P O L S E G I N F

Cooperativa de A&C Abierta Inca Huasi Ltda.

Poltica de Seguridad de la Informacin

Quillacollo Bolivia Preparado: Gerencia - Cosim TI Aprobado: Consejo de Administracin Fecha: Julio - 2008

POLSEGINF

CAPTULO I ..................................................................................................................................4 INTRODUCCIN...........................................................................................................................4 CAPTULO II .................................................................................................................................5 OBJETIVOS....................................................................................................................................5 CAPTULO III................................................................................................................................6 ADMINISTRACIN DE RIESGOS..............................................................................................6 CAPTULO IV ................................................................................................................................7 ESTRUCTURA DE LA POLITICA DE SEGURIDAD ...............................................................7 CAPTULO V .................................................................................................................................8 POLITICAS SOBRE LOS PROCESOS.........................................................................................8
1.- ADMINISTRACIN DE INCIDENTES DE SEGURIDAD - API..............................................8
1.1.- Registro..........................................................................................................................................................8 1.2.- Escalamiento..................................................................................................................................................8 1.3.- Reincidencia o repeticin...............................................................................................................................8 1.4.- Revisin post evento......................................................................................................................................8 1.5.- Control y Auditoria.......................................................................................................................................8

2.- ADMINISTRACIN DE SEGURIDAD DE LA INFORMACION - ASI....................................8

2.1.- Computadores personales..............................................................................................................................8 2.2.- Seguridad lgica.............................................................................................................................................9 2.3.- Seguridad fsica..............................................................................................................................................9 2.4.- Antivirus ........................................................................................................................................................9 2.5.- Licenciamiento y uso de software legal.........................................................................................................9 2.6.- Altas, bajas, modificaciones y bloqueos de usuarios.....................................................................................9 2.7.- Control y Auditoria.......................................................................................................................................9

3.- ADMINISTRACIN DE MESA DE AYUDA - AMA ..................................................................9 4.- ADMINISTRACION DE REDES Y TELECOMUNICACIN - ATR......................................10
4.1.- Equipos de Comunicaciones........................................................................................................................10 4.2.- Configuracin y Cambios............................................................................................................................10 4.3.- Administracin de la Red.............................................................................................................................10

5.- ADMINISTRACIN DEL PLAN DE CONTINGENCIAS- APC .............................................10

5.1.- Control del Plan de Contingencias...............................................................................................................11 5.2.- Respaldos.....................................................................................................................................................11 5.3.- Ejecucin del Plan........................................................................................................................................11 5.4.- Actualizacin del Plan.................................................................................................................................11

6.- ADMINISTRACIN DE PRODUCCIN (CENTRO DE CMPUTO)...................................11

6.1.- Administracin del Procesamiento de Datos...............................................................................................11 6.2.- Disponibilidad..............................................................................................................................................11 6.3.- Capacidad.....................................................................................................................................................12 6.4.- Estrategia de Respaldo y Restauracin........................................................................................................12 6.5.- Administracin de Claves............................................................................................................................12

7.- DIRECCIN Y ADMINISTRACIN DE TECNOLOGA - DAT............................................12

7.1.- Planificacin estratgica..............................................................................................................................12 POLTICA Pgina 2 de 19 Clasificacin: Reservada

POLSEGINF
7.2.- Administracin de proyectos.......................................................................................................................12

8.- ADMINISTRACIN DE CAMBIOS EN PRODUCCIN-ACP...............................................12

8.1.- Requerimiento..............................................................................................................................................12 8.2.- Factores del nivel de cambio........................................................................................................................13 8.3.- Tiempos de Entrega.....................................................................................................................................13 8.4.- Seguimiento de Requerimientos..................................................................................................................13 8.5.- Recuperacin ante Desastres........................................................................................................................13 8.6.- Planificacin.................................................................................................................................................13 8.7.- Proceso de Aprobacin................................................................................................................................13

9.- ADMINISTRACIN DE DESARROLLO Y MANTENIMIENTO- ADM ..............................13

9.1.- Requerimientos de Desarrollo y Mantenimiento de Sistemas ....................................................................13 9.2.- Especificaciones del Sistema.......................................................................................................................14 9.3.- Proceso del Desarrollo.................................................................................................................................14

10.- ADMINISTRACIN DE SOPORTE TCNICO - AST............................................................14

10.1.- Administracin de los Recursos Tecnolgicos..........................................................................................14 10.2.- Monitoreo de Seguridad Tcnica..............................................................................................................14

