FANDOM



CAPITULO II - ORGANIZACIÓN DE LA SEGURIDAD

1. OBJETIVO

La presente norma tiene como objetivo administrar la seguridad de la información dentro del

INRA. En este capitulo se definirá un marco de nivel ejecutivo para iniciar y controlar la

implementación de la seguridad de la información dentro del INRA.

2. ALCANCE

La presente norma debe ser aplicada por todo el nivel ejecutivo del INRA.

3. CONSIDERACIONES GENERALES

Se debe tomar en cuenta que la presente normativa de Seguridad de la Información deberá ser

respaldada mediante una Resolución emitida por la Máxima Autoridad Ejecutiva del Instituto

Nacional de reforma Agraria. Por otro lado la Unidad de Sistemas y Telemática (UST) es la

entidad competente para promover y controlar la implementación de las políticas y normativas

de la seguridad de la información dentro del INRA.

AMBITO DE ACCION

La UST deberá tener una fuente de asesoramiento especializado en materia de seguridad de la

información que estará a cargo del oficial de Seguridad, quien debe ejecutar las siguientes

acciones:

· revisar y proteger a las normas, políticas, Procesos, Procedimientos y las responsabilidades

generales en materia de seguridad de la información.

· Monitorear cambios significativos en la exposición de los recursos de información frente a

las amenazas mas importantes.

· Revisar y monitorear los incidentes relativos a la seguridad.

· Aprobar las principales iniciativas para incrementar la seguridad de la información.

REGULACION

La presente norma tiene por objeto regular, organizar y administrar la seguridad de la

información, de acuerdo a las funciones y facultades que este ordenamiento le señale.

PROCEDIMIENTO

La Unidad de Sistemas y Telemática (UST) y el INRA en su conjunto, podrán plantear

problemas, sugerencias o peticiones (en materia de seguridad de la información) que se harán

en la forma escrita al oficial de Seguridad, esto con el objetivo de mejorar la organización de la

seguridad de la información.

4. UNIDAD DE SISTEMAS Y TELEMATICA

Las funciones generales del UST en materia de seguridad de información serán:

· revisar y promover mejoras a las Normas, Políticas, Procesos, Procedimientos y las

responsabilidades generales en materia de seguridad de la información.

10

· Promover y controlar la implementación de la seguridad de la información en todo el

INRA.

· Aprobar las principales iniciativas para incrementar la seguridad de la información.

5. DESIGNAR AL OFICIAL DE SEGURIDAD

El director Nacional del Instituto Nacional de Reforma Agraria en su calidad de máxima

autoridad del INRA designara a un funcionario en la UST como Oficial de Seguridad.

El/la Oficial de Seguridad debe tener el siguiente perfil:

· Licenciado en Informática, Ingeniero de sistemas o Ramas Afines.

· Experiencia en seguridad y auditoria de Sistemas Informáticos.

· Conocimientos en manejo de redes informáticas y sistemas de comunicación.

· Experiencia de 2 anos en el área de Sistemas Informáticos.

· Conocimiento de la Ley 1178 de Administración y Control Gubernamental

· Cocimiento de las Normas: NB-17799, NB-27002, Cobit , Informe Coso.

· De actitud Preactiva y capacidad para trabajar en equipo.

5.1 FUNCIONES GENERALES DEL OFICIAL DE SEGURIDAD

El / La Oficial de seguridad deben definir claramente las responsabilidades para la protección

de cada uno de los recursos y por la implementación de procesos específicos de seguridad. La

política de seguridad de la información debe suministrar una orientación general acerca de la

asignación de funciones de seguridad y responsabilidad dentro del INRA. Esto debe

complementarse, cuando corresponda, con una guía mas detallada para sitios, sistemas o

servicios específicos. El/La oficial de Seguridad deberá definir claramente las

responsabilidades locales para cada uno de los procesos de seguridad y recursos físicos y de

información.

El/La Oficial de Seguridad debe coordinar su trabajo con la UST y ser asesor en materia de

seguridad de la información para la misma. El/La Oficial de Seguridad no debe depender, ni

reportar a funcionarios intermedios de la UST, debe tener libertad y sobre todo independencia

de opinión, por lo tanto El/La Oficial de Seguridad deberá depender exclusiva y únicamente

del ejecutivo máximo de la UST o una autoridad superior a la citada.

5.2 FUNCIONES ESPECÍFICAS

Las funciones específicas del Oficial de seguridad de la Información serán:

5.2.1 ADMINISTRACION DE LOS CAMBIOS EN PRODUCCION

El / La Oficial de Seguridad debe revisar y evaluar los procesos y procedimientos de Cambios

en Producción de sistemas de Información. Entre sus tareas de evaluación, tendrán las

siguientes:

· evaluar la aprobación de los cambios realizados (a nivel de programas y datos) a los

sistemas de información que se encuentra en producción.

11

· Evaluar la aprobación de las modificaciones en el procedimiento de Cambios en

producción.

· Evaluar los reportes de incidentes elaborados por la UST y tomar las correspondientes

acciones.

