia deber aprobar las autori&aciones de acceso *ue correspondan a los
efectos de cumplir con los cometidos del negocio. simismo, cada gerencia deber aprobar
los contenidos de datos *ue desea publicar en /nternet a tra,s del sitio ?eb de la empresa
o en sitios de /nternet p2blicos.
La gerencia de :/ es responsable por la definicin tcnica de la publicacin de datos, as
como del control del trfico y anc$o de banda.
*7+. Uso de as !o"uni!a!iones #eef-ni!as
La informacin clasificada como reser,ada o crtica de la empresa no debe ser mane)ada
a tra,s de comunicaciones de ,o&.
La utili&acin de los ser,icios de telefona $acia el e%terior estar su)eta solamente a las
necesidades del negocio y a casos de fuer&a mayor, debidamente especificados.
Se debe tener presente *ue la ,o& sobre /(, tecnologa utili&ada para las comunicaciones
Curso de Ciberseguridad Centro de Altos Estudios Nacionales
Pgina 19 de 29
telefnicas internas entre todas las instalaciones de la empresa, puede llegar a pro,ocar
saturacin en ciertos tramos de la infraestructura de red, ra&n por la cual la moderacin
debe estar siempre presente cuando utili&amos este ser,icio.
**+ Seguridad f2si!a ' a"bien#a
-sta poltica define los ni,eles de seguridad fsica para las instalaciones con
e*uipamiento y9o informacin de Urugnesis. Su ob)eti,o es proteger los acti,os de
informacin ubicados en las instalaciones de la empresa. (ara lograrlo, se deber asegurar
la integridad de las instalaciones edilicias, de los bienes materiales y de los acti,os de
informacin
**+* Con#roes de a!!eso f2si!o
Las reas *ue se definan como de acceso restringido, por contener material y9o
informacin crtica de la empresa, debern contar con controles de acceso *ue posibiliten
el registro de entradas y salidas en alg2n medio informtico de fcil auditora $istrica.
-,entualmente, tambin se podrn utili&ar cmaras de ,igilancia.
-l personal autori&ado de la empresa no debe permitir *ue personas desconocidas o no
autori&adas ingresen en reas de acceso restringido sin compa1a. Las puertas de estos
sectores deben estar cerradas en todo momento y slo el personal autori&ado puede tener
lla,e o la combinacin necesaria para su apertura.
**+. Per2"e#ro de seguridad ' seguridad de ofi!inas
Se deber contar con un anlisis de riesgos y amena&as posibles del ambiente fsico,
para llegar a establecer un permetro de seguridad de las instalaciones y de su frontera.
-sto comprende elementos tales como paredes, puertas y ,entanasE contar con un rea de
recepcin controlada en la entrada principal de las instalacin y controles apropiados en las
entradas secundarias, as como puertas con un control conectado a una central *ue registre
las aperturas a los efectos de cumplir con los re*uerimientos de seguridad.
Las salas de informtica y el !(. deben ser super,isados las 68 $oras del da. -sa
accin podr reali&arse a tra,s de cmaras de ,igilancia, puertas y ,entanas con alarmas,
personal de seguridad o una combinacin de ambos.
-l !entro de !mputos, ba)o responsabilidad de la gerencia de :/, debe clasificarse
como rea de acceso restringido de la empresa. .e esta misma manera se deber clasificar
los recintos donde se instalen los concentradores de comunicacin de la casa central y las
sucursales.
Las instalaciones de almacenamiento de respaldos de informacin se deben ubicar a una
distancia segura de las instalaciones principales, a los efectos de protegerlas de da1os en
caso de incidentes. -ste e%tremo est resuelto en Urugnesis, dado *ue el local $acia donde
se en,an los respaldos est separado geogrficamente del local central de la empresa.
!ual*uier empleado *ue traba)e o tenga acceso a reas de acceso restringido debe estar
informado de los re*uerimientos de seguridad de dic$a rea, los detalles de uso del
permetro de seguridad y las responsabilidades asociadas a traba)ar en la misma.
Curso de Ciberseguridad Centro de Altos Estudios Nacionales
Pgina 20 de 29
**+/ Seguridad de e8uipa"ien#o
-l e*uipamiento debe tener un mantenimiento pre,enti,o para pro,eer la
disponibilidad, proteger la integridad y confidencialidad de la informacin. Las
reparaciones deben ser reali&adas solo por personal de mantenimiento autori&ado.
