Ejemplo Politica General de Seguridad

Farmacias abc Versión: 2.
0
Política de Seguridad de la Información Fecha: 17 de Noviembre de 2018
Modificado Por: Elvia Severino Autorizado Por: Comité de Seguridad
GERENCIA
POLITICAS DE SEGURIDAD DE INFORMACION DE

FARMACIAS ABC
Este documento es propiedad de

FARMACIAS ABC . Cualquier copia
impresa de este documento e
considera COPIA NO CONTRALADA,
salvo el original y las copias selladas
como documento contolado
Santo Domingo de Guzmán, D. N.

Noviembre, 2018
Para uso de toda la organización FABC-GA-PL-001 Página 1 de 27

Farmacias abc Versión: 2.0
Contents
2. Introducción ..................................................................................................... 4
2.1 Objetivo..................................................................................................... 4
3. Alcance ........................................................................................................ 4
4. Términos y definiciones ................................................................................... 5
5. Políticas de seguridad de la información ......................................................... 8
6. Organización de la Seguridad de información ................................................. 9
7. De los Recursos Humanos y la seguridad de información ............................ 12
8. De los activos y su gestión ............................................................................ 14
9. Del control de acceso .................................................................................... 14
10. De Criptográficos ....................................................................................... 15
11. Seguridad física y del entorno .................................................................... 16
12. Seguridad De Las Operaciones ................................................................. 17
12.1 Procedimientos y responsabilidades operacionales ............................ 17
13. Seguridad de las comunicaciones.............................................................. 21
13.1 Gestión de la seguridad de redes ........................................................ 21
14. De la adquisición, desarrollo y mantenimiento de Sistemas de Información22
15. Relación con proveedores ......................................................................... 24
16. De la gestión de incidentes de seguridad de la información ...................... 25
17. De la continuidad de las operaciones de FABC ......................................... 25
18. Cumplimiento de requisitos legales............................................................ 26
Definición ............................................................ ¡Error! Marcador no definido.
2.2 Objetivo de la Gerencia ............................... ¡Error! Marcador no definido.
2.3 Responsabilidades ...................................... ¡Error! Marcador no definido.
5. Contratos de Trabajo y Contratos de Suplidores¡Error! Marcador no definido.

1. Historial de Revisiones
Fecha Versión Descripción Autores
19 –febrero 2010 0.1 Creación del documento Miguel Diaz

Modificación a Actualización de versión de
21-Marzo-2015 0.2 Elvia Severino
la norma
Comité de
22-Marzo-2015 1.0 Revisión y Aprobación del documento
Seguridad
Acápite 7.2, 4 y 8: Cambio norma certificación
5-Octubre-2015 1.1 Fernando Aponte
13-Diciembre2015 Acápite 7.2, 4 y 8: Cambio norma certificación

1.2 Fernando Aponte
Acápites 14.3, 14.6, 14.7, 14.10, 14.11, 14.12,

5-Junio-2016 1.3 atendiendo a las observaciones de la Auditoría Elvia Severino
efectuada en fecha mayo 2016.
Revisión y Aprobación de los cambios propuestos Comité de

6 –Junio-2016 2.0
Seguridad

2. Introducción
2.1 Objetivo
El objetivo de este documento es instruir a todo el personal de FARMACIAS ABC

sobre la Política del Sistema de Gestión de Seguridad de la Información que rige
en la empresa, y establecer conciencia a todos y cada uno de sus miembros
sobre la importancia y criticidad de la información en el funcionamiento y
continuidad del negocio.
Este documento de Política del Sistema de Gestión de Seguridad de la

Información define el conjunto de reglas y prácticas que regulan la forma en que
FARMACIAS ABC maneja, protege y distribuye información sensitiva y sus
recursos de información. Estos enunciados son de carácter general y, por lo
tanto, en esta Política se referencian los documentos detallados que establecen
qué está permitido y qué no está permitido con respecto al control y preservación
de la seguridad de la información en la empresa.
La información es un recurso que, como el resto de los activos, tiene valor para
Farmacias ABC (FABC) y por consiguiente debe ser debidamente protegida y
gestionada. Las presentes políticas de seguridad procuran proteger la
información de una amplia gama de amenazas, a fin de lograr la
confidencialidad, integridad y disponibilidad, así como velar por la continuidad
operativa de los sistemas de información, minimizar los riesgos de daño y
asegurar el eficiente cumplimiento de los objetivos de la Institución.
El modelo que se detalla en estas políticas de seguridad de información se

corresponde con los lineamientos de la norma ISO/IEC 27001:2013. Dicho
modelo podrá sufrir modificaciones futuras, de acuerdo a las novedades que se
registren en la materia que trata, las cuales serán debidamente aprobadas y
comunicadas.
3. Alcance
Este documento es para uso de toda la organización y la aplicación de la Política

del Sistema Gestión de Seguridad de la Información es de carácter obligatorio
para todos los empleados de FARMACIAS ABC

4. Términos y definiciones
A los efectos de este documento se aplican las siguientes definiciones:
 Activo: Algo que tenga valor para lo Institución.
 Administración de Riesgos: es el proceso de identificación, control y

minimización o eliminación, a un costo aceptable, de los riesgos de seguridad
que podrían afectar a la información. Dicho proceso es cíclico.
 Comité de Seguridad: es el ente normativo en materia de seguridad,

integrado por la alta gerencia de Farmacias ABC, destinado a garantizar el
apoyo manifiesto de las autoridades a las iniciativas de seguridad.
 Control: Herramienta de la gestión del riesgo, incluido políticas, pautas,

estructuras organizacionales, que pueden ser de naturaleza administrativa,
técnica, gerencial o legal.
NOTA: Control es también usado como sinónimo de salvaguardia o contramedida.
Declaración de aplicabilidad (SOA): declaración documentada que describe

los objetivos de control y controles que son pertinentes y aplicables para el
Sistema de Gestión de Seguridad de Información para Farmacias ABC
 Evaluación de Riesgos: es la evaluación de las amenazas y

vulnerabilidades relativas a la información y a las instalaciones de
procesamiento de la misma, la probabilidad de que ocurran y su potencial
impacto en la operatoria de FABC.
 Evento de seguridad de la información: ocurrencia identificada de una

situación de sistema, servicio o red que indica una posible violación de las
políticas de seguridad de la información o falla de salvaguardias, o una
situación previamente desconocida que puede ser relevante para la
seguridad.
 Información: Se refiere a toda comunicación o representación de

conocimiento como datos, en cualquier forma, con inclusión de formas
textuales, numéricas, gráficas, cartográficas, narrativas o audiovisuales, y en
cualquier medio, ya sea magnético, en papel, en pantallas de computadoras,
audiovisual u otro.
 Incidente de seguridad de la información: un evento o serie de eventos de

seguridad de la información indeseables o inesperados que tienen una
probabilidad importante de comprometer las operaciones del Banco y
amenazar la seguridad de la información.

