HECTOR ELISEO UCEDO PAIRET
POLITICA DE LEGALIDAD DEL SOFTWARE
OBJETIVO: Facilitar la toma de decisiones por parte de la ge...
HECTOR ELISEO UCEDO PAIRET
reportar inmediatamente a la Gerencia de Recursos Humanos, quienes a su vez deben notificar a T...
HECTOR ELISEO UCEDO PAIRET
deben estar encriptados y diferir de los entornos de producción
Cambio de Contraseña de Usuario...
HECTOR ELISEO UCEDO PAIRET
personal por 15 minutos, el sistema automáticamente bloqueara la sesión y solicitar una contras...
HECTOR ELISEO UCEDO PAIRET
•Agente de Mesa de Ayuda: Responsable de indicar al cliente el procedimiento para la comprar de...
HECTOR ELISEO UCEDO PAIRET
Controles de Auditoría de Sistemas.
Verificación de Cumplimiento de Seguridad Informática: El A...
HECTOR ELISEO UCEDO PAIRET
Controles de Auditoría de Sistemas.
Verificación de Cumplimiento de Seguridad Informática: El A...
of 7

Politica de legalidad del software

effge
Published on: Mar 4, 2016
Published in: Law      
Source: www.slideshare.net


Transcripts - Politica de legalidad del software

  • 1. HECTOR ELISEO UCEDO PAIRET POLITICA DE LEGALIDAD DEL SOFTWARE OBJETIVO: Facilitar la toma de decisiones por parte de la gerencia y otros funcionarios en materia de seguridad informática. ALCANCE: Tiene que ser conocida y cumplida por todos los usuarios que utilizan los servicios soportados por TIC, sean usuarios finales, técnicos y sea cual fuere su nivel jerárquico y su situación laboral. LICENCIA DE SOFTWARE: Una licencia de software es un contrato entre el licenciante y el licenciatario del programa informatico, para utilizar el software cumpliendo una serie de termino y condiciones establecidas dentro de sus clausulas. DERECHOS DELAUTOR: El derecho de autor es un conjunto de normas jurídicas y principios que regulan los derechos morales y patrimoniales que la ley concede a los autores, por el solo hecho de la creación de una obra literaria, artística, musical, científica o didáctica, esté publicada o inédita. COPYRIGHT: Derecho exclusivo de un autor, editor o concesionario para explotar una obra literaria, científica o artística durante cierto tiempo. USO DE PROGRAMA Y UTILITARIOS DE LIBRE UTILIZACION: Código abierto es la expresión con la que se conoce al software o hardware distribuido y desarrollado libremente. a. POLÍTICAS DE SEGURIDAD Política de Seguridad Informática Documento de Políticas de Seguridad Informática: Toda la documentación referente a la Seguridad Informática de TIC, inclusive, sin limitación, de las políticas, normas y procedimientos, debe ser clasificada como "Sólo Para Uso Interno". Revisión y Evaluación: Este manual debe ser revisado y evaluado de acuerdo al proceso y al comité establecido para el efecto. La evaluación debe garantizar que se lleve a cabo una revisión en respuesta a cualquier cambio que pueda afectar la base original de evaluación de riesgos por ejemplo: Incidentes en seguridad significativos, nuevas vulnerabilidades o cambios en la infraestructura técnica o de las Empresas a quienes TIC brinda servicios. *SEGURIDAD ORGANIZACIONAL Comite de Seguridad Informática: Compuesto por el Oficial de Seguridad, un representante de Auditoria Informática (como observador), y un representante de TIC de cada División. Propiedad de la Información: La Empresa debe asignar la responsabilidad de la propiedad de la información a una persona única, interiorizada con toda la información que maneja la Empresa (en adelante Dueño de dato). *Cambios en Situación de los funcionarios: Cuando exista alguna modificación en la condición laboral de los funcionarios de las Empresas a quienes TIC brinda servicio, inclusive, sin limitantes, de los asesores, consultores y pasantes, el Negocio debe