Si el e*uipamiento debe ser en,iado fuera de las instalaciones de la empresa, para su
reparacin, se debe asegurar la integridad y confidencialidad de cual*uier informacin *ue
pudiera contener. ntes del en,o de un e*uipo a un ser,icio e%terno, se re*uerir el ,isto
bueno de la o las personas *ue utilicen la informacin contenida en sus medios de
almacenamiento.
-l e*uipamiento informtico general debe ser ubicado teniendo en cuenta las
protecciones necesarias para mantenerlo en funcionamiento y prolongar su ,ida 2til.
-l e*uipamiento de la sala de ser,idores y comunicacin del !(. debe contar con un
ambiente e*uipado con detectores de $umo y las medidas contra incendio tcnicamente
especificadas. simismo, este e*uipamiento informtico debe operar con clima controlado
en todo momento, para ello se contar con sistemas de acondicionamiento de respaldo por
si los sistemas principales fallan.
:anto el e*uipamiento contra incendio como los sistemas de acondicionamiento
ambiental de respaldo, deben ser probados peridicamente y dic$as pruebas debern ser
documentadas.
La fuente de energa elctrica debe contar con lneas alternati,as y se utili&arn U(S
=Uninterrupted (o?er Supply5 para dar soporte a las operaciones crticas del e*uipamiento
informtico central. Las mismas tambin deben ser probadas peridicamente, con
documentacin y registro de pruebas correspondiente.
(re,iendo la posibilidad de un corte de energa prolongado, con ms posibilidades de
ocurrencia en las sucursales del interior del pas, se deber contar con un generador de
energa suficiente potente como para mantener en lnea las comunicaciones con la casa
central.
**+4 Po2#i!a de es!ri#orios i"pios ' pan#aas i"pias
-l ob)eti,o fundamental de la inclusin de este tema en la poltica de seguridad
informtica est enfocado a e,itar uno de los problemas ms comunes relacionados con la
ingeniera social aplicada a la obtencin de informacin confidencial.
-l personal debe ser consciente de la necesidad de resguardar cual*uier tipo de
informacin *ue pueda comprometer la continuidad del negocio. -n especial toda a*uella
informacin *ue, pareciendo irrele,ante, pueda conducir a la obtencin de informacin
crtica para la empresa.
estos efectos, los temas de Bingeniera socialB debern ser incluidos en los manuales de
entrenamiento del personal de Urugnesis.
(oltica de escritorios limpios:
:oda la informacin sensible deber ser guardada en lugares seguros, armarios o salas
de arc$i,o ba)o lla,e. Si la informacin clasificada como reser,ada o confidencial no ,a a
ser ni utili&ada ni arc$i,ada debe ser destruida.
Los empleados, pro,eedores y socios de negocio de Urugnesis debern retirar todos los
Curso de Ciberseguridad Centro de Altos Estudios Nacionales
Pgina 21 de 29
documentos impresos con informacin clasificada como reser,ada o confidencial en forma
inmediata a la impresin, para e,itar accesos no autori&ados.
(oltica de pantallas limpias:
0inguna computadora debe estar ingresada a la red informtica cuando no est siendo
utili&ada por el usuario. -n el caso de *ue el e*uipo no se est utili&ando, deber estar
blo*ueado y protegido con contrase1a de seguridad.
!uando sea necesario, se debern tomar medidas para asegurar *ue luego de cierto
perodo de tiempo de inacti,idad, el e*uipo sea automticamente blo*ueado.
*.+ Ad8uisi!i-n9 desarroo ' "an#eni"ien#o
de os sis#e"as de infor"a!i-n
Los sistemas de informacin deben asegurar el cumplimiento de las medidas de
seguridad corporati,as antes de estar disponibles en produccin. -ste captulo de la poltica
de seguridad de la informacin se puede tratar en dos ni,eles diferentes: un ni,el
relacionado a definir y documentar las normas y procedimientos de seguridad *ue se
aplicarn durante el ciclo de ,ida del proceso de creacin de soft?are, englobando esto
tambin todo soft?are de terceros *ue se decida utili&ar dentro de las instalaciones de la
empresa y, un segundo ni,el, *ue $ace a definir los criterios a utili&ar con respecto a los
sistemas cuya creacin y9o mantenimiento sea contratada a terceras partes.