 Oficial de Seguridad de la Información: es la persona que cumple la

función de supervisar el cumplimiento de las presentes políticas y las normas
que de ellas surjan, también, asesorar en materia de seguridad de la
información a los integrantes de FABC que así lo requieran.
 Propietario de activo de información: Son quienes generan la información

u operan cualquier elemento de la infraestructura tecnológica relacionado con
la misma.
 Riesgo residual: el riesgo remanente después del tratamiento de riesgos.
 Seguridad de la Información
La seguridad de la información se entiende como la preservación de las
siguientes características:
• Confidencialidad: que la información sea accesible sólo a aquellas

personas autorizadas a tener acceso a la misma.
• Integridad: se salvaguarda la exactitud y totalidad de la información y los

métodos de procesamiento.
• Disponibilidad: que sólo los usuarios autorizados tengan acceso a la
información y a los recursos relacionados con la misma, toda vez que lo
requieran.
Adicionalmente, deberán considerarse los conceptos de:
• Auditabilidad: define que todos los eventos de un sistema deben poder

ser registrados para su control y revisión posterior.
• Autenticidad: busca asegurar la validez de la información en tiempo,

forma y distribución. Asimismo, se garantiza el origen de la información,
validando el emisor para evitar suplantación de idempresaes.
• Confiabilidad de la Información: significa que la información generada

sea adecuada para sustentar la toma de decisiones, ejecutar las
funciones y cumplir la misión institucional.
• Legalidad: referido al apego a las leyes, normas, reglamentaciones o

disposiciones a las que está sujeto FABC.
• No repudio: se refiere a evitar que una empresa que haya enviado o

recibido información alegue ante terceros que no la envió o recibió.

• Protección a la duplicación: consiste en asegurar que una transacción

sólo se realiza una vez, a menos que se especifique lo contrario. Impedir
que se grabe una transacción para luego reproducirla, con el objeto de
simular múltiples peticiones del mismo remitente original.
 Sistema de Información Se refiere a un conjunto independiente de recursos

de información organizados para la recopilación, procesamiento,
mantenimiento, transmisión y difusión de información según determinados
procedimientos, tanto automatizados como manuales.
 Sistema de gestión de seguridad de la información (SGSI): la parte del

sistema total de gestión, basada en un enfoque de riesgo de negocios, para
establecer, implementar, operar, monitorear, revisar, mantener y mejorar la
seguridad de la información.
 Sistemas sensibles: Se refiere a los sistemas de información cuyo

funcionamiento es crítico para el buen desenvolvimiento operativo de la
Institución.
 Tecnología de la Información: Se refiere al hardware y software operados
por FABC o por un tercero que procese información en su nombre, para
llevar a cabo una función propia del FABC, sin tener en cuenta.

5. Políticas de seguridad de la información
5.1 Objetivo
Proteger los recursos de información de FABC y la tecnología utilizada para su
procesamiento, frente a amenazas, internas o externas, deliberadas o
accidentales, con el fin de asegurar el cumplimiento de la confidencialidad,
integridad, disponibilidad, legalidad y confiabilidad de la información.
Asegurar la implementación de las medidas de seguridad comprendidas en

estas políticas, identificando los recursos involucrados.
5.2 Alcance
Aspectos Generales
Estas políticas de seguridad de información se conforman de una serie de
pautas sobre aspectos específicos de la seguridad de la información, que
incluyen los siguientes tópicos:
 Organización de la seguridad
 Seguridad de los recursos humanos
 Gestión de activos
 Control de acceso
 Criptografía
 Seguridad física y del entorno
 Gestión de las operaciones
 Gestión de las comunicaciones
 Desarrollo y mantenimiento de los sistemas
 Relación con proveedores
 Gestión de incidentes de seguridad
 Gestión de la continuidad operativa de FABC
 Cumplimiento de requisitos legales.

6. Organización de la Seguridad de información
Objetivo
Administrar la seguridad de la información dentro de FABC y establecer un
marco gerencial para controlar su implementación, así como para la distribución
de funciones y responsabilidades.
Garantizar la aplicación de medidas de seguridad adecuadas en los accesos de

terceros a la información de FABC.
Responsabilidad
El Oficial de Seguridad de Información realizará la supervisión de todos los
aspectos inherentes a los temas tratados en las presentes políticas. De igual
manera, asistirá al personal de FABC en materia de seguridad de la
información, junto con los propietarios de la información, analizará el riesgo de
los accesos de terceros a la información de FABC y verificará la aplicación de
las medidas de seguridad necesarias para la protección de la misma.
Los propietarios de la información son responsables de clasificarla de acuerdo

con el grado de sensibilidad y criticidad de la misma, de documentar y mantener
actualizada la clasificación efectuada y de definir cuáles grupos de usuarios
podrán tener permisos de acceso a la información, de acuerdo con sus
funciones y competencias.
La dirección del Departamento de Recursos Humanos será responsable de

notificar al personal que ingresa al FABC de sus obligaciones respecto del
cumplimiento de las políticas de seguridad de la información y de todas las
normas, procedimientos y prácticas que de ellas surjan. Asimismo, tendrá a su
cargo la notificación de los cambios que en ella se produzcan, la implementación
de la suscripción de los compromisos de confidencialidad y las tareas de
capacitación continua en materia de seguridad.
La dirección del Departamento de Sistemas y Tecnología cubrirá los

requerimientos de seguridad de información establecidos para la operación,
administración y comunicación de los sistemas y recursos de tecnología de
FABC, como está descrito en el Manual Orgánico Funcional de dicho
departamento.
La Consultoría Jurídica definirá, para los contratos con proveedores de servicios

