Академический Документы
Профессиональный Документы
Культура Документы
FACULTAD DE ECONOMA
MAESTRA EN CONSULTORA EMPRESARIAL
UNIVERSIDAD DE EL SALVADOR
AUTORIDADES UNIVERSITARIAS
RECTOR
SECRETARIA GENERAL
VICEDECANO
SECRETARIO
TRIBUNAL EXAMINADOR
MARZO DE 2013
SAN SALVADOR
EL SALVADOR
CENTRO AMRICA
AGRADECIMIENTOS
Agradezco infinitamente a Dios por permitirme este nuevo logro, a la Virgen Mara
que siempre me acompaa y me guan en mi camino. A mi mam Aminda y mis
hermanos Aminda, Mario y toda mi familia que siempre me apoyaron y confiaron
en mis capacidades, ya que su apoyo fue vital para alcanzar
este logro
profesional. A mis amigas Sarita y Kary por alcanzar esa integracin de cualidades
y haber trabajado en conjunto para lograr nuestra meta.
Adriana Virginia Figueroa Rivas
Gracias a Dios por sus bendiciones, por permitirme este nuevo logro y darme la
oportunidad de ver una vez ms sus obras en mi vida; gracias a la Virgen Mara
que siempre me acompaa, protege e iluminan y guan mi camino. A mi familia:
Lucy, Francisco, Katy y Leslie, por ser lo ms valioso que Dios ha podido darme,
por su amor, fortaleza y siempre estar conmigo. A mis amigas Sarita y Adri, es
grandioso ver el fruto del esfuerzo, dedicacin e integracin de nuestras virtudes.
Karina Luca Flores Figueroa
INDICE
Introduccin .
1.3 Justificacin
1.4 Cobertura
1.4.1 Temporal
1.4.2 Geogrfica
1.6 Objetivos .
10
1.6.1 General
10
1.6.2 Especficos
10
10
10
11
12
13
14
17
21
22
24
24
24
30
33
35
44
45
46
50
51
54
55
56
56
60
3.5 Benchmarking - Casos de estudio Banco Central de Reserva de El Salvador TACA Airlines El Salvador
63
63
64
64
64
66
66
68
ii
68
70
78
81
82
82
87
88
91
91
5.2 Recomendaciones
92
Bibliografa .
95
Glosario
95
Anexos
101
101
144
155
iii
INTRODUCCIN.
La
informacin
es un activo
fundamental en
las
operaciones de
las
FUSALMO es una organizacin sin fines de lucro que fue fundada en el ao 2001
y opera con aportes y proyectos desarrollados con aliados estratgicos; es una
organizacin comprometida con la educacin y orientacin a jvenes en grupos de
riesgo, as como la integridad de la familia, entre otros. Por lo que, considerando
su importancia, se hace la propuesta de un Modelo de Gestin de Seguridad de la
Informacin acorde a sus necesidades y condiciones de operacin.
actividades
Decreto Ejecutivo No. 88 publicado en Diario Oficial de fecha 20 de Septiembre de 2001, Tomo
352.
2
Fuente: www2.fusalmo.org
2
c) VALORES INSTITUCIONALES:
a)
Amabilidad
b)
Espritu de familia
c)
Apertura
d)
Solidaridad
e)
Testimonio
f)
Transparencia
g)
Eficiencia
h)
Efectividad
i)
Auto sostenibilidad
j)
Osada pastoral
Fuente: http://www2.fusalmo.org/index.php
3
REPRESENTA
Presidente
Institucin Salesiana
Vicepresidente
Institucin Salesiana
Secretario
Asociacin de Cooperadores
Pro Secretario
Asociacin de Cooperadores
Tesorero
Institucin Salesiana
Pro Tesorero
Institucin Salesiana
Primer Vocal
Institucin Salesiana
Vocal Suplente
Institucin Salesiana
Segundo Vocal
FEDISAL4
Vocal Suplente
FEDISAL
prdida
de
informacin
vulnerabilidades
en
seguridad
una
poltica
de
seguridad
de
la
informacin
aceptada
institucionalmente?
c) Qu beneficios propiciara para la fundacin la implementacin de un
sistema de gestin de seguridad de la informacin?
d) La unidad que gestiona los sistemas de informacin cuenta con procesos
documentados?
e) La institucin cuenta con las instalaciones fsicas y tecnolgicas
apropiadas para garantizar la seguridad de la informacin?
f) La elaboracin de un sistema de gestin de seguridad de la informacin
basado en procesos contribuir a la gestin de la seguridad de la
informacin?
g) La poltica actual de seguridad de la informacin incorpora la filosofa
institucional?
6
1.3 Justificacin
A sus destinatarios:
a) Mejora continua en los servicios prestados, evitando uso inadecuado de la
informacin.
b) Consolidacin del equipo de trabajo dentro de la organizacin y su identidad
institucional.
c) Procesos que garanticen la seguridad, confidencialidad e integridad de la
informacin.
d) Mayor respaldo y compromiso en las relaciones con los aliados estratgicos y
el proyecto institucional.
e) Apertura de nuevos proyectos y la prolongacin de los ya vigentes de acuerdo
al ciclo de vida de los mismos.
1.4 Cobertura
1.4.1 Temporal
1.4.2 Geogrfica
1.6 Objetivos
misma.
Adicionalmente
se
emplea
el
benchmarking
para
capitalizar
a) Investigacin Bibliogrfica
b) Investigacin de campo
Esta investigacin comprendi el diseo de seis modelos de entrevista dirigidas a
personal clave en relacin a la seguridad de la informacin y de acuerdo a su
mbito de actuacin, entre este recurso clave se consider tres niveles jerrquicos
incluyendo la Direccin Ejecutiva, tres gerencias y dos coordinadores de rea
11
MICROVARIABLES
Organizacin interna
Responsabilidad relativa a la seguridad
Aspectos organizativos de la seguridad de la informacin.
de la informacin
Poltica de seguridad de la informacin
Responsabilidad vinculada al acceso de
terceros.
Proteccin y seguridad de los equipos
Seguridad fsica y del entorno
Controles fsicos de entrada
Mantenimiento de los equipos
Procesos documentados
Control de accesos
Intercambio de informacin
Comunicaciones y operaciones
Gestin de seguridad de las redes
Desarrollo y mantenimiento de sistemas
de informacin
Gestin de incidentes en la seguridad Continuidad del negocio
de la informacin
Acciones ante incidentes
Fuente: Elaboracin propia a partir de requerimientos del estndar internacional ISO/IEC
27001:2005
12
las practicas del recurso humano y que el compromiso de la organizacin debe ser
adoptado por todos los niveles jerrquicos, se toma como referencia el estndar
ISO/IEC 27001:2005 Tecnologa de la informacin Tcnicas de seguridad
Sistemas de gestin de seguridad de la informacin Requerimientos, ya que es
un estndar que aborda de manera integral los aspectos organizativos, tcnicos y
operativos de la seguridad de la informacin bajo un enfoque de mejora continua
aplicable a todo tipo de organizaciones independientemente de su tamao,
naturaleza, y giro de negocio.
El Estndar comprende:
a) Introduccin general
b) Enfoque de procesos
c) Compatibilidad con otros sistemas de gestin
d) Alcance: general y aplicacin
e) Referencias normativas
f) Trminos y definiciones
14
PLAN
Establecer el SGSI
PARTES
INTERESADAS
PARTES
INTERESADAS
Requerimientos
y expectativas
de la seguridad
de la
informacin
ACTUAR
HACER
Mantener y mejorar
el SGSI
Implementar y
operar el SGSI
Seguridad de
la informacin
administrada
CHEQUEAR
Monitorear y revisar
el SGSI
eficiente,
la
accesibilidad
la
informacin,
asegurando
su
Por
tanto,
de
acuerdo
al
estndar
internacional
ISO/27001:2005,
la
a) Definan el alcance y los lmites del SGSI en trminos de las caractersticas del
negocio, la organizacin, su ubicacin, activos, tecnologa e incluyendo los
detalles y la justificacin de cualquier exclusin del alcance.
b) Definan una poltica del SGSI en trminos de las caractersticas del negocio, la
organizacin, su ubicacin, activos y tecnologa, que adems:
a. Incluyan un marco referencial para establecer sus objetivos y establezca
un sentido de direccin general y principios para la accin con relacin a
la seguridad de la informacin;
b. Tomen en cuenta los requerimientos comerciales y legales o
reguladores, y las obligaciones de la seguridad contractual;
c. Estn alineadas con el contexto de la gestin estratgica del riesgo de la
organizacin, en el cual se establecer y mantendr el SGSI;
d. Establezcan el criterio con el que se evaluar el riesgo;
e. Hayan sido aprobadas por la gerencia.
18
Apartado
del
estndar
9
10
11
12
13
14
15
mbito
Seguridad
entorno
fsica
Submbito
y
20
21
Revisin de
requerimientos
del estndar
Diagnstico de la
organizacin
Propuesta de
solucin y plan de
implementacin
Implementacin
Retroalimentacin
y monitoreo
d) Fase 4: Implementacin
La fase de implementacin se realiza en base al respectivo plan de
implementacin, indicando los resultados de cada fase de desarrollo en sus
fortalezas y aspectos de mejora, as como el plan de inversin ejecutado, esta
fase es propia del proyecto en ejecucin e indispensable para el anlisis posteriori
de las fortalezas y debilidades del proceso.
INFRAESTRUCTURA
Polideportivo Plaza juvenil
Espaa
Multigimnasio Don Bosco
Polideportivo
Centro Juvenil Don Bosco
Polideportivo
BENEFICIARIOS
9 escuelas pblicas (incluye
instituciones en Ciudad
Delgado)
11 escuelas publicas
6 escuelas publicas
PROYECTO
Educacin
Complementaria
DESCRIPCIN
Programa de capacitacin a jvenes de
tercer ciclo en temas de tecnologa,
educacin fsica-deportes, cultura de
paz, entre otros.
Programa de capacitacin a docentes de
los centros escolares en temas de
psicopedagoga, salud mental, entre
otros.
24
REA DE APOYO
Educacin
Complementaria
Gestin sociolaboral
Proyectos
Especiales
Recreacin
Pastoral
PROYECTO
DESCRIPCIN
Programa de atencin en la relacin
Centro de Atencin
familiar y la comunidad mediante
Integral a la Familia
orientacin espiritual, psicolgica, apoyo
(CAIF)
comunitario, entre otros.
Programa de formacin en el uso y
Tecnologa e Innovacin aplicacin de TICs, enseanza del
idioma Ingls y valores humanos.
Orientacin en el proceso de integracin
Intermediacin laboral
laboral y bsqueda de oportunidades.
Programa de formacin de jvenes en
Emprendedurismo social diseo de proyectos comunitarios y
promocin de valores.
Formacin de jvenes emprendedores
Emprendedurismo juvenil
en la elaboracin de plan de negocios y
econmico
su desarrollo.
Proyectos especficos de capacitacin
(diseo
web,
mantenimiento
de
Jvenes creando futuro
computadoras, diseo grfico, entre
otros)
Orientacin para la prevencin y
Prevencin de la Violencia disminucin de la violencia en centros
desde el Sector Educacin escolares mediante el manejo de
(PREVISE)
conflictos, capacidad de mediacin, entre
otros.
Fortalecimiento de las
organizaciones y
Formacin en liderazgo juvenil y
expresiones juveniles
reconocimiento
de
organizaciones
locales para la
juveniles
para
su
formacin
y
convivencia en el
participacin comunitaria.
Municipio de San Salvador
Formacin en actividades artsticas y
Escuela de artes
organizacin de festivales y talleres.
Formacin tcnico deportiva y educacin
en valores, as como desarrollo de
Escuelas deportivas
prcticas deportivas orientadas a la sana
convivencia.
Programa educativo-pastoral, catequesis
Polioratorio FUSALMO
sacramental
y
relaciones
interpersonales.
Espacio de anlisis, discusin y
aprendizaje para el fortalecimiento de
Red de juventud
valores y actitudes de liderazgo
personal.
25
PROGRAMA
Programa Integral Juvenil
DON BOSCO. (PIJDB)
ATENCION A LA
FAMILIA Y JOVENES
CON PROBLEMAS DE
APRENDIZAJE
HABILITANDO
OPORTUNIDADES PARA
LA PAZ Y EL EMPLEO
(HOPE)
APOYO AL PIJDB
COMPONENTE
BENEFICIARIO
COSTO AL
BENEFICIARIO
APOYO FINANCIERO
Computacin
Cultura de Paz
Deportes
Apoyo psicopedaggico
Psicolgico
Escuela para padres
-Proyectos comunitarios
Computacin Ingles,
Cultura de paz,
Orientacin vocacional y
profesional Apoyo en
busca de empleo
4,500 Alumnos
(30 escuelas
publicas)
Sin costo
Sin costo
CESAL-Andaluca
Sin costo
Sin costo
CESAL -AECID
400 alumnos de
bachillerato
4,500 Alumnos
(30 escuelas
publicas)
Fuente: Informe de resultados 2011, presentacin proporcionada por colaboradores de la Fundacin e informacin disponible en el sitio
web oficial de la Fundacin
26
PROGRAMA
ESCUELAS DEPORTIVAS
MULTIGIMNASIO Educacin en
tiempo libre
Emprendedores Sociales
Programa de CESAL
PIJDB Soyapango
COMPONENTE
No. DE
BENEFICIARIOS
MUJERES
HOMBRES
EDADES
AEROBICOS
68
67
Desde 27 a 62 aos
ATLETISMO
FUTBOL
30
35
16
0
14
35
Desde 8 a 45 aos
Desde 7 a 12 aos
TAEKWONDO
PATINAJE
64
30
6
27
58
3
Desde 8 a 23 aos
Desde 7 a 16 aos
Deporte, arte y
recreacin
80
12
68
18 a 25 aos
Escuela de Msica
28
21
6-43
Tae Kwon Do
44
35
6-25
Badminton
10
8-21
Gimnasio Pesas
160
40
120
16-47
Cardiovascular
Emprendedores
sociales
Aula Animada
24
22
18-40
43
17
26
14-23
79
22
57
Escuela de Padres
y Madres
1.150
900
250
Bachillerato
240
97
143
16 - 20 aos
6.7,8, 9
2562
1276
1286
Fuente: Informe de resultados 2011, presentacin proporcionada por colaboradores de la Fundacin e informacin disponible en el sitio
web oficial de la Fundacin
27
PROGRAMA
COMPONENTE
No. DE
BENEFICIARIOS
MUJERES
HOMBRES
EDADES
HOPE Habilitando
Oportunidades Para la
Paz y el Empleo juvenil
Empleabilidad,
HOPE en
Soyapango
38
11
27
16-19 aos
Reinsercin
13
13
12 a 17 aos
Patio de da
15 y 16 aos
Abordaje/acogida
14 a 16 aos
TORNEO FUTSALA
783
81
702
12 a 62 AOS
SACRAMENTAL
TORNEO
BALONCESTO
SCOUTS
120
70
50
10 a 15 AOS
120
18 AOS Y MAS
25
7 a 18 AOS
BREAKDANCE
15
15
14 a 24 AOS
SKATEBOARDING
41
35
7 a 31 AO
BICI EXTREMO
18
18
18 AOS Y MAS
DANZA MODERNA
37
37
18 a 20 AOS
DANZA PIJDB
48
30
18
12 a 16 AOS
7974
3776
4198
BUSCANDO UN
CAMINO
ORATORIA
DEPORTES
EXTREMOS
TOTALES
120
43
18
6
Fuente: Informe de resultados 2011, presentacin proporcionada por colaboradores de la Fundacin e informacin disponible en el sitio
web oficial de la Fundacin
28
a)
Fundacin TCS
b)
TIGO El Salvador
c)
Microsoft
d)
e)
f)
Banco HSBC
g)
Almacenes Siman
h)
i)
j)
k)
l)
m) Entre otros.
