INTERPRETATIONS

La siguiente matriz define los roles y responsabilidades de los actores a lo largo de la institución. Esta política se aplica a todos los empleados y otros asociados con la Cooperativa, cada uno de los cuales cumple un rol en la administración de la seguridad de la información.

Integrado por: Dirección de la institución Consejo De Administración Gerencia Responsable de: Asignar Los Roles Y Responsabilidades Relacionadas Con La Seguridad A Cada Una De Las Funciones Dentro De La Institución. Comité De Tecnología Gerencia, Jefe De

Sistemas, Auditor Interno, Oficial De Riesgos

Monitorear Que Se Cumplan Los Objetivos Previstos

Actuar En La Toma De Decisiones En

Situaciones No Previas O De Criticidad Máxima. Aprobar el plan anual de seguridad informática. Efectuar reuniones periódicas para el seguimiento del

cumplimiento del plan de seguridad.

Are de Sistemas Todo el personal que realiza funciones dentro de las áreas de

sistemas, tecnologías de

Áreas especializada en : Desarrollo producción, mesa de ayuda ; etc Implementar medidas de la información o similares seguridad en los

procesos diarios de trabajo.

Dar participación al resto de funciones en los proyectos de desarrollo.

accede a la información criticable la institución, tenga o no un vínculo contractual permanente.

medidas definidas en el marco normativo como usuario final interno.

Bajo determinadas condiciones como en la ejecución de servicios

Personal Tercero críticos para la institución

la cooperativa debe considerar efectuar. Firmar contratos acuerdos de confidencialidad con la cooperativa.

Norma de responsabilidades de seguridad

Objetivo:

Se debe definir las responsabilidades de las distintas funciones/roles de la Institución en relación con el cumplimento de la normativa de Seguridad de la Información.

Responsables del cumplimiento

Son responsables del cumplimiento, todo el personal de la Institución y los terceros, que interactúan de manera habitual u ocasional, que accedan a

información sensible y/o a los recursos informáticos en el desarrollo de sus tareas habituales.

Usuarios:

Deben cumplir sus tareas diarias con las medidas de seguridad definidas en el marco normativo.

Deben identificar y notificar ante incidentes de seguridad con la información bajo su responsabilidad.

Deben custodiar los recursos informáticos asignados a su función (computadores portátiles, discos compactos, servidores de datos)

Deben cumplir con la normativa de seguridad para la información crítica que tiene conocimiento y que eventualmente pudiera conservar en su domicilio.

Deben firmar un documento de aceptación y conformidad con las medidas de seguridad definidas e implementadas por la Institución.

Deben mantener la confidencialidad de las contraseñas de aplicaciones y sistemas.

Deben asegurarse de ingresar información adecuada a los sistemas.

Deben utilizar la información de la Cooperativa únicamente para los propósitos autorizados.

Consideraciones particulares para servicios de “HOSTING” Objetivo:

Mantener la seguridad de la información y recursos de procesamiento de la información de la organización que son accesados, procesados, comunicados o gestionados por entidades o partes externas.

El responsable de seguridad debe verificar que el proveedor del servicio de hosting cumpla con todas las medidas de seguridad como cualquier compañía:

En la instalación propia,

En los mecanismos de comunicación entre el sitio propio y el del cliente Los riesgos para el cliente.

Sus datos pueden ser accedidos por otros clientes,

El personal del proveedor puede difundir y/o alterar sin autorización sus datos. Los riesgos de proveedor:

El cliente puede requerir accesos con los que pueda modificar las configuraciones de seguridad y provocar una falencia en la provisión de los servicios.

El cliente puede depositar en los equipos del proveedor información inexacta, inapropiada y/o contraria a las leyes, reglamentaciones o buenas costumbres. Se debe efectuar una auditoria compartida

Se debe incorporar los accesos a los auditores (internos y externos) de las instituciones.