de tecnología y cualquier otro proveedor de bienes o servicios cuya actividad
afecte directa o indirectamente a los activos de información, los artículos que
establezcan la obligatoriedad del cumplimiento de las políticas de seguridad de
la información y de todas las normas, procedimientos y prácticas relacionadas

de FABC. Asimismo, notificará a las partes impactadas, sobre las modificaciones

que se efectúen a las políticas de seguridad de la Información de FABC, durante
la vigencia del contrato. Las dependencias del Banco que elaboran contratos se
asegurarán de incluir como parte integral del mismo, los artículos anteriormente
mencionados.
El área de Auditoría Interna es responsable de practicar auditorías sobre los

sistemas y actividades vinculadas con los activos de información, debiendo
informar sobre el incumplimiento de las especificaciones y medidas de seguridad
de la información.
6.1 Infraestructura de la Seguridad de la Información
6.1.1 Comité de Seguridad

A fin de contar con un órgano colegiado para la toma de decisiones en materia
de seguridad, incluida la seguridad de la información, se crea el Comité de
Seguridad, el cual queda integrado como se detalla a continuación:
Titular Calidad
Gerente Ejecutivo Presidente
Gerente Administrativo Miembro
Subgerente de Servicios y Sistemas Miembro
Subgerente de Operaciones Miembro
Contralor Miembro
Consultor Jurídico Miembro
Director Departamento de Sistemas y Tecnología Miembro
Director Departamento de Seguridad Interna Secretario
Este Comité tendrá entre sus funciones:
• Revisar y proponer al ente correspondiente de FABC para su aprobación,

las modificaciones a las políticas y las funciones generales en materia de
seguridad.
• Dar seguimiento a cambios significativos en los riesgos que afectan a los

activos frente a las amenazas.
• Conocer los informes de los incidentes relativos a la seguridad e instruir

sobre las medidas que se deben adoptar.
• Aprobar las iniciativas tendentes a fortalecer la seguridad.

• Conocer y decidir sobre metodologías relativas a la seguridad.
• Promover la difusión y apoyo a la seguridad a lo interno de FABC.
6.1.2 Asignación de responsabilidades en materia de seguridad de la

información
A continuación se detallan los procesos de seguridad, indicándose el o los
responsable(s) del cumplimiento de los aspectos de estas políticas, aplicables a
cada caso:
Proceso Responsable
Seguridad de los Recursos Humanos Director Depto. Recursos Humanos
Seguridad Física Director Depto. Seguridad Interna
Seguridad Ambiental Director Depto. Administrativo
Control de Acceso Lógico Contralor
Seguridad en el Desarrollo y Mantenimiento de Sistemas Director Depto. Sistemas y Tecnología
Gestión de Incidentes Director Depto. Sistemas y Tecnología
Seguridad en las Comunicaciones y las Operaciones Director Depto. Sistemas y Tecnología
Gestión de Activos de Información Director Depto. Sistemas y Tecnología
Gestión de Riesgos Gerencia.
Planificación de la Continuidad Operativa Gerencia
6.2 Seguridad frente al acceso por parte de terceros
6.2.1 Identificación de riesgos del acceso de terceras partes
Cuando exista la necesidad de otorgar acceso a terceras partes a información de

FABC se realizará una evaluación de riesgos para identificar los requerimientos
de controles específicos, teniendo en cuenta aspectos como: tipo de acceso
requerido, motivos, valor de la información y controles empleados por la tercera
parte para el manejo de la información.
En ningún caso se otorgará acceso a terceros, a la información, a las

instalaciones de procesamiento u otras áreas de servicios críticos, hasta tanto se
hayan implementado los controles apropiados y se haya firmado un contrato o
acuerdo que defina las condiciones para la conexión o el acceso.

6.3 Tercerización
6.3.1 Requerimientos de seguridad en contratos de tercerización
Los contratos o acuerdos de tercerización total o parcial para la administración y

control de sistemas de información, redes y otros recursos de FABC,
contemplarán los artículos sobre confidencialidad de los activos de información
involucrados durante la ejecución del contrato y si es necesario posterior al
mismo. Estos artículos incluyen la forma en que se cumplirán los requisitos
legales aplicables, los medios para garantizar que todas las partes involucradas
en la tercerización, incluyendo los subcontratistas, están informados de sus
responsabilidades en materia de seguridad, la forma en que se mantendrá y
comprobará la integridad y confidencialidad de los activos de FABC, los
controles físicos y lógicos, la forma en que se mantendrá la disponibilidad de los
servicios ante la ocurrencia de desastres, y el derecho a la auditoría por parte de
FABC sobre dichos servicios.
7. De los Recursos Humanos y la seguridad de

información
Objetivo: Asegurar que los empleados, contratistas y terceros, entiendan sus
responsabilidades para las funciones en las que se les ha considerado, para
reducir el riesgo de robo, estafa o mal uso de las instalaciones y activos de
información. Antes, durante y después del empleo o vigencia del contrato.
Antes del empleo
7.1 La Gerencia requerirá la verificación de antecedentes de todos los

candidatos a empleo, contratistas y terceros, conforme a las leyes,
reglamentos y ética pertinentes y en proporción a los requisitos de
FABC, la clasificación de la información a ser accedida y a los riesgos
percibidos.
7.2 Como parte de su obligación contractual, los empleados, contratistas y

terceros, aceptarán y firmarán los términos y condiciones de su
contrato de empleo, el cual indicará sus responsabilidades en la
seguridad de la información así como las de FABC.