29
Asistente Administrativo
Coordinacin de Recursos
Tecnolgicos
Coordinacin de Proyectos
en Tecnologia
Soporte Tcnico
Compumovil
Desarrollo de
software/Bases de
Datos
ALDEAS SOS
Pgina Web
CIPI
Proyectos especiales de
autosostenibilidad
Coordinacin Tcnica en la
Calidad e Innovacin
Equipo de consultores
SUPERATE
de
proyectos
en
tecnologa,
Proyectos
especiales
de
mbito
Poltica
de
seguridad
Organizacin
de la seguridad
Submbito
Objetivos
de
control
Controles
11
31
Apartado
del
estndar
9
10
11
12
13
mbito
Submbito
Objetivos
de
control
Controles
13
10
32
25
16
32
Apartado
del
estndar
14
15
mbito
Submbito
Gestin
de 14.1 Aspectos de la seguridad de
continuidad del la informacin y la continuidad
negocio
del negocio.
15.1
Cumplimiento
con
requerimientos legales.
15.2 Cumplimiento con las
polticas
y
estndares
de
Cumplimiento
seguridad y el cumplimiento
tcnico.
15.3
Consideraciones
de
auditora de los sistemas de
informacin.
TOTAL
Objetivos
de
control
Controles
10
39
133
34
encontradas
mediante
la
entrevista,
consulta
documental
35
5.1
6.1
6.2
7.1
7.2
Valoracin Valoracin
Estndar
FUSALMO
5. POLTICA DE SEGURIDAD
POLTICA DE
Proporcionar direccin gerencial y apoyo a la
SEGURIDAD DE LA
seguridad de la informacin en coherencia con los
5
0
INFORMACIN
requerimientos comerciales, leyes y regulaciones.
6. ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN
ORGANIZACIN
Administrar la seguridad de la informacin dentro
5
0
INTERNA
de la organizacin.
Mantener la seguridad de la informacin y los
ENTIDADES EXTERNAS medios de procesamiento de la organizacin a los
5
1
cuales entidades externas tienen acceso.
7. GESTIN DE ACTIVOS
Control
Objetivo
8.1
8.2
DURANTE EL EMPLEO
8.3
FINALIZACIN O
CAMBIO DE EMPLEO
Observacin
36
Dominio
9.1
9.2
Control
Valoracin Valoracin
Estndar
FUSALMO
9. SEGURIDAD FISICA Y DEL ENTORNO
Objetivo
Observacin
AREAS SEGURAS
SEGURIDAD DEL
EQUIPO
10.1
10.2
10.3
10.4
RESPONSABILIDADES Y
Asegurar la operacin correcta y segura de los
PROCEDIMIENTOS DE
medios de procesamiento de la informacin.
OPERACIN
GESTION DE LA
ENTREGA DEL
SERVICIO DE TERCEROS
PLANEACION Y
ACEPTACION DEL
SISTEMA
PROTECCION CONTRA
CODIGOS MALICIOSO Y
MOVIL.
10.5
COPIA DE RESPALDO
10.6
GESTION DE
SEGURIDAD DE REDES
37
Dominio
Control
Valoracin Valoracin
Estndar
FUSALMO
10. GESTIN DE COMUNICACIONES Y OPERACIONES
Objetivo
10.7
GESTION DE MEDIOS
10.8
INTERCAMBIO DE
INFORMACION
10.9
SERVICIOS DE
COMERCIO
ELECTRONICO
10.10
MONITOREO
11.1
11.2
11.3
RESPONSABILIDADES
DEL USUARIO
CONTROL DE ACCESO A
Evitar el acceso no autorizado a los servicios en red
REDES
11.4
Observacin
No se tiene una poltica ni medidas de seguridad en
relacin al uso de medios extrables o manipulacin
e intercambio de informacin. La informacin de
Back Up es custodiada.
Se ha implementado medidas de seguridad para el
intercambio interno de la informacin. No se
tienen polticas o procedimientos orientados al
intercambio externo.
No se realizan operaciones comerciales en lnea
debido a que la infraestructura actual no permite
garantizar la seguridad de la informacin.
No se realizan auditoras informticas y no se tiene
procedimientos de monitoreo establecidos. No
obstante se monitorea las operaciones en redes y
reas crticas como contabilidad. Se lleva registro
en bitcora acerca de las operaciones de los
sistemas.
No existe una poltica de control de acceso
documentada.
Existe un procedimiento no documentado para la
inscripcin y suspensin de acceso a los sistemas
de informacin; la asignacin de privilegios se
realiza mediante un proceso formal.
Se brinda recomendaciones al usuario para el buen
uso del equipo y la seguridad de las sesiones y
contraseas, incluso cuando los equipos estn
solos, pero stas no estn documentadas ni
divulgadas entre todos los usuarios.
Los usuarios tienen restricciones de acceso por
configuracin de firewall y slo pueden conectarse
a los sistemas desde los equipos autorizados.
38
Dominio
11.5
11.6
11.7
12.1
12.2
12.3
12.4
12.5
12.6
Control
Objetivo
Valoracin
Estndar
11. CONTROL DE ACCESO
Valoracin
FUSALMO
Observacin
39
Valoracin Valoracin
Estndar
FUSALMO
13. GESTIN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIN
Dominio
Control
13.1
REPORTE DE EVENTOS
Y DEBILIDADES EN LA
SEGURIDAD DE LA
INFORMACIN
13.2
GESTION DE
INCIDENTES Y
MEJORAS EN LA
SEGURIDAD DE LA
INFORMACIN
14.1
SEGURIDAD DE LA
INFORMACIN Y
GESTIN DE
CONTINUIDAD DEL
NEGOCIO
15.1
CUMPLIMIENTO DE
REQUERIMIENTOS
LEGALES
15.2
15.3
Objetivo
Observacin
CUMPLIMIENTO CON
LAS POLTICAS,
A pesar no haber una regulacin, la administracin
ESTNDARES DE
Asegurar el cumplimiento de los sistemas con las
es responsable en la implementacin y monitoreo
5
3
SEGURIDAD Y
polticas y estndares de seguridad organizacional.
de los sistemas de informacin acorde a los
REQUERIMIENTOS
lineamientos institucionales.
TCNICOS
CONSIDERACIONES DE
Maximizar la efectividad y minimizar la
AUDITORA DE LOS
interferencia del proceso de auditora de los
5
0
No se realiza auditoria informtica
SISTEMAS DE
sistemas de informacin.
INFORMACIN
Fuente: Elaboracin propia a partir de investigacin realizada en FUSALMO aplicando herramienta de valoracin cuantitativa y los
requerimientos del estndar ISO/IEC 27001:2005.
40
Por tanto, en las figuras 3.2, 3.3 y 3.4 se muestran las brechas entre el
requerimiento del estndar y lo observado, las cuales estn representadas por los
puntos ms cercanos al centro del grfico. De modo que, se destaca la necesidad
de iniciar acciones de fortalecimiento con el propsito de eliminar estas brechas
hacia un proceso de implementacin del modelo de seguridad de la informacin.
7.2 CLASIFICACIN DE LA
INFORMACIN
42
11.3 RESPONSABILIDADES
DEL USUARIO
10.8 INTERCAMBIO DE
INFORMACION
10.9 SERVICIOS DE
COMERCIO ELECTRONICO
10.10 MONITOREO
43
15.1 CUMPLIMIENTO DE
REQUERIMIENTOS LEGALES
el
anlisis
se
realiz
mediante
la
herramienta
OCTAVE
44
http://www.cert.org/octave/octavemethod.html
45
SISTEMAS
INFORMACION
a)
b)
c)
d)
e)
Activos
Correo Institucional Hosting Externo (hostgator)
Pgina Web Hosting Externo.
Sistema Administrativo Financiero. (SAF)
Sistema de Recursos Humanos.
Office 365. (En Ejecucin)
Categora
SOFTWARE
HARDWARE
Activos
a) 300 Licencias Windows XP.
b) 150 Licencias Windows 7.
c) 350 Licencias de Office 2010.
d) 250 Licencias de Office 2007
e) 24 Licencias Office 2011 MAC
f) 20 Licencias OS X Snow Leopard (MAC)
g) 4 Licencias OS X Mountain Lion (MAC)
h) 4 Licencias Adobe Maste Collection
i) 350 Licencias Nod32 Endpoint
j) Licencia Windows Server 2003
k) Licencia Windows Server 2008 R2
l) Licencia de MindManager
m) Licencia Visual Studio 2010
n) 2 Licencias Win7-MAK
o) 2 Licencias Windows Vista KMS
p) 2 Licencias Windows Vista MAK
q) 4 Licencias Windows XP profesional
r) 2 Licencias Windows XP Tablet PC Edition
s) Licencia Visual Studio Professional 2008 Edition
t) Licencia Entourage 2008 for MAC
u) Licencia Entourage 2008 for MAC with SP2
v) Expression Web 3.0
w) 2 Licencias Office communicator 2007
x) 2 Licencias Office Multilanguage Packs 2007
y) Licencia Office Multilanguage Packs 2007 service
pack 1
z) 2 Licencias Office professional Plus 2007
aa) Licencia Office professional Plus 2010 MAK
bb) Licencia Office Small Business 2007
cc) Licencia Office XP applications
dd) Licencia Office XP Suites
ee) Licencia Project Professional 2007
ff) Licencia Project Professional 2010 MAK
gg) Licencia Win srv 2008 Data ctr/Itan KMS C
hh) 5 Licencias Windows server 2003
ii) 1 Licencia Windows server 2008
jj) Licencia Windows web/HPC Srv 2008 KMS
kk) Licencia Windows web/HPC Srv 2008 MAK
ll) 4 Licencias Office professional 2003.
Infraestructura de red:
a) 4 Switch 3Com 2250 sfp
b) 3 Switch 3Com 2226 sfp
47
Categora
c)
d)
e)
f)
g)
h)
i)
j)
k)
l)
m)
n)
o)
p)
q)
r)
s)
t)
Activos
1 Switch Allied Telesis
7 Switch 3Com 4226T
2 Router Cisco 2600
4 Media Converter
2 Firewall WacthGuard 55e
1 Firewall WacthGuard 550e
4 Cisco Linksys 300n
Servidores:
4 Servidores de red HP / LIEBERT 2KVA
20 Computadoras Notebook (PC Porttil)
183 Computadoras desktop, monitor, teclado,
mouse, cpu.
33 Impresores
4 Scanner
50 UPS
15 Webcam
1 Equipo de diseo grfico: PC, UPS, monitor y
perifricos.
6 Monitores
8 CPU
b) Servicio de Internet
Servicio externo para todos los clientes y colaboradores.
Servicio crtico para los objetivos educativos y las operaciones de sistemas
internos.
c) Infraestructura de red
Comprende los dispositivos que permiten el funcionamiento de la red (routers,
cables, servidores, switches, etc.), transmisin y direccionamiento informacin.
Crtico en la comunicacin de informacin.
DESCRIPCIN
Sistema
para
el
registro contable y
financiero
de
la
Fundacin.
Sistema
Administrativo
Financiero
(SAF)
Sistema
crtico
donde se administra
informacin
confidencial, capaz
de interrumpir las
operaciones
comerciales en caso
de
prdida
o
manipulacin.
Eficiencia en el
procesamiento de
la informacin.
Disponibilidad de la
informacin
para
usuarios
autorizados 24/7.
Autenticacin
de
usuarios para acceder
a la informacin.
Sesiones de acceso
con advertencia de
seguridad
Medidas de proteccin
de sesin de usuario
ausente.
Advertencia
de
seguridad en la
modificacin
de
informacin
por
usuarios
autorizados.
49
ACTIVO
CRITICO
Servicio de
Internet
Infraestructura
de red
Personal de TI
DESCRIPCION
Servicio
externo
para
todos
los
clientes
y
colaboradores.
Servicio crtico para
los
objetivos
educativos y las
operaciones
de
sistemas internos.
Comprende
los
dispositivos
que
permiten
el
funcionamiento de la
red (routers, clables,
servidores, switches,
etc.) y transmisin y
direccionamiento de
informacin. Crtico
en la comunicacin
de informacin.
Es el equipo humano
que brinda soporte al
equipo y a las
aplicaciones de la
institucin
De tal modo que a cada activo crtico se le relaciona alguno de estos tipos de
amenaza, tal como se muestra en la Tabla 3.10.
DESCRIPCIN
Sistema para el registro contable y
financiero
de
la
Fundacin.
Sistema
Administrativo
Financiero (SAF)
Servicio de Internet
Infraestructura de
red
Personal de TI
AMENAZA
Accin humana relacionada
con el acceso fsico.
Comprende
los
dispositivos
que
permiten el funcionamiento de la red
(routers, clables, servidores, switches,
etc.) y transmisin y direccionamiento
de
informacin.
Crtico
en
la
comunicacin de informacin.
Otros problemas.
Luego de definir las amenazas, se establecen las vulnerabilidades para cada uno
de los tipos de amenaza, esto se realiza a partir del diagnstico de la Institucin,
donde se identificaron las siguientes debilidades asociadas a stos.
51
Consecuencia
Saturacin
del
servicio
y
no
a) Los servicios de correo electrnico,
disponibilidad.
acceso a bases de datos y sistemas
Fallo de equipo del proveedor del
internos puede verse interrumpido.
servicio.
b) Suspensin de servicios por falta de
redundancia
cuando
haya
problemas
en
el
proveedor
o
Un solo proveedor del servicio no
necesidad de intervencin interna
calificado por la Fundacin.
de operaciones de mantenimiento.
52
Vulnerabilidad
No existe procedimiento documentado
de Back Up del rea contable o
aplicaciones.
Modificacin no intencionada de la
informacin.
Acceso a informacin no autorizada.
No existe una poltica de acceso a la
red.
Problemas o fallas en los equipos
responsables de la conectividad.
Colapso en los equipos responsables
de la conectividad como resultado de
desastres naturales.
Instalaciones fsicas no seguras para
los activos.
Sabotaje a la red o servidor.
Destruccin de la red o equipo.
Consecuencia
a) Riesgo de ambigedad en la
ejecucin de tareas especficas por
falta
de
procedimientos
documentos.
b) Ausencia de registros de referencia
en la investigacin de incidentes de
seguridad.
c) No
seguimiento
de
medidas
preventivas en base a acuerdos de
buenas prcticas.
a) No definicin de responsabilidad en
la ejecucin de procedimientos y
acceso a la informacin.
b) Falta de compromiso de la alta
direccin
con
el
estricto
cumplimiento de las medidas de
seguridad vigentes.
a) Suspensin de servicios y de la
continuidad del negocio ante daos
como consecuencia de fenmenos
naturales, tal es el caso de
terremotos.
b) Riesgo de prdida total ante
incendios u otro tipo de siniestro.
c) Riesgo
de
prdida
en
la
manipulacin,
operaciones
o
mantenimiento de hardware por
fallos en el montaje de equipo.