Definir reportes estándares y los que específicamente requiera cada institución Analizar la posibilidad de que la auditoría la efectúe un solo equipo de trabajo para todo el proveedor del hosting y que cumpla con los requisitos de todos los clientes, con lo que:

Se reducen los costos, ya que se comparten entre todos los clientes

Se reducen los tiempos de asignación del personal del hosting para atender las auditorías

Se pueden efectuar mayor cantidad de pruebas de auditoría.

Se puede definir un esquema de “Auditoria Permanente” con revisiones constantes a lo largo del tiempo y con reportes semanales, quincenales y mensuales de la situación.

Gestión de Activos Objetivo:

Mantener una adecuada protección de los activos de la organización. Los

inventarios de activos ayudan a garantizar la vigencia de una protección eficaz de los recursos, y también pueden ser necesarios para otros propósitos de la

institución, como los relacionados con seguridad, seguros (administración de recursos). El proceso de compilación de un inventario de activos es un aspecto importante de la administración de riesgos, para lo cual se debe:

Identificar todos los recursos de información importantes Designar un propietario para cada recurso de información.

Documentarse e implementarse las reglas, para la utilización aceptable de la información y los activos asociados a las instalaciones de

procesamiento de la información.

Responsabilidad por rendimiento de cuentas de los activos

Inventario de activos

Se debe elaborar y mantener un inventario de los activos importantes asociados a cada sistema de información

ACTIVOS DECONFIDENCIALIDAD INFORMACIÓN

INTEGRIDAD DISPONIBILIDAD TOTAL

Base de datos clientes Base de datos ahorros Base de datos cartera Internet Servidor de base de datos Copias de respaldo Switches Routers Líneas 2 5 5 4 5 5 4 5 5 5 4 5 2 5 1 5 3 5 2 5 5 5 3 4 1 1 4 1 1 2 5 5 3 2 2 3

telefónicas Central telefónica Cámaras Antenas 4 2 1 1 3 3 3 2 4 2 3 3

Tabla 4: Modelos de Matriz de Tasación de activos

Escala de Likert

1

2

Muy bajo Bajo

3 Medio 4 Alto 5 Muy alto

Clasificación de la información y Control de Activos

La clasificación de la información y control de activos, permite para asegurar que la información reciba un nivel apropiado de protección, para lo cual se debe:

Tener identificado todos los recursos de información importantes. Definir si la información es de uso compartido o restringido

La responsabilidad por la definición de la clasificación es asignada al propietario de datos

Clasificarse en relación con su valor, requisitos legales, sensibilidad y criticidad para la institución.

Desarrollarse un conjunto apropiado de procedimientos para etiquetar y manejar la información de acuerdo a un esquema apropiado para la organización.

Identificar claramente cada activo y se debe designar un propietario para cada uno de ellos

Acordar la clasificación en cuanto a seguridad y documentarla, junto con la ubicación vigente del mismo; esto es muy importante cuando se emprende una recuperación posterior a una pérdida o daño.

Crear una norma de tratamiento de la información, para definir las pautas

generales identificando y clasificando la información en todas sus formasy medios de acuerdo con su criticidad y que su responsabilidad esté en todo el personal de la institución y los terceros, que interactúan de manera habitual u ocasional, que accedan a información sensible y/o a los recursos informáticos en el desarrollo de sus tareas habituales.

La clasificación asignada a un tipo de información, solo puede ser cambiada por el propietario de la información, luego de justificar formalmente el cambio en dicha clasificación.

Para identificar la información, se debe determinar los lugares donde se

conserva la información (sistemas aplicativos, directorios de red y de estaciones de trabajo, correo electrónico, medios impresos, formularios, equipo)

Metodología práctica de Clasificación

Principio Básico

Tipos de Información Medidas de

seguridad Accesos Tab Público Personal Autorizado la 5: Me did as PUBLICA RESTRINGIDA o de USO INTERNO CONFIDENCIAL/SENSIBL E MINIMAS NORMALES

EXTREMAS Personal Autorizado

uridad según el tipo de información (a mayor criticidad, mayores medidas de seguridad)

Etapas para la clasificación de información Identificación de la información

Definición de información

Lugares donde se conserva la información (sistemas aplicativos, directorios de red y estaciones de trabajo, servidores, correo electrónico, medios impresos, formularios, equipos, etc.)