11.- ADMINISTRACIN DE CONTRATOS DE TECNOLOGA- ACT.......................................14

11.1.- Administracin de los contratos.................................................................................................................15 11.2.- Elaboracin de los Contratos.....................................................................................................................15 11.3 Tipos de Contratos........................................................................................................................................15 11.4.- Registro de los contratos de TI..................................................................................................................15

CAPTULO VI ..............................................................................................................................16 COMIT DE INFORMATICA....................................................................................................16 CAPTULO VII ............................................................................................................................17 ALCANCE Y RESPONSABILIDADES.......................................................................................17

1.- RESPONSABILIDADES ..............................................................................................................17

CAPITULO VIII ...........................................................................................................................19 COMPOSICION DEL DOCUMENTO........................................................................................19

POLTICA

Pgina 3 de 19

Clasificacin: Reservada

POLSEGINF
CAPTULO I INTRODUCCIN La informacin es un recurso estratgico que, como el resto de los importantes activos comerciales, tiene valor para la Cooperativa de A&C abierta Inca Huasi Ltda. y por consiguiente debe ser debidamente protegida. La seguridad de la informacin protege a sta, de una amplia gama de amenazas, a fin de garantizar la continuidad comercial, minimizar posibles daos y maximizar el retorno sobre las inversiones y las oportunidades de negocio. La informacin puede existir en muchas formas. Puede estar impresa o escrita en papel, almacenada electrnicamente, transmitida por correo o utilizando medios electrnicos, presentada en imgenes, o expuesta en una conversacin. Cualquiera sea la forma que adquiere la informacin, o los medios por los cuales se distribuye o almacena, siempre debe ser protegida en forma adecuada. La seguridad de la informacin se define como la preservacin de las siguientes caractersticas:

a) Efectividad: La Informacin relevante debe ser pertinente para el proceso del negocio,
as como su entrega oportuna, correcta, consistente y de manera utilizable.

b) Eficiencia: La provisin de la informacin debe ser a travs de la utilizacin ptima (ms

productiva y econmica) de recursos.

c) Confidencialidad: Se debe garantizar que la informacin sea accesible slo a aquellas d) e) f) g)

personas autorizadas a tener acceso a ella. Integridad: Se debe salvaguardar la exactitud y totalidad de la informacin y los mtodos de procesamiento. Disponibilidad: Se debe garantizar que los usuarios autorizados tengan acceso a la informacin y a los recursos relacionados con ella toda vez que se requiera. Cumplimiento: Se debe dar cumplimiento a leyes, regulaciones y acuerdos contractuales que el Negocio esta sujeto. Confiabilidad: La provisin de la informacin debe ser apropiada para la administracin, con el fin de que el Negocio opere y ejerza sus responsabilidades de reportes financieros y de cumplimiento.

El presente documento es una estrategia frente a los riesgos que pueden atentar contra la efectividad, la eficiencia, la confidencialidad, la integridad, la disponibilidad, cumplimiento y la confiabilidad de los recursos informticos. Dicha estrategia se basara en la identificacin de los riesgos, tanto internos como externos, de toda la infraestructura informtica de la Cooperativa. Cualquier elemento que resultara afectado por eventos no controlados, tales como acceso no autorizado, alteraciones, falla tcnica o daos, repercutir inevitablemente en la calidad y en la oportunidad de los servicios de nuestra institucin.

POLTICA

Pgina 4 de 19

Clasificacin: Reservada

POLSEGINF
CAPTULO II OBJETIVOS Los objetivos de la Poltica de Seguridad de la Informacin (POLSEGINF), son: Definir los lineamientos generales para asegurar el procesamiento de la informacin institucional, identificando medidas y puntos de controles mnimos y necesarios. Definir los requerimientos bsicos para crear, implementar y mantener una cultura de seguridad de la informacin, tanto a nivel de polticas relacionadas como normas, procedimientos, manuales y otros documentos en cualquier medio que sirvan para regular las actividades relacionadas con el procesamiento de la informacin del negocio. Establecer responsabilidades y derechos relacionados con la introduccin, recepcin, procesamiento, almacenamiento, salida y distribucin de la informacin a nivel negocio.