53
Riesgo
Interrupcin del acceso
Interrupcin del acceso
Interrupcin del acceso
Revelacin de informacin crtica
Destruccin o prdida de informacin
Interrupcin del acceso
Revelacin de informacin crtica
Interrupcin del acceso
Revelacin de informacin crtica.
Interrupcin del acceso
Interrupcin del acceso
Destruccin o prdida de informacin
Destruccin o prdida de informacin
Interrupcin de servicios.
Interrupcin del acceso
Modificacin de informacin crtica
Interrupcin del acceso
54
Vulnerabilidad
Personal no autorizado puede tener acceso
a la red.
Rotacin de personal y prdida de personal
capacitado.
Riesgo
Modificacin de informacin crtica.
Interrupcin del acceso.
Destruccin o prdida de informacin.
Interrupcin del acceso.
Servicio de
Internet
Infraestructura de
red
Personal de TI
Fuente: Elaboracin propia a partir del grado de impacto del riesgo para FUSALMO
55
Frecuencia de ocurrencia
Alto
Ms de 10 veces por ao
Medio
De 2 a 9 veces por ao
Bajo
Impacto
Alto
Medio
Bajo
Probabilidad (Incidencia)
Alto
Medio
Bajo
Alto
Alto
Medio
Alto
Medio
Bajo
Medio
Bajo
Bajo
56
confidencialidad
integridad;
adems
las
amenazas,
las
Modificacin no intencionada de
informacin.
Acceso no autorizado a la red
Problemas en los equipos de
conectividad.
Colapso en equipo por desastres
naturales.
Acceso no controlado a los equipos.
Instalaciones no seguras para los
activos de red.
Revelacin de informacin crtica al no
haber polticas de acceso a la red.
No hay polticas de acceso.
Destruccion de informacin por
sabotaje a red o servidor.
Interrupcin de servicios por sabotaje a
la red.
Destruccin de red o equipo.
BAJO
MEDIO
ALTO
RIESGOS
ACTIVO
CRTICO
Sistema para el
registro contable
y financiero.
Sistema
Administrativo
Financiero
(SAF)
Servicio de
Internet
Sistema crtico
donde
se
administra
informacin
confidencial,
capaz
de
interrumpir
las
operaciones
comerciales en
caso de prdida
o manipulacin.
Eficiencia en el
procesamiento
de la informacin.
Disponibilidad de
la informacin
para usuarios
autorizados 24/7
Servicio externo
para todos los
clientes
y
colaboradores.
Monitoreo
permanente
servicio
proveedor.
Servicio
crtico
para los objetivos
educativos
y
para
las
operaciones de
sistemas
internos.
Disponibilidad
para
usuarios
autorizados 24/7.
del
del
Eficiencia en el
trfico
de
informacin.
CONFIDENCIALIDAD
Autenticacin de
usuarios para acceder
a la informacin.
Sesiones de acceso
con advertencia de
seguridad
Medidas de
proteccin de sesin
de usuario ausente.
Autenticacin
de
clientes
para
el
acceso
a
correo
institucional
y
sesiones de usuario.
Proteccin de datos y
cuentas de usuario.
INTEGRIDAD
VULNERABILIDADES
RIESGO
IMPACTO
PROBABILIDAD
(INCIDENCIA)
VALOR
CUALITA
TIVO DEL
RIESGO
Acceso
fsico
no
controlado a servidores.
Modificacin de
informacin
crtica
Medio
Bajo
Bajo
Interrupcin del
acceso
Alto
Medio
Alto
Modificacin
intencionada
informacin.
Interrupcin del
acceso
Medio
Medio
Medio
Personal no autorizado
puede tener acceso a la
red.
Modificacin de
informacin
crtica
Alto
Bajo
Medio
Otros
problemas
No existe procedimiento
documentado de Back
up del rea contable o
aplicaciones.
Revelacin de
informacin
crtica
Medio
Alto
Alto
Acciones
humanas
relacionada con
el acceso fsico
Accesos no autorizados
a la red
Interrupcin del
acceso
Bajo
Medio
Bajo
Problemas o fallas en
los
equipos
responsables de la
conectividad.
Interrupcin del
acceso
Medio
Medio
Medio
Interrupcin del
acceso
Alto
Medio
Alto
Interrupcin del
acceso
Alto
Bajo
Medio
TIPOS DE
AMENAZA
Acciones
humanas
relacionada con
el acceso fsico
Advertencia de
seguridad en la
modificacin de
informacin por
usuarios
autorizados.
Restriccin de
acceso segn
poltica
Aplicativos de
SAF y correo
electrnico
debern viajar
en
forma
segura,
mediante
un
SSL(security
socket layer)
Acciones
humanas
relacionadas
con el acceso
de red
Problemas en
los sistemas
Otros
problemas
de
no
la
58
ACTIVO
CRTICO
Servicio de
Internet
Infraestructura
de red
Personal de TI
DESCRIPCIN
Servicio externo
para todos los
clientes
y
colaboradores.
Monitoreo
permanente
servicio
proveedor.
Servicio
crtico
para los objetivos
educativos
y
para
las
operaciones de
sistemas
internos.
Disponibilidad
para
usuarios
autorizados 24/7.
Comprende los
dispositivos que
permiten el
funcionamiento
de la red
(routers, cables,
servidores,
switches, etc.) y
transmisin y
direccionamiento
de informacin
Es el Recurso
Humano
que
brinda soporte al
equipo y a las
aplicaciones.
del
del
Eficiencia en el
trfico
de
informacin.
Completa
disponibilidad de
todos los puntos
de
la
infraestructura
para
la
comunicacin de
informacin.
Disponibilidad del
100% 24/7.
Personal
capacitado para
dar soporte de TI
disponible al ser
requerido
CONFIDENCIALIDAD
Autenticacin
de
clientes
para
el
acceso
a
correo
institucional
y
sesiones de usuario.
Proteccin de datos y
cuentas de usuario.
Restriccin de acceso
a terminales o
personal no
autorizado.
Evitar manipulacin
no autorizada de los
equipos mediante
protocolos seguros
para el acceso a los
sistemas de
administracin de
estos.
Polticas de seguridad
para garantizar el
manejo
de
la
informacin.
Aplicacin
estndares
servicio
de
de
INTEGRIDAD
VULNERABILIDADES
RIESGO
IMPACTO
PROBABILIDAD
(INCIDENCIA)
VALOR
CUALITATI
VO DEL
RIESGO
Interrupcin del
acceso
Alto
Medio
Alto
Interrupcin del
acceso
Alto
Alto
Alto
Acceso no controlado a
los equipos.
Destruccin/P
rdida
Medio
Medio
Medio
Instalaciones fsicas no
seguras
para
los
activos.
Destruccin/P
rdida
Alto
Bajo
Medio
Acciones
humanas
relacionadas
con el acceso
de red
Acceso a informacin
no autorizada.
Revelacin de
informacin
crtica
Medio
Bajo
Bajo
Otros
problemas
Revelacin de
informacin
crtica
Interrupcin del
acceso
Medio
Medio
Medio
Medio
Medio
Medio
Destruccin de
informacin.
Alto
Bajo
Medio
Interrupcin de
servicios
Alto
Bajo
Medio
Interrupcin del
acceso
Alto
Bajo
Medio
Interrupcin del
acceso
Medio
Bajo
Bajo
Destruccin de
informacin.
Medio
Bajo
Bajo
TIPOS DE
AMENAZA
Restriccin de
acceso segn
poltica
Aplicativos de
SAF y correo
electrnico
debern viajar
en
forma
segura,
mediante
un
SSL(security
socket layer)
Poltica de
respaldo de
configuraciones
Polticas de
proteccin de
los activos
.
Personal
autorizado para
cada
rea
informtica
Otros
problemas
(Continuacin)
Acciones
humanas
relacionadas
con el acceso
fsico
Acciones
humanas
relacionadas
con el acceso
fsico
Acciones
humanas
relacionadas
con el acceso
de red
Otros
problemas
Sabotaje
servidor
red
Destruccin de red o
equipo
Rotacin de personal y
prdida de personal
capacitado
Fuente: Elaboracin a partir de la metodologa de anlisis OCTAVE y resultados del diagnstico en FUSALMO
59
60
1
1
1
2
61
10
Mtodo para estimacin de costos indirectos para incidentes a partir de la determinacin de los
costos directos diseado por Heinrich Himmler (Mayo 1,945).
62
63
Para la realizacin del Benchmarking se toma como base el tipo funcional, el cual
permite comparar con organizaciones reconocidas, teniendo lo ms avanzado en
productos/servicios en proceso. Este proceso es desarrollado de la siguiente
manera:
a) Identificar las necesidades especficas de la informacin.
b) Identificar los socios del benchmarking, detectando las mejores prcticas en
las organizaciones.
c) Recopilar la informacin y presentar resultados del anlisis.
3.5.3 Casos de Estudio TACA Airlines Banco Central de Reserva de El Salvador
64
Tabla 3.18 Factores claves de xito para el Banco Central de Reserva en la implementacin del SGSI segn el estndar ISO
27001:2005.
Antecedentes
Carencia de un control
a.
constante e imparcial sobre
b.
el ejercicio de los procesos
informticos dentro de la
organizacin.
g)
Fuente: Elaboracin propia a partir de investigacin realizada con representante de Seguridad de la Informacin del BCR
11
Sistema de defensa (hardware y software) basado en que el trfico de entrada o salida a la red pasa por un sistema de seguridad que autoriza, deniega y registra todo evento en
funcin de una poltica de seguridad; controlando la comunicacin interna y externa de la red.
12
Herramienta que identifica, supervisa y protege la informacin confidencial almacenada, en uso o en trnsito dentro de la red, estaciones de trabajo o dispositivos mviles.
13
OCTAVE: Operationally Critical Threat, Asset, and Vulnerability Evaluation
14
MAGERIT: Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin
15
COBIT: Control Objective for Information and Related Technology
16
ITIL: Information Technology Infrestructure Library
65
66
Tabla 3.19 Factores claves de xito para TACA en la implementacin del SGSI segn el estndar ISO 27001:2005.
Antecedentes
Ataques a la informacin y sistemas informticos Implementacin de Firewalls e Intrusin Prevention a) Implementacin de un sistema de
desde Internet.
Systems
seguridad en profundidad o en capas,
el cual permite tener mecanismos de
Implementacin de cifrado a nivel de datos y SSL
Prdida de la confidencialidad de la informacin
17
diferentes partes o ubicaciones.
(Secure Socket Layer ) o HTTPS (Hyper Text Transfer
sensible como tarjetas de crdito.
18
b) Creacin de un comit de seguridad de
protocol Secure ) en el transporte
la informacin.
Implementacin de mecanismos que eviten DoS c) Implementacin en la base de datos de
(Denegacin de Servicio) a nivel perimetral
configuraciones, roles y permisos para
Prdida de la disponibilidad de la informacin.
configurando directivas o polticas en IPS (Inventory of
proteger la informacin.
Programs and Services), filtrado de contenido, y d) Capacitacin al personal de la
bloqueo de trfico con Firewalls.
Direccin de Tecnologa de la
Informacin, en los nuevos sistemas y
Amenazas de Virus y Gusanos que podran
procedimientos.
afectar el funcionamiento de Servidores y Configuracin y actualizacin peridica de Antivirus
e)
Implementacin
de
marcos
y
estaciones de trabajo
regulaciones
como
SOX
(Ley
Ataques a los sistemas informticos desde el
Sarbanes-Oxley),
PCI
(Peripheral
Actualizacin o parcheo peridico del sistema operativo
exterior
(internet)
aprovechando
fallos o
Component Interconnect) y el estndar
y aplicaciones afectadas
vulnerabilidades en aplicaciones.
de Star Alliance
de
los
procedimientos
Bloqueo de dispositivos removibles con aplicaciones f) Diseo
aplicables
acorde
al
estndar
ISO/IEC
Robo de informacin
como Device Control para evitar fuga de datos a travs
27001:2005
de USB, CD, DVS, etc.
Implementacin de Controles de acceso, definiciones
Acceso y modificacin no autorizada de la
de roles o perfiles a nivel de sistema operativo,
informacin
aplicaciones, bases de datos, etc
Fraude
17
Sistema de comunicacin encriptada en internet que proporciona privacidad a los datos y mensajes, adems permite autenticar datos enviados.
Combinacin de protocolo HTTP y protocolos criptogrficos; empleado para lograr conexiones ms seguras en la web, de modo que la informacin es
cifrada.
18
67
la
informacin de TACA.
b) La implementacin del estndar ISO/IEC 27001:2005, aporta gran ayuda al
cumplimiento de las regulaciones exigidas y as poder cotizar en la bolsa o
ingresar alianzas mundiales.
c) La implementacin del sistema y mecanismos, para proteger la informacin
contribuye a que la empresa tenga una imagen seria y confiable .
d) El implementar mecanismos, sistemas, polticas y procedimientos para
salvaguardar la informacin, contribuye a la productividad de la empresa, ya
que gracias a la implementacin de estos, se pretende mitigar ciertos
problemas que potencialmente se podran dar en ausencia de los mismos.
A continuacin, en las tablas 3.20 y 3.21 se detalla la relacin entre los factores
claves de xitos de las dos organizaciones seleccionadas en la realizacin del
benchmarking con respecto a FUSALMO.
Tabla 3.20 Anlisis comparativo Banco Central de Reserva de El Salvador FUSALMO
No
FUSALMO
Actualmente, cuenta con una
gerencia
de
Tecnologa
e
Innovacin, pero carecen de un
comit de seguridad de la
informacin.
68
No
2
3
4
5
FUSALMO
Aun no se tiene definido alguna
metodologa
para
aplicar
el
estndar ISO/IEC 27001:2005.
Actualmente
cuentan
aplicacin Firewall.
con
la
FUSALMO
e
Actualmente
cuentan
con
la
aplicacin Firewall, no cuentan con
Intrusion Prevention Systems.
No cuentan con este sistema.
Cuentan
con
filtrados
de
contenidos, bloqueo de trfico con
Firewalls.
No cuentan con un programa de
actualizacin de Antivirus.
69
No
5
FUSALMO
No tienen un programa de
actualizacin y parcheos peridicas.
70
Herramienta
diagnstica
aplicada
Resultados
a.
Entrevista dirigida
a:
a) Direccin
Ejecutiva.
b) Gerencia
Recursos
humanos.
c) Coordinacin
de
recursos
tecnolgicos.
d) Gerencia
de
Tecnologa
e
innovacin.
e) Gerencia
de
Finanzas
y
Recaudacin de
fondos.
f) Coordinacin
de
mantenimiento
b.
c.
d.
e.
f.
g.
h.
i.
j.
k.
Fortaleza
Se tiene implementado un respaldo de la
informacin (back up) para el rea financiera y
contable, este se realiza semanalmente.