Identificación de los Principales Riesgos Tecnológicos asociados con la Información

Los riesgos a los que pueden estar expuestos los activos de información pueden ser pero no se limitan a los siguientes: fraudes informáticos, ataques externos a las redes, modificaciones no autorizadas de datos por empleado, acceso y difusión inoportuna de datos sensibles, falta de control de uso de los sistemas, destrucción de información y equipos.

Una vez identificados estos riesgos será necesario ponderarlos según su impacto en el negocio, y así determinar los más altos; el costo de las medidas y controles de seguridad no debe exceder la pérdida que se espera evitar.

En algunos procesos se integra este análisis a los que se realizan en un Plan de Continuidad del Negocio donde se analizan los distintos escenarios de desastres, se identifican los de mayor probabilidad de ocurrencia y se seleccionan los principales.

Clasificación de la Información teniendo en cuenta los Riesgos identificados Adicionalmente, un análisis de riesgo debe de ser conducido luego de cualquier cambio significativo en los sistemas, en concordancia con el clima cambiante de las operaciones en el negocio de la Cooperativa.

Análisis de las Principales Riesgos a la que está expuesta

Se debe analizar su información para proceder a su clasificación, basándose principalmente en los perjuicios que pudiera ocasionarle a la institución y/o su personal, el incumplimiento de alguno de los valores generales de seguridad definidos en la política general. Estos perjuicios pueden ser económicos, financieros, políticos, sociales, de imagen, legales.

Categorización en distintos niveles

La información puede ser categorizada en tres categorías: De acceso público

De acceso autorizado; y, Como información sensible.

Aprobación de los sectores/usuarios que deben acceder a la información crítica con permisos

Esta tarea la realizará el dueño de los datos. Las acciones que debe realizar son

Definir los USUARIOS de la Información:

Por PUESTOS / Perfiles

Por Grupos

Por Usuarios Específicos

Definir el sistema de Permisos a otorgarles: o Solo Lectura

Modificación

Eliminación o Total

Tabla 6: Asignación de Dueños de datos y clasificación de la información Aplicación de controles para la información clasificada

Las medidas de seguridad a ser aplicadas a los activos de información clasificados, incluyen pero no se limitan a las siguientes:

Información de la Cooperativa almacenada en formato digital

Toda información impresa o almacenada en medios físicos transportables (diskettes, cds, flash memory´s; etc.) que sean confidenciales o restringidas, deben ser claramente etiquetadas como tal, con letras grandes que sean legibles.

Los activos de información correspondiente a distintos niveles de clasificación deben ser almacenados en distintos contenedores; y los mismos deben presentar una etiqueta con la clasificación correspondiente.

La información en formato digital clasificada como de acceso "Publico", puede ser almacenada en cualquier sistema de la Cooperativa. Se debe tomar las medidas necesarias para no mezclar información “Pública" con información correspondiente a otra clasificación.

Todo usuario, antes de transmitir información clasificada como "Restringida" o "Confidencial", debe asegurarse que el destinatario de la información esté autorizado a recibir dicha información.

Todo usuario que requiere acceso a información clasificada como "Restringida" o "Confidencial", debe ser autorizado por el dueño de la misma. Todas las autorizaciones de acceso a este tipo de información deben ser documentadas.

La clasificación que es asignada a un tipo de información, solo puede ser

cambiada por el propietario de la información, luego de justificar formalmente el cambio en dicha clasificación.

Es recomendable el uso de técnicas de encripción para la información en formato digital clasificada como "Restringida o Confidencial", antes de que sea almacenada en cualquier medio (disco duro, disquetes, Cd’s, etc.); así como también antes de ser transmitida a través de la red de datos de la institución.

Para transmitir información clasificada como “Restringida o Confidencial” a través de redes externas se debe hacerlo utilizando un medio de transmisión seguro.