*.+* Desarroo in#erno e i"pan#a!i-n de sis#e"as
-l proceso de ingeniera de soft?are debe considerar aspectos de seguridad desde el
anlisis, identificando en ese momento los re*uisitos de seguridad *ue luego la aplicacin
debe cumplir.
-n la etapa de dise1o debern dise1arse los controles necesarios para satisfacer los
re*uisitos identificados anteriormente. -n la fase de implementacin debern crearse los
controles de seguridad y la correcta cone%in al repositorio centrali&ado de seguridad *ue
utili&ar Urugnesis =basado en ApenL.(, de acuerdo a la documentacin *ue se ad)unta
a ste5. (or 2ltimo, en la etapa de ,erificacin se debe ,erificar adecuadamente *ue los
re*uisitos de seguridad de la aplicacin se cumplen.
*.+. Re8uisi#os de seguridad de os sis#e"as
La metodologa definida para el desarrollo de las aplicaciones deber considerar los
aspectos de seguridad y control durante todo el ciclo de ,ida del desarrollo.
Se deber incluir un proceso de e,aluacin de riesgos durante la etapa de especificacin
de re*uisitos, en la cual debieran participar el responsable de gestin de seguridad de la
informacin, el responsable del desarrollo, el responsable de infraestructura, el responsable
de auditora y el due1o de la informacin =el usuario5.
-n base al anlisis de riesgos reali&ado deber generarse un documento o un apartado en
el documento de re*uisitos del sistema =-S#-5, *ue identifi*ue los re*uisitos de seguridad
especificados para la mitigacin de los riesgos identificados.
-s re*uisito fundamental anali&ar el ni,el en *ue se cumplen los tres principios bsicos
de la seguridad de la informacin: confidencialidad, integridad y disponibilidad. (ara el
Curso de Ciberseguridad Centro de Altos Estudios Nacionales
Pgina 22 de 29
caso de las aplicaciones de soft?are creadas en Urugnesis se deben agregar dos principios
ms: tra&abilidad y no repudio.
*.+/ A"bien#es para e pro!eso de desarroo
Se deber contar con tres ambientes para el ciclo de creacin de soft?are. -stos son:
Desarrollo:
-s el ambiente propio de los desarrolladores, siendo ellos responsables por su
mantenimiento. Se tratar de utili&ar, en lo posible, productos similares a los empleados en
el ambiente de produccin para disminuir las diferencias.
7alidacin:
-s el ambiente de testeo, en el cual se reali&an las pruebas de las aplicaciones. .eben
ser rplicas e%actas del ambiente de produccin. La administracin de este ambiente debe
estar en manos del rea de infraestructura de :/. -l personal de desarrollo no debe acceder
a la administracin de este ambiente, pero s podr participar en las pruebas *ue se
realicen.
Los datos de prueba a utili&ar en el ambiente de ,alidacin deber ser enmascarados de
manera tal *ue no e%ista una correspondencia directa con los datos de produccin.
Produccin:
-s el ambiente operati,o. La administracin del mismo estar en manos del rea de
infraestructura de :/. Su administracin estar ,edada al personal de desarrollo y de
,alidacin. !omo regla de seguridad principal no se reali&aran pruebas *ue modifi*uen
datos en este ambiente.
*.+4 I"pan#a!i-n de sof#:are !reado e(#erna"en#e
La poltica de seguridad de la informacin en Urugnesis podr clasificar como sensible
a los intereses del negocio la ad*uisicin de soft?are a terceros )unto a su cdigo fuente.
!uando el soft?are a ad*uirir no se clasifi*ue como sensible, el proceso de ad*uisicin y
su implantacin seguir los carriles de com2n aplicacin en estos casos.
Sin embargo, cuando se realice una ad*uisicin de soft?are sensible, la directi,a de
seguridad establece *ue se debe asegurar la transferencia m%ima de conocimiento al
personal de la empresa. Se dar por cumplido el proceso de ad*uisicin cuando los
desarrolladores de Urugnesis estn en condiciones de mantener el cdigo ad*uirido,
incluyendo su implantacin.