Cuentan con un registro de asignacin de
equipos a los colaboradores.
Cuentan con un sistema de seguridad de
firewall (bloqueo de contenido perimetral).
Cuentan con un control de usuarios externos en
caso de capacitacin.
Emisin de reportes mensuales para medir la
productividad de la personas y tener control de
las pginas de internet que visitan, esto a nivel
de gerencias y coordinadores.
Cuentan con un control de ingresos de red para
mquinas que no pertenecen a FUSALMO.
Cuentan con invitaciones de talleres para
seguridad de la informacin a nivel de
educadores.
Tienen cuentas asignadas a invitados para usos
de los activos en los centros de cmputo, stas
poseen restricciones de acceso.
Cuentan con un Reglamento de Usuarios (rea
Educativa)
Cuentan con acceso restringido a los
servidores. Solamente dos personas tiene
acceso autorizado a los servidores.
Cuentan
con
una
nomenclatura
de
a.
b.
c.
d.
e.
f.
g.
h.
i.
j.
k.
l.
Debilidad
No cuentan con un sistema de seguridad de la
informacin para el resto de la organizacin.
No cuenta con un responsable de la seguridad
de la informacin.
No cuenta con procedimiento documentado de
respaldo de la informacin.
No cuentan con acuerdos de confiabilidad.
No
cuentan
con
un
plan
de
revisin/verificacin constante de los equipos
asignados a los colaboradores.
No cuentan con auditorias de software y
sistemas a nivel interno.
No cuentan con una poltica y procedimiento
documentado de reporte de incidentes.
No cuentan con un diseo apropiado para los
equipos de cmputo que garantice la
seguridad de stos.
No
cuentan
con
un
procedimiento
documentado para dar de baja a un equipo.
No cuentan con una nomenclatura
de
clasificacin de la informacin por niveles de
seguridad.
No existen mecanismos de divulgacin de
cambios en las polticas de TI.
No cuentan con un modelo de buenas
prcticas de uso de la capacidad de
almacenamiento de la informacin.
71
No.
Herramienta
diagnstica
aplicada
Resultados
l.
Entrevista
dirigida a:
a) Direccin
Ejecutiva.
b) Gerencia
Recursos
humanos.
m.
n.
o.
p.
q.
r.
c) Coordinacin
de recursos
tecnolgicos.
s.
d) Gerencia de
Tecnologa e
innovacin.
u.
e) Gerencia de
Finanzas
y
Recaudacin
de fondos.
t.
v.
w.
Fortaleza
almacenamiento de la informacin (nombre y
fecha).
Cuentan con alertas de penetracin a la red de
informacin.
Cuentan con un monitoreo de banda ancha.
Firma de contrato con proveedores de internet.
Cuentan con bloqueo del cdigo mvil.
Cuentan con pruebas de nuevos sistemas por
parte de usuarios.
La red est configurada de acuerdo al estndar
definido.
Cuentan con un sistema informtico para el
manejo de la informacin, necesaria para el
reclutamiento de personal.
Existe un seguimiento y verificacin de los
antecedentes de las personas en fase de
contratacin a travs de un formato escrito.
El contrato de trabajo incluye una clusula
sobre confidencialidad de la informacin.
Al finalizar un contrato laboral, a travs del
finiquito por medio del jefe inmediato, el
personal hace entrega oficial de los bienes
fsicos propiedad de FUSALMO y de la
informacin archivada en los equipos.
Se conforma un grupo de trabajo para la
elaboracin y revisin de procedimientos del
rea de TI, dirigido por el gerente de TI y con
VoBo de la Direccin ejecutiva.
Los procedimientos se revisan con frecuencia
m.
n.
o.
p.
q.
r.
s.
t.
Debilidad
No se cuenta con un procedimiento
documentado de solicitud de software y
licencias de estos.
No cuentan con un sistema de intranet para
las reas de FUSALMO donde se pueden
publicar documentos.
No cuentan con una certificacin vigente de la
red.
Falta de registro escrito de la Poltica sobre el
acceso y manejo de la informacin requerida
para la contratacin de personal (Curriculum
Vitae, etc.)
El sistema informtico disponible para la
manipulacin de la informacin confidencial
de RRHH est obsoleto y no precisa los
requerimientos exigidos.
No hay registro escrito sobre la poltica de
control de verificacin de antecedentes de las
personas en fase de contratacin.
No cuentan con un protocolo oficial para
realizar la induccin a personal nuevo o a
terceras personas, para comunicar sobre las
polticas de la Fundacin y manejo especfico
de la informacin y confidencialidad.
En caso de cambios en los sistemas
informticos o afines, no existe una
retroalimentacin sobre las modificaciones por
parte de la Gerencia de Tecnologa e
Innovacin.
72
Herramienta
diagnstica
aplicada
No.
Entrevista
dirigida a:
g) Direccin
Ejecutiva.
h) Gerencia
Recursos
humanos.
i)
Coordinacin
de recursos
tecnolgicos.
j)
Gerencia de
Tecnologa e
innovacin.
k) Gerencia de
Finanzas
y
Recaudacin
de fondos.
Resultados
Fortaleza
(al menos cada 3 meses) en el rea de TI,
aunque no estn escritos, se revisa su
ejecucin.
x. Existe una bitcora donde se registran las
acciones desarrolladas y la ejecucin de
procedimientos de seguridad en el rea de TI.
y. Se tiene un Plan Anual Operativo (POA) para el
rea de TI y se somete a evaluaciones de
seguimiento. Cada recurso tiene su planificacin
en relacin a este POA.
z. Los procedimientos de finalizacin de contrato
se realizan en coordinacin con RRHH y la
jefatura inmediata: se eliminan cuenta de
usuario de sistemas y correo electrnico.
aa. En el rea de TI se tiene documentos de la
asignacin de recursos de informacin
(memorando) y los respectivos finiquitos.
bb. Los cambios o renovacin de tecnologa se
realizan mediante propuesta y justificacin de
necesidades y se realiza la gestin ante la
Direccin Ejecutiva.
cc. Se tiene un inventario actualizado y la
respectiva asignacin.
dd. Se tienen medidas de seguridad fsica para el
acceso de usuarios a las instalaciones, los
estudiantes necesitan carnet para entrar a las
instalaciones.
ee. Las sesiones de las mquinas cuentan con
privilegios de administrador.
Debilidad
u. No se cuenta con un procedimiento
sancionatorio en caso de que algn empleado
infrinja la clusula de confidencialidad de la
informacin definida en el contrato de trabajo.
v. En caso de culminacin de contrato laboral, el
personal de Tecnologa e Innovacin, no
verifica los datos entregados en el respaldo
(back up) por el personal.
w. Hay procedimientos en el rea de TI que se
han implementado y deben mejorarse
continuamente, sin embargo stos no estn
documentados.
x. No se tiene establecido una estrategia o
poltica de seguridad.
y. No
se
documenta
la
revisin
de
procedimientos.
z. Las acciones relacionadas con la finalizacin
de contrato no se han establecido de manera
estandarizada y quedan sujetas a la iniciativa
del jefe de Recursos Humanos donde se
genera la finalizacin de contrato.
aa. No hay garanta de que los empleados no
extraigan informacin de la organizacin.
bb. No estn registradas las recomendaciones a
usuarios en cuanto al uso de equipos y
restricciones de seguridad ya que estas se
realizan en forma verbal.
cc. No se tienen acuerdos de confidencialidad con
el recurso humano involucrado con la
73
No.
Herramienta
diagnstica
aplicada
Resultados
Fortaleza
Debilidad
ff. La empresa Business Software Alliance (BSA)
informacin confidencial.
realiza auditorias eventuales de licenciamiento dd. Se brindan recomendaciones no escritas a los
de software y solo se maneja software legal.
docentes y consultores sobre la conducta y
gg. Se realizan pruebas piloto en la implementacin
prcticas en las instalaciones. Al personal
de software nuevo.
interno se le entrega el reglamento interno de
hh. Se han realizado mejoras en cuanto a limitar el
trabajo
acceso fsico y virtual a los servidores.
ee. No se tiene un protocolo o procedimiento en
casos
de
incidentes
de
seguridad,
investigacin de eventos, responsabilidades e
implicaciones.
ff. Se necesita formacin del personal tcnico en
relacin a la seguridad de la informacin (2
personas en el rea de soporte y seguridad y 1
persona en desarrollo de software)
gg. No se tiene sistema de monitoreo en los
centros de cmputo.
hh. Por falta de seguridad se han presentado
casos
extravo de hardware en las
instalaciones de cmputo.
ii. Se tienen debilidades en cuanto a prevencin
de riesgos ambientales en el rea de
servidores, no se tienen extintores, ni anclaje
de mobiliario.
jj. Se tiene una sola acometida para suministro
de energa y no hay planta elctrica interna de
emergencia.
kk. Poseen sistema de alarma centralizado para la
infraestructura administrativa, sin incorporar
rea de servidores.
74
No.
Herramienta
diagnstica
aplicada
Resultados
a.
b.
c.
d.
e.
Herramienta
de
valoracin en base
a
requerimientos
del
estndar
ISO/IEC
27001:2005
Herramienta de
valoracin
en
base
a
requerimientos
del
estndar
ISO/IEC
27001:2005
f.
g.
h.
i.
j.
Fortaleza
Cuentan con inventario de los equipos y
asignacin de stos, desde la contratacin.
Cuentan con mecanismos de investigacin del
perfil de los candidatos a contratar.
Se han implementado medidas de garanta de
la seguridad en la finalizacin del empleo.
Cuentan con sistema contra incendios en
algunas reas claves del rea administrativa.
Cuentan con controles de uso de equipos fuera
de las instalaciones y su disposicin final.
Se tiene bitcoras de los controles de cambios,
en caso de pruebas de nuevos sistema se
realizan de forma aislada y en periodos
especficos.
Monitoreo de la capacidad de los sistemas.
Cuentan con procedimientos de respaldo en las
reas crticas, ste no est documentado.
Cuenta con un proceso de medidas de
almacenamiento de informacin por reas.
El acceso a los sistemas estn protegidos por
contrasea mediante autenticacin de usuario.
a.
b.
c.
d.
e.
f.
g.
h.
i.
j.
Debilidad
No cuentan con una poltica de seguridad
implementada ni definida.
No se tiene documentado los accesos
restringidos a reas clave.
No tienen procedimiento de accin disciplinaria
en caso de que se tenga una violacin de la
seguridad de la informacin.
Cuentan con deficiencia en el permetro fsico
de las reas de procesamiento de informacin
especialmente en el rea educativa.
No cuentan con controles o auditorias sobre
los servicios brindados por terceros.
El proveedor de servicio de redes no ha sido
calificado por la Fundacin.
No cuenta con polticas ni medidas de
seguridad en relacin al uso de medios
extrables.
No se ha identificado los requerimientos de
seguridad para los sistemas nuevos o los ya
existentes.
No existe un procedimiento para reporte de
incidentes, ni gestin de incidentes.
No existen regulaciones o legislacin definidas
a las cuales dar cumplimiento.
75
No.
Herramienta
diagnstica
aplicada
Resultados
Fortaleza
Mediante
los grficos de tela de araa se
identificaron las siguientes fortalezas por mbito:
a) Planeacin y aceptacin del sistema
b) Responsabilidad por los activos
c) Clasificacin de la informacin: Finalizacin o
Esquema Tela de
cambio de empleo.
araa
d) Proteccin contra cdigos maliciosos y mviles
e) Control de acceso a sistemas operativos
f) Control de acceso a redes
g) Seguridad en procesos de desarrollo y soporte
h) Cumplimiento de requerimientos legales
i) Seguridad de archivos de sistema.
Anlisis de riesgos
Debilidad
Las debilidades identificadas son las siguientes:
a) Poltica de seguridad de la informacin
b) Organizacin interna de la seguridad
c) Gestin de la entrega de servicios a terceros.
d) Control de acceso de aplicaciones e
informacin.
e) Monitoreo.
f) Control de acceso para usuarios
g) Gestin de incidentes y mejoras en la
seguridad de la informacin.
h) Requerimientos de seguridad de los sistemas
de informacin y procesamiento correcto de
las aplicaciones.
i) Consideraciones de auditora de los sistemas
de informacin.
a) Alto riesgo de prdidas materiales en
servidores.
b) Procedimientos no documentados.
c) nico proveedor de internet (No garanta por
falla externa), posible interrupcin del servicio.
d) Riesgos de modificacin no intencionada de la
informacin.
e) Riesgo de colapso de equipos en situaciones
de desastres naturales.
f) Instalaciones no seguras para los activos de
red.
g) Riesgo por destruccin de informacin en
sabotaje de red o equipos.
h) Riesgo de interrupcin de servicios.
76
No.
Herramienta
diagnstica
aplicada
Resultados
Fortaleza
Debilidad
a) No existe un procedimiento para el
seguimiento de incidentes de seguridad.
b) No se ha documentado el incidente ni
deducido responsabilidades.
c) El incidente represent a la Institucin al
menos $2,400 USD en costos directos y un
indeterminado
valor
en
costos
no
cuantificables directamente relacionados con
las operaciones de sta.
d) Las consecuencias del incidente perjudicaron
a clientes internos como externos, as como el
ambiente y relaciones laborales.
77
a) Poltica de seguridad.
Actualmente la Institucin carece de una poltica de seguridad integral de los
activos informticos que le permita administrar de manera eficiente los mismos.
En caso de no tomar acciones concretas se ve expuesto a toma de decisiones
ineficientes que provoquen aumentos en los costos operativos y financieros de
la fundacin y pongan en peligro las operaciones y la continuidad del negocio.
c) Compromiso de la direccin.
No se ha evidenciado un compromiso fiel por parte de la Junta Directiva y
dems autoridades sobre el diseo e implementacin de una poltica de
seguridad de la informacin. Esto implica que carecen del aseguramiento de
recursos adecuados para implementar y mantener las polticas de seguridad de
la informacin. Concretamente si no hay respuesta de apoyo desde la alta
Direccin, todo intento y esfuerzo realizado en la construccin de la cultura de
seguridad ser frustrado para la organizacin y traducido en desperdicio de
recursos.
78
d) Procedimientos
La ausencia de procedimientos documentados orientados a salvaguardar la
informacin, dificulta una cultura de proteccin de la informacin. Si la
organizacin carece de estas prcticas, se corre el riesgo que la informacin
sea accedida por cualquiera, ocasionando que esta sea alterada o eliminada.
e) Respaldo de la informacin
La Institucin no posee procedimientos documentados para el respaldo de la
informacin. El respaldo de los datos son una de las prcticas ms importantes
para cualquier entidad, esto se lleva a cabo con el fin de dar continuidad con
las operaciones de la compaa en caso de desastres o prdidas de
informacin, lo que demanda un procedimiento para su respaldo y
recuperacin.
h) Acuerdo de confidencialidad.
La Institucin no ha establecido el uso de acuerdos de confidencialidad con el
personal clave involucrado en el acceso a la informacin; esto genera una
vulnerabilidad en la proteccin de la seguridad de la informacin crtica por
parte del recurso humano, lo cual repercute en deficiencias en la asignacin de
responsabilidad, vacos en el registro de incidentes, deficiencias en la garanta
de seguridad de los procedimientos en los sistemas, entre otros.
i) Reporte de incidentes.