Durante el empleo
7.3 La Gerencia exigirá que los empleados, contratistas y terceros

apliquen la seguridad de acuerdo con las presentes políticas y los
procedimientos derivados de estas.
7.4 La Gerencia procurará que todo el personal de la Institución y, cuando

sea pertinente, los contratistas y terceros, recibirán el entrenamiento
de concienciación adecuado y actualizaciones periódicas de normas y
procedimientos de FABC, en materia de seguridad, según
corresponda a sus funciones de trabajo.
7.5 Se aplicará un proceso disciplinario formal para los empleados que

hayan cometido una violación de seguridad, según el Reglamento
Interno de Administración de los Recursos Humanos de FABC y en
caso de terceros y contratistas, se actuará de acuerdo con lo
establecido en cada contrato.
Terminación de la relación laboral
7.6 En el momento de la contratación, se definirán y asignarán claramente

las responsabilidades para efectuar la terminación de la relación
laboral.
7.7 Todos los empleados, contratistas y terceros devolverán todos los

activos del FABC en su poder al terminar su empleo, contrato o
convenio.
7.8 Los derechos de acceso de todos los empleados, contratistas y

terceros a la información y a las instalaciones de procesamiento de
información se retirarán al terminar su empleo, contrato o convenio, o
modificarse según el cambio.

8. De los activos y su gestión
Objetivo: Mantener una adecuada protección de los activos de información de

FABC.
8.1 Todos los activos de información de FABC se identificarán claramente

y se mantendrá un inventario de estos.
8.2 Los activos de información son responsabilidad de quien los genera,

utiliza o administra.
8.3 La Gerencia identificará, documentará e implementará reglas para el

uso aceptable de la información y de los activos relacionados con las
instalaciones de procesamiento de información.
8.4 El propietario de los activos de información, los clasificará y evaluará

en base a las tres características de la información en las cuales se
basa la seguridad: confidencialidad, integridad y disponibilidad, según
se indica en la Metodología de Gestión de Riesgos de activos
informáticos.
8.5 Se preparará e implementará un conjunto de procedimientos

adecuados para la rotulación y manipulación de la información, de
acuerdo al esquema de clasificación adoptado por FABC.
9. Del control de acceso

Objetivo: Controlar el acceso a la información, asegurando el acceso de
usuarios autorizados e impedir el acceso no autorizado a los activos de
información.
9.1 Habrá un procedimiento formal de inscripción y des-inscripción de

usuarios para otorgar y revocar el acceso a todos los sistemas y
servicios de información y se restringirá y controlará la asignación y
uso de privilegios de acceso de acuerdo con los perfiles de puestos,
los cuales serán revisados a intervalos regulares utilizando.
9.2 Se establecerá un protocolo para la definición, asignación y control de

contraseñas a los usuarios de los sistemas de información, y los
usuarios deben seguir buenas prácticas de seguridad en la selección
y uso de las mismas.

9.3 Se establece una política de escritorio limpio de papeles y de medios

de almacenamiento removibles, los usuarios se asegurarán que el
equipo no atendido tenga protección adecuada.
9.4 A los usuarios sólo se les dará acceso a los servicios de redes de
comunicación que están específicamente autorizados a usar de
acuerdo con su perfil de puesto.
9.5 En caso de que sea necesario, se usarán métodos de autenticación

apropiados para controlar el acceso de usuarios remotos.
9.6 En redes compartidas, especialmente aquellas que se extienden más

allá de los límites de FABC, se restringirá la capacidad de los usuarios
para conectarse a la red, conforme a la política de control de acceso y
a los requisitos de las aplicaciones de negocios.
9.7 El acceso a los sistemas operativos se controlará mediante un

procedimiento seguro de inicio de sesión.
9.8 No se permitirá el uso de programas utilitarios que pudieran cancelar

los controles del sistema o de las aplicaciones.
9.9 Se podrán aplicar restricciones del tiempo de conexión para proveer

seguridad adicional a las aplicaciones de alto riesgo.
9.10 Los sistemas sensibles tendrán un ambiente de computación dedicado

o aislado.
10. De Criptográficos
Política sobre el uso de controles Criptográficos
Objetivo: Asegurar el uso adecuado y efectivo de la criptografía para proteger la

confidencialidad, autenticidad e integridad de la información, para lograr un
óptimo aseguramiento de la misma se deben tener en cuenta los siguientes
aspectos:
 Protección de claves de acceso a sistemas de información (datos, servicios, etc…)
 Resguardo de información, previa evaluación del responsable de la información y

responsable de seguridad informática.

10.1 Gestión de Claves

Con el fin de fortalecer la gestión de claves, se tendrá en cuenta lo dictaminado
en el Manual FABC-GTI-Ma01 Manual de políticas de gestión de recursos
tecnológicos de igual manera se establecen las siguientes directrices:
 A través del Directorio Activo se realizara la aplicación de la política sobre uso,

protección y duración de las claves criptográficas.
 La contraseña tendrá una vigencia de 90 días, antes de cumplirse este periodo se

solicitara su cambio por parte del directorio activo.
11. Seguridad física y del entorno

Áreas y equipos
Objetivo: Impedir el acceso físico no autorizado, daños e interferencias en los
locales y la información de la Institución, para tales propósitos se adoptarán las
siguientes medidas:
11.1 Se utilizarán perímetros de seguridad para proteger las áreas que

contienen información y las instalaciones de procesamiento de
información.
11.2 Se protegerán las áreas, mediante controles de ingreso adecuados

para asegurar que sólo se permita el acceso del personal autorizado.
11.3 Se diseñará y aplicará protección física contra daños por incendio,

inundación, terremoto, explosión, desorden civil y otras formas de
desastres naturales o provocados.
11.3.1 Se aislarán de las instalaciones de procesamiento de información

para evitar el acceso no autorizado, los puntos de acceso tales
como las áreas de entrega y carga y otros puntos donde personas
no autorizadas pueden ingresar se controlarán y, de ser posible,
aislarán de las instalaciones de procesamiento de información para
evitar el acceso no autorizado.
11.4 Se implementaran controles ambientales periódicos de niveles de

humedad relativa, temperatura, articulado en el ambiente, ruidos,
iluminación entre otros, para verificar que los mismos no afecten de
manera adversa el funcionamiento de las instalaciones de
procesamiento de la información.