Se deber definir un procedimiento para la actuacin de las contrapartes de la empresa
)unto al personal e%terno a la misma. Los analistas *ue realicen este traba)o lo debern
comen&ar desde el mismo momento de la elaboracin del documento de especificacin de
re*uerimientos, acompa1ando el proceso $asta el cierre final del proyecto.
*.+0 Tra#a"ien#o de da#os sensibes en a red e In#erne#
La empresa $a definido como altamente sensible la informacin mane)ada por la alta
gerencia y la generada en el proceso de in,estigacin de nue,os productos.
simismo, e%iste la obligacin legal y moral frente a los clientes de proteger sus datos
personales *ue sena ingresados el !#" =!ustom #esource "anager5 de Urugnesis.
Curso de Ciberseguridad Centro de Altos Estudios Nacionales
Pgina 23 de 29
(or esta ra&n, la poltica de seguridad $ace especial referencia a la necesidad de
proteger adecuadamente los datos sensibles *ue puedan ser e%puestos a tra,s de
aplicaciones ?eb, en el sitio de la empresa.
La informacin *ue circula a ni,el gerencial, dentro de la empresa, est protegida por el
transporte seguro =con SSL5 utili&ado por el ser,idor de correo electrnico y por las reglas
de autori&acin y autenticacin administradas a tra,s de ApenL.(.
dems, todas las aplicaciones ?eb *ue se utili&an internamente se debern dise1ar
teniendo en cuenta no solo la ,erificacin de los derec$os de acceso a ni,el de cada
funcin, antes de $acer ,isible la funcionalidad en la interfa& de usuario, sino *ue tambin
deben ,erificar el control de acceso en el ser,idor en el momento *ue se accede a cada
funcin, para *ue los atacantes no puedan reali&ar peticiones sin la autori&acin apropiada.
-n cuanto a los datos sensibles, *ue deban ser accedidos desde el sitio ?eb de la
empresa, se re*uerir la confeccin de mtodos de proteccin adicionales tales como
cifrado de datos u otros.
*.+1 An%isis de seguridad e(#erno
!uando se realicen modificaciones a la seguridad perimetral de la red =cambios en la
&ona desmilitari&ada5 y cuando se instalen sistemas considerados sensibles, en lo
fundamental sistemas con esta clasificacin *ue puedan ser accedidos desde /nternet o
sistemas internos considerados como crticos por parte de la alta gerencia, la empresa
deber recurrir a la contratacin de un profesional en penetracin de sistemas, a *uien
com2nmente se conoce como B$acFer ticoB.
!uando se realice un contrato de esta naturale&a, todos los responsables de los sistemas
in,olucrados deben acordar los trminos tcnicos y legales del alcance del traba)o de
penetracin, atenindose a las reglas acordadas durante todo el tiempo *ue dure la prueba
de ,ulnerabilidad del sistema o sistemas in,olucrados.
*/+ Ges#i-n de a !on#inuidad de nego!io
(ara una descripcin detallada de los re*uerimientos ba)o este punto, remitimos al lector
al documento ad)unto, titulado: Lineamientos de la Seguridad de la /nformacin para
definir la continuidad del negocio y la gestin de incidentes
*4+ Cu"pi"ien#o ega ' nor"a#ivo
-sta poltica define las acciones necesarias para mantener el cumplimiento con todas las
regulaciones aplicables por ley. -sta poltica se aplica para todos los empleados de
Urugnesis.
La empresa debe cumplir con todas las regulaciones aplicables por ley, lo *ue incluye
cual*uier ley penal o ci,il, estatutaria, reguladora u obligaciones contractuales. -s esencial
garanti&ar el cumplimiento de cual*uier re*uerimiento de seguridad incorporado en estas
leyes, incluyendo proteccin de datos pri,ados personales =algo ya tratado en este
Curso de Ciberseguridad Centro de Altos Estudios Nacionales
Pgina 24 de 29
documento5, proteccin de la informacin propia de los clientes, as como los datos
personales de los mismos.
Uno de los cometidos principales del !omit de Seguridad de la /nformacin es
asegurar el cumplimiento de las regulaciones legales en lo referente a informacin
personal. !omo primera medida, se deber asegurar *ue toda normati,a *ue afecte a la
seguridad de la informacin sea ampliamente difundida entre el personal de la empresa y
conocida en profundidad por los directamente in,olucrados.