POLTICA

Pgina 5 de 19

Clasificacin: Reservada

POLSEGINF
CAPTULO III ADMINISTRACIN DE RIESGOS El objetivo de este captulo estar orientado a la definicin de mtodos para medir, o estimar los factores relacionados con la gestin de riesgos e implementar medidas de prevencin, control o minimizacin del riesgo. Las variables que afectan la medicin o estimacin del riesgo sern: La probabilidad de ocurrencia El impacto, pudiendo ser este econmico, legal, de imagen, normativo u otro. La amenaza interna o externa, por ejemplo el robo, el sabotaje, etc. Para clasificar las amenazas se tomarn tres grandes grupos: o Naturales: tormentas, lluvia, inundaciones, etc. o Del entorno: filtrado de tuberas, fallas en la estructura o instalaciones de servicios generales. o Humanas: pueden ser casuales o intencionadas: robo, olvido, sabotaje, etc. La debilidad interna de la infraestructura de seguridad. El tiempo de duracin del impacto del riesgo. La administracin de riesgos deber realizarse mnimamente una vez por ao donde se revisarn los resultados anteriores y se analizar el nuevo escenario para la gestin en curso. Esta responsabilidad ser del Comit de Informtica.

POLTICA

Pgina 6 de 19

Clasificacin: Reservada

POLSEGINF
CAPTULO IV ESTRUCTURA DE LA POLITICA DE SEGURIDAD La Poltica de Seguridad de la Informacin, en adelante denominado POLSEGINF presentara la siguiente estructura:

POLITICA DE SEGURIDAD DE LA INFORMACIN: Compuesta por postulados enunciativos de las principales funciones relacionadas con el procesamiento de la informacin que son plasmadas a travs de normativas. NORMAS DE SEGURIDAD DE LA INFORMACION: Las normas estarn ntimamente relacionadas con los procesos de tecnologa, stas expresan el QU de los procesos descritos en los correspondientes procedimientos. Las Normas se definirn a nivel de Objetivos de Control PROCEDIMIENTOS: Los Procedimientos tendrn la siguiente estructura, dividida por procesos, las cuales representa el COMO hacer respecto a las principales responsabilidades de la Unidad de Sistemas relacionadas con el procesamiento seguro de la informacin:

Procedimiento de Administracin de Problemas e Incidentes PROAPI Procedimiento de Administracin Seguridad de la Informacin - PROASI Procedimiento de Administracin de Mesa de Ayuda PROAMA Procedimiento de Administracin de Redes y Telecomunicacin - PROART Procedimiento Administracin del Plan de Contingencias - PROAPC Procedimiento de Administracin de Produccin (Centro de Computo) Procedimiento de Direccin y Administracin de TI PRODAT Procedimiento de Administracin de Cambios - PROACP Procedimiento de Administracin del Desarrollo y Mantenimiento PROADM Procedimiento de Administracin del Soporte Tcnico PROAST Procedimiento de Administracin de Contratos de Tecnologa PROACT

GUIA: Documentos internos de la Unidad de Sistemas, conformados por manuales, guas tcnicas, instructivos detallados, capturas de pantallas, videos y otros.

POLTICA

Pgina 7 de 19

Clasificacin: Reservada

POLSEGINF
CAPTULO V POLITICAS SOBRE LOS PROCESOS 1.- ADMINISTRACIN DE INCIDENTES DE SEGURIDAD - API En condiciones normales los procesos pueden seguir un orden preestablecido, cumpliendo con todos los aspectos de seguridad, calidad y control; pero, en situaciones de emergencia, anormales, urgentes o simplemente particulares y especficas en su tipo y forma, se debe establecer un mecanismo que permita mantener la operacin en un entorno de seguridad y cumplimiento adecuado, independientemente de la naturaleza del incidente o problema. 1.1.- Registro Todo incidente o problema deber ser registrado formalmente para su anlisis, correccin y prevencin. Los registros generados a raz de un incidente deben ser conservados por la Unidad de Sistemas durante un tiempo determinado y luego transferidos al archivo central para su digitalizacin y almacenamiento permanente. 1.2.- Escalamiento La respuesta ante incidentes deber tener definido un esquema escalonado para su atencin empezando en el nivel operativo, pasando por la Jefatura de Sistemas, la Gerencia, el Comit de Informtica, el Consejo de Administracin y finalmente a la Asamblea de Socios. Deben estar definidas las condiciones bajo las cuales se escalara el incidente al nivel superior. 1.3.- Reincidencia o repeticin Para la atencin de problemas e incidentes los responsables en el nivel que sea debern analizar si el hecho no es repetido y en funcin de esto tomarn las acciones que correspondan. La reincidencia deber ser tomada con mayor atencin tanto para su atencin como para su prevencin. La reincidencia deber tender a disminuir con el tiempo. 1.4.- Revisin post evento Todo incidente debe ser revisado en forma independiente al personal que le dio atencin y solucin. La revisin independiente tendr diferentes categoras: interna a la Unidad de Sistemas y externa a sta, cumplida por la Unidad de Auditoria Interna. La revisin post evento deber generar documentacin que avale su realizacin. 1.5.- Control y Auditoria La atencin de incidentes de seguridad es un evento susceptible de control y auditoria, deber ser sometido a evaluacin exhaustiva en forma anual por el Auditor Interno. 2.- ADMINISTRACIN DE SEGURIDAD DE LA INFORMACION - ASI Se deber definir los controles necesarios de la forma que pueda mantenerse un adecuado nivel de seguridad durante la explotacin de los recursos tecnolgicos asignados para el cumplimiento de sus funciones del usuario final. Estos comprendern: 2.1.- Computadores personales Los computadores personales asignados a los usuarios debern contener medidas de seguridad para su proteccin tanto fsica como lgica. El custodio de estos dispositivos y los
POLTICA Pgina 8 de 19 Clasificacin: Reservada