No se ha definido ningn procedimiento para el reporte de incidentes de
seguridad, esto dificulta una respuesta inmediata ante la eventualidad de un
incidente, su investigacin, responsabilidad, registro y valoracin de nuevas
amenazas; por lo que es inminente la definicin e implementacin de
procedimientos de reporte de incidentes donde claramente se definan las
condiciones, medios y responsabilidad para reporte del incidente, as como las
medidas para la gestin de los mismos. Caso contrario, la organizacin al no
documentar estos eventos, se vuelve ms vulnerable a antiguas y nuevas
amenazas y las implicaciones econmicas y de continuidad del negocio que
esto implica.
81
El plan de implementacin del SGSI contempla cinco etapas orientadas hacia una
organizacin, delegacin, ejecucin y control de los procesos y actividades
especficas de la Institucin, tal como se detallan a continuacin:
actividad
contemplada
como
responsabilidad
del
equipo
de
Etapa
83
84
ACTIVIDADES DE
IMPLEMENTACIN
RESPONSABLE
Levantamiento de procedimientos y
registros.
Comit de Seguridad
de la informacin y
otros vinculados a
procesos
OBJETIVO
ESTRATEGIA
DOCUMENTACIN
Instruccin y
revisin de
procedimientos
Procesos y registros del
de acuerdo al
Sistema
estndar indicado
en poltica
85
MESES
1
2
3
4
5
6
7
8
9
10
Etapa 1: Presentacin del proyecto a Direccin Ejecutiva y Gerencias de la Fundacin
Presentacin del proyecto, diagnstico y
resultados a Direccin ejecutiva y
Gerencias
Etapa 2: Conformacin del Comit de Seguridad de la Informacin
Establecimiento del Comit de Seguridad
de la Informacin
Capacitacin al Comit de Seguridad en
relacin al SGSI
Etapa 3: Implementacin del Sistema de Gestin de Seguridad de la Informacin
Divulgacin y concientizacin del acerca
del Manual de Polticas y del SGSI a todos
los niveles de la Fundacin
Levantamiento de procedimientos y
registros.
Etapa 4: Evaluacin del Desarrollo del Sistema
Planificacin y ejecucin de auditoras
internas
Ejecucin de acciones correctivas y no
conformidades detectadas.
Identificacin e implementacin de mejora
continua
Etapa 5: Certificacin del Sistema de Gestin de la Seguridad de la Informacin
Auditoria interna del SGSI
Ejecucin de acciones correctivas y no
conformidades detectadas.
Auditora de certificacin del SGSI
11
12
86
c) Levantamiento de procedimientos
Es indispensable que FUSALMO realice un levantamiento de procedimientos
en todas sus reas, especialmente en TI a fin de proteger y garantizar la
documentacin y ejecucin de procedimientos aceptados por la alta direccin y
la correspondiente asignacin de responsabilidad sobre los mismos.
d) Administracin de la seguridad
La administracin de la seguridad debe ser un proceso compartido por todos
los miembros de la organizacin como partes interesadas en la seguridad y
vigilantes de las buenas prcticas.
87
e) Planes de continuidad
Es indispensable establecer y revisar planes de continuidad ante desastres, a
fin de garantizar la continuidad del negocio y la proteccin de los activos
crticos de la Fundacin, estos planes al mismo tiempo deben ser del
conocimiento de los miembros de la organizacin, promoviendo una actitud
favorable para su correcta ejecucin.
g) Auditora
Es indispensable implementar un sistema de auditoria informtica con todos
sus controles y procedimientos a fin de dar seguimiento a las acciones
relacionadas con las operaciones y administracin de la seguridad. Este
sistema deber implementarse una vez se hayan definido los controles y
procedimientos documentados para la fundacin.
a) Costo de implementacin
El costo total de la implementacin depende del tamao de la Fundacin, grado
crtico de la informacin, tecnologa, disposiciones legales y el nivel de proteccin
que se necesita. Por lo que habiendo analizado el resultado de la evaluacin de
riesgo, se tendrn en cuenta los costos que se muestran en la tabla 4.3.
88
Descripcin
Monto
$4,500.00
$8,000.00
N/A
N/A
$7,500.00
TOTAL $20,000.00
Fuente: Investigacin propia a partir de informacin relacionada con procesos similares de
certificacin.
b) Periodo de ejecucin:
Este periodo se estima de 12 meses y comprende desde la presentacin del
proyecto a la direccin ejecutiva y gerencias hasta la obtencin de la certificacin.
c) Acciones inmediatas:
Como primera accin la divulgacin de los resultados de la investigacin a la
direccin ejecutiva y gerencias, seguido por el levantamiento inmediato de
procedimientos en toda la fundacin, principalmente los siguientes:
a) Procedimiento de Control de registros.
b) Procedimiento de control de cambios
c) Procedimiento de Gestin de accesos
89
d) Beneficios a FUSALMO:
90
5.1 Conclusiones
5.2 Recomendaciones
k) Establecer e implementar los planes de continuidad del negocio para las reas
crticas de la Fundacin, estableciendo responsabilidades, confidencialidad y
procedimientos a desarrollar en caso de incidentes o desastres.
l) Definir los requerimientos de seguridad en el comercio electrnico para su
planificacin.
m) Implementar un registro completo de las actividades en los sistemas y registro
de fallas para su anlisis y toma de decisiones.
n) Implementar la poltica de acceso a aplicaciones e informacin con el fin de
brindar respaldo y garantas al proceso de monitoreo, seguimiento y auditora
informtica, as como en la gestin de incidentes de seguridad.
o) Implementar la poltica de confidencialidad enfocada a la responsabilidad de la
seguridad y seguimiento de procedimientos, as como la accin disciplinaria
que la Institucin estime conveniente.
p) Definir el marco regulatorio que regir los estndares de operacin de la
Institucin ante la ausencia de un ente oficial regulador en el mbito
informtico. Esta deber ser una decisin institucional acorde a sus
necesidades.
q) Redisear los espacios destinados a procesamiento de informacin crtica
considerando aspectos arquitectnicos de seguridad fsica y vulnerabilidad
ante desastres naturales, condiciones de suministro elctrico, suministros de
red, climatizacin, sistema contra incendio entre otros.
r) Se recomienda adoptar las siguientes leyes nacionales y estndares a fin de
implementar su propio sistema regulatorio: Ley de acceso a la informacin
pblica, Ley de equidad de gnero y estndar ISO 18001 OHSAS Seguridad
Laboral.
94
BIBLIOGRAFA
[3] Fundacin Salvador del Mundo. Informe de resultados 2011 (PPT). El Salvador.
2011.
de
gestin
de
riesgos.
Disponible
en:
95
GLOSARIO
A
Activo de informacin
Este tipo de activo representa los datos de la entidad, informacin que tiene valor
para los procesos de negocio, independientemente de su ubicacin: puede ser un
documento fsico debidamente firmado, un archivo guardado en un servidor, un
aplicativo o cualquier elemento que permita almacenar informacin valiosa o til
para FUSALMO.
Activo Crtico
Bien tangible o intangible que posee valor para una organizacin o persona natural
y que es indispensable para las actividades fundamentales de la organizacin.
mbito
Contexto de trabajo o desarrollo.
Amenaza
Posibles eventos que pueden desencadenar un incidente, produciendo daos
materiales o prdidas inmateriales en los activos y en las operaciones normales
del negocio, interrumpiendo en algunos casos los servicios que prestan.
Anlisis de riesgo
Uso sistemtico de una metodologa para estimar los riesgos e identificar sus
fuentes, para los activos o bienes de informacin.
96
B
Back up o copia de seguridad
Copia de respaldo de la informacin.
Benchmarking
Proceso sistemtico y continuo para evaluar productos y/o servicios, as como
procesos de trabajo de otras organizaciones que son reconocidas como
practicantes de un proceso determinado.
C
Confidencialidad
Propiedad que determina que la informacin no est disponible ni sea revelada a
individuos, entidades o procesos no autorizados.
Control
Es toda actividad o proceso encaminado a mitigar o evitar un riesgo. Incluye
polticas, procedimientos, guas, estructuras organizacionales, buenas prcticas, y
que pueden ser de carcter administrativo, tcnico o legal.
Continuidad de negocio
Capacidad estratgica y tctica de la organizacin para planificar y responder ante
los incidentes e interrupciones del negocio, con el fin de permitir la continuidad de
las actividades comerciales en un nivel aceptable previamente definido.
D
Disponibilidad
Propiedad de que la informacin sea accesible y utilizable por solicitud de una
entidad autorizada.
97
E
Estndar de referencia
En este contexto se refiere al Estndar internacional ISO/IEC 27001:2005
Tecnologa de la informacin Tcnicas de seguridad Sistemas de gestin de
seguridad de la informacin Requerimientos.
Encriptacin
Tcnica usada para transformar los datos y su contenido mediante la aplicacin de
un cdigo secreto con el objeto de evitar que sean conocidos por personas no
autorizadas durante su transmisin por canales de comunicaciones o en su
almacenamiento en soportes de acceso pblico.
F
Firewall
Sistema de defensa basado en que el trfico de entrada o salida a la red pasa por
un sistema de seguridad que autoriza, deniega y registra todo evento en funcin
de una poltica de seguridad; controlando la comunicacin interna y externa de la
red.
G
Gestin del riesgo.
Actividades coordinadas para dirigir y controlar una organizacin con relacin al
riesgo.
98
I
Incidente de seguridad de la informacin.
Se considera un Incidente de Seguridad de la Informacin a cualquier evento que
haya vulnerado la seguridad de la informacin o que intente vulnerarla, sin
importar la informacin afectada, la plataforma tecnolgica, la frecuencia, las
consecuencias, el nmero de veces ocurrido o el origen (interno o externo).
Informacin
Conjunto organizado de datos procesados, que tienen valor para la organizacin.
Integridad
Propiedad de salvaguardar la exactitud y estado completo de los activos.
O
Objetivo del estndar
Meta en funcin de condiciones a lograr.
P
Plan de implementacin
Conjunto de actividades a desarrollar en la adopcin de un modelo o estrategia.
Permetro de seguridad
Delimitacin de un espacio fsico por medio de una barrera (pared, puerta de
acceso controlado, entre otros.)
99
R
Riesgo
Posibilidad de que se produzca un acontecimiento que conlleve a prdidas
materiales en el resultado de las operaciones y actividades que desarrollen las
organizaciones.
S
Seguridad de la informacin
Preservacin de la confidencialidad, integridad y disponibilidad de la informacin;
adems tambin pueden estar involucradas otras propiedades como la
autenticidad, responsabilidad, no repudio y confiabilidad.
V
Valoracin estndar
Puntaje asignado en una escala de valoracin definida, como parmetro de
comparacin de una variable.
100
Est definida la responsabilidad para llevar a cabo la terminacin del empleo, o cambio de
empleo? Cul es el procedimiento?
145
j)
Al finalizar el empleo o contrato, existe un proceso que asegura que todos los empleados,
contratistas y usuarios de terceras partes renuncian a todos los activos de la organizacin en
su poder, incluyendo informacin?
k) Al terminar el contrato, se eliminan los derechos de acceso de todos los empleados,
contratistas y usuarios de terceros, a las instalaciones de procesamiento de la informacin y
la informacin? Cmo es el procedimiento?
Documentos relacionados:
149
modificacin?
mm) La informacin involucrada en las transacciones en lnea est protegida para prevenir la
trasmisin incompleta, mal enrutamiento, alteracin de mensaje no autorizado y la
reproduccin o duplicacin no autorizada?
nn) Se mantienen registros de las actividades de auditoria, excepciones y eventos de seguridad
de la informacin, estos son mantenidos por un periodo de tiempo acordado para ayudar en
investigaciones futuras y monitoreo del control de acceso?
oo) Existe una poltica de control de acceso desarrollada y revisada en base a los requerimientos
comerciales y de seguridad?
pp) A los usuarios y proveedores de servicios se les dio una declaracin clara de los
requerimientos operativos que deben cumplir ante los controles de acceso?
qq) La asignacin y uso de privilegios en el entorno del sistema de informacin est restringido y
controlado?
rr) La asignacin y reasignacin de las contraseas estn controlados a travs de un proceso
formal de gestin?
ss) A los usuarios se les pide que firmen una declaracin para mantener la confidencialidad de
la contrasea?
tt) Hay alguna prctica de seguridad para guiar a los usuarios en la seleccin y el
mantenimiento de contraseas seguras?
uu) La organizacin ha adoptado la poltica de escritorio limpio en lo que respecta a los
documentos y medios de almacenamiento extrables y la poltica de pantalla limpia en lo que
respecta a los medios de procesamiento de la informacin?
vv) Existen controles del ruteo de las redes para asegurar que las conexiones de cmputo y
flujos de informacin no infrinjan las polticas de control de acceso de las aplicaciones
comerciales?
ww) El acceso al sistema operativo est controlado por procedimientos de seguridad en el
inicio de sesin?
xx) A todos los usuarios se les proporciona una identificacin nica (ID de usuario) para su uso
personal y exclusivo, incluye a operadores, administradores de sistemas y todo el resto del
personal, incluyendo tcnicos?
yy) Las sesiones inactivas se cierran despus de un perodo definido de inactividad?
zz) Los sistemas vulnerables o sensibles poseen un ambiente aislado?
aaa) El acceso a la informacin y funciones de aplicacin del sistema est restringido para los
usuarios y personal de apoyo, de acuerdo con la poltica de control de acceso definidas?
bbb) Los requisitos de seguridad para los nuevos sistemas de informacin y la mejora de los
sistemas de informacin existentes, especifican los requisitos para los controles de
seguridad?
ccc) La organizacin tiene una poltica sobre el uso de controles criptogrficos para la proteccin
de la informacin y es aplicada con xito?
ddd) Se ha implementado procedimientos para controlar la instalacin de software en los
sistemas operativos?
eee) Se ha implementado estrictos controles para restringir el acceso al cdigo fuente de los
programas?
fff) Se ha implementado un proceso o procedimiento para revisar y comprobar las aplicaciones
crticas de negocio ante un impacto adverso en las operaciones de la organizacin o de la
seguridad despus de los cambios al sistema operativo?
ggg)
Se genera informacin oportuna acerca de las vulnerabilidades tcnicas de los sistemas
de informacin que se utilizan?La organizacin presenta las vulnerabilidades evaluadas y las
152
medidas adecuadas que han sido adoptadas para mitigar el riesgo asociado?
hhh) Se ha establecido responsabilidades y procedimientos de gestin para garantizar una
respuesta rpida, efectiva y ordenada a los incidentes de seguridad de la informacin?
iii) Se ha implementado un mecanismo para identificar y cuantificar el tipo, volumen y costos
de los incidentes de seguridad de la informacin?
jjj) La informacin obtenida de la evaluacin de los ltimos incidentes de seguridad de la
informacin se utiliza para identificar los incidentes recurrentes o de alto impacto?
kkk)
Las evidencias relacionadas con el incidente son recolectadas, retenidas y presentadas
conforme a las normas de manejo de evidencia?