Los medios de almacenamiento, incluyendo discos duros de computadoras, que albergan información clasificada como “Restringida”, deben ser ubicados en ambientes cerrados diseñados para almacenamiento de dicho tipo de información.

Información de la Cooperativa almacenada en formato no digital (impreso) Solo el personal formalmente autorizado debe tener acceso a información clasificada como "Restringida" o "Confidencial"

Todo _{documento en formato impreso debe presentar la clasificación} correspondiente en la parte superior (cabecera) e inferior (pié de página) de

cada página del documento. Todo documento clasificado como "Confidencial" o "Restringido" debe contar con una carátula en la cual se muestre la clasificación de la información que contiene.

Los activos de información correspondiente a distintos niveles de clasificación, deben ser almacenados en distintos contenedores, de no ser posible dicha distinción, se asignará el nivel más critico de la información identificada a todo el contenedor de información.

El ambiente donde se almacena la información clasificada como "Restringida", debe contar con adecuados controles de acceso y asegurado cuando se encuentre sin vigilancia. El acceso debe ser permitido solo al personal formalmente autorizado.

El personal de limpieza debe ingresar al ambiente acompañado por personal autorizado.

Los usuarios que utilizan documentos con información "Confidencial" o "Restringida" deben asegurarse de:

Almacenarlos en lugares adecuados

Evitar que usuarios no autorizados accedan a dichos documentos

Eliminación de la Información

En el caso de los equipos dañados, la empresa de reparación o destrucción del equipo deben certificar que los datos hayan sido destruidos o borrados.

Seguridad de los recursos humanos Objetivo:

Asegurar que los empleados, los contratistas y usuarios de terceras partes comprendan sus responsabilidades y que sean apropiados para los roles

considerados, y para reducir el riesgo del robo, fraude o mal uso de los recursos. Administración del Personal

Antes del empleo

Roles y responsabilidades

Los empleados son los activos más valiosos de la Cooperativa. Sin embargo, un gran número de problemas de seguridad pueden ser causados por descuido o desinformación.

Para los empleados, contratistas y usuarios de terceras partes se definen roles y responsabilidades de seguridad de acuerdo con la política de seguridad de la información de la institución.

Selección del Personal

El área de RRHH debe realizar la verificación de antecedentes laborales,

judiciales, financieros y usuarios de terceras partes; éstas deben llevarse a cabo de acuerdo con las leyes reglamentarias y ética pertinentes, y proporcionales a los requisitos del negocio, a la clasificación de la información a ser accesada, y los riesgos percibidos.

Los controles de verificación que se deben realizar son los siguientes:

Disponibilidad de certificados de buena conducta satisfactorios,

Comprobación de integridad y veracidad del curriculum vitae del aspirante, constatación de las aptitudes académicas y profesionales alegadas, verificación de la identidad, si accede a información crítica: se debe llevar a cabo una verificación de crédito periódica.

Como parte de su obligación contractual, los empleados contratistas y usuarios de terceras partes deben acordar y firmar los términos y condiciones de su contrato de trabajo, que debe declarar sus responsabilidades por la seguridad de la información de la organización.

Ingreso a la Institución

Todas las responsabilidades en materia de seguridad deben ser incluidas en los contratos.

Cuando se contrate un empleado nuevo; el área de recursos humanos debe comunicar de manera formal y de igual manera, haciendo uso del proceso y formulario correspondiente (Anexo K, L) solicitará la creación y alta de usuario y claves para que haga uso de los recursos tecnológicos que requiera con el objetivo de efectuar sus tareas en la Institución.

El área responsable de seguridad debe entregar un extracto del Manual de Gestión de Seguridad de la Información al nuevo empleado.

El área de seguridad responsable debe realizar una inducción de las medidas de seguridad implementadas en la institución al nuevo empleado, en coordinación con el área de RRHH.

El nuevo empleado debe firmar un acta de lectura y aceptación de sus responsabilidades en los temas de seguridad que fue inducido.