POLSEGINF
perifricos asociados como impresoras, escneres y otros estn bajo la responsabilidad del usuario final. Todos los computadores debern tener clave de encendido, protector de pantalla, antivirus y otros medios de seguridad que la Cooperativa considere necesarios. Los usuarios finales sern responsables de la informacin almacenada en el computador asignado, para esto debern tener la posibilidad de realizar copias de respaldo a requerimiento o en forma obligatoria. 2.2.- Seguridad lgica Cada usuario final deber tener un identificador personal e irrepetible para su acceso a los sistemas de la Cooperativa, este identificador que no es necesariamente secreto estar asociado a una contrasea particular y secreta. El identificador de usuario y la contrasea inicial sern asignados por la Jefatura de Sistemas. El usuario debe cambiar su contrasea despus del primer acceso y a partir de este momento es responsable absoluto de su uso y custodio. Las contraseas debern seguir en formato que ser definido a nivel de normativas. 2.3.- Seguridad fsica Los usuarios finales sern responsables de velar por el estado fsico de los recursos asignados para su custodio. Debern exigir a la Jefatura de Sistemas la instalacin segura y la realizacin de los mantenimientos preventivos o correctivos necesarios. 2.4.- Antivirus Los usuarios finales sern responsables de exigir la instalacin, funcionamiento y actualizacin de un antivirus computacional para sus computadores personales. Ante la deteccin de un virus los usuarios debern denunciar este hecho como un problema o incidente para su correspondiente anlisis, solucin y prevencin por parte de la Unidad de Sistemas. 2.5.- Licenciamiento y uso de software legal Ningn funcionario deber instalar material propietario sin la debida licencia, sea estos programas, textos, imgenes u otros susceptibles de tener registr propietario por autora o propiedad intelectual. La Jefatura de Sistemas velar por mantener un ambiente informtico libre de productos no licenciados. 2.6.- Altas, bajas, modificaciones y bloqueos de usuarios Todos los cambios en los accesos a los sistemas mediante cuentas usuarias debern estar formalmente solicitados, aprobados y ejecutados, debiendo estos generar evidencia de su correcta realizacin. 2.7.- Control y Auditoria La administracin de usuarios es un evento susceptible de control y auditoria, deber ser sometido a evaluacin en forma anual por la Unidad de Auditoria Interna. 3.- ADMINISTRACIN DE MESA DE AYUDA - AMA El presente proceso tiene como objetivo definir los mecanismos de la Unidad de Sistemas, para la atencin de requerimientos de los usuarios finales as como los alcances y criterios que se debern tomar en cuenta para la eficiencia en la atencin y satisfaccin del cliente interno. Incluir las siguientes actividades:
POLTICA Pgina 9 de 19 Clasificacin: Reservada

POLSEGINF
Atender y resolver los problemas de los usuarios finales actuando como ente centralizador de los diferentes requerimientos originados en todas las reas de la Cooperativa. Actuar como elemento de coordinacin entre los diferentes componentes de la Cooperativa, Jefaturas, Agencias, Usuarios, definiendo responsabilidades de cada participante. Minimizar el tiempo y costo de atencin en situaciones repetitivas. Elaborar estadsticas sobre el rendimiento de la Unidad de Sistemas con la finalidad de determinar sus debilidades y fortalezas. Mejora continua en el proceso.