11.5 Se implementará un programa de supervisión y control de las

condiciones higiénico ambiental en todas las dependencias, con la
finalidad de cumplir con las normativas sobre salud ocupacional y
seguridad ambiental.
11.6 Los equipos de FABC se ubicarán adecuadamente y se protegerán de

amenazas y peligros ambientales, igualmente estarán protegidos
contra cortes de energía y otros trastornos ocasionados por fallas en
los servicios de soporte. Contará con opciones alternas de los
servicios de soporte de acuerdo a cada caso.
11.7 El cableado de energía y telecomunicaciones que conduzca datos o

soporte los servicios de información estará protegido de intercepción o
daño.
11.8 Se realizarán labores preventivas y correctivas, para asegurar que los

equipos, cableado, redes eléctricas y sistemas de seguridad mantenga
su operación continua, disponibilidad e integridad.
11.9 Todos los componentes de equipos de FABC que contengan medios

de almacenamiento de información y que requieran ser descartados,
deben ser revisados para asegurar la eliminación de cualquier
información que contenga.
11.10 No se sacará equipo, información o “software” fuera de las

instalaciones del FABC sin previa autorización.
12. Seguridad De Las Operaciones
Objetivo: Asegurar el funcionamiento correcto y seguro de las instalaciones de

tratamiento de la información.
12.1 Procedimientos y responsabilidades operacionales
Deberían documentarse y mantenerse procedimientos de operación y ponerse a

disposición de todos los usuarios que los necesiten.

12.1.1 Responsabilidades y Procedimientos de Operación

El Depto. Administrativo debe proveer a sus empleados de manuales de
configuración y operación de los sistemas operativos, servicios de red, bases de
datos y sistemas de información así como todos los componentes de la
plataforma tecnológica de la empresa.
Se debe garantizar la documentación y actualización de los procedimientos

relacionados con la operación y administración de la plataforma tecnológica que
apoya los procesos de negocio del Farmacia ABC (FABC)
12.1.2 Gestión del cambio

El Depto. Administrativo coordinará y controlará los cambios realizados en los
activos de información tecnológicos y los recursos informáticos, asegurando que
los cambios efectuados sobre la plataforma tecnológica, tanto el software
operativo como los sistemas de información, serán debidamente autorizados.
Debe garantizar que todo cambio realizado a un componente de la plataforma

tecnológica, el cual conlleve modificación de accesos, modificación o
mantenimiento de software, actualización de versiones o modificación de
parámetros, certifica y mantiene los niveles de seguridad existentes.
Se debe garantizar que todo cambio realizado sobre la plataforma tecnológica,
quedará documentado en todas sus etapas
12.1.3 Gestión de la capacidad

El uso de los recursos del Centro de Datos será supervisado por el jefe de la
Depto. Sistemas y Tecnología, con el fin de verificar el buen funcionamiento y la
disponibilidad que manejan los equipos tecnológicos.
Esto esta soportado por los planes de acción y tácticos para cada periodo que
diseñe el área y que deben estar alineados con las estrategias desarrolladas por
la empresa.
12.2 Protección Contra Código Malicioso

El Farmacia ABC (FABC) establece que todos los recursos informáticos deben
estar protegidos mediante herramientas y software de seguridad como antivirus,
antispam, antispyware, antimalware y otras aplicaciones que brindan protección
contra código malicioso y prevención del ingreso del mismo a la red de la
empresa
 El Depto. Sistemas y Tecnología debe garantizar que el software antivirus cuenta

con las licencias de uso activas, garantizando su autenticidad y su constante
actualización evitando que código malicioso, virus etc... Afecten vulnerabilidades
del sistema.
 Los usuarios que manejen activos de información tecnológicos no pueden
manipular la configuración del software antivirus de sus equipos de cómputo.

 Solo se puede hacer uso de hardware y software que esté autorizado por la Depto.
Sistemas y Tecnología
 Los usuarios que manejen activos de información, deben garantizar que las
descargas realizadas por internet y de archivos adjuntos de correos electrónicos,
provienen de fuentes conocidas o seguras.
 Todo archivo, documento que se ejecuten o sean abiertos por primera vez deberán
ser analizados por el software antivirus.
 Todo usuario deberá comunicarse con El Depto. Sistemas y Tecnología en caso de que
su equipo de cómputo presente virus o perdida de información.
12.3 Copias De Seguridad de la Información

 Deben las copias de seguridad de la información, software e imágenes se tomarán y
se comprueban regularmente minino dos veces al año, según lo considere el
administrador del servicio, teniendo en cuenta el cronograma de backups para
realizar la validación e integridad de las copias de seguridad realizadas y copias de
seguridad y restauración de datos
. Esto aplica a los activos de información del centro de cómputo.
 Deben Los empleados, contratistas y terceros, ser los responsables de la gestión del
almacenamiento y respaldo de la información deberán gestionar los recursos
necesarios para garantizar el correcto tratamiento de la misma. El Depto. Sistemas
y Tecnología deberá definir la estrategia a seguir para el respaldo y almacenamiento
de la información, de tal forma que se garantice su confidencialidad, integridad y
disponibilidad.
 Debe Depto. Seguridad Interna establecerá los lineamientos para la generación y
almacenamiento de las copias de respaldo de información del centro de cómputo.
 Debe la información ser salvaguardada por Depto. Sistemas y Tecnología de Farmacia
ABC (FABC), deberá ser almacenada y respaldada interna o externamente a la
empresa, de acuerdo con las normas establecidas de tal forma que se garantice su
disponibilidad en cualquier momento.
 Se deben realizar copias de respaldo de todas las bases de datos que contienen los
sistemas de información del Farmacia ABC (FABC) y demás servicios, la
periodicidad de las mismas serán definidas por la El Depto. Sistemas y Tecnología
teniendo en cuenta la clasificación de la información, esta tarea debe realizarse de
forma automática.
 Deben los empleados serán los responsables de salvaguardar la información de sus
estaciones de trabajo personales.