5.2.2 ADMINISTRACION DE SERVICIOS AL USUARIO

El/La oficial de Seguridad debe definir los lineamientos generales orientados a mejorar al nivel

de servicio brindado por la UST a través de la plataforma de atención al Usuario. Estas

acciones comprenden:

· Evaluar las mejoras y modificaciones sugeridas en forma interna y/ o externa para la

mejora de la administración de Servicio al Usuario.

· Evaluar las modificaciones en el procedimiento de Servicio al Usuario.

· Evaluar los reportes de incidentes elaborados.

5.2.3 ADMINISTRACION DEL PLAN DE CONTINGENCIA

El/La Oficial de Seguridad deberá revisar y avaluar a los procesos y procedimientos referentes

al Plan de contingencia. Entre sus funciones tendrá las siguientes:

· Evaluar las mejoras y modificaciones sugeridas en forma interna y/o externa para la mejora

de la preparación para la aplicación del plan de contingencias.

· Evaluar las pruebas del plan de contingencia.

· Analizar los reportes de incidentes y resultados de las pruebas elaborados por el Jefe de la

UST y tomar las correspondientes acciones.

5.2.4 ADMINISTRACION DEL PROCESAMIENTO DE DATOS

Como responsabilidad exclusiva del Oficial de Seguridad, esta la decisión de acción cuando se

solicita en cambio con impacto institucional, sea en su autorización o en efectos que conllevan

a la Administración de Procesamiento de Datos.

El/La Oficial de Seguridad debe realizar aprobaciones especificas o conjuntas y globales del

las modificaciones en los procesos y procedimientos. Entre sus funciones tendrá las siguientes:

· Aprobar la programación anual de tareas.

· Aprobar los servicios de mantenimiento relacionados con el Centro de Computo.

· Aprobar las sugerencias de optimización de rendimiento que hayan sido propuestas.

· Analizar los reportes de incidentes elaborados por la UST y tomar las correspondientes

acciones.

5.2.5 ADMINISTRACION DE PROBLEMAS E INCIDENTES

El /La Oficial de Seguridad deberá revisar y evaluar los procesos y procedimientos de la

Administración de Problemas e incidentes. Entre sus funciones tendrá las siguientes:

· Analizar las incidencias reportadas en cuanto al impacto institucional.

· Cuando corresponda solicitar la revisión independiente de los reportes.

· Proponer mejoras y modificaciones para la mejora del servicio de Administración de

Problemas e Incidentes.

12

· Analizar los reportes de incidentes elaborados por el jefe de la UST y tomar las

correspondientes acciones.

5.2.6 ADMINISTRACION DE SEGURIDAD INFORMATICA

El/La Oficial de Seguridad deberá realizar la revisión y evaluación a los procesos y

procedimientos de la Administración de Seguridad Informática. Entre sus funciones tendrá las

siguientes:

· Analizar los incidentes graves en forma puntual.

· Proponer modificaciones y mejoras en el procedimiento.

· Analizar los reportes de incidentes elaborados por el jefe de la UST y tomar las

correspondientes acciones.

5.2.7 ADMINISTRACION DEL SOPORTE TECNICO

El / La Oficial de Seguridad deberá revisar y evaluar los procesos y procedimientos en la

administración de soporte técnico. Entre sus funciones tendrá las siguientes:

· Evaluar los informes de obsolescencia tecnológica y tomar acciones al respecto.

· Proponer mejoras y modificaciones para la mejora del servicio de soporte Técnico.

· Analizar los reportes de incidentes elaborados por el encargado del soporte y tomar las

correspondientes acciones.

5.2.8 ADMINISTRACION DE TELECOMUNICACION Y REDES

El / La Oficial de seguridad deberá revisar y evaluar los procesos y procedimientos en la

administración de telecomunicaciones y redes. Entre sus funciones tendrá las siguientes:

· analizar los reportes de rendimiento y disponibilidad.

· Proteger mejoras y modificaciones para la mejora del servicio de telecomunicaciones y

redes.

· Analizar los reportes de incidentes elaborados por la jefatura de la UST y tomar las

correspondientes acciones.

6. REFORMAS A LA NORMA

La presente norma podrá ser modificada bajo propuesta y presentada formalmente con los

correspondientes justificativos al responsable de la UST y aprobada por la Secretaria General a

través de una resolución.

7. INFORMACION

CUSTODIA DE LA INFORMACION

Todos los funcionarios del UST, deben mantener en estricta custodia la información sensible

asociada directa e indirectamente a la presente norma. Esta estará bajo la responsabilidad del

responsable de la UST.

Toda información es confidencial salvo se exprese lo contrario.

TRATAMIENTO DE INFORMACION SENSIBLE

13

La información sensible relacionada con la presente normativa, deberá ser conservada durante

12 meses, al cabo de los cuales podrá ser entregado al área de archivo bajo inventario.

8. CLASIFICACION Y CONTROL DE ACTIVOS INFORMATICOS

Para mantener una adecuada protección y control de los activos informáticos del UST, es

necesario que sean clasificados.