*4+* Li!en!ias de sof#:are
La empresa Urugnesis, basada en su e%periencia corporati,a, $a $ec$o una opcin
prioritaria por la utili&acin de soft?are libre. Los sistemas operati,os a instalar en
ser,idores, e*uipos de comunicacin y terminales de traba)o sern soft?are libre, sin
ning2n tipo de restriccin en su uso, modificacin e =incluso5 difusin si se estimare
con,eniente.
Lo mismo ocurre con las aplicaciones comunes utili&adas para el traba)o cotidiano. Sin
embargo, cuando se re*uiera la utili&acin de soft?are con licencias propietarias, su
compra y uso debe cumplir con acuerdos de licenciamiento *ue debern detallar las
restricciones especficas *ue se deben aplicar =n2mero de licencias a instalar permitidas,
n2mero de m*uinas en las *ue se puede instalar el soft?are o el n2mero de usuarios
concurrentes permitidos por el soft?are en un mismo momento5.
La 'erencia de :/ debe lle,ar a cabo re,isiones peridicas del uso de soft?are de
cual*uier tipo en cual*uier dispositi,o electrnico y ser,idores de la empresa, para
asegurarse *ue todos los recursos informticos cumplen los acuerdos de licenciamiento o
los mismos no son aplicables.
:odo soft?are de terceros con licencia pri,ati,a, *ue ,iole los acuerdos de
licenciamiento establecidos, deber ser desinstalado inmediatamente.
Curso de Ciberseguridad Centro de Altos Estudios Nacionales
Pgina 25 de 29
*0+ ;uen#es
ISO<IEC .377*: estndar para la seguridad de la informacin !nformation tec"nolog# $ %ecurit# tec"ni&ues $
!nformation securit# management s#stems $ 'e&uirements( apro)ado # pu)licado como estndar
internacional en octu)re de 2005
*specifica los re&uisitos necesarios para esta)lecer+ implantar+ mantener # me,orar un sistema de gestin de
la seguridad de la informacin %-%!( seg.n el conocido como /0iclo de 1eming2: P103 $ acrnimo de Plan+
1o+ 0"ec4+ 3ct Planificar+ 5acer+ 6erificar+ 3ctuar(7
ISO<IEC .377. consiste en una gu8a de )uenas prcticas &ue permiten a las organi9aciones me,orar la
seguridad de su informacin7 0on este fin+ define una serie de o),eti:os de control # gestin &ue de)er8an ser
perseguidos por las organi9aciones7 3nteriormente era conocida como !%;<!*0 17799
ISO<IEC *0474: norma generalmente mencionado como 0riterios 0omunes 00(+ &ue proporciona un
con,unto com.n de re&uisitos funcionales para los productos de =!+ &ue permite comparar resultados entre
e:aluaciones de productos independientes7 *stos productos pueden ser "ard>are+ soft>are o firm>are7
Gu2a de Ad"inis#ra!i-n de Redes !on Linu(: Pu)licacin electrnica de un material ela)orado por ;laf
?irc" en 1994+ con re:isin en el a@o 20007 %e puede acceder al arc"i:o en formato pdf+ en la siguiente
direccion: "ttp:<<>>>7i)i)lio7org<pu)<AinuB<docs<A1P<net>or4$guide<translations<es<garl$1707pdf
Do!u"en#os p=bi!os sobre Seguridad Infor"%#i!a de ;%* 3dministracin de las ;)ras %anitarias del
*stado(+ CP% Canco de Pre:isin %ocial( e !ntendencia de 0anelones7
Por#a de ISO .377* en Espa>o: "ttp:<<>>>7iso270007es<sgsi7"tml7
Seguridad de a infor"a!i-n en Coo"bia: "ttp:<<seguridadinformacioncolom)ia7)logspot7com7
Ponencia presentadas por los grupos formados durante la reali9acin del curso de 0i)erseguridad7
*Bperiencia anterior en la ela)oracin de pol8ticas de seguridad+ restringidas a redes informticas # centros
de procesamiento de datos+ en instituciones financieras # en la administracin p.)lica7
Curso de Ciberseguridad Centro de Altos Estudios Nacionales