  • 2. HECTOR ELISEO UCEDO PAIRET reportar inmediatamente a la Gerencia de Recursos Humanos, quienes a su vez deben notificar a TIC a través de las listas de distribución habilitadas para el efecto, a fin de realizar los cambios en los accesos que posee dicho funcionario. *CONTROL DE ACCESO *Requisitos para el Control de Acceso: Política de Control de Acceso: El acceso a la información de la Empresa siempre debe estar autorizado por el Dueño del dato o el designado por éste, y debe limitarse a aquellas personas que lo necesiten. Conforme al Procedimiento de Gestión de Acceso vigente Administración del Acceso de Usuario: Identificador Único de Usuario y Contraseña Obligatorios: Todo usuario debe tener un identificador único y una contraseña personal secreta para acceder a los equipos informáticos y aplicaciones de la Empresa. Finalización de los Privilegios de Acceso: Todos los privilegios informáticos proporcionados por la Empresa deben terminar cuando el trabajador cesa sus servicios a la misma. Norma de Creación para Identificadores de Usuario: Para cada sistema nuevo implementado posterior a la publicación de esta política, los identificadores de usuario de un trabajador de la Empresa deben ser iguales al asignado en el dominio y deben cumplir las normas para la identificación de usuarios establecidas dentro de los procedimientos vigentes. Autorización de Solicitud de Acceso al Sistema: Todas las solicitudes de acceso a los sistemas o redes de la empresa, deben adaptarse al procedimiento de Gestión de Accesos vigente. Cambios en Situación de Usuarios: La gerencia de cada Empresa debe informar con prontitud a RRHH de todos los cambios significativos en las condiciones laborales de los usuarios finales. RRHH a su vez debe informar a las listas de Distribución correspondientes a fin de realizar las modificaciones a los privilegios que dicho usuario posee dentro de los sistemas. Gestión de Contraseñas de Usuario: Contraseñas Iniciales: Las contraseñas emitidas por los agentes de Mesa de Ayuda deben estar vencidas, obligando así al usuario a seleccionar otra contraseña antes de completar el procedimiento de inicio de sesión de Windows y en las aplicaciones vigentes que posean esta opción. Para sistemas nuevos implementados posterior a la fecha de publicación de este manual, será un requisito obligatorio el uso de contraseñas vencidas por parte del soporte. Contraseñas Olvidadas: Todo usuario que olvide o pierda su contraseña debe identificarse correctamente a fin de que se proceda al restablecimiento de su contraseña, a través de los procesos definidos. Desbloqueo de la Contraseña: Los sistemas informáticos deben estar configurados para permitir sólo tres intentos para introducir la contraseña correcta, luego de lo cual el identificador de usuario debe quedar bloqueado, pudiendo reiniciarse solamente a través del personal de Mesa de Ayuda correspondiente, posterior a una correcta identificación. Contraseñas en Software: Los usuarios y las contraseñas incorporadas al software de desarrollo
  • 3. HECTOR ELISEO UCEDO PAIRET deben estar encriptados y diferir de los entornos de producción Cambio de Contraseña de Usuario de máximo privilegio: Si un intruso u otro usuario no autorizado ha comprometido una contraseña de usuario de máximo privilegio, todas las contraseñas de ese sistema deben ser cambiadas de inmediato. Se debe aplicar el mismo criterio cuando exista un cese en el cargo de un personal con conocimiento de las contraseñas de máximo privilegio. Responsabilidades del Usuario: Utilización de Contraseñas: Contraseñas en Distintos Sistemas: Siempre que sea posible, los usuarios deben emplear distintas contraseñas en cada una de las aplicaciones para los que se les ha otorgado el acceso. Sospecha de Divulgación de Contraseña: Todo usuario debe cambiar su contraseña de inmediato si sospecha la divulgación de ésta o si sabe que ha sido divulgada a una persona no autorizada. Divulgación Pública de Contraseñas: No se deben escribir, publicar, ni dejar las contraseñas en sitios donde personas no autorizadas pudieran descubrirlas. Uso de Contraseñas por Terceros: Los usuarios no deben suministrar sus contraseñas a ningún tercero, incluyendo entre otros, técnicos de soporte, consultores y mesa de ayuda. Identificadores Personales de Usuario — Responsabilidad: Los usuarios deben responsabilizarse de toda la actividad realizada con sus identificadores personales de usuario y no deben permitir que otras personas realicen cualquier actividad con éstos o que realicen actividad alguna con identificadores que pertenezcan a otros usuarios. Control de Acceso a la Red Autorización para Conexiones a Internet: Los funcionarios no deben establecer ninguna conexión externa que pudiera permitir a personas ajenas a la Empresa obtener acceso a los sistemas