4.- ADMINISTRACION DE REDES Y TELECOMUNICACIN - ATR El presente proceso buscara normar la administracin de servicios de la red de Comunicaciones, establecer los procesos y actividades administrativas relacionadas como la planeacin, configuracin, control, monitoreo de los elementos que conforman a una red, con el fin de asegurar el eficiente y efectivo empleo de sus recursos, lo cual se ver reflejado en la calidad de los servicios ofrecidos ms importantes. Se considerara la administracin de las lneas tanto externas (telecomunicacin) como internas (redes) de todos los dispositivos conectados a la red local de la Cooperativa. 4.1.- Equipos de Comunicaciones Se deber tomar en cuenta la responsabilidad fsica de la parte de telecomunicacin y redes respecto a su mantenimiento, cuidado, buena ubicacin y otros. Esta funcin estar a cargo del Encargado de Soporte Tcnico y Redes. 4.2.- Configuracin y Cambios Todo cambio, actualizacin y configuracin de hardware de los equipos y lneas de comunicacin deber ser autorizado por la Jefatura de Sistemas y debe estar registrada en una carpeta con documentacin impresa. Se deber realizar una bitcora de Comunicaciones, como tambin un monitoreo del sistema de comunicaciones y la administracin de las direcciones IP 4.3.- Administracin de la Red La administracin de la red deber buscar un equilibrio entre criterios de calidad y seguridad, esta responsabilidad ser asignada al Encargado de Soporte Tcnico y Redes. 5.- ADMINISTRACIN DEL PLAN DE CONTINGENCIAS- APC El presente proceso deber definir procesos preventivos y reactivos a ejecutar en una situacin de contingencia tecnolgica que comprometa o interrumpa la normal prestacin de servicios de la Unidad de Sistemas a la Cooperativa. Deber incluir los lineamientos para la atencin de situaciones de contingencia, la preparacin de pruebas, las necesidades de capacitacin y entrenamiento resultante de la aplicacin real o en prueba del Plan de Contingencia.

POLTICA

Pgina 10 de 19

Clasificacin: Reservada

POLSEGINF
5.1.- Control del Plan de Contingencias La Unidad de Sistemas deber planificar reuniones dedicadas exclusivamente al anlisis de riesgos y revisin del plan de contingencias, a la identificacin de riesgos que se repite anualmente tanto para incluir nuevos tipos o validar los actuales, en la estimacin del impacto, en la prueba de actividades propuestas como opcin de accin ante la materializacin de un riesgo y en la validacin de las pruebas al Plan de contingencias. 5.2.- Respaldos El respaldo como parte del plan de contingencias deber realizarse al hardware, servidor central y de apoyo, como tambin al software, datos y aplicaciones que pongan en riesgo las operaciones criticas de la Cooperativa. Las lneas externas de comunicacin tambin contarn con lneas de contingencia o alternativas y el personal de la Unidad de Sistemas estar entrenado para cubrir individual o grupalmente las funciones operativas de cualquier funcionario ausente. 5.3.- Ejecucin del Plan La ejecucin del plan se la realizara en funcin a las condiciones de riesgo, ya sea este de nivel crtico o aceptable, y autorizado por el Jefe de Sistemas o el Comit de Informatica, segn la criticidad del caso. 5.4.- Actualizacin del Plan La actualizacin del Plan de Contingencias se realizara cada determinado periodo de tiempo, en la que cada funcionario de la Unidad de Sistemas es responsable de proponer su actualizacin. Dicha actualizacin se la realizar anualmente. 6.- ADMINISTRACIN DE PRODUCCIN (CENTRO DE CMPUTO) Se deber reglamentar la administracin de los ambientes de produccin fsicos y lgicos de la Unidad de Sistemas, administrando la calidad, disponibilidad y seguridad de: Servidores. Sala de Servidores y ambiente del generador elctrico. Medios y dispositivos de respaldo y restauracin. Software base y aplicativos de negocio. 6.1.- Administracin del Procesamiento de Datos Todas las actividades rutinarias y frecuentes debern estar calendarizadas. Las actividades debern ser aprobadas por la Jefatura de Sistemas y revisadas en su cumplimiento por la Unidad de Auditoria Interna. Las actividades no rutinarias debern ser registradas mediante la mesa de ayuda para su posterior control. 6.2.- Disponibilidad Debern estar disponibles en inventariacin todos aquellos dispositivos (Hardware, Software) que formen parte de la Sala de Servidores, y estos inventarios debern ser actualizados mnimamente de manera anual o cuando un cambio en produccin as lo requiera.

POLTICA

Pgina 11 de 19

Clasificacin: Reservada

POLSEGINF
6.3.- Capacidad El planeamiento de la Capacidad de los recursos tecnolgicos deber ser administrado segn el Requerimiento Usuario, las caractersticas tecnolgicas actuales, el crecimiento de la Base de Datos o el margen de tiempo planificado como aceptable. 6.4.- Estrategia de Respaldo y Restauracin Toda estrategia deber tomar en cuenta la clasificacin de los datos en funcin de la criticidad y sensibilidad de la informacin, todo esto por medio de un procedimiento de administracin de medios de respaldo adecuado. Dicha informacin ser custodiada o protegida en una Cintoteca, bajo condiciones ambientales seguras y confiables y sometido a un monitoreo permanente de stos. 6.5.- Administracin de Claves El Jefe de Sistemas ser responsable del custodio y asignacin de claves de administracin o supercuentas. 7.- DIRECCIN Y ADMINISTRACIN DE TECNOLOGA - DAT Las actividades de direccin y administracin de todos los recursos de tecnologa deben implicar: 7.1.- Planificacin estratgica La Unidad de Sistemas deber definir los lineamientos estratgicos de su rea en funcin de los objetivos institucionales acomodando stos en los lapsos de tiempo acordados a nivel de negocio. El plan estratgico de sistemas debe ser segmentado en largo, mediano y corto plazo. Cada segmento debe tener definido un mecanismo de cuantificacin y medicin. 7.2.- Administracin de proyectos Los proyectos que impliquen los recursos de tecnologa como medio o fin debern tener definido un instrumento o metodologa para su administracin formal, ste medio deber asegurar el monitoreo desde el inicio, la ejecucin, el control y cierre de cualquier proyecto. 8.- ADMINISTRACIN DE CAMBIOS EN PRODUCCIN-ACP Los cambios en el ambiente de produccin pueden conceder la oportunidad para que los errores interfieran en la habilidad de la Unidad de Sistemas para proporcionar servicios en los niveles acordados con sus clientes tanto internos como externos. Administrando los Cambios en Produccin pretendemos reducir las posibilidades de error o de que sobre la base de estos errores se introduzcan cambios no planificados. 8.1.- Requerimiento Los requerimientos de cambios debern ser formalmente solicitados, analizados y aprobados, dejando evidencia tangible.

POLTICA

Pgina 12 de 19

Clasificacin: Reservada

POLSEGINF
8.2.- Factores del nivel de cambio Para definir el nivel de cambio y dar una valoracin, criticidad o prioridad se deber definir factores que permitan cuantificar el nivel del cambio. Todo cambio deber tener asignado un nivel de cambio en funcin de su complejidad y del riesgo/impacto, este puede ser: Nivel 1 (Alto), Nivel 2 (Medio), Nivel 3 (Bajo). 8.3.- Tiempos de Entrega La Unidad de Sistemas planificara y analizara el cronograma para la entrega del cambio propuesto, siendo este de carcter tentativo. 8.4.- Seguimiento de Requerimientos Los cambios debern ser sometidos a un seguimiento para validar su estado de progreso. 8.5.- Recuperacin ante Desastres Los servicios de recuperacin ante desastres y contingencias debern recibir la comunicacin y documentacin relacionada con aquellos cambios que tengan una probabilidad alta de impactar en la continuidad Institucional. 8.6.- Planificacin La planificacin formal y sujeta a aprobacin deber ordenar las tareas especficas, la secuencia y las responsabilidades para un cambio exitoso. 8.7.- Proceso de Aprobacin El Comit de Informtica deber aprobar los mismos, cuando impacten al negocio. 9.- ADMINISTRACIN DE DESARROLLO Y MANTENIMIENTO- ADM Minimamente se deber considerar los siguientes aspectos: Definir los requisitos necesarios, pasos necesarios para el desarrollo de un nuevo programa, mdulo o sistema. Definir los pasos necesarios para el mantenimiento o modificacin a programas, mdulos o sistemas existentes. Integrar la participacin usuaria en la definicin y control de los requerimientos. Definir la documentacin de todas las fases del desarrollo y mantenimiento. Elaborar las pruebas necesarias para garantizar el correcto funcionamiento del programa, mdulo o sistema. Medir la conformidad del usuario en la utilizacin del un programa, mdulo o sistema. o Garantizar que la seguridad sea incorporada a los sistemas de informacin antes de su entrega para explotacin, preferentemente en la etapa de anlisis y diseo. o Mantener la seguridad del software y la informacin del sistema de aplicacin. o Prevenir la prdida, modificaciones o uso inadecuado de los datos del usuario en los sistemas de aplicacin. o Proteger la confidencialidad, autenticidad o integridad de la informacin durante la etapa de desarrollo o mantenimiento 9.1.- Requerimientos de Desarrollo y Mantenimiento de Sistemas Los requerimientos debern ser formalmente expresados, analizados y autorizados antes de su ejecucin.
POLTICA Pgina 13 de 19 Clasificacin: Reservada