lll) Existe un proceso controlado de los requisitos de seguridad de la informacin para
desarrollar y mantener la continuidad del negocio en toda la organizacin?
mmm) Se desarrollan planes para mantener y restaurar las operaciones de negocio, asegurar la
disponibilidad de la informacin en el nivel requerido y en el marco de tiempo requerido
despus de una interrupcin o falla de los procesos del negocio?
nnn) El plan de continuidad del negocio asegura que todos los miembros del equipo de
recuperacin y personal pertinente estn al tanto de los planes, su responsabilidad para la
continuidad del negocio y seguridad de la informacin, y conocen su funcin cuando el plan lo
indica?
ooo) Se han definido de forma explcita y documentada para cada sistema de informacin y
organizacin, todos los requisitos legales pertinentes, los reguladores, contractuales y el
enfoque de la organizacin para cumplir con los requisitos?
ppp) Los registros importantes de la organizacin estan protegidos ante la destruccin,
prdida y falsificacin, de acuerdo con el requisito legal, reglamentario, contractual y los
requerimientos del negocio?
qqq) Se ha establecido permetros de seguridad fsica para proteger las reas de
procesamiento de la informacin, tales como vigilancia, barreras fsicas, sistemas de alarma,
entre otros?
rrr) Los controles de entrada estn instalados de modo que solo el personal autorizado de
determinadas reas de la organizacin tiene acceso?
sss) Las instalaciones donde se procesa el servicio de la informacin estn resguardados y
protegidos?
ttt) Cuentan sistema contra incendios, medidas de seguridad ante inundaciones, terremotos y
otros fenmenos naturales o producidos por el hombre?
uuu) Estn controladas las reas de acceso o puntos donde personas no-autorizadas puedan
ingresar a las instalaciones.
vvv)
Los equipos estn protegidos contra amenazas, peligros ambientales y accesos no
autorizados?
www) El equipo est protegido contra fallas de energa y otras interrupciones?
xxx)La fuente de alimentacin y el cable de telecomunicaciones que transporta datos est
protegido contra interrupciones o daos?
yyy)
Existe algn control adicional en sitio para proteger la informacin sensible o crtica?
zzz) Los equipos tienen su mantenimiento apropiado para asegurar la disponibilidad y la
integridad?
aaaa) Los equipos cuentan con el mantenimiento recomendado por el proveedor de servicios y
en los intervalos de tiempo recomendables?
bbbb) El mantenimiento de los equipos es desarrollado solo por personal autorizado?
cccc) Si los equipos son enviados fuera de las instalaciones, cuentan con los controles
153
apropiados?
dddd) Son evaluados los riesgos al usar los equipos fuera de las de las instalaciones de la
organizacin y se han implementados controles de mitigacin?
eeee) El procesamiento de la informacin fuera de las instalaciones de la organizacin son
autorizados por la direccin?
ffff) Los equipos que contienen medios de almacenamiento son chequeados para asegurar que
se les haya removido o sobre-escrito de manera segura cualquier dato confidencial y software
con licencia, antes de su eliminacin?
Documentos relacionados:
de
Fecha:
Documentos relacionados:
154
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
QA-026/12-TAI-TS-
SECCION:
00
Portada
MANUAL DE POLITICAS DE
SEGURIDAD DE LA
INFORMACION
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
00
QA-026/12-TAI-TS-
SECCION:
ndice
PGINA:
i de ii
1. Introduccin .
.
.
.
.
.
.
.
.
2. Objetivo .
.
.
.
.
.
.
.
.
.
3. Alcance .
.
.
.
.
.
.
.
.
.
4. Vigencia y actualizacin del manual, documentos y registros .
.
5. Hoja de control de revisiones
.
.
.
.
.
.
6. Solicitud de cambio en el manual. .
.
.
.
.
.
7. Registro de cambio relevante.
.
.
.
.
.
.
8. Identificacin de revisiones. .
.
.
.
.
.
.
9. Glosario .
.
.
.
.
.
.
.
.
.
10. Poltica del Sistema de Gestin de Seguridad de la Informacin
.
11. Compromiso de la Direccin
.
.
.
.
.
.
12. Regulacin
.
.
.
.
.
.
.
.
.
13. Polticas generales de seguridad de la informacin
.
.
.
14. Organizacin de la funcin de seguridad de la informacin .
.
14.1. Coordinacin de la funcin de seguridad de la informacin .
.
14.2. Autorizacin para el uso de infraestructura de informacin. .
.
14.3. Acuerdos de confidencialidad
.
.
.
.
.
.
14.4. Contacto con las autoridades y con grupos de inters especiales .
14.5. Auditoras internas .
.
.
.
.
.
.
.
14.6. Riesgos relacionados con terceros.
.
.
.
.
.
15. Gestin de activos de informacin .
.
.
.
.
.
15.1. Inventario de activos de informacin
.
.
.
.
.
15.2. Uso adecuado de los activos
.
.
.
.
.
.
15.3. Acceso a internet
.
.
.
.
.
.
.
.
15.4. Correo electrnico .
.
.
.
.
.
.
.
15.5. Recursos tecnolgicos
.
.
.
.
.
.
.
15.6. Clasificacin de la informacin
.
.
.
.
.
.
16. Seguridad en el recurso humano .
.
.
.
.
.
16.1. Responsabilidades del personal .
.
.
.
.
.
16.2. Seleccin de personal.
.
.
.
.
.
.
.
16.3. Trminos y condiciones de empleo.
.
.
.
.
.
16.4. Capacitacin y Entrenamiento en Seguridad de Informacin .
.
16.5. Procesos Disciplinarios.
.
.
.
.
.
.
.
16.6. Finalizacin de vinculacin laboral o cambio de rol. .
.
.
17. Seguridad fsica y ambiental
.
.
.
.
.
.
17.1. Control de acceso fsico
.
.
.
.
.
.
.
17.2. Proteccin y ubicacin de los equipos .
.
.
.
.
17.3. Retiro y seguridad de equipos y medios de informacin fuera de las
Instalaciones .
.
.
.
.
.
.
.
.
17.4. Eliminacin o reutilizacin segura de equipos y medios
.
.
18. Gestin de comunicaciones y operaciones.
.
.
.
.
1
1
1
1
3
4
5
5
6
8
.8
9
9
10
10
10
11
11
11
12
12
12
12
13
14
15
16
17
17
17
17
18
18
18
19
19
19
20
21
21
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
00
QA-026/12-TAI-TS-
SECCION:
ndice
PGINA:
ii de ii
21
22
22
23
23
24
24
25
25
25
26
26
27
27
27
28
28
29
29
29
29
30
30
31
31
31
32
33
33
33
33
33
34
34
34
34
35
36
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
MANUAL DE POLITICAS DE SEGURIDAD DE
LA INFORMACION
PGINA:
FUSAL-MSI-001
00
1 de 35
1. INTRODUCCIN
La Fundacin, reconoce la informacin como un activo fundamental en las
operaciones y el logro de objetivos definidos por la estrategia de la institucin,
razn por la cual establece un marco en el cual se asegure que la informacin est
protegida y disponible independientemente de la forma en la que se maneje,
procese, transporte y almacene.
Por tanto, este documento describe los lineamientos y polticas de seguridad de la
informacin y la forma en que deber administrarse la gestin para su
cumplimiento. Para la elaboracin del mismo, se toman como base las leyes y
regulaciones aplicables, especificados en este caso en el estndar ISO/IEC
27001:2005.
Las polticas descritas en este manual forman parte esencial del Sistema de
Gestin de Seguridad de la Informacin y son la referencia para la
implementacin de los controles, procedimientos y estndares especficos.
Para la Institucin, lo estipulado en este Manual de Seguridad de la Informacin,
tiene prioridad y un compromiso de responsabilidad de todos los miembros de la
fundacin para velar y garantizar que todas las prcticas deben ir en coherencia
con el sentido y espritu de las mismas.
2. OBJETIVO
El objetivo de este Sistema de Gestin de Seguridad de la Informacin es propiciar
y asegurar condiciones razonables que permitan proteger los activos de
informacin en su integridad, confidencialidad y disponibilidad en la Fundacin
Salvador del Mundo, con el fin de regular la gestin y generar confianza en los
clientes internos y externos.
3. ALCANCE
Las polticas de seguridad de la informacin aqu especificadas, contemplan los
aspectos administrativos y de control que deben ser cumplidos por los
colaboradores y terceros que laboren o tengan relacin con la Fundacin Salvador
del Mundo, para conseguir un adecuado nivel de proteccin de las caractersticas
de seguridad y calidad de la informacin.
4. VIGENCIA
REGISTROS
ACTUALIZACIN
DEL
MANUAL,
DOCUMENTOS
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
MANUAL DE POLITICAS DE SEGURIDAD DE
LA INFORMACION
PGINA:
FUSAL-MSI-001
00
2 de 35
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
MANUAL DE POLITICAS DE SEGURIDAD DE
LA INFORMACION
PGINA:
FUSAL-MSI-001
00
3 de 35
FECHA
REVISION
FECHA
INSERTADA
INSERTADA POR
Esta hoja se utiliza para mantener el control de las revisiones del manual. Cuando
se reciba una revisin, deber anotarse toda la informacin solicitada en este
cuadro y se insertarn las nuevas hojas en el manual. La Gerencia de Tecnologa
e Innovacin conservar por un perodo de seis meses las hojas retiradas despus
de una revisin. No se permiten enmiendas y revisiones escritas a mano excepto
en situaciones en las cuales se necesite hacerlas a beneficio de la seguridad.
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
FUSAL-MSI-001
REVISION:
MANUAL DE POLITICAS DE SEGURIDAD DE
LA INFORMACION
PGINA:
00
4 de 35
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
MANUAL DE POLITICAS DE SEGURIDAD DE
LA INFORMACION
PGINA:
FUSAL-MSI-001
00
5 de 35
Pgina
8. IDENTIFICACION DE REVISIONES
Cuando una revisin es emitida, una lnea a lo largo del margen izquierdo
identificar todo el material corregido.
Toda revisin se actualiza en el encabezado de cada pgina, con su fecha y
nmero de revisin correspondiente, sin afectar el resto del manual.
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
MANUAL DE POLITICAS DE SEGURIDAD DE
LA INFORMACION
PGINA:
FUSAL-MSI-001
00
6 de 35
9. GLOSARIO
Activo de informacin: Este tipo de activo representa los datos de la entidad,
informacin que tiene valor para los procesos de negocio, independientemente de
su ubicacin puede ser un documento fsico debidamente firmado, un archivo
guardado en un servidor, un aplicativo o cualquier elemento que permita
almacenar informacin valiosa o til para FUSALMO.
Anlisis de riesgos: Uso sistemtico de una metodologa para estimar los riesgos
e identificar sus fuentes, para los activos o bienes de informacin.
Backup o copia de seguridad: Copia de respaldo de la informacin.
Confidencialidad: Propiedad que determina que la informacin no est disponible
ni sea revelada a individuos, entidades o procesos no autorizados.
Control: Es toda actividad o proceso encaminado a mitigar o evitar un riesgo.
Incluye polticas, procedimientos, guas, estructuras organizacionales, buenas
prcticas, y que pueden ser de carcter administrativo, tcnico o legal.
Criticidad: Medida del impacto que tendra la institucin debido a una falla de un
sistema y que ste no funcione como es requerido.
Custodio: Ente, rea, proceso o persona encargada de preservar y resguardar la
informacin entregada y que generalmente son de propiedad de otro proceso o
rea.
Desastre: Hecho natural o provocado por el ser humano que afecta
negativamente a la vida, industria y desemboca con frecuencia en cambios
permanentes en las sociedades humanas.
Disponibilidad: Propiedad de que la informacin sea accesible y utilizable por
solicitud de una entidad autorizada.
Equipo de cmputo: Dispositivo electrnico capaz de recibir un conjunto de
instrucciones y ejecutarlas realizando clculos sobre los datos numricos, o bien
compilando y correlacionando otros tipos de informacin.
Evento de Seguridad de la Informacin: Se considera un Evento de Seguridad
de la Informacin a cualquier situacin identificada que indique una posible brecha
en las Polticas de Seguridad o falla en los controles y/o protecciones
establecidas.
Incidente de Seguridad de la Informacin: Se considera un Incidente de
Seguridad de la Informacin a cualquier evento que haya vulnerado la seguridad
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
MANUAL DE POLITICAS DE SEGURIDAD DE
LA INFORMACION
PGINA:
FUSAL-MSI-001
00
7 de 35
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
MANUAL DE POLITICAS DE SEGURIDAD DE
LA INFORMACION
PGINA:
FUSAL-MSI-001
00
8 de 35
DE GESTIN DE SEGURIDAD DE LA
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
FUSAL-MSI-001
REVISION:
MANUAL DE POLITICAS DE SEGURIDAD DE
LA INFORMACION
PGINA:
00
9 de 35
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
MANUAL DE POLITICAS DE SEGURIDAD DE
LA INFORMACION
PGINA:
FUSAL-MSI-001
00
10 de 35
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
MANUAL DE POLITICAS DE SEGURIDAD DE
LA INFORMACION
PGINA:
FUSAL-MSI-001
00
11 de 35
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
MANUAL DE POLITICAS DE SEGURIDAD DE
LA INFORMACION
PGINA:
FUSAL-MSI-001
00
12 de 35
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
MANUAL DE POLITICAS DE SEGURIDAD DE
LA INFORMACION
PGINA:
FUSAL-MSI-001
00
13 de 35
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
MANUAL DE POLITICAS DE SEGURIDAD DE
LA INFORMACION
PGINA:
FUSAL-MSI-001
00
14 de 35
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
MANUAL DE POLITICAS DE SEGURIDAD DE
LA INFORMACION
PGINA:
FUSAL-MSI-001
00
15 de 35
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
MANUAL DE POLITICAS DE SEGURIDAD DE
LA INFORMACION
PGINA:
FUSAL-MSI-001
00
16 de 35
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
MANUAL DE POLITICAS DE SEGURIDAD DE
LA INFORMACION
PGINA:
FUSAL-MSI-001
00
17 de 35
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
FUSAL-MSI-001
REVISION:
MANUAL DE POLITICAS DE SEGURIDAD DE
LA INFORMACION
PGINA:
00
18 de 35
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
MANUAL DE POLITICAS DE SEGURIDAD DE
LA INFORMACION
PGINA:
FUSAL-MSI-001
00
19 de 35
un back up, el cual deber realizarse por un miembro asignado por la Gerencia de
Tecnologa e Innovacin.
En caso de que un colaborador, miembro y/o tercero tenga un cambio de
funciones, se debe seguir los mismos procedimientos, en los cuales se asegure la
entrega de activos, el retiro de los accesos fsicos y lgicos, la transferencia de
informacin y la posterior entrega de los mismos de acuerdo a su nueva funcin.
17. SEGURIDAD FSICA Y AMBIENTAL
REF.: ISO/IEC 27001:2005 A.9
17.1 Control de Acceso Fsico
[ISO/IEC 27001:2005 A.9.1]
Son reas de acceso restringido todas aquellas destinadas al procesamiento o
almacenamiento de informacin sensible, en las que se encuentren los equipos y
dems infraestructura de soporte a los sistemas de informacin y comunicaciones,
por lo que deben contar con medidas de control de acceso fsico mediante
permetro de seguridad, tales que puedan ser auditadas; as tambin contar con
procedimientos de seguridad operacionales que permitan proteger la informacin,
el software y el hardware de daos intencionales o accidentales.