informáticos de la misma, a menos que se obtenga una aprobación previa de la Gerencia de TIC. Acceso a la Red Interna: Sólo los dispositivos informáticos suministrados por la Empresa y homologados por TIC deben tener capacidad para acceder a la red interna de la Empresa. Derechos de Acceso a Internet: Todos los tipos de acceso a Internet, deben contar con autorización anticipada del Gerente del Área correspondiente que asegure que el usuario tiene una necesidad demostrable de dicho acceso. Control de Acceso al Sistema Operativo Longitud Mínima de Contraseñas: Todas las contraseñas deben tener por lo menos 8 caracteres (al menos una mayúscula, números y caracteres) y esta longitud debe revisarse siempre de manera automática al momento en que los usuarios crean y seleccionan sus contraseñas. Contraseñas para Equipos informáticos conectados a la Red: Todos los equipos informáticos conectados a la red de la Empresa deben emplear contraseñas que contengan al menos 8 caracteres. Cambios Obligatorios de Contraseña: Todos los usuarios están obligados de cambiar sus contraseñas cada 90 días. Desconexión por Tiempo: Si no ha habido actividad en una Estación de trabajo, o computador
  • 4. HECTOR ELISEO UCEDO PAIRET personal por 15 minutos, el sistema automáticamente bloqueara la sesión y solicitar una contraseña para restablecer la sesión. Quedan exentas equipos que estén realizando operaciones directas con el cliente: Facturación. Control de Acceso a las Aplicaciones Actualizaciones de la Base de Datos: Las actualizaciones a las bases de datos de producción sólo podrán efectuarse a través de procedimientos establecidos. Monitoreo del Acceso y Uso del Sistema Monitoreo de Actividad en Internet: Todos los accesos a internet son monitoreados a través de un software especializado y mensualmente son emitidos informes de navegación a los Gerentes de las Empresas. Monitoreo de uso de la mensajería instantánea: Todos las conversaciones enviadas a través de la aplicación de Mensajería instantánea, son monitoreados y almacenadas. Pueden acceder a estas grabaciones Auditoria Informática; RRHH y la Dirección de cada Empresa. Mensualmente se emiten informes de uso de la herramienta a las Gerencias de cada Área. Registros de Uso de Internet: Los Gerentes de Área deben recibir, revisar y aprobar los reportes de las páginas web visitadas, los archivos descargados y otros intercambios de información en Internet para las actividades de negocio del departamento. Equipos informáticos Préstamo de equipos informáticos de la empresa: No se debe prestar a un tercero ningún tipo de dispositivo informático (móvil o desktop) de la Empresa. PROCEDIMIENTO PARAADQUISICIÓN DE LICENCIAS PARA ESTACIONES DE TRABAJO •Objetivos Establecer políticas y normativas para el control de programas licenciados, Sistema Operativo, Aplicaciones de Oficina y cualquier otro sistema de información que se encuentre protegido bajo leyes nacionales e internacionales de derecho del autor. Mantener informados a las Gerencias de TIC cuando se instalen programas sin licencias. •Alcance Todo programa licenciado, Sistema Operativo, Aplicaciones de Oficina y cualquier otro sistema de información que se encuentre protegido bajo leyes nacionales e internacionales de derecho del autor, que requiera la aceptación de una licencia paga y que sea utiliza en las divisiones soportadas por TIC •Glosario * Service Desk: Herramienta de gestión de la mesa de ayuda, utilizada para registrar los pedidos y aprobaciones de compras prevenientes de clientes. * Software Licenciados: Son todos los programas y/o aplicaciones informáticas que estén protegidos por la leyes nacionales o internacionales de derecho de autor, por tanto tienen licencias pagas. •Roles y Responsables •Oficial de Cumplimiento: Dueño y responsable del procedimiento, responsable de la toma de decisiones para los casos excepcionales. •Jefe de Mesa de Ayuda: Responsable hacer cumplir el procedimiento a los agentes de mesa de ayuda, así como capacitar a los nuevos recursos en caso de rotación.
  • 5. HECTOR ELISEO UCEDO PAIRET •Agente de Mesa de Ayuda: Responsable de indicar al cliente el procedimiento para la comprar de equipos y/o licencias informáticas, también es responsable de canalizar las solicitudes de compra. