Sie sind auf Seite 1von 38

Clasificación y Control de Activos

Generalidades

Objetivo
Alcance
Responsabilidad
Política
Seguridad lógica
1) Procedimientos formales para la concesión, administración de derechos y
perfiles, así como la revocación de usuarios.

Objetivo: tener mayor control de sobre la concecion y revocación de usuario asi


como a quien se le asigna determinados perfiles y derechos.
Alcance: Todos los trabajadores de la empresa Subcafae Cusco que tengan
necesidad de hacer uso de equipos tecnológicos y/o sistemas de
información.
Responsabilidad: La responsabilidad de realizar este control es de la oficina de
tecnologías de información.
Politica:

Procedimientos formales para la concesión, administración de derechos y


perfiles

a) El jefe de área al cual pertenece el colaborador nuevo necesita usuario para


poder realizar sus labores y solicita la creación de este usuario.
b) El jefe del área de tecnlogias de información evalua la solicitud y envía
formato de solicitud de creación de usuario y asignación de perfil
c) El jefe de área involucrada llena el formato de creación de usuario y
asignación de perfil y los remite nuevamente llenados al jefe de tecnologías
de la información
d) El jefe de tecnologías de la información revisa el formato de creación de
usuario y asignación de perfil y evalua si esta correctamente llenado y
sustentado
 Si el formato NO esta correctamente llenado y sustentado
nuevamente regresa al proceso “c”
 Si el formato SI esta correctamente llenado y sustentado pasa a los
procesos “e”
e) El operado de sistemas crea el usuario con y asigna el perfil requerido.
e) El jeje de tecnologías de información archiva el formato de concesión de
usuario y asignación de perfil
f) Finaliza la politica
Procedimientos formales para la concesión, administración de derechos y
perfiles

a) El jefe de recursos humanos realiza el informe sobre el personal cesado para


quitar los permisos de usuario y perfil asignado
b) El jefe de tecnologías de la informacion recibe el infome de personal cesado
c) El jefe de tecnologías de información realiza las coordinaciones para revocar
usuarios y quitar perfiles asignados al personal cesado
d) El jefe tecnologías de la información archiva el informe sobre el personal
cesado
d) El operador de sistemas revoca los permisos de usuarios y quita los perfiles
asignados del personal cesante
e) El operador de sistemas envía informe detallado de revocación de usuarios y
asignaciones de perfiles del personal cesado
f) Finaliza la politica
2) Revisiones periódicas sobre los derechos concedidos a los usuarios.

Objetivo: Tener mayor control sobre los derechos y perfiles concedidos a los
usuarios de acuerdo al cargo laboral que ocupan
Alcance: Todo el personal de la empresa Subcafae Cusco
Responsabilidad: Es responsabilidad del área de tecnologías de la informacion
Politica:

a) El operador de sistemas genera reporte trimestral de perfiles asignados a


los usuarios
b) El operador de sistemas solicita a recursos humanos el cargo laboral de
que ocupa cada colaborador
c) El jefe de recursos humanos emite el reporte solicitado
d) El jefe de recursos humanos envía el reporte solicitado al operador de
sistemas
e) El operador de sistemas realiza el cruce de información emitida por
recursos humanos con el reporte trimestral de perfiles asignados a los
usuarios
f) El operador de sistemas verifica si los perfiles asignados corresponde al
usuario y el puesto laboral de los colaboradores
 Si los perfiles asignados corresponden al usuario de acuerdo al
puesto laboral de los colaboradores finaliza el control.
 Si los perfiles asignados NO corresponden de acuerdo al puesto
laboral de los colaboradores pasamos al proceso “g”
g) El operador de sistemas emite reporte al jefe de sistemas con usuarios que
no coinciden con el perfil asignado al puesto laboral
h) El jefe de tecnologías de la informacion recibe reporte de usuarios con
distinto perfil asignado al puesto laboral
i) El jefe de tecnologías de la información designa al operador de sistemas
para el cambio de perfil asignado
j) El operador de sistemas realiza el cambio de perfil asignado al usuario
según el puesto laboral
k) Finaliza la Politica
3. Los usuarios deben contar con una identificación para su uso personal, de tal
manera que las posibles responsabilidades pueden ser seguidas e identificadas
Objetivo: Tener un mejor control al identificar las responsabilidades de los usuarios
Alcance: Todos los trabajadores de la empresa Subcafae Cusco
Responsabilidad: Es responsabilidad del área de tecnologías de la informacion
Politica:
a) El jefe de tecnologías de la información recibe los documentos formales
para la creación de usuarios y delega la creación del usuario al operador de
sistemas
b) El operador de sistemas crea el usuario y asigna el perfil según puesto
laboral
c) Envia mensaje de confirmación con el usuario creado y perfil asignado
d) El jefe de área involucrada recibe confirmación de creación de usuario y
asignación de perfil
e) Comunica al colaborador el usuario y contraseña que se asigno
f) Finaliza la politica
4) Controles especiales sobre utilidad del sistema y herramientas de auditoria.
Objetivo: Tener mejor control sobre los derechos concedidos a los usuarios de los
colaboradores de Subcafae Cusco
Alcance: Todos los usuarios asignados a los colaboradores de Subcafae Cusco
Responsabilidad: Es responsabilidad del área de tecnologías de la informacion
Politica:
5) Seguimiento sobre el acceso y uso de los sistemas para detectar actividades no
autorizadas.
Objetivo: Tener mejor control sobre los acceso de los usuarios y actividades no
autorizadas de colaboradores de Subcafae Cusco
Alcance: Todos los usuarios asignados a los colaboradores de Subcafae Cusco
Responsabilidad: Es responsabilidad del área de tecnologías de la informacion
Politica:
a) El operador informatico realiza el proceso de registro de accesos
b) El operador informatico emite el reporte de acceso por usuarios
c) El jefe de tecnologías de la información recibe el reporte de accesos por
usuario
d) El jefe de tecnologías de la informacion evalua el reporte y verifica si se
realizaron accesos o usos de sistemas de usuarios no autorizados
 Si se encuentran accesos o usos de usuario no autorizados pasamos
al proceso “e”
 Si no se encuentran accesos o usos no autorizados finaliza la política
e) El jefe de tecnologias de la información toma las acciones correctivas e
informa al jefe de área
f) Finaliza la politica
Seguridad personal

6) Definicion de roles y responsabilidades establecidos sobre la seguridad de


informacion.
Objetivo: Estandarizar los permisos y derechos asignados a los roles de acuerdo a
los puestos laborales
Alcance: Roles de Subcafae Cusco
Responsabilidad:
Politica:
5.8 Gestión de incidentes de seguridad de información
a) Procedimientos formales para el reporte de incidentes de seguridad de la
información y las vulnerabilidades asociadas con los sistemas de
información.
Objetivo: Contar con un histórico de incidentes, para elaborar políticas de
prevención de riesgos informáticos.
Alcance: Todo el personal de la empresa Subcafae Cusco
Responsabilidad: Es responsabilidad del área de tecnologías de la información
Política:

a) El jefe de tecnologías de la información solicita informe de incidentes de


seguridad en un determinado tiempo.
b) El operador de sistemas es quien provee el informe solicitado con los
incidentes del periodo requerido.
c) El jefe de tecnologías de la información evalúa el informe de incidentes para
generar unas posibles soluciones definitivas.
d) Finaliza la política.
5.8 Gestión de incidentes de seguridad de información
b) Procedimientos establecidos para dar una respuesta adecuada a los
incidentes y vulnerabilidades de seguridad reportadas.
Objetivo: Dar la continuidad del servicio en el menor tiempo posible
Alcance: Todo el personal de la empresa Subcafae Cusco
Responsabilidad: Es responsabilidad del área de tecnologías de la información
Política:

a) El colaborador evidencia inconvenientes con el sistema informático.


b) El colaborador realiza la petición a través de un ticket al área de tecnologías
de información.
c) El operador de sistemas recibe la petición del colaborador y evalúa las
posibles soluciones.
d) El operador de sistemas comunica al colaborador que se ha superado el
inconveniente.
e) El colaborador revisa si el inconveniente fue superado en caso de no ser
superado el inconveniente, se comunica de nuevo con el operador de
sistemas.
f) El operador de sistemas registra el incidente en la bitácora de incidencias y
como fue resuelta.
g) Finaliza la política.
5.7 Procedimientos de respaldo
a) Procedimientos de respaldo regulares y periódicamente validados. Estos procedimientos deben incluir las medidas
necesarias para asegurar que la información esencial pueda ser recuperada en caso de falla en los medios o luego
de un desastre. Estas medidas serán coherentes con la estrategia de continuidad de negocios de la empresa.
Objetivo: asegurar la información de la institución para garantizar la continuidad del servicio frente a cualquier
eventualidad.
Alcance: área de tecnologías de información.
Responsabilidad: Es responsabilidad del área de tecnologías de la información.
Política:

a) El jefe de tecnologías de la información realiza cronograma de actividades de respaldo de la información.