POLSEGINF

9.2.- Especificaciones del Sistema Una vez aprobado el requerimiento, se asignara un usuario lder para revisar y aprobar las necesidades funcionales del Sistema por medio de la captura de requisitos, y as posteriormente realizar el cronograma de trabajo con el Analista Programador definido. 9.3.- Proceso del Desarrollo El proceso de Desarrollo definir si realizara primeramente el anlisis y diseo, luego la programacin, todo esto bajo medidas de seguridad en el desarrollo y mantenimiento. El Analista Programador deber proveer de toda la documentacin necesaria y ser capaz de realizar las pruebas unitarias mnimas correspondientes antes del pase al Ambiente de Pruebas. Todo este proceso deber seguir un control de avance por el Analista para finalmente tener la aprobacin usuaria. 10.- ADMINISTRACIN DE SOPORTE TCNICO - AST El proceso de Administracin del Soporte Tcnico buscara alcanzar altos niveles de eficiencia, eficacia y disponibilidad en la prestacin de los servicios de soporte a todo el parque tecnolgico con que cuenta la Cooperativa. En ese sentido, buscara definir las condiciones relacionadas con la explotacin ptima de los recursos tecnolgicos, manteniendo un equilibrio entre los criterios mencionados. El proceso de soporte tcnico buscara garantizar: La disponibilidad fsica y lgica de los recursos tecnolgicos a travs del control de acciones proactivas y reactivas. La interoperabilidad e integracin del software instalado. La actualizacin y compatibilidad de las aplicaciones instaladas. El soporte de software y solucin de problemas. El soporte de hardware y solucin de problemas. La funcionalidad y caractersticas operativas de los dispositivos asignados al usuario final. 10.1.- Administracin de los Recursos Tecnolgicos Se deber definir un proceso formal para la administracin de recursos que contemple su alta, asignacin, custodio, cambio y baja. 10.2.- Monitoreo de Seguridad Tcnica Durante el desarrollo del mantenimiento preventivo, correctivo o predictivo se deber revisar la configuracin del dispositivo, tanto de hardware como de software, validando la configuracin inicial contra la actual. En caso de existir diferencias estas debern ser reportadas como incidentes de seguridad al Comit de Informtica.

11.- ADMINISTRACIN DE CONTRATOS DE TECNOLOGA- ACT Este proceso buscara estandarizar el desarrollo y elaboracin de Contratos Informticos relacionados con la Unidad de Sistemas, definir los mecanismos de la Unidad de Sistemas para
POLTICA Pgina 14 de 19 Clasificacin: Reservada

POLSEGINF
la administracin de este tipo de Contratos, los requisitos tcnicos, legales, clusulas contractuales y control de los mismos, que debern ser tomados en cuenta para disminuir el riesgo legal, que podra surgir a causa de su incumplimiento o deficiencia en el contenido de los mismos, como tambin para contar con un respaldo sobre los derechos y obligaciones de las partes contractuales. 11.1.- Administracin de los contratos La Administracin de Contratos de Tecnologa, deber ser una funcin administrativa de la Unidad de Sistemas, que deber encontrarse bajo responsabilidad del Jefe del Sistemas. 11.2.- Elaboracin de los Contratos Ser una actividad de responsabilidad compartida entre la Jefatura de Sistemas con la Unidad de Asesora Legal en los aspectos tcnicos y legales segn correspondan. 11.3 Tipos de Contratos Los tipos de contratos a ser tomados en cuenta para el presente proceso son privados y pblicos, los cuales sern utilizados segn las necesidades y convenios de la Cooperativa. 11.4.- Registro de los contratos de TI Se deber tener un registro centralizado de todos los contratos relacionados con la Unidad de Sistemas de la Cooperativa. Esto por medio de llenado, registro y control de fichas legales.

