Beruflich Dokumente
Kultur Dokumente
Junio 2012
MANUALES:
QU SON LOS MANUALES DE UNA ORGANIZACIN Y PARA QU
SIRVEN?
Son las herramientas formales en las cuales se agrupan todas las
acciones y funciones que debe desarrollar una Organizacin o un
Sector en particular.
Los Manuales sirven como instrumento de comunicacin y tienen
como objetivo el ordenamiento de las tareas para facilitar el
desarrollo de las funciones de una Empresa, considerando los riesgos
involucrados y los controles claves mitigantes.
Cada manual debe satisfacer distintos tipos de necesidades en una
Organizacin y debe contener la descripcin de las actividades que
sern desarrolladas por los miembros de una Organizacin.
MANUALES:
CUL ES EL CONTENIDO QUE DEBEN TENER LOS MANUALES DEL
REA DE SISTEMAS/TI?
DEFINICIONES:
QU SON LAS POLTICAS?
Las Polticas son el marco general que sirven como gua. Son las
acciones generales que es probable que se presenten en
determinadas circunstancias dentro de una Organizacin. Son
muy explcitas y bsicas.
QU SON LAS NORMAS?
Son reglas que deben ser respetadas y que permiten ajustar ciertas
conductas o actividades. Las normas establecen pautas generales, sin
entrar en detalles.
DEFINICIONES:
QU ES UN PROCEDIMIENTO?
Es la forma especfica de cmo se va a llevar a cabo una actividad.
Los procedimientos existen, son estticos y se implementan. Es la
descripcin de las actividades que se realizan dentro de un proceso e
incluye el qu, el cmo y a quin corresponde el desarrollo de la
tarea, involucrando el alcance, las normas y los elementos tcnicos.
DEFINICIONES:
QU SON LOS ESTNDARES?
Los estndares son un conjunto de parmetros tcnicos de seguridad
a configurar en cada uno de los distintos componentes de la
tecnologa. En principio son de uso voluntario, aunque la legislacin y
las reglamentaciones pueden hacer referencia a ellos.
QU ES UN PROCESO?
Es el conjunto de actividades mutuamente relacionadas que
transforman entradas en salidas, mediante la utilizacin de recursos.
Es la accin general de lo que se va a llevar a cabo. Los procesos se
comportan, son dinmicos, se operan y gestionan. (Ej. Venta de
Billetes)
EJEMPLO PRCTICO:
POLTICAS GENERALES DEL REA DE SISTEMAS/TI:
Objetivo:
Establecer los valores generales de seguridad de la informacin que
deben regir el comportamiento de todo el personal de la Organizacin
en el desarrollo de sus funciones.
Responsable del cumplimiento:
Todo el personal de la compaa y los terceros, que interactan de
manera habitual u ocasional, que accedan a informacin sensible, son
responsables de informarse del contenido del presente manual y
cumplirlo y hacerlo cumplir en el desarrollo de sus tareas habituales.
EJEMPLO PRCTICO:
POLTICAS GENERALES DEL REA DE SISTEMAS/TI:
Incumplimientos:
Las medidas disciplinarias estn descriptas en el Anexo I - Sanciones
por incumplimientos del Manual de Polticas del rea de Sistemas.
Definiciones:
La compaa entiende que la informacin es un recurso que como el
resto de los activos, tiene el valor para una Organizacin y por ende
debe ser debidamente protegida.
A travs de las medidas de proteccin definidas en el presente
manual, la compaa pretende garantizar la continuidad del negocio.
EJEMPLO PRCTICO:
POLTICAS GENERALES DEL REA DE SISTEMAS/TI:
Definiciones:
Se establecen un conjunto de controles que conforman la Gestin del
rea de sistemas, a travs de:
-Polticas
-Normas
-Procedimientos
EJEMPLO PRCTICO:
POLTICAS GENERALES DEL REA DE SISTEMAS/TI:
Definiciones:
Es poltica de la compaa:
Autorizacin:
Que todos los accesos a datos y/o transacciones cumplan con los niveles de
aprobacin previa correspondiente para su utilizacin y divulgacin.
Confiabilidad:
Que los sistemas informticos brinden informacin correcta para ser utilizada en la
operatoria de cada uno de los procesos.
Confidencialidad:
Que la informacin crtica est protegida del acceso de personas o terceros no
autorizados.
Disponibilidad:
Que la informacin pueda ser utilizada en todos los momentos en que sea requerida.
EJEMPLO PRCTICO:
POLTICAS GENERALES DEL REA DE SISTEMAS/TI:
Eficacia:
Que toda la informacin utilizada y conservada sea til para el desarrollo de los
negocios.
Eficiencia:
Que el procesamiento de la informacin se realice mediante una ptima utilizacin de
los recursos humanos y materiales.
Exactitud:
Que toda la informacin se encuentre libre de errores y/o irregularidades de cualquier
tipo.
Integridad:
Que sean procesados todos los datos y que se conserve toda la informacin necesaria
para el desarrollo de las tareas.
EJEMPLO PRCTICO:
POLTICAS GENERALES DEL REA DE SISTEMAS/TI:
Legalidad:
Que toda la informacin y los medios de conservacin, procesamiento y/o transporte,
estn dentro del marco legal vigente.
Propiedad:
Que todos los derechos de propiedad sobre la informacin utilizada en la Compaa
para el desarrollo de las actividades, estn adecuadamente establecidos a favor de la
misma.