De acuerdo al Reglamento Especifico del sistema de Administración de bienes y Servicios

(RE-SABS), Titulo IV, el manejo de los activos informáticos (equipos) considerados activos

fijos o bienes de uso estará a cargo de la Unidad de Activos Fijos.

La UST asignara al oficial de Seguridad los bienes informáticos intangibles, como por ejemplo

software, cd, dvd, disquetes que contengan información, backup de sistemas, etc.

Por otro lado la información que se almacena dentro del las diferentes bases de datos son

exclusivamente propiedad del Instituto Nacional de Reforma Agraria quedando como custodio

de la misma la UST.

9. INVETARIO DE ACTIVOS INFORMATICOS

La toma de inventarios de activos informáticos, de acuerdo al RE-SABS, titulo IV, artículo 87,

tendrá como responsable a:

· Al Jefe de la Unida de Activos Fijos en caso de bienes de uso (Computadoras Personales,

Portátiles, Impresoras, Monitores, etc.)

· El /la Oficial de seguridad en caso de bienes informáticos intangibles.

10. CLASIFICACION DE COMPUTADORAS PERSONALES

La Unidad e Activos fijos debe mantener un subsistema de información de activos fijos de

computadoras personales, servidores, portátiles e impresoras que contenga como mínimo la

siguiente información:

· código de Activo Fijo

· Capacidad de Memoria RAM

· Capacidad de Disco Duro

· Tipo de procesador (CPU)

· Velocidad de CPU

· Tipo de activo (Servidor, PC, Portátil, Impresora, monitor, Teclado, Mouse, etc.)

· Descripción

· Sistema Operativo del Computador Personal (Windows XP, Windows 95/98, etc)

· Cedula de Identidad del funcionario al que se asigno el computador Personal

· Código del Área funcional del Funcionario

· Fecha de Asignación

· Fecha de adquisición

· Estado del computador (En funcionamiento, no funciona, en proceso de baja, etc.)

· Sector (Unidad).

· Vida Útil

Esta Información servirá para clasificar las computadoras personales.

14

11. CLASIFICACION DE LA INFORMACION

La información es como bien intangible valioso, deberá ser clasificada de acuerdo a lo

siguiente:

Para fines administrativos o de gestión:

· Por sistema de información

· Por gestión

· Por mes

Para fines de seguridad:

· Información confidencial

· Información interna al INRA

· Información Pública. Se debe asumir que toda información que no este clasificada, será

clasificada como información publica.

La información que esta almacenada en el Servidor central o de base de datos, se debe

mantener cinco gestiones en línea y el resto deberá ser guardada en medios magnéticos como

cintas, CD, DVD, etc. Estas copias deben ser consideradas como copias de respaldo.

ROTULADO DE LA INFORMACION

Para facilitar el inventario de la información almacenada en medios magnéticos como cintas,

disquetes, CD, DVD, etc. Se debe rotular la información, el rotulo deberá incluir:

Para fines administrativos o de gestión:

· El sistema de información

· Gestión o año

· Mes

Para fines de seguridad:

· Información confidencial.

· Información Interna al INRA

· Información Pública. Se deberá asumir que toda información que no lleve ningún rotulo

será considerado como información publica.

12. SOLICITUD DE INFORMACION

POR UN FUNCIONARIO O UNIDAD DEL INRA

Todo funcionario del INRA que necesite información de otra unidad del INRA, debe proceder

de la siguiente forma:

· Solicitar la Información a través del jefe de su unidad.

· La solicitud de información se debe realizar por algún medio que deje rastro o huella , por

el ejemplo el correo electrónico, memorando, etc.

Es responsabilidad del dueño de la información (la unidad a la cual se solicita) proporcionar la

información clasificada como confidencial.

POR UNA PERSONA EXTERNA AL INRA

15

Cuando una persona o entidad externa al INRA solicita información a una unidad o dirección

del INRA, se debe proceder de la siguiente manera:

· Deberá estar dirigida según corresponda al jefe de la unidad o dirección.

· La persona o entidad externa, debe solicitar la información mediante un medio que deje

rastro de la solicitud, por ejemplo, carta o nota.

Es responsabilidad del dueño de la información (la unidad o dirección a la cual se solicita la

información) proporcionar la información solicitada.

No se podrá proporcionar información a personas o entidades externas al INRA, que estén

clasificadas y/o rotuladas como CONFIDENCIALES y/o INTERNA al INRA.

En caso de duda debe consultar al oficial de seguridad de la información, antes de enviar la

información.

Están exentas de esta normativa las certificaciones expresamente reguladas.

13. INCUMPLIMIENTO Y SANCIONES

El incumplimiento a la presente norma será sancionado de acuerdo al reglamento Interno del

INRA referente a Infracciones y Sanciones.

¡Interferencia de bloqueo de anuncios detectada!


Wikia es un sitio libre de uso que hace dinero de la publicidad. Contamos con una experiencia modificada para los visitantes que utilizan el bloqueo de anuncios

Wikia no es accesible si se han hecho aún más modificaciones. Si se quita el bloqueador de anuncios personalizado, la página cargará como se esperaba.