Los empleados deben firmar habitualmente un acuerdo de confidencialidad como parte de sus términos y condiciones iníciales de empleo.

El personal ocasional y los usuarios externos aún no contemplados en un contrato formalizado (que contenga el acuerdo de confidencialidad) deben firmar el acuerdo antes mencionado antes de que se les otorgue acceso a las

Desarrollo de sus actividades

Objetivo.- Asegurar que todos los empleados, contratistas y usuarios de terceras partes sean conscientes de las amenazas y aspectos relacionados con la

seguridad de la información, sus responsabilidades y obligaciones, y que estén equipados para respaldar la política de seguridad de la organización en el curso normal de su trabajo, y reducir el riesgo de error humano.

Responsabilidades de la Dirección

El área de RRHH, la Gerencia y el área de seguridad responsable deben requerir y hacer cumplir las normas de seguridad de acuerdo con las políticas y

procedimientos establecidos en la Institución.

Toma de conciencia, educación de la información en la seguridad de la información

El área de recursos humanos debe requerir que los empleados, contratistas y usuarios de terceras partes apliquen la seguridad de acuerdo con las políticas y procedimientos establecidos de la organización.

Los términos y condiciones de empleo se extenderán más allá de los límites de la sede de la organización y del horario normal del trabajo (ej. cuando el empleado desempeña tareas en su domicilio)

El área de RRHH y el área de auditoría interna debe monitorear que la

responsabilidad asignada en materia de seguridad a los empleados durante el desempeño de sus funciones sea cumplida.

El área responsable de seguridad debe efectuar una concientización permanente de la seguridad a los funcionarios de la institución, efectuando una constante capacitación en coordinación con el área de RRHH, deberán recibir la formación en toma de conciencia y las actualizaciones regulares apropiadas en las políticas y procedimientos de la organización, como sea pertinente para su función de trabajo.

El área de RRHH debe efectuar una revalidación periódica (anual) del compromiso firmado por el empleado con la Institución

Los acuerdos de confidencialidad deben ser revisados cuando se identifican cambios en los términos y condiciones de empleo o del contrato.

Proceso disciplinario

El área de RRHH debe especificar las acciones que deben emprenderse si el empleado hace caso omiso de los requerimientos de seguridad.

El área de RRHH debe mantener un proceso disciplinario formal para los empleados quienes comentan un incumplimiento de seguridad.

El área de auditoría interna, debe efectuar auditorías permanentes del comportamiento del personal.

El área responsable de seguridad informática categorizará cada incumplimiento teniendo en cuenta la criticidad de los recursos de la siguiente manera:

Falta “grave”

Falta de importancia media”

Falta “Leve”

Las sanciones definidas para cada tipo de falta son:

Para las faltas consideradas como “leves”: o Primera vez: llamada de atención verbal o Segunda Vez: llamada de atención escrita

Para las faltas consideradas como “de importancia media”: o Primera vez: llamada de atención escrita o Segunda Vez: entrevista con el director de RRHH

Para las faltas consideradas como “graves”:

Primera vez: Sanción aplicada por el área de RRHH

Segunda Vez: Sanción aplicada por el área de RRHH

Evidencias

El área de seguridad responsable, debe parametrizar que sus sistemas de información cumplan con los estándares o códigos de práctica relativos a la producción de evidencia válida (pistas de auditoría).

Concientización

Objetivo.- Garantizar que los usuarios están al corriente de las amenazas y vulnerabilidades relacionadas con la seguridad de la información, y están capacitados para respaldar la política de seguridad de la organización en el transcurso de sus tareas normales.

El área de seguridad responsable debe promover constantemente la importancia de la seguridad a todos los usuarios de los sistemas de información; efectuando un programa de concientización en seguridad el cual debe de contener continuas

In document Assessing the local government turnaround strategy (2009) and implementation strategy (2010) focusing on municipal service delivery in rural municipalities. Case study: Ngqushwa Local Municipality (Page 126-131)