Академический Документы
Профессиональный Документы
Культура Документы
DE TECNOLOGÍAS DE LA INFORMACIÓN
TABLA DE RESPONSABILIDADES
CONTROL DE CAMBIOS
INSTRUCTIVO DE CONTROLES DE
Versión: 02
SEGURIDAD DE LA INFORMACIÓN
Fecha: 02 de septiembre
PARA FUNCIONARIOS DE LA UNIDAD
de 2018
DE TECNOLOGÍAS DE LA Página: 2 de 10
INFORMACIÓN
CONTENIDO
1. OBJETIVO ............................................................................................................................................... 3
2. ALCANCE ................................................................................................. ¡Error! Marcador no definido.
3. TERMINOLOGÍA ..................................................................................................................................... 3
4. DOCUMENTOS APLICABLES O RELACIONADOS .................................................................................... 4
5. DESARROLLO/ DESCRIPCIÓN .................................................................. ¡Error! Marcador no definido.
6. REGISTROS ............................................................................................................................................. 9
7. ANEXOS ................................................................................................................................................ 10
1. OBJETIVO
2. ÁMBITO DE APLICACIÓN
3. TERMINOLOGÍA
Confidencialidad: es garantizar que solo aquellos que tienen autorización para ver o manjar información
reservada o protegida puedan hacerlo.
5. MODO DE OPERACIÓN
Los siguientes son lineamientos generales para considerar como excepciones de mantenimiento, ya que
es más eficiente considerar procedimientos de recambio o renovación:
Las mantenciones deben ser planificadas y deben tomarse las siguientes consideraciones:
• Las mantenciones del equipamiento deben realizarse de la forma indicada, y con los
intervalos recomendados por el fabricante, cuidando de las condiciones de garantía.
• Las mantenciones solo deben ser realizadas por personal calificado y autorizado.
• Se debe mantener registro de cada mantenimiento realizado, para cada equipamiento.
• Realizar las pruebas necesarias antes de volver a poner en operación el equipamiento.
• Cada vez que corresponda, se deben tomar resguardos para mantener la confidencialidad,
disponibilidad e integridad de los activos de información:
o Generar respaldos antes de aplicar un mantenimiento.
o Disponer de equipamiento redundante para cuando se realice el mantenimiento
o Proteger información sensible, reservada y de personas durante el
mantenimiento. Por ejemplo proteger información encriptándola, quitándola durante el
mantenimiento y/o mediante cláusulas de confidencialidad firmadas por el proveedor.
Se recomienda que todas las mantenciones sean realizadas por proveedores externos con personal
certificado y/o calificado, gestionando contratos por al menos un año. Estos contratos deben suscribir las
cláusulas de confidencialidad institucionales. Se debe verificar que el proveedor difunda las clausulas a
todos sus empleados.
El responsable institucional de este control es el Jefe de la unidad de Tecnología de la información. A nivel
regional cada encargado de la unidad TI debe gestionar los equipos propios de la región y que no estén
consideradas en las mantenciones de alcance nacional. A nivel local de dirección nacional, el coordinador
del área de atención a usuarios es quien cumple esta función.
II.Sistema de gestión de contraseñas
Las contraseñas de los servicios, sistemas y dominio de red de JUNJI debe tender a ser única, y debe
permitir que todos los funcionarios cambien su propia contraseña mediante sistema. Este sistema debe
cumplir con las siguientes propiedades o configuraciones:
• Garantizar ID de usuario únicos.
• Pedir confirmación al cambiar la contraseña, ingresándola una vez más.
• Forzar el uso de contraseñas de calidad.
• Forzar al usuario a cambiar su contraseña al primer acceso o al “resetear” una
contraseña.
• Forzar el cambio periódico de contraseñas. Como mínimo cada 6 meses.
• Forzar el cambio de contraseñas de todos los funcionarios en caso de sufrir algún
incidente global de seguridad relacionado con estas.
• Prevenir el uso de contraseñas usadas con anterioridad.
