3.7. PLAN DE TRATAMIENTO DE RIESGOS PARA IDENTIFICAR ACCIONES, RESPONSABILIDADES EN LA POLÍTICA DE SEGURIDAD DE LA INTRANET DEL DEPARTAMENTO DE ELECTRICIDAD

3.7.  PLAN DE TRATAMIENTO DE RIESGOS PARA IDENTIFICAR  ACCIONES, RESPONSABILIDADES EN LA POLÍTICA DE SEGURIDAD DE LA INTRANET DEL DEPARTAMENTO DE ELECTRICIDAD

A continuación se describe un modelo referencial de las principales responsabilidades de los miembros implicados  en  la  seguridad  de  la  información:

•  El   Área   de   Administración de Sistemas y Redes de la FCyT es   responsable   de   implantar   y   velar   por   el cumplimento   de   las   políticas,   normas,   pautas,   y   procedimientos   de seguridad a lo largo de todo el Departamento, todo esto en coordinación con los delegados o comisionados de los 3 núcleos del Departamento (Docente, Investigación y Extensión) y la Jefatura del Departamento. También es responsable de evaluar, adquirir e implantar productos   de   seguridad   informática,   y   realizar   las   demás   actividades necesarias  para  garantizar  un  ambiente  informático seguro.  Además  debe ocuparse  de  proporcionar  apoyo  técnico  y  administrativo  en  todos  los asuntos  relacionados  con  la  seguridad,  y  en  particular  en  los  casos  de infección de virus, penetración de hackers, fraudes y otros percances.
•  El  Jefe del Área   de   Centro de Servicios y Administración de Sistemas de la FCyT  es el administrador de la red y responsable de la Seguridad Informática encargado  de  dirigir  las  investigaciones sobre  incidentes  y  problemas  relacionados  con  la  seguridad,  así  como recomendar las medidas pertinentes, también  es  responsable  de  establecer  los controles  de  acceso  apropiados  para  cada  usuario, revisar las bitácoras de acceso y de llevar a cabo las tareas de seguridad relativas a los sistemas que administra, además de hacer reportes sobre cualquier actividad sospechosa o evento insólito a la máxima autoridad del Organismo facultativo si así se lo requiriese.

• El Responsable de Seguridad Informática tendrá a su cargo, entre otros:

1. Definir procedimientos para el control de cambios a los procesos operativos documentados.
2. Definir y documentar una norma clara con respecto al uso del correo electrónico (políticas del correo electrónico).
3. Definir y documentar controles para la detección y prevención del acceso no autorizado, la protección contra software malicioso y para garantizar la seguridad de los datos y los servicios conectados en las redes del Departamento.
4. Desarrollar procedimientos adecuados de concientización de usuarios del Departamento en materia de seguridad.
5. Verificar el cumplimiento de las normas, procedimientos y controles establecidos.
6. Monitorear las necesidades de capacidad de los sistemas en operación y proyectar las futuras demandas de capacidad, a fin de evitar potenciales amenazas a la seguridad del sistema o a los servicios del usuario.
7. Implementar los controles de seguridad definidos (software malicioso y accesos no autorizados).
8. Definir e implementar procedimientos para la administración de medios informáticos de almacenamiento, como cintas, discos, memorias extraíbles e informes impresos y para la eliminación segura de los mismos.

• La Jefatura del Departamento, el Área de Centro de Servicios, y los delegados de los 3 núcleos del Departamento,  procederán  a revisar y proponer a la máxima autoridad del Organismo facultativo la aprobación de la  Política  de  Seguridad  de  la  Información  y  las  funciones  generales  en materia  de  seguridad  de  la  información,  monitorear  cambios  significativos en  los  riesgos  que  afectan  a  los  recursos  de  información  frente  a  las amenazas más importantes, tomar conocimiento y supervisar la investigación y monitoreo de los incidentes relativos a la seguridad, aprobar las principales iniciativas para incrementar la seguridad de la información  de  acuerdo  a  las  competencias  y  responsabilidades  asignadas  a  cada sector,  así  como  acordar  y  aprobar  metodologías  y  procesos  específicos relativos  a la seguridad  de  la  información,  garantizar  que  la  seguridad  sea parte del proceso de planificación de la información, evaluar y coordinar la implementación  de  controles  específicos  de  seguridad  de  la  información para  nuevos  sistemas  o  servicios. Promover  la  difusión, concientización  y  apoyo  a  la seguridad de la información al interior del Departamento y coordinar el proceso de administración de la continuidad de las actividades del Departamento.
• Los  Usuarios  son  responsables  de  cumplir  con  todas  las  políticas  del Departamento relativas a la seguridad informática y en particular:

1. Conocer y aplicar las políticas y procedimientos apropiados en relación al manejo de la información y de los sistemas informáticos.
2. No divulgar información confidencial del Departamento a personas no autorizadas.
3. No permitir y no facilitar el uso de los sistemas informáticos del Departamento a personas no autorizadas.
4. No utilizar los recursos informáticos (hardware, software o datos) y de telecomunicaciones (teléfono, fax si se adquiriera) para otras actividades que no estén directamente relacionadas con el trabajo dentro del Departamento.
5. Proteger meticulosamente su contraseña y evitar que sea vista por otros en forma inadvertida.
6. Seleccionar una contraseña robusta que no tenga relación obvia con el usuario, sus familiares, el grupo de trabajo, y otras asociaciones parecidas.
7. Reportar inmediatamente al encargado de Sistemas de la Facultad de Tecnología, cualquier evento que pueda comprometer la seguridad del Departamento  y sus recursos informáticos, como por ejemplo contagio de virus, intrusos, modificación o pérdida de datos y otras actividades poco usuales.

• El Responsable del Área Legal participará,  notificará a los empleados sobre las modificaciones que se efectúen a la Política de Seguridad, además de participar en la confección del compromiso de confidencialidad a firmar por los empleados y terceros que desarrollen funciones en el Departamento, en el asesoramiento sobre las sanciones a ser aplicadas por incumplimiento y en el tratamiento de incidentes de seguridad que requieran de su intervención.
• El Responsable del Área de Recursos Humanos incluirá las funciones relativas a la seguridad de la información en las descripciones de puestos de los empleados, informará a todo el personal que ingresa de sus obligaciones respecto del cumplimiento de la Política de Seguridad de la Información, gestionará los compromisos de confidencialidad con el personal y coordinará las tareas de capacitación de usuarios.
• Los Estudiantes para poder usar los recursos de Tecnologías de información (TI) del Departamento deben leer y aceptar en cada  matrícula de semestre un acuerdo con los términos y condiciones. La Oficina Asesora de Sistemas  debe asegurar los mecanismos para la difusión y aceptación de dichas condiciones por medio de  registros y manuales en línea. El estatuto estudiantil debe contemplar procesos y sanciones disciplinarias para los casos en que se  presente usos de información y TI que violen los términos y condiciones.

Una vez definido los responsables para el manejo de las vulnerabilidades, se tiene que identificar las acciones a tomar sobre cada riesgo, por lo cual se realizará una valoración de los mismos en base a la información obtenida en el punto anterior. Además de obtener la valoración se tiene que tomar la decisión de aceptar o tratar el riesgo.

...