b) El jefe de tecnologías de la información asigna tarea al operador de sistemas.
c) El operador de sistemas realiza el backup según el cronograma alcanzado.
d) E operador de sistemas comunica que el proceso de backup se realizó con éxito.
e) Finaliza el proceso.
5.7 Procedimientos de respaldo
b) Conservar la información de respaldo y los procedimientos de restauración en una ubicación a suficiente distancia,
que evite exponerlos ante posibles eventos que comprometan la operación del centro principal de procesamiento.
Objetivo: Salvaguardar la información ante cualquier eventualidad o desastre natural.
Alcance: Toda la información de la empresa.
Responsabilidad: Es responsabilidad del área de tecnologías de la información.
Política:

a) El jefe de tecnologías de la información realiza propuesta de adquisición de servicio de almacenamiento virtual


para la nube.
b) El gerente evalua la propuesta de adquisición de servicio de al almacenamiento virtual en la nube.
c) Si el gerente da el visto bueno, y se realiza la adquisición de servicio de almacenamiento virtual en la nube.
d) El operador de sistemas implementa el servicio de almacenamiento de virtual y físico para respaldos de la
información.
e) El operador de sistemas realiza el respectivo backup.
f) El operador de sistemas almacena en un dispositivo físico o logico
g) Finaliza el proceso.
5.5 Administración de las operaciones y comunicaciones
a) Procedimientos documentados para la operación de los sistemas
Objetivo: conocer las funcionalidades del sistema de información.
Alcance: A todo el personal involucrado
Responsabilidad: Es responsabilidad del área de tecnologías de la información.
Política:

a) El proveedor de sistemas implementa el sistema requerido por la institución.


b) El operador de sistemas realiza las pruebas necesarias para poner en producción el sistema.
c) Si el sistema de información supera las pruebas el operador de sistemas pone en producción al sistema.
d) El proveedor de sistemas realiza cronograma de capacitación.
e) El proveedor de sistemas entrega la documentación del sistema (manual del usuario).
f) Finaliza el proceso.
5.5 Administración de las operaciones y comunicaciones
b) Controles Control sobre los cambios en el ambiente operativo.
Objetivo: asegurar la implementación/actualización de los sistemas de información o software requerido.
Alcance: Área de tecnologías de la información.
Responsabilidad: Es responsabilidad del área de tecnologías de la información.
Política:

a) El operador de sistemas evalúa los requisitos de hardware e infraestructura para implementar los sistemas de
información o actualizaciones necesarias.
b) Si en caso de no cumplir con los requisitos de hardware e infraestructura el jefe de tecnologías de información
solicita al área correspondiente la adquisición de hardware e infraestructura que soporte dicha tecnología.
c) Si cumple con los requisitos mínimos de hardware e infraestructura el aperador de sistemas autoriza la instalación
o actualización del sistema requerido por la institución.
d) Finaliza el proceso.
5.5 Administración de las operaciones y comunicaciones
c) Separación de funciones para reducir el riesgo de error o fraude.
Objetivo: reducir posibles vulneraciones a los sistemas de información.
Alcance: A todo el personal de la entidad
Responsabilidad: Es responsabilidad del área de tecnologías de la información.
Política:

e) El jefe de área involucrada solicita usuario y roles para el colaborador a través del Formato de Creación de usuario
y asignación de perfil.
f) El jefe de tecnologías de la información evalúa el perfil necesario para el colaborador y si ya cuenta con usuaria se
le inactiva.
g) El jefe de tecnologías de la información autoriza el Formato de Creación de usuario y asignación de perfil.
h) El operador de sistemas crea al usuario con sus respectivos roles y perfil.
i) El operador de sistemas comunica al área involucrada que su requerimiento fue atendido.
j) Finaliza el proceso.
5.5 Administración de las operaciones y comunicaciones
e) Monitoreo del servicio dado por terceras partes.
Objetivo: Controlar el acceso a áreas vulnerables de la institución por parte de personas no vinculadas directamente con
la institución.
Alcance: Personal de seguridad de la institución y el área de tecnologías de la información.
Responsabilidad: Es responsabilidad del área de tecnologías de la información.
Política:

a) El proveedor del servicio solicita permiso de acceso para realizar funciones encomendadas.
b) El jefe de tecnologías de la información evalúa si es un mantenimiento correctivo o preventivo.
c) Si es un mantenimiento correctivo el jefe de tecnologías de la información concede el acceso al ambiente
requerido.
d) Si por el contrario es un mantenimiento preventivo el jefe de tecnologías de información entrega un formato en
donde indica el mantenimiento que realizara.
e) El proveedor del servicio llena el formato con las actividades que realizara.
f) El jefe de tecnologías de la información evalúa el formato alcanzado por el proveedor y si está considerado en las
actividades.
g) El jefe de tecnología de la información aprueba la petición si las funciones que realizara el proveedor son
necesarias y están consideradas en las actividades.
h) Caso contrario el jefe de tecnologías de la información denegará la petición si no cumple con alguno de los
requisitos para ingresar al área requerida.
i) Finaliza el proceso.
5.5 Administración de las operaciones y comunicaciones
f) Administración de la capacidad de procesamiento.
Objetivo: contar con infraestructura acorde a los sistemas usados.
Alcance: Área de tecnologías de la información.
Responsabilidad: Es responsabilidad del área de tecnologías de la información.
Política:

j) El operador de sistemas evalúa la cantidad de usuarios que se conectaran al servidor.


k) El operador de sistemas analiza la cantidad de transacciones por usuario.
l) El operador de sistemas con los datos de transacción por usuario y la cantidad de usuarios conectados asigna
servidor capaz de administrar dichas transacciones por usuario.
m) Finaliza el proceso.
5.5 Procedimientos de respaldo
h) Controles preventivos y de detección sobre el uso de software de procedencia dudosa, virus y otros similares.
Objetivo: Tener una infraestructura de sistemas robusta frente a cualquier intrusión externa.
Alcance: A todo el personal de la entidad
Responsabilidad: Es responsabilidad del área de tecnologías de la información.
Política:

n) El operador de sistemas identifica el software autorizada.


o) El operador de sistemas implementa políticas para restringir instalación de software no autorizado.
p) El operador de sistemas configura un cortafuegos físico o lógico y la restricción de medios extraíbles.
q) El usuario hace uso del equipo de cómputo.
r) El usuario hace uso de la web bajo ciertos permisos, el cual restringe algunas páginas indeseadas.
s) El usuario visualiza las páginas que estén permitidas por el cortafuego.
t) El usuario no tiene permitido usar medios extraíbles para almacenar la información.
u) Finaliza el proceso.
5.5 Procedimientos de respaldo
i) Seguridad sobre las redes, medios de almacenamiento y documentación de sistemas.
Objetivo: Ordenar a los usuarios por niveles de accesos.
Alcance: A todo el personal de la entidad
Responsabilidad: Es responsabilidad del área de tecnologías de la información.
Política:

a) El operador de sistemas implementa Vlan’s para diferenciar a los usuarios.


b) El operador de sistemas genera políticas para el uso de terminales.
c) El operador de sistemas accesos a la información mediante perfiles.
d) Proceso de creación de perfiles.
e) Finaliza el proceso.
5.5 Procedimientos de respaldo
j) Seguridad sobre el intercambio de la información, incluido el correo electrónico.
Objetivo: Salvaguardar la información de la institución.
Alcance: A todo el personal de la entidad
Responsabilidad: Es responsabilidad del área de tecnologías de la información.
Política:

a) El jefe de tecnologías de información solicita reporte de vulnerabilidades.


b) El operador de sistemas analiza posibles vulnerabilidades
c) El operador de sistemas lista posibles vulnerabilidades.
d) El jefe de tecnologías de la información analiza reporte de vulnerabilidades.
e) El jefe de tecnologías de la información gestiona plan de políticas de seguridad para la transferencia de archivos.
f) El operador de sistemas implementa politicas de transferencia de archivos.
g) El operador de sistemas realiza las pruebas.
h) El operador de sistemas emite informe de las políticas de seguridad de transferencia de datos implementados.
i) Finaliza el proceso.