Política de Seguridad Informática
Enviado por Maribel2020 • 22 de Agosto de 2013 • 2.634 Palabras (11 Páginas) • 343 Visitas
Política de Seguridad Informática
Página 1 de 9
NO-UTE-SI-0001/02
POLÍTICA DE SEGURIDAD INFORMATICA
- Versión Abreviada -
2007-04-19
Elaborado por:
Aprobado por:
Grupo de Mejora de las Políticas de Seguridad Informática
RE 07-456
Directorio de UTE
FECHA:
21 de noviembre de 2006
FECHA:
19 de abril de 2007
NO-UTE-SI-0001/02
Política de Seguridad Informática
Página 2 de 9
0.- OBJETIVO
El presente documento es una extracción de las Políticas de Seguridad Informática de UTE para su difusión y conocimiento en ámbitos ajenos o externos a UTE.
1.- INTRODUCCIÓN
UTE ha desarrollado sistemas de información que apoyan muchas de las actividades diarias de la mayoría de las unidades de la Empresa. Estos sistemas no sólo se han transformado en herramientas imprescindibles para gran parte de los procesos de los niveles operativos, sino que constituyen una importante fuente de datos para la toma de decisiones operativas, tácticas y estratégicas. La base de la eficacia y eficiencia de estos sistemas de información es su credibilidad, que está dada por la confiabilidad y seguridad de la información que mantienen.
Con tal motivo se ha definido la Política de Seguridad Informática, que comprende un conjunto de normas y controles aplicables a la información utilizada en la Empresa, a los procesos de administración de la misma y a toda la infraestructura y tecnología asociada, utilizada por UTE para sí o para terceros.
1.1 DEFINICIÓN DE SEGURIDAD DE LA INFORMACIÓN
La información y los procesos que la apoyan, los sistemas y las redes son importantes activos del negocio. Definir, alcanzar, mantener y mejorar la seguridad de la información es esencial para lograr los objetivos del negocio de la organización.
Cualquiera sea la forma que tome la información o los medios por los que se comparta o almacene, la misma debe estar siempre protegida adecuadamente.
La información manejada y producida por los sistemas de información debe ser relevante y pertinente para los procesos del negocio, debe ser entregada de manera oportuna, correcta, consistente y utilizable (principio de efectividad), procurando ser provista a través de la óptima utilización de los recursos (principio de eficiencia). Debe además ser apropiada para que la Gerencia pueda cumplir con sus responsabilidades relacionadas con la operación de la Empresa (principio de confiabilidad) y con el cumplimiento de leyes, regulaciones y acuerdos contractuales (principio de cumplimiento).
La seguridad de la información se orienta a preservar los siguientes principios de la seguridad informática:
Confidencialidad: La información debe estar protegida contra la divulgación no autorizada y solo puede ser accedida por las personas autorizadas.
Integridad: La información debe ser precisa, completa y válida de acuerdo con los valores y expectativas del negocio, por lo que debe estar protegida contra la alteración, eliminación o destrucción no autorizadas o en forma accidental.
Disponibilidad: La información debe estar disponible cuando sea requerida por los procesos de negocios, ahora y en el futuro; esto incluye la salvaguarda de los recursos necesarios y capacidades asociadas.
NO-UTE-SI-0001/02
Política de Seguridad Informática
Página 3 de 9
1.2 OBJETIVO DE LA SEGURIDAD DE LA INFORMACIÓN
El objetivo principal de la seguridad de la información es la protección de la información contra una amplia gama de amenazas para asegurar la continuidad de las operaciones de la Empresa, reducir al mínimo los daños causados por una contingencia y maximizar el retorno de las inversiones y las oportunidades de negocio.
Los controles que se consideran práctica habitual para conseguir la seguridad de la información, comprenden:
a) la documentación de la política de seguridad de la información
b) la asignación de responsabilidades de seguridad
c) la concienciación, formación y capacitación en seguridad de la información
d) el correcto procesamiento de las aplicaciones
e) la gestión de la vulnerabilidad técnica
f) la gestión de la continuidad del negocio
g) la gestión de incidentes de seguridad de la información
2.- MARCO DE REFERENCIA
La seguridad de la información se consigue implementando un conjunto adecuado de controles, incluyendo políticas, procesos, procedimientos, estructuras organizativas y funciones de hardware y software. Estos controles deben ser establecidos, implementados, supervisados, revisados y mejorados cuando fuere necesario para asegurar que se cumplen los objetivos específicos de seguridad de la Empresa. Estas tareas deben realizarse en forma conjunta con los otros procesos de la administración del negocio.
Sobre la base de la familia de normas ISO/IEC relativas a la seguridad de la información y a las mejores prácticas recomendadas por organismos de reconocido prestigio tales como Colegio Nacional de Contadores, Information Systems Audit & Control Association, Information Systems Audit & Control Foundation, Instituto Uruguayo de Auditoría Interna, Institute of Internal Auditors, UNIT, etc., la Empresa identificará los requisitos de seguridad, considerando la evaluación de los riesgos de la Organización, los requisitos externos (legales, normativos y contractuales) y los requisitos internos (principios y objetivos que forman parte del procesamiento de la información). En base a estos criterios se implementarán los controles y los procesos que permitan evaluar, mantener y gestionar la seguridad de la información.
3.- POLÍTICAS GENERALES
3.1 CUMPLIMIENTO DE REQUISITOS LEGALES, REGULADORES Y CONTRACTUALES
Se debe identificar, analizar y aplicar en los procesos de negocio las normas relativas a la seguridad de la información incluidas en leyes, decretos y reglamentaciones de organismos nacionales e internacionales que sean de aplicación obligatoria en UTE.
La utilización de cualquier producto de software o información de terceras partes debe ceñirse a las especificaciones de uso de su autor.
NO-UTE-SI-0001/02
Política de Seguridad Informática
Página 4 de 9
3.2 REQUISITOS DE FORMACIÓN, ENTRENAMIENTO Y CONOCIMIENTO EN SEGURIDAD
Todos los empleados (en cualquier carácter), consultores y personal contratado, que hacen uso de la información provista por UTE, deben participar de las actividades de capacitación necesarias para proteger adecuadamente los recursos de información de UTE. Estas actividades deben estar incluidas en un plan de formación continua que abarque los
...