Los centros de cmputo, cableado y reas tcnicas de las oficinas, deben contar
con mecanismos que permitan garantizar que se cumplen los requerimientos
ambientales, especificados por los fabricantes de los equipos que albergan y que
pueden responder de manera adecuada ante incidentes como incendios e
inundaciones; es as como se velara por el cumplimiento de la normativa OHSAS
18000 de Seguridad y Salud Ocupacional en las Empresas, en aspectos como
prevencin de riesgos laborales y seguridad en estructuras organizativas e
instalaciones.
Deben controlarse las reas de carga, descarga, entrega de mercancas y dems
puntos de acceso a las instalaciones y en lo posible separarlas de las reas
seguras para evitar el acceso no autorizado.
Los colaboradores, as como los visitantes, deben portar identificacin visible
mientras permanezcan dentro de las instalaciones de la Fundacin; as mismo,
deben revisarse, actualizarse y monitorearse peridicamente los privilegios de
acceso a las reas seguras y restringidas de la Institucin.
17.2 Proteccin y Ubicacin de los Equipos
[ISO/IEC 27001:2005 A.9.2]
La infraestructura tecnolgica, que incluye servidores, equipos de comunicaciones
y seguridad electrnica, centros de cableado, UPS, subestaciones elctricas, aires
acondicionados, plantas telefnicas y elctricas, as como estaciones de trabajo y
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
MANUAL DE POLITICAS DE SEGURIDAD DE
LA INFORMACION
PGINA:
FUSAL-MSI-001
00
20 de 35
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
MANUAL DE POLITICAS DE SEGURIDAD DE
LA INFORMACION
PGINA:
FUSAL-MSI-001
00
21 de 35
f) La salida de los equipos debe ser autorizada y registrada, de tal manera que se
detallen los datos tcnicos y otros datos importantes para identificacin de
equipo entregado, de igual forma se utilizara esta informacin en el momento
de retorno del mismo.
El retiro de equipo informtico o sus perifricos, dispositivos de almacenamiento,
software e informacin crtica fuera de las instalaciones de la Fundacin debe
realizarse en base a los procedimientos establecidos por la Direccin Ejecutiva y
la Gerencia de Tecnologa e Innovacin.
17.4 Eliminacin o Reutilizacin Segura de Equipos y Medios
[ISO/IEC 27001:2005 A.9.2.6]
La Institucin debe identificar los riesgos relacionados con la destruccin,
reparacin o eliminacin de equipos y medios de almacenamiento; para ello debe
definir e implementar mecanismos y controles adecuados para que la informacin
sensible contenida en ellos sea eliminada de manera segura.
Para el equipo que sea reasignado o dado de baja, se realizar una copia de
respaldo de la informacin, luego el equipo ser sometido a un proceso de
eliminacin segura de la informacin sensible almacenada y del software
instalado, con el propsito de evitar la fuga de informacin y/o recuperacin no
autorizada de la misma.
Los equipos dados de baja en buen estado pueden ser donados a otras
instituciones, asegurando que no lleve informacin o programas con licencia que
pertenecen a la fundacin. En el caso sean para destruccin o reciclaje de partes
se deben buscar empresas o mecanismos que minimicen la contaminacin al
medio ambiente.
18. GESTIN DE COMUNICACIONES Y OPERACIONES
Ref.: ISO/IEC 27001:2005 A.10
18.1 Documentacin de Procedimientos Operativos
[ISO/IEC 27001:2005 A.10.1.1]
Con el propsito de asegurar el mantenimiento y operacin adecuada de la
infraestructura tecnolgica, se dispondr de procedimientos, registros e
instructivos de trabajo debidamente documentados y actualizados. Cada
procedimiento tendr un responsable para su definicin y mantenimiento y debe
garantizar la disponibilidad del mismo.
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
MANUAL DE POLITICAS DE SEGURIDAD DE
LA INFORMACION
PGINA:
FUSAL-MSI-001
00
22 de 35
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
MANUAL DE POLITICAS DE SEGURIDAD DE
LA INFORMACION
PGINA:
FUSAL-MSI-001
00
23 de 35
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
MANUAL DE POLITICAS DE SEGURIDAD DE
LA INFORMACION
PGINA:
FUSAL-MSI-001
00
24 de 35
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
MANUAL DE POLITICAS DE SEGURIDAD DE
LA INFORMACION
PGINA:
FUSAL-MSI-001
00
25 de 35
c) El uso de cdigo mvil, siempre que no sea utilizado en base a las polticas y
normas de seguridad definidas o debidamente autorizado por la Gerencia de
Tecnologa e Innovacin.
18.8 Copias de Respaldo
[ISO/IEC 27001:2005 A.10.5]
La Institucin debe asegurar que la informacin con cierto nivel de clasificacin
contenida en su plataforma tecnolgica, sea peridicamente resguardada
mediante mecanismos y controles que garanticen su identificacin, proteccin,
integridad y disponibilidad; adicionalmente, se debe establecer un plan de
restauracin de copias de seguridad que sean probados a intervalos regulares con
el fin de asegurar que son confiables en caso de emergencia.
La Gerencia de Tecnologa e Innovacin establecer procedimientos para el
resguardo y recuperacin de la informacin, deber incluir especificaciones acerca
del traslado, frecuencia e identificacin de la misma, as como los perodos de
retencin; adems, deber disponer de los recursos necesarios para permitir la
identificacin de los medios de almacenamiento, la informacin contenida en ellos
y la ubicacin fsica de los mismos para permitir un rpido y eficiente acceso a los
medios que contienen la informacin resguardada.
El sitio donde se resguardan las copias de seguridad, debe tener los controles de
seguridad adecuados y cumplir con mximas medidas de proteccin y seguridad
fsica. Lo anterior se debe realizar de acuerdo con lo establecido en el
procedimiento Copia de Respaldo (Back up).
18.9 Gestin de Medios Removibles
[ISO/IEC 27001:2005 A.10.7]
La Gerencia de Tecnologa e Innovacin implementar los controles necesarios
para asegurar que en los sistemas de informacin slo los colaboradores
autorizados pueden hacer uso de los medios de almacenamiento removibles. As
mismo, el colaborador se compromete a asegurar fsica y lgicamente el
dispositivo a fin de no poner en riesgo la informacin que est contenida en ellos.
18.10 Intercambio de Informacin
[ISO/IEC 27001:2005 A.10.8]
La Informacin firmar acuerdos de confidencialidad con los colaboradores,
clientes y terceros que por diferentes razones requieran conocer o intercambiar
informacin restringida o confidencial; estos acuerdos especifican las
responsabilidades para el intercambio de informacin para cada una de las partes
y se debern firmar antes de permitir el acceso o uso de la informacin.
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
MANUAL DE POLITICAS DE SEGURIDAD DE
LA INFORMACION
PGINA:
FUSAL-MSI-001
00
26 de 35
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
MANUAL DE POLITICAS DE SEGURIDAD DE
LA INFORMACION
PGINA:
FUSAL-MSI-001
00
27 de 35
Todos los relojes de los sistemas informticos deben estar sincronizados, con el
fin de lograr un control apropiado de eventos no deseados en la infraestructura o
para la investigacin efectiva de incidentes.
19. CONTROL DE ACCESO
Ref.: ISO/IEC 27001:2005 A.11
19.1 Control de Acceso Lgico
[ISO/IEC 27001:2005 A.11.1]
El acceso a plataformas, aplicaciones, servicios y a cualquier recurso de
informacin ser asignado de acuerdo a la identificacin de requerimientos de
seguridad y del negocio que definan las diferentes dependencias, as como
normas legales o leyes aplicables a la proteccin de acceso a la informacin en
los sistemas.
Los accesos a plataformas, usuarios y segmentos de red son asignados por los
responsables de la administracin de la infraestructura tecnolgica en base a
procesos formales de autorizacin, los cuales deben ser revisados de manera
peridica por la Gerencia de Tecnologa e Innovacin.
Adems, la dependencia propietaria de la informacin, o quien sta defina, debe
autorizar el acceso a los sistemas de acuerdo con el nivel de clasificacin de la
misma, segn la cual se deben determinar los controles y privilegios de acceso
que se pueden otorgar a los colaboradores y terceros. Cualquier usuario interno o
externo que requiera acceso remoto a la red y a la infraestructura de
procesamiento siempre debe estar autenticado y sus conexiones debern utilizar
cifrado de datos, independientemente si el acceso es por Internet, acceso
telefnico o por otro medio.
19.2 Gestin de Contraseas de Usuario
[ISO/IEC 27001:2005 A.11.2.3]
Los recursos de informacin crticos tienen privilegios de acceso de usuarios en
base a los roles y perfiles que cada colaborador requiera para el desarrollo de sus
funciones; stos son definidos y aprobados por las reas de negocio y
administrados por la Gerencia de Tecnologa e Innovacin. Es responsabilidad de
sta ltima la creacin, modificacin y eliminacin de usuarios y contraseas en la
infraestructura de procesamiento de Informacin.
Todo colaborador o tercero que requiera tener acceso a los sistemas debe estar
debidamente autorizado y acceder a dichos sistemas haciendo uso como mnimo
de un usuario y contrasea asignado. El colaborador debe ser responsable y
garantizar el buen uso de las credenciales de acceso asignadas.
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
MANUAL DE POLITICAS DE SEGURIDAD DE
LA INFORMACION
PGINA:
FUSAL-MSI-001
00
28 de 35
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
MANUAL DE POLITICAS DE SEGURIDAD DE
LA INFORMACION
PGINA:
FUSAL-MSI-001
00
29 de 35
MANTENIMIENTO
DE
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
MANUAL DE POLITICAS DE SEGURIDAD DE
LA INFORMACION
PGINA:
FUSAL-MSI-001
00
30 de 35
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
MANUAL DE POLITICAS DE SEGURIDAD DE
LA INFORMACION
PGINA:
FUSAL-MSI-001
00
31 de 35
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
MANUAL DE POLITICAS DE SEGURIDAD DE
LA INFORMACION
PGINA:
FUSAL-MSI-001
00
32 de 35
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
MANUAL DE POLITICAS DE SEGURIDAD DE
LA INFORMACION
PGINA:
FUSAL-MSI-001
00
33 de 35
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
MANUAL DE POLITICAS DE SEGURIDAD DE
LA INFORMACION
PGINA:
FUSAL-MSI-001
00
34 de 35
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
REVISION:
MANUAL DE POLITICAS DE SEGURIDAD DE
LA INFORMACION
PGINA:
FUSAL-MSI-001
00
35 de 35
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
MANUAL DE POLITICAS DE SEGURIDAD DE
LA INFORMACION
FUSAL-MSI-001
REVISION:
00
PGINA:
1 DE 5
Preparado por
Nombre
Firma
Puesto
Fecha
Revisado por
Propietario
Nombre
Firma
Puesto
Fecha
Nombre
Firma
Puesto
Fecha
Aprobado por
Nombre
Firma
Puesto
Fecha
Copia controlada
Titular
Copia nmero
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
MANUAL DE POLITICAS DE SEGURIDAD DE
LA INFORMACION
FUSAL-MSI-001
REVISION:
00
PGINA:
2 DE 5
1. OBJETIVO
Establecer los lineamientos y procedimientos para realizar el respaldo de
informacin de los servidores.
2. ALCANCE
2.1 Inclusiones
Este documento describe los procedimientos de respaldo y recuperacin para los
sistemas, incluyendo aplicaciones, bases de datos, sistemas operativos, archivos
de usuarios en los servidores y configuracin de dispositivos de FUSALMO, los
cuales son administrados por la Coordinacin de Servicios Tecnolgicos de la
Gerencia de Tecnologa e Innovacin.
2.2 Exclusiones
No se incluye todos aquellos procesos de respaldo y recuperacin llevados a cabo
por terceros.
No se incluyen los procesos de respaldo y recuperacin de las computadoras
personales de los usuarios finales de la Fundacin.
3. DEFINICIONES
3.1 Respaldo (Backup)
Accin de realizar una copia de datos de un servidor a un medio de
almacenamiento (Disco ptico) como prevencin en caso de prdida total o dao
parcial de la fuente original de estos datos.
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
MANUAL DE POLITICAS DE SEGURIDAD DE
LA INFORMACION
FUSAL-MSI-001
REVISION:
00
PGINA:
3 DE 5
3.2 Recuperacin
Consiste en la accin de recuperar los datos que han sido previamente copiados a
un medio de almacenamiento.
4. RESPONSABILIDAD
Es responsabilidad del Coordinador de Recursos Tecnolgicos, establecer los
mecanismos necesarios y ejecutarlos, para la realizacin de los respaldos en los
medios establecidos.
Responsable
Coordinacin de Recursos
Tecnolgicos
Solicitante
Gerencia de Tecnologa e
Innovacin
Actividad
El respaldo de informacin clasificada se
realiza
semanalmente
en
forma
programada cada viernes.
El Coordinador de recursos tecnolgicos
programa y verifica requerimientos para
realizacin de respaldo, entre ellos bitcora
y medios de almacenamiento.
Continuar con el paso 5.
Si el respaldo es solicitado por una de las
partes interesadas, continuar con el paso 2.
El respaldo de informacin se realiza en
base a solicitud o de forma programada.
Este puede ser solicitado por las partes
interesadas: Gerencia de finanzas y
recaudacin de fondos, Gerencia de
tecnologa
e
innovacin,
Direccin
Ejecutiva.
El interesado mediante correo electrnico a
la Gerencia de Tecnologa e innovacin
solicita la realizacin del respaldo.
Autoriza la solicitud mediante notificacin
va correo electrnico a la Coordinacin de
recursos tecnolgicos.
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
MANUAL DE POLITICAS DE SEGURIDAD DE
LA INFORMACION
No.
Responsable
Coordinacin de Recursos
Tecnolgicos
Coordinacin de Recursos
Tecnolgicos
Coordinacin de Recursos
Tecnolgicos
Coordinacin de Recursos
Tecnolgicos
Gerencia de Tecnologa e
Innovacin
Gerencia de Finanzas y
Recaudacin de Fondos
FUSAL-MSI-001
REVISION:
00
PGINA:
4 DE 5
Actividad
Recibe la solicitud, programa y verifica
requerimientos
para
realizacin
de
respaldo, entre ellos bitcora y medios de
almacenamiento.
Ejecuta el respaldo de informacin de
forma manual, almacenando las carpetas
de informacin correspondientes en el
medio de almacenamiento. Codifica la
copia de respaldo indicando fecha y hora
de su realizacin.
Registra en bitcora fecha y hora de
realizacin del respaldo, as como las
actividades realizadas, componentes del
respaldo
y
posibles
hallazgos
o
eventualidades en el proceso.
Notifica va correo electrnico a la Gerencia
de tecnologa e innovacin acerca de la
realizacin del respaldo, indicando los
componentes del respaldo y entrega la
copia fsica de respaldo.