Proteccin Fsica:
Que todos los recursos informticos cuenten con las adecuadas medidas de seguridad
fsica.
EJEMPLO PRCTICO:
NORMAS:
BACKUPS (Ejemplo)
1. Se debern realizar en cada caso, dos copias de resguardos de
todos los sistemas de informacin y datos que maneja la
Organizacin.
2. Las copias se generarn en DVD, y se rotularn segn el siguiente
formato:
3. El tipo de proceso para la generacin de las copias de resguardos
ser incremental.
4. Las copias de resguardos se realizarn en forma diaria, semanal,
mensual, y anual.
EJEMPLO PRCTICO:
NORMAS:
5. Las primeras copias en todos los casos sern guardadas en el
Tesoro de la Entidad.
6. Las segundas copias, correspondientes a la frecuencia diaria y
semanal, sern enviadas al Tesoro de la Sucursal X.
7. Las segundas copias, correspondientes a la frecuencia mensual y
anual, sern enviadas a la Caja de Seguridad de una entidad
Bancaria.
8. Las copias de resguardos de todos los sistemas de informacin y
datos que posee la Organizacin sern realizadas a travs del
aplicativo Copias BKP como lo indica el Instructivo I.
EJEMPLO PRCTICO:
PROCEDIMIENTOS:
BACKUPS (Ejemplo)
Todos los das laborales, el (Responsable del rea de Sistemas / el
Responsable del Sector Seguridad Informtica/ Persona encargada de
la Generacin de los Backups, etc), luego del cierre operativo en el
sistema de cambio, es el encargado de generar las copias de
resguardos correspondientes.
La persona encargada de realizar el backup, ingresar a la sala de
servidores para llevar a cabo lo mencionado en el Instructivo I, y
registrar en el Formulario I la ejecucin del backup. Para ello dejar
constancia ingresando en dicho formulario: Apellido y Nombre, Hora
de inicio, Hora de finalizacin, su firma, y Observaciones.
EJEMPLO PRCTICO:
PROCEDIMIENTOS:
Luego de ello, el encargado de la generacin de los backups
concurrir al tesoro de la Entidad, para dejar alojada la copia 1.
Seguidamente en caso de tratarse de la copia 2 de frecuencia diaria
o semanal, el encargado de la generacin de los backups, concurrir
a la Sucursal X, y entregar al Gerente de dicha Sucursal, el DVD
para que lo aloje en el Tesoro de la Entidad. Para ello el encargado
de la generacin de los backups, antes de salir de la Casa Central,
registrar en el Formulario II, que retira el soporte fsico, dejando
asentado. Lo mismo ocurre al llegar a la Sucursal, donde en el
Formulario III, que se encuentra en el lugar, el Gerente de la
Sucursal, deja asentado la recepcin del soporte fsico. (y
procedimiento contrario)
En caso de tratarse de la copia 2 de frecuencia mensual y anual
PLAN DE CONTINGENCIA
La Normativa del BCRA requiere como mnimo:
El desarrollo de un Plan de Contingencia o documento equivalente.
Se establezca con claridad y precisin los cursos de accin a seguir.
Se establezca con claridad y precisin la definicin de responsabilidades.
Se establezca con claridad y precisin los tiempos a cumplir.
Se establezca con claridad y precisin los proveedores de servicios de tecnologa y
sistemas de informacin.
Se establezca con claridad y precisin el equipamiento alternativo, los archivos y todos
los recursos necesarios para lograr la continuidad del procesamiento.
A los fines de no interrumpir las actividades normales y procesos crticos del negocio y
conforme con una adecuada evaluacin de los riesgos, las casas y agencias de cambio
debern desarrollar un plan de contingencia o documento equivalente, probado en
forma parcial peridicamente y en forma integral como mnimo anualmente.
TIPS:
# LOS MANUALES PUEDEN TENER CUALQUIER DISEO, TENIENDO
EN CUENTA LAS SIGUIENTES PAUTAS:
-TODOS LOS MANUALES DEBEN TENER UN FORMATO ESTANDAR.
-SE DEBE INCLUIR LA VIGENCIA, ES DECIR, A PARTIR DE QUE
FECHA ESTA VIGENTE EL MISMO.
-DEBEN CONTENER UN NDICE Y PAGINADO.
-NO DEBEN TENER FECHA DE VENCIMIENTO.
-DEBEN INCLUIR VERSIONADO.
# LOS MANUALES DEBEN SER APROBADOS POR ACTA DE
DIRECTORIO, INCLUSO LOS MANUALES DE USUARIO Y TCNICOS
DE LOS APLICATIVOS.
TIPS:
# SE SUGIERE QUE UN INTEGRANTE DEL DIRECTORIO Y EL
RESPONSABLE DE SISTEMAS/TI, FIRMEN LAS TAPAS DE LOS
MANUALES EN CONFORMIDAD Y ACEPTACION DE SU CONTENIDO.
# SI HACE FALTA, SE PUEDE ADJUNTAR UNA NOMINA DEL
PERSONAL,
COMO
CONSTANCIA DE
QUE
SE PUSO
EN
CONOCIMIENTO DE SU CONTENIDO.
# RECORDAR AGREGAR UN GLOSARIO DONDE
TRMINOS QUE SE CONSIDEREN NECESARIOS.
SE
ACLAREN
GRACIAS!!!
JUNIO 2012