POLTICA

Pgina 15 de 19

Clasificacin: Reservada

POLSEGINF

CAPTULO VI COMIT DE INFORMATICA Para llevar adelante la estrategia de seguridad de la informacin y las buenas costumbres de gestin tecnolgica la Cooperativa de Ahorro y Crdito Abierta Inca Huasi Ltda. a travs del Consejo de Administracin deber autorizar la conformacin del COMIT DE INFORMATICA y reglamentar su funcionamiento, con la aprobacin del Reglamento del Comit de Informtica, el mismo que deber funcionar adecuadamente en pos de salvaguardar los activos de informacin y los recursos tecnolgicos para la buena administracin de los sistemas de informacin y tecnologas relacionadas. Este reglamento deber considerar a nivel general los siguientes aspectos: Disposiciones Generales o Objetivo o Regulacin o Procedimientos Funciones o Generales o Especificas Integracin del comit y nombramiento o Conformacin o Presidente y secretario o Vocal o Directores Atribuciones y obligaciones o Facultades y obligaciones o Presidencia o Secretario o Vocales o Asesoras Sesiones del comit o Ordinarias o Extraordinarias o Inicio de sesiones o Acuerdos o Resoluciones o Otras consideraciones Reformas o Transitorio o Composicin del documento

POLTICA

Pgina 16 de 19

Clasificacin: Reservada

POLSEGINF
CAPTULO VII ALCANCE Y RESPONSABILIDADES Estar orientada a todo el Directorio y Personal de la Cooperativa de Ahorro y Crdito Abierta Inca Huasi Ltda. Independientemente de su funcin, antigedad, o jerarqua en lo referido a su cumplimiento. La Poltica, en las partes correspondientes, ser considerada como parte de las relaciones contractuales con proveedores externos y su cumplimiento es exigido por los canales y Unidades que correspondan. Se debern establecer salvaguardas contractuales para garantizar la seguridad de la informacin, de acuerdo con disposiciones legalmente vigentes y en concordancia con el presente documento sin descartar o limitar el uso para apoyo de otras polticas adicionales. 1.- RESPONSABILIDADES La aplicacin de la Poltica de Seguridad de la Informacin ser responsabilidad de todo el Directorio y Personal relacionado con la Cooperativa en forma indefinida como temporal. Su incumplimiento deber ser sancionado de acuerdo al Reglamento Interno de la Cooperativa. Consejo de Administracin: rgano que apruebe la Poltica de Seguridad de la Informacin, sugerida por la Gerencia o por el Comit de Informtica. Comit de Informtica. Responsable de analizar, aprobar, promover actividades e iniciativas orientadas a implantar la Poltica, su mejora y adaptacin a la realidad interna y externa. Gerente: Designado como Propietario Formal de la Poltica de Seguridad de la Informacin, es responsable de su implementacin, su mejora, actualizacin y ajuste a los requerimientos internos y externos. Mnimamente deber revisar y poner en consideracin las modificaciones a la Poltica ante el Comit de Informtica una vez por ao o de acuerdo a la magnitud y necesidad podr hacerlo cuando el caso lo amerite para su posterior aprobacin por el Consejo de Administracin. Gerencias o Jefaturas: Encargadas de difundirla entre el personal de la Unidad bajo su dependencia, supervisando su implementacin y control. Encargadas de hacer conocer y cumplir las polticas a las empresas y/o personas que prestan servicios a la Cooperativa. Responsables de la implantacin efectiva de la Poltica. Debern desarrollar instructivos y plantear normas y procedimientos ajustados a las operaciones de sus reas, en coordinacin con la Gerencia. Jefatura de Sistemas Responsable de actuar como asesor tcnico, proponer actualizaciones al propietario de la Poltica y al Comit de Informtica.

POLTICA

Pgina 17 de 19

Clasificacin: Reservada

POLSEGINF
Auditoria Interna Responsable de evaluar y validar el cumplimiento de la Poltica y todos los documentos emergentes de sta. Funcionarios: Responsables de conocer y aplicar lo establecido en la Poltica. Terceros (consultores, proveedores): Debern tener implementados a nivel contractual las clusulas necesarias que se consideren necesarias en funcin del servicio prestado. La contraparte del negocio ser responsable de velar por su inclusin en los contratos y por su cumplimiento.

POLTICA

Pgina 18 de 19

Clasificacin: Reservada

POLSEGINF
CAPITULO VIII COMPOSICION DEL DOCUMENTO El presente documento, corresponde a la POLITICA DE SEGURIDAD DE LA INFORMACION. Consta de VIII CAPITULOS, y es aprobado por el Consejo de Administracin de la COOPERATIVA DE AHORRO Y CREDITO ABIERTA INCA HUASI LTDA. A los 31 das del mes de julio del ao 2008. Por el Consejo de Administracin: (firmas)

POLTICA

Pgina 19 de 19

Clasificacin: Reservada