Entrega mediante memorando a la
Gerencia de Finanzas y recaudacin de
fondos, la copia fsica de respaldo,
indicando fecha y hora de realizacin, as
como los componentes del respaldo.
Recibe la copia de respalda y la resguarda
contemplando las medidas de seguridad
correspondientes.
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
MANUAL DE POLITICAS DE SEGURIDAD DE
LA INFORMACION
FUSAL-MSI-001
REVISION:
00
PGINA:
5 DE 5
Programa
y
verifica
requerimientos
para
realizacin de respaldo,
entre ellos bitcora y medios
de almacenamiento.
Coordinacin de
Recursos Tecnolgicos
Gerencia TI
Ejecuta el respaldo de
informacin
de
forma
manual, codifica la copia de
respaldo indicando fecha y
hora de su realizacin.
La Gerencia de Finanzas y
recaudacin de fondos recibe
la copia de respaldo y la
resguarda contemplando las
medidas de seguridad.
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
MANUAL DE POLITICAS DE SEGURIDAD DE
LA INFORMACION
FUSAL-MSI-001
REVISION:
00
PGINA:
1 DE 9
Nombre
Firma
Puesto
Fecha
Revisado por
Propietario
Nombre
Firma
Puesto
Fecha
Nombre
Firma
Puesto
Fecha
Aprobado por
Nombre
Firma
Puesto
Fecha
Copia controlada
Titular
Copia nmero
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
MANUAL DE POLITICAS DE SEGURIDAD DE
LA INFORMACION
FUSAL-MSI-001
REVISION:
00
PGINA:
2 DE 9
1. OBJETIVO
Definir las acciones por medio de las cuales los problemas e incidentes,
relacionados con tecnologa de informacin, son reportados, registrados,
investigados, diagnosticados, valorados y resueltos. El procedimiento asegura que
los problemas son asignados a un responsable, se les da seguimiento y son
monitoreados durante todo su ciclo de vida.
2. ALCANCE
2.1 Inclusiones
Este procedimiento aplica a todos los problemas e incidentes en las aplicaciones,
bases de datos, sistemas operativos, centros de datos y componentes de red en la
infraestructura de FUSALMO, dichos incidentes o problemas son reportados a LA
Gerencia de Tecnologa e Innovacin y debidamente registrados para su
seguimiento.
2.2. Exclusiones
No se han identificado exclusiones para este procedimiento.
3. DEFINICIONES
3.1 Software
Aplicaciones, programas o sistemas computacionales.
3.2. Hardware
Componentes fsicos de tecnologa, en este caso tecnologa de la informacin.
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
MANUAL DE POLITICAS DE SEGURIDAD DE
LA INFORMACION
FUSAL-MSI-001
REVISION:
00
PGINA:
3 DE 9
4. RESPONSABILIDAD
Es responsabilidad del Coordinador de Recursos Tecnolgicos, establecer los
mecanismos necesarios y ejecutarlos, para dar soporte a las aplicaciones o
servicios de TI y de resolver los problemas o incidentes que le hayan sido
asignados.
Es responsabilidad de la Gerencia de Tecnologa e Innovacin dar seguimiento y
monitoreo al reporte de incidentes de seguridad, su investigacin, resolucin,
valoracin y documentacin.
Responsable
Actividad
Usuario/ Personal de la
Gerencia de Tecnologa e
Innovacin
Usuario/ Personal de la
Gerencia de Tecnologa e
Innovacin
Gerencia de Tecnologa e
Innovacin
Coordinacin de Recursos
Tecnolgicos
Coordinacin de Recursos
Tecnolgicos
Coordinacin de Recursos
Tecnolgicos
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
MANUAL DE POLITICAS DE SEGURIDAD DE
LA INFORMACION
No.
Responsable
Coordinacin de Recursos
Tecnolgicos
Coordinacin de Recursos
Tecnolgicos
Coordinacin de Recursos
Tecnolgicos
11
12
REVISION:
00
PGINA:
4 DE 9
Actividad
10
FUSAL-MSI-001
Coordinacin de Recursos
Tecnolgicos/ Gerencia de
Tecnologa e Innovacin
Coordinacin de Recursos
Tecnolgicos/ Gerencia de
Tecnologa e Innovacin
Gerencia de Tecnologa e
Innovacin
Reporta el incidente
mediante el formato 7.1
y lo presenta a la
Gerencia
de
Tecnologa
e
Innovacin.
Identifica o percibe
fallas o un incidente de
seguridad
en
los
servicios
de
informacin,
aplicaciones, registros,
entre otros.
Realiza cierre de expediente y
finaliza el procedimiento
Establece
permetro
de
seguridad
fsico
y
salvaguarda de evidencias e
inicia la investigacin del
incidente. Determina si el
incidente
corresponde
a
incidente de seguridad u otro
tipo.
No
Incidente de
seguridad
S
1
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
MANUAL DE POLITICAS DE SEGURIDAD DE
LA INFORMACION
FUSAL-MSI-001
REVISION:
00
PGINA:
5 DE 9
Realiza entrevistas a
usuarios
y
dems
personal que pueda
brindar informacin.
Recopila
toda
la
informacin
y
evidencias disponibles
y verifica los sucesos
que
conducen
al
incidente.
Elabora informe en el
que se establecen
todos
los
hechos
pertinentes
y
lo
presenta a la Gerencia
de
Tecnologa
e
Innovacin para su
anlisis.
Junto a la Gerencia de
Tecnologa e
Innovacin elabora
conclusiones basadas
en la informacin y
propone
recomendaciones para
prevenir su repeticin.
Procede
con
una
valoracin del impacto y
determina los sistemas y
procesos afectados, as
como sus responsables.
Junto a la Gerencia de
Tecnologa e Innovacin
completa
informe
de
incidentes en su totalidad
y realiza cierre.
Gerencia de Tecnologa e
Innovacin reporta el
incidente a la Direccin
Ejecutiva de FUSALMO
para
conocimiento
y
deduccin
de
responsabilidades
o
medida
disciplinaria
cuando aplique.
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
MANUAL DE POLITICAS DE SEGURIDAD DE
LA INFORMACION
FUSAL-MSI-001
REVISION:
00
PGINA:
6 DE 9
7. FORMATOS RELACIONADOS
7.1 Reporte de incidente de seguridad
Hora de Notificacin:
rea/Dependencia:
Sede:
Tel:
Correo electrnico:
INFORMACIN DEL INCIDENTE
Fecha en que se observ el incidente:
F. ______________________________
Usuario
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
MANUAL DE POLITICAS DE SEGURIDAD DE
LA INFORMACION
FUSAL-MSI-001
REVISION:
00
PGINA:
7 DE 9
CASO No.___________________________
rea/Dependencia:
Sede:
Tel:
Correo electrnico:
INFORMACIN DEL RECURSO AFECTADO
Sistema, computadora o red afectada:
Localizacin fsica:
No
El recurso afectado
tiene
conexin
a
internet?
No
EVIDENCIAS
Inspeccin Preliminar:
Incidente
de
Seguridad de
la informacin
No
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
MANUAL DE POLITICAS DE SEGURIDAD DE
LA INFORMACION
2. Entrevistas
Nombre de la persona entrevistada:
Resumen de Entrevista:
Resumen de Entrevista:
Resumen de Entrevista:
FUSAL-MSI-001
REVISION:
00
PGINA:
8 DE 9
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
MANUAL DE POLITICAS DE SEGURIDAD DE
LA INFORMACION
FUSAL-MSI-001
REVISION:
00
PGINA:
9 DE 9
DIAGNSTICO
Uso indebido de informacin crtica.
Divulgacin
no
autorizada
informacin personal.
Intrusin fsica.
Destruccin
informacin.
no
autorizada
de
Fraude o phishing.
Robo o prdida
informtico.
Otro:
de
un
recurso
RESULTADOS
RECOMENTACIONES
F. ______________________________
Responsable
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
MANUAL DE POLITICAS DE SEGURIDAD DE
LA INFORMACION
FUSAL-MSI-001
REVISION:
00
PGINA:
1 DE 7
Preparado por
Nombre
Firma
Puesto
Fecha
Revisado por
Propietario
Nombre
Firma
Puesto
Fecha
Nombre
Firma
Puesto
Fecha
Aprobado por
Nombre
Firma
Puesto
Fecha
Copia controlada
Titular
Copia nmero
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
MANUAL DE POLITICAS DE SEGURIDAD DE
LA INFORMACION
FUSAL-MSI-001
REVISION:
00
PGINA:
2 DE 7
1. OBJETIVO
Evaluar y controlar las actividades y desempeo de los sistemas de informacin a
fin de constatar si sus actividades son correctas y de acuerdo a los procedimientos
establecidos en la Fundacin.
2. ALCANCE
2.1 Inclusiones
Este procedimiento aplica para todos los sistemas que operan en FUSALMO,
entre ellos correo Institucional, pgina web, Sistema Administrativo Financiero
(SAF) y Sistema de RRHH.
2.2. Exclusiones
No se define exclusiones a este procedimiento.
3. DEFINICIONES
3.1 Plan de auditora
Plan de trabajo anual de actividades relacionado con el proceso de auditora, el
cual es planificado, ejecutado y en seguimiento por la Gerencia de Tecnologa e
innovacin para su desarrollo y cumplimiento. Este plan no es el programa de
auditora que ejecuta el equipo auditor.
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
MANUAL DE POLITICAS DE SEGURIDAD DE
LA INFORMACION
FUSAL-MSI-001
REVISION:
00
PGINA:
3 DE 7
Clasificacin
Observacin
No conformidad
Descripcin
Identificacin de una condicin
potencial que puede ser la causa de
incumplimiento de algn estndar o
procedimiento, despus de tres
consecutivas
observaciones
del
mismo tema se convertir en una no
conformidad.
Tiempo de Respuesta
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
MANUAL DE POLITICAS DE SEGURIDAD DE
LA INFORMACION
FUSAL-MSI-001
REVISION:
00
PGINA:
4 DE 7
Las repuestas o plan de mejora (si aplica) son enviados por la Gerencia de
Tecnologa e Innovacin, detallando las acciones que dan respuesta y solucin a
los hallazgos presentados en el informe de auditora.
En el caso que el auditado necesita pedir extensin para dar respuesta a la no
conformidad, estas sern otorgadas por el auditor si estn justificadas; sin
embargo el tiempo de respuesta no debe superar los 30 das calendario.
Extensiones no sern aprobadas si:
Si la evidencia no es enviada
en la
4. RESPONSABILIDAD
Es responsabilidad del Gerente de Tecnologa e Innovacin velar por el
seguimiento del Plan de auditora de la Unidad, a fin de que esta se realice en el
perodo programado y cumpla con los requerimientos del mismo. As tambin es
responsable de garantizar las condiciones y disponibilidad de recursos e
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
MANUAL DE POLITICAS DE SEGURIDAD DE
LA INFORMACION
FUSAL-MSI-001
REVISION:
00
PGINA:
5 DE 7
Responsable
Gerencia de Tecnologa e
Innovacin
Gerencia de Tecnologa e
Innovacin
Direccin Ejecutiva
Direccin Ejecutiva
Gerencia de Tecnologa e
Innovacin
Direccin Ejecutiva
Actividad
Planifica el plan de auditora interna de
acuerdo a las necesidades de la
Fundacin.
Presenta a Direccin Ejecutiva el plan de
auditoria y los recursos requeridos.
Convoca a reunin de trabajo para
conformacin
de
equipo
auditor,
considerando representacin de las reas
crticas de la fundacin; del rea de TI
deber excluirse del equipo auditor.
Notifica a todas las reas de la Fundacin
el inicio del proceso, el cronograma de
desarrollo y el comit auditor. Enva
notificacin al rea de Tecnologa e
innovacin.
Organiza las actividades en el rea,
coordina
con
equipo
de
trabajo,
disponibilidad de documentos y dems
evidencias.
Llegada la fecha planificada, la Direccin
Ejecutiva convoca a la Gerencia de
Tecnologa e Innovacin a reunin de
presentacin de los miembros del equipo
auditor. Se realiza: Revisin del alcance,
los objetivos, cronograma de auditora,
metodologa, procedimientos a utilizar y
tabla de tiempos de la auditora.
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
MANUAL DE POLITICAS DE SEGURIDAD DE
LA INFORMACION
No.
Responsable
Equipo Auditor
Equipo Auditor
Equipo Auditor
10
Equipo Auditor
11
Gerencia de Tecnologa e
Innovacin
12
Gerencia de Tecnologa e
Innovacin
13
Direccin Ejecutiva
14
Gerencia de Tecnologa e
Innovacin
FUSAL-MSI-001
REVISION:
00
PGINA:
6 DE 7
Actividad
Coordina las actividades segn el plan de
auditora.
Ejecuta la auditora realizando verificacin
documental, demostracin y entrevista
respecto a los procedimientos de
seguridad, controles, documentacin y
prcticas del rea.
Define acciones de mejora, hallazgo,
periodos de respuesta, proceso de
seguimiento, cierre de casos y referencias
normativas
relacionadas
para
la
elaboracin del informe de auditora.
Presenta informe de auditora a la Direccin
Ejecutiva, Gerencia de Tecnologa e
Innovacin y dems jefaturas consideradas.
Emite por escrito respuesta al informe de
auditora en relacin a los hallazgos
sealados, para lo cual cuenta con tres
das hbiles para su preparacin y
evidencias.
Presenta a la Direccin Ejecutiva plan de
mejora a los hallazgos sealados.
Autoriza el plan de mejora para su
ejecucin.
Realiza seguimiento a las acciones de
mejora.
REGISTRO:
Octubre-15-2012
CODIGO:
REVISADO:
MANUAL DE POLITICAS DE SEGURIDAD DE
LA INFORMACION
FUSAL-MSI-001
REVISION:
00
PGINA:
7 DE 7
Direccin Ejecutiva
Presenta a Direccin
Ejecutiva el plan de
auditoria y los recursos
requeridos.
Convoca a reunin de
trabajo
para
conformacin de equipo
auditor.
Organiza
las
actividades en el rea,
coordina con equipo de
trabajo, disponibilidad
de
documentos
y
dems evidencias.
Emite
por
escrito
respuesta al informe de
auditora en caso de ser
pertinente,
contando
con tres das hbiles
para su preparacin y
evidencias.
Presenta a la Direccin
Ejecutiva
plan
de
mejora a los hallazgos
sealados.
Realiza seguimiento a
las acciones de mejora.
Convoca a la Gerencia
de
Tecnologa
e
Innovacin a reunin de
presentacin de los
miembros del equipo
auditor.
Se
realiza
revisin
de
componentes
del
proceso de auditora.
Autoriza el plan
mejora
para
ejecucin.
de
su
Equipo Auditor
Coordina
las
actividades segn el
plan de auditora.
Ejecuta la auditora
realizando verificacin
documental,
demostracin
y
entrevista respecto a los
procedimientos
de
seguridad,
controles,
documentacin
y
prcticas del rea.
Define acciones de
mejora
y
elabora
informe de auditora.
Presenta informe de
auditora a la Direccin
Ejecutiva, Gerencia de
Tecnologa
e
Innovacin y dems
jefaturas consideradas.