• Las contraseñas se deben almacenar encriptadas y deben estar protegidas.
• Las contraseñas se deben transmitir de forma protegida.
• Permitir que contraseñas en específico cumplan con menos o más requisitos que los
expuestos en los puntos anteriores.
El sistema de gestión de contraseñas debe estar separado de otros sistemas y debe mantener alto grado
de integridad, confidencialidad, disponibilidad, continuidad y recuperabilidad.
El responsable institucional de este control es el Jefe de la unidad de Tecnología de la información
III.Seguridad en la reutilización y eliminación del Equipamiento
Todo el equipamiento que pueda contener información debe recibir el siguiente tratamiento al ser
devuelto, reutilizado o al ser dado de baja:
i.Respaldar la información que pueda contener
ii.Archivar el respaldo con el nombre del usuario propietario y proteger su confidencialidad
iii.Formatear o borrar el contenido. En caso de borrado asegurar que no queda en una “Papelera
de Reciclaje”
iv.Para el caso de información confidencial, realizar técnicas de sobreescritura adecuadas, para
garantizar que el contenido no pueda ser recuperado desde el formateo o borrado.
En caso de que el equipamiento presente fallas que impida ser formateado o borrado, debe garantizarse
la destrucción física del medio de almacenamiento al momento de darlo de baja.
Solo el dueño de la información puede tener acceso a su respaldo.
El responsable de este control son todos los funcionarios de la unidad de tecnologías de la información
que reciban equipamiento para ser reutilizado o dado de baja.
IV.Respaldo de Información
Los respaldos de información, software y las imágenes de sistema deben ser realizados y probados de
acuerdo a la siguiente Política de Respaldos:
i.Se deben realizar respaldos de bases de datos, software, sistemas y máquinas virtuales.
ii.Se podrán realizar 2 tipos de respaldos:
• Completo: Respaldo a todo el sistema o máquina virtual.
• Incremental: Respaldo de los cambios respecto al respaldo anterior.
iii.Los respaldos se deben realizar de la siguiente forma:
• Máquinas Virtuales Criticidad alta: Respaldo incremental de forma diaria,
Respaldo completo 3 veces a la semana
• Máquinas virtuales Criticidad normal: Respaldo incremental día por medio,
Respaldo completo una vez a la semana.
• Máquinas virtuales Criticidad baja: Respaldo completo una vez a la semana.
• Storage: Una vez a la semana en cinta. El storage además se encuentra protegido
por RAID 5. Las cintas se guardan en Darío Urzua (Ubicación distinta al datacenter).
a. El respaldo en cinta incluye los respaldos de máquinas virtuales.
iv.Los respaldo deben tener el siguiente tiempo de retención:
a. Criticidad alta: últimos 7 respaldos completos.
b. Criticidad Media: 4 últimos respaldos completos.
c. Criticidad Baja: 4 últimos respaldos completos.
d. Cintas 5 años.
v.Los respaldos deben estar debidamente etiquetados y ordenados.
vi.Para cada tipo de respaldo debe existir un procedimiento con el detalle para restaurarlo.
vii.Los respaldos deben ser probados periódicamente, al menos una vez al año.
6. REGISTROS
Almacenamiento Disposición
Responsable
Recuperación (pasado
Identificación de generar el Tiempo de Lugar y Responsable
Protección Medio de tiempo de
registro retención de almacenamiento
Soporte retención)
Tiempo en que Dónde se almacena
Forma de Qué se hace
el documento el registro (si tiene
resguardo Indicar medio de con el
será más de un
Cargo(s) que documento recuperación si registro una
Nombre del almacenado almacenamiento de
genera el (PDF, es digital/ vez que
Registro antes de su igual forma
registro Servidor, impreso, ambos, termina el
eliminación o especificar) y
codificado, etc. tiempo de
archivo responsable de
etc.) retención
histórico almacenarlo
7. ANEXOS
Formatos definidos para los registros, instructivos si existen u otro que sea necesario para apoyar el
manual. Fuente: Calibri 10, interlineado 1,15