12.4 Registro de Actividad Y Supervisión

12.4.1 Registro y Gestión de Eventos
Se realizaran revisiones periódicas a los registros de excepciones, fallas y eventos de
seguridad de la información del sistema operativo, esta tarea deber será realizada por cada
administrador de servicio.
· Protección de los Registros de Información
Los registros de información se protegerán contra la manipulación y el acceso no autorizado,
a través de los niveles de seguridad impuestos por la empresa, en la red existente (IPS,
Firewall y Antirvirus EndPoint) y los dispuestos en la infraestructura física.
· Registro de actividades del Administrador y Operador del Sistemas
Toda actividad realizada por el administrador del sistema y de la red serán registradas
mediante datos del sistema (logs),
estos mismos serán protegidos y sujetos a revisiones periódicas.
Los registros tendrán una vigencia periódica la cual será determinada por el administrador
de cada servicio, esta periodicidad debe ser comunicada al área de sistemas.
· Sincronización de Relojes
Los relojes de los sistemas de información, serán sincronizados tomando como referencia
una fuente de tiempo única. Esta actividad debe ser realizada por el administrador del
servicio del directorio activo de la empresa.
12.5 Control del Software en Producción

 El Farmacia ABC (FABC) implementará procedimientos para controlar la instalación
de software como parches o actualizaciones en ambientes de pruebas para no
afectar el servicio en producción.
Control de Auditorias de los Sistemas de Información

El Farmacia ABC (FABC), con apoyo de la Oficina de Control Interno realizara verificación
del cumplimiento de los requisitos de normas ISO aplicables, normatividad legal vigente y
los requisitos del proceso y sus procedimientos. Estas auditorías deberán evidenciar la
eficacia y eficiencia de los sistemas de información implementados.
12.6 Gestión de Vulnerabilidades Técnica

La información sobre las vulnerabilidades técnicas de los sistemas de información deberán
ser obtenidas de manera oportuna y evaluadas con el fin de tomar las medidas necesarias
para contra los riesgos hallados
· Restricción en la instalación de software
Los empleados son responsables por la instalación y utilización de software no licenciado y
no autorizado en sus equipos de cómputo y plataformas tecnológicas de la empresa. Es
responsabilidad del FABC incluir todos los equipos de cómputo en el
directorio activo, esto con el fin de evitar usos indebidos de los equipos asignados a cada
Empleado.
Los equipos que maneja la empresa únicamente permitirán instalaciones a través de un
usuario administrador; las cuentas con privilegio de administrador serán las del equipo
técnico de sistemas y del personal de mesa de servicios, quienes tienen la obligación de
determinar si el software esta licenciado y la licencia pertenecen al FABC de la República.
Toda evidencia de software no licenciado, será desinstalada el software y se notificará al
jefe del área para tomar las medidas y gestiones correspondientes. En caso de persistir el
uso de software no autorizado se escalará la comunicación a control interno disciplinario.

13. Seguridad de las comunicaciones
13.1 Gestión de la seguridad de redes
Objetivo: Asegurar la protección de la información en las redes y los recursos

de tratamiento de la información.
13.1 Gestión de Seguridad en Redes

 Los empleados deberán emplear los puntos de red para la conexión de equipos de
computo asignados por el FABC; los equipos de uso personal solo tendrán acceso a
servicios limitados a visitantes, estos equipos deben ser conectados a los puntos de
acceso autorizados y definidos por la Depto. Sistemas y Tecnología
 La instalación, activación y gestión de los puntos de red es responsabilidad de la

Depto. Sistemas y Tecnología
 No se permite el ingreso al centro de cómputo, al personal que no esté autorizado;
se debe llevar un control de ingreso y salida del personal que lo visita, indicando las
actividades que realiza e informando si el ingreso lo realizo solo o con algún
acompañante.
 Se debe disponer un planilla para el registro del personal externo que acceda al
centro de cómputo, la cual debe ser diligenciada al iniciar y finalizar la actividad a
realizar.
 Se prohíbe fumar, comer o beber en el interior del centro de cómputo. O en cualquier

instancia del negocio.
 La Depto. Sistemas y Tecnología debe garantizar que el centro de cómputo cuenta
con dispositivos electrónicos de autenticación biométrica, en el caso que aplique o
se requiera.
El centro de cómputo debe estar provisto de:

 Alarmas de detección de humo y sistemas automáticos de extinción de
fuego, los detectores deben ser probados al menos 1 vez al año de acuerdo
a las recomendaciones del fabricante; estas pruebas deberán estar
programadas en los planes de mantenimiento.
 Extintores de incendios o sistema contra incendios debidamente probado y
con capacidad de detener el fuego generado por equipos electrónicos,
químicos especiales, etc…
 Unidades de potencia interrumpida (UPS) con el fin de garantizar el
servicio de energía eléctrica durante una falla momentánea del fluido
eléctrico.
 Señalización adecuada de cada equipo, racks, cableado etc...
 Luces de emergencia y de evacuación que cumplan con las normas de
seguridad industrial y de salud ocupacional.
 Sistema de refrigeración por aire acondicionado de precisión.
 Piso elaborado en material no combustible
 Debe tener un plan de mantenimiento preventivo y correctivo de todos los
elementos de apoyo al funcionamiento del centro de computo
 Las puertas del centro de cómputo deben permanecer cerradas.

 El cableado de la red deben ser protegido por medio de canaletas que lo

protejan.
 Los cables de potencia deben estar separados de los de comunicaciones, de
acuerdo a las normas técnicas vigentes.
 Los equipos del centro de cómputo que lo requieran, deberán ser monitoreados.
Transferencia de Información con Terceros

Delimita la seguridad de la información transferida dentro de la organización y con cualquier
empresa externa, que se describen a continuación:
13.2 Políticas y procedimientos de intercambio de información

 El FABC firmará acuerdos de confidencialidad con los empleados y/o contratistas
que por diferentes razones requieran conocer o intercambiar información restringida
o confidencial de la Empresa.
 Acuerdos sobre intercambios de información
En estos acuerdos quedarán especificadas las responsabilidades para el intercambio de
la información para cada una de las partes y se deberán firmar antes de permitir el
acceso o uso de dicha información.
 Todo Empleado del FABC es responsable por proteger la confidencialidad e

integridad de la información y debe tener especial cuidado en el uso de los
diferentes medios para el intercambio de información que puedan generar una
divulgación o modificación no autorizada.
 Los propietarios de la información que se requiere intercambiar son responsables de
definir los niveles y perfiles de autorización para acceso, modificación y eliminación
de la misma y los custodios de esta información son responsables de implementar
los controles que garanticen el cumplimiento de los criterios de confidencialidad,
integridad, disponibilidad y
requeridos.
 Mensajería electrónica
La información involucrada en la mensajería electrónica estará protegida con un
sistema de firewall, IPS y de un certificado de seguridad digital, de ser posible.
 Acuerdos de confidencialidad y no divulgación

Se debe revisar, identificar y documentar regularmente los diferentes requisitos para
los acuerdos de confidencialidad o de no divulgación que reflejen las necesidades del
Farmacias abc (FABC) para la protección de la información
14. De la adquisición, desarrollo y mantenimiento

de Sistemas de Información
Objetivo: Garantizar que la seguridad de la información sea parte integral de
los sistemas de información a través de todo el ciclo de vida. Esto también
incluye los requisitos para los sistemas de información que proporcionan los
servicios a través de redes públicas.

14.1 Los requerimientos para nuevos sistemas de información o para

mejoras de los existentes especificarán los controles de seguridad a
ser incorporados.
14.2 Se seguirá una metodología estandarizada para la adquisición,

desarrollo y mantenimiento de los sistemas de información.
14.3 Los datos de entrada para aplicaciones se validarán para asegurar

que estos datos son correctos y adecuados y se incorporarán
comprobaciones de validación en las aplicaciones, para detectar
cualquier corrupción de información debido a errores de proceso o
actos deliberados.
14.4 Se identificarán los requerimientos para asegurar la autenticidad y

protegerá la integridad del mensaje en las aplicaciones, así como
identificarse e implementarse los controles apropiados.
14.5 Los datos de salida de las aplicaciones se validarán para asegurar que
el procesamiento de la información almacenada es correcto y
adecuado a las circunstancias.
14.6 Se implementará una normativa sobre el uso de controles

criptográficos para protección de la información y se administrarán las
claves para apoyar el uso de técnicas criptográficas en la
organización.
14.7 Se establecerán normas y procedimientos apropiados para controlar la

instalación de “software” en los sistemas operativos.
14.8 Los datos de prueba se seleccionarán cuidadosamente y serán

protegidos y controlados.
14.9 Se restringirá el acceso al código fuente de las aplicaciones.
14.10 Cuando se cambien los sistemas operativos, se revisarán y probarán

las aplicaciones críticas para asegurar que no existe impacto negativo
en las operaciones o seguridad de la organización.
14.11 Las modificaciones a los paquetes de “software” adquiridos se limitará

a los cambios estrictamente necesarios.
14.12 FABC supervisará y vigilará el desarrollo de programas por terceros,

garantizando el cumplimiento de las presentas políticas.

Se realizaran las evaluaciones necesarias para identificar de manera oportuna

las vulnerabilidades técnicas de los sistemas de información en uso, así como la
exposición de la organización a esas vulnerabilidades y se tomaran las medidas
adecuadas para prevenir el riesgo relacionado
15. Relación con proveedores

Objetivo: Asegurar la protección de los activos de la organización que sean
accesibles a los proveedores.
Seguridad en las relaciones con proveedores
 Acordar con el proveedor, contratista, tercero y se documentaran los requisitos de

seguridad de la información para la mitigación de los riesgos asociados con el
acceso del proveedor a los activos de la empresa.
 Incluir acuerdos formales de Niveles de Servicios en Seguridad de la Información, en

el que se detallen los compromisos en el cuidado de los recursos de Información del
Farmacias abc (FABC) y las sanciones legales en caso de incumplimiento.
 El cumplimiento de los Niveles de Servicios en Seguridad de la Información de

terceros debe ser verificado y controlado permanentemente por quienes ejerzan las
funciones de Supervisión y/o Interventoría de los contratos o convenios suscritos por
el Farmacias abc (FABC). Cuando la supervisión o interventoría sea contratada, se
debe incluir esta obligación dentro de los Contratos y/o convenio.
 En el caso en que la interventoría sea realizada por empleados de la empresa, se

entiende que el cumplimiento de la Política está incorporado dentro de sus
obligaciones como empleado, supervisor o interventor.
Tratamiento del Riesgo dentro de Acuerdos con los Proveedores
 Todos los requisitos de seguridad de la información pertinentes serán establecidos y

acordados con cada proveedor que pueda acceder, procesar, almacenar, comunicar,
o proporcionar los componentes de infraestructura de TI para la información
del Farmacias abc (FABC).
Cadena de Suministros en Tecnología de la Información y

Comunicaciones
 Incluir los requisitos para los acuerdos con proveedores para abordar los riesgos de
la seguridad de la información asociada con los servicios de las tecnologías de
información y comunicación y de la cadena de suministro de productos.

Supervisión y Revisión de los Servicios

Cada servicio con proveedor deberá tener con un supervisor encargado de revisar y auditar
la prestación de servicios de proveedores.
Gestión de Cambios de los Servicios Prestados
Los cambios en la prestación de servicios por parte de los proveedores, contratista, tercero
incluyendo el mantenimiento y la mejora de las actuales políticas de seguridad de
información, procedimientos y controles, se gestionarán, teniendo en cuenta la criticidad de
la información, sistemas y procesos que intervienen y re-evaluación de los riesgos.
16. De la gestión de incidentes de seguridad de la

información
Objetivo: Asegurar que los eventos y debilidades de la seguridad de la
información asociadas con los sistemas de información sean comunicados de tal
manera que se tomen las acciones correctivas oportunamente.
Reportes de eventos y debilidades de seguridad de la información
16.1 Los eventos de seguridad de la información se reportarán por medio

de los canales formales establecidos tan pronto como sea posible.
16.2 Cuando se detecte un incidente de seguridad y se determine la

participación de una persona u organización, se recolectará, retendrá y
presentará evidencia y se actuará de conformidad con la legislación
pertinente.
17. De la continuidad de las operaciones de FABC

Objetivo: Contrarrestar las interrupciones de las operaciones de FABC y
proteger los procesos críticos de los efectos de fallas o desastres mayores de
los sistemas de información y asegurar su oportuna reanudación.
17.1 Se desarrollará y mantendrá un proceso gestionado de continuidad del

negocio en toda la organización, que se encargue de los
requerimientos de seguridad de la información necesarios para la
continuidad de las operaciones de FABC.
17.2 Se identificarán los eventos que pueden causar interrupciones a los

procesos críticos, junto con la probabilidad e impacto de tales

interrupciones y sus consecuencias para la seguridad de la

información.
17.3 Se implementarán planes para mantener o restaurar las operaciones y

asegurar la disponibilidad de información al nivel y en las escalas de
tiempo requerido luego de la interrupción o falla.
17.4 Se mantendrá un solo marco de planes de continuidad de negocios

para asegurar que todos los planes sean concordantes, para enfocar
de modo uniforme los requerimientos de seguridad de la información y
para identificar prioridades de prueba y mantenimiento.
17.5 Los planes de continuidad de FABC se probarán y actualizarán

regularmente para asegurar que estén al día y sean efectivos.
17.6 FABC procurará una cultura de gestión de riesgo operativo en toda la

organización, cuya responsabilidad última recae sobre los niveles más
altos de la administración de la Institución.
18. Cumplimiento de requisitos legales

Objetivo: Evitar violaciones de cualquier ley u obligación estatutaria, de
regulación o contractual y de cualquier requisito de seguridad.
18.1 Se definirán, documentarán y mantendrán al día explícitamente todos

los requisitos estatutarios, de regulación y contractuales pertinentes y
el enfoque de FABC para cumplirlos, para cada activo de información
en la Institución.
18.2 Se implementarán procedimientos apropiados para asegurar el

cumplimiento de los requisitos legales, sobre el uso de material sobre
el cual puedan existir derechos de propiedad intelectual y “software”
propietario.
Los registros de información importantes se protegerán de pérdida, destrucción,

falsificación y privacidad de los datos, de conformidad con los requisitos legales.

Revisión, Actualización y Aprobación
Este documento debe ser revisado y/o actualizado de acuerdo al Control de

Revisión de Documentos o cuando sea necesario por requerimientos del
negocio.
La creación y posteriores modificaciones realizadas a este documento fueron
revisadas y aprobadas por el Comité de Seguridad en la fecha indicada en el
Historial de Revisiones que se encuentra al inicio de este documento.
COMITÉ DE SEGURIDAD
POSICIÓN NOMBRE FIRMA
Gerente de RRHH Hugo Marte
Gerencia Ejecutiva Jorge Marte
Gerente de Tecnología Elvia Severino
Gerente de Administracion Fernando Aponte

Ejemplo Politica General de Seguridad

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Ejemplo Politica General de Seguridad

Загружено:

Авторское право:

Доступные форматы

Farmacias abc Versión: 2.

POLITICAS DE SEGURIDAD DE INFORMACION DE

Este documento es propiedad de

Santo Domingo de Guzmán, D. N.

Para uso de toda la organización FABC-GA-PL-001 Página 1 de 27

Para uso de toda la organización FABC-GA-PL-001 Página 2 de 27

Fecha Versión Descripción Autores

19 –febrero 2010 0.1 Creación del documento Miguel Diaz

13-Diciembre2015 Acápite 7.2, 4 y 8: Cambio norma certificación

Acápites 14.3, 14.6, 14.7, 14.10, 14.11, 14.12,

Revisión y Aprobación de los cambios propuestos Comité de

Para uso de toda la organización FABC-GA-PL-001 Página 3 de 27

El objetivo de este documento es instruir a todo el personal de FARMACIAS ABC

Este documento de Política del Sistema de Gestión de Seguridad de la

El modelo que se detalla en estas políticas de seguridad de información se

Este documento es para uso de toda la organización y la aplicación de la Política

Para uso de toda la organización FABC-GA-PL-001 Página 4 de 27

 Activo: Algo que tenga valor para lo Institución.

 Administración de Riesgos: es el proceso de identificación, control y

 Comité de Seguridad: es el ente normativo en materia de seguridad,

 Control: Herramienta de la gestión del riesgo, incluido políticas, pautas,

NOTA: Control es también usado como sinónimo de salvaguardia o contramedida.

Declaración de aplicabilidad (SOA): declaración documentada que describe

 Evaluación de Riesgos: es la evaluación de las amenazas y

 Evento de seguridad de la información: ocurrencia identificada de una

 Información: Se refiere a toda comunicación o representación de

 Incidente de seguridad de la información: un evento o serie de eventos de

Para uso de toda la organización FABC-GA-PL-001 Página 5 de 27

 Oficial de Seguridad de la Información: es la persona que cumple la

 Propietario de activo de información: Son quienes generan la información

 Riesgo residual: el riesgo remanente después del tratamiento de riesgos.

• Confidencialidad: que la información sea accesible sólo a aquellas

• Integridad: se salvaguarda la exactitud y totalidad de la información y los

Adicionalmente, deberán considerarse los conceptos de:

• Auditabilidad: define que todos los eventos de un sistema deben poder

• Autenticidad: busca asegurar la validez de la información en tiempo,

• Confiabilidad de la Información: significa que la información generada

• Legalidad: referido al apego a las leyes, normas, reglamentaciones o

• No repudio: se refiere a evitar que una empresa que haya enviado o

Para uso de toda la organización FABC-GA-PL-001 Página 6 de 27

• Protección a la duplicación: consiste en asegurar que una transacción

 Sistema de Información Se refiere a un conjunto independiente de recursos

 Sistema de gestión de seguridad de la información (SGSI): la parte del

 Sistemas sensibles: Se refiere a los sistemas de información cuyo

Para uso de toda la organización FABC-GA-PL-001 Página 7 de 27

5. Políticas de seguridad de la información

Asegurar la implementación de las medidas de seguridad comprendidas en

Para uso de toda la organización FABC-GA-PL-001 Página 8 de 27

6. Organización de la Seguridad de información

Garantizar la aplicación de medidas de seguridad adecuadas en los accesos de

Los propietarios de la información son responsables de clasificarla de acuerdo

La dirección del Departamento de Recursos Humanos será responsable de

La dirección del Departamento de Sistemas y Tecnología cubrirá los

La Consultoría Jurídica definirá, para los contratos con proveedores de servicios

Para uso de toda la organización FABC-GA-PL-001 Página 9 de 27

de FABC. Asimismo, notificará a las partes impactadas, sobre las modificaciones

El área de Auditoría Interna es responsable de practicar auditorías sobre los

6.1 Infraestructura de la Seguridad de la Información

6.1.1 Comité de Seguridad

Este Comité tendrá entre sus funciones:

• Revisar y proponer al ente correspondiente de FABC para su aprobación,

• Dar seguimiento a cambios significativos en los riesgos que afectan a los

• Conocer los informes de los incidentes relativos a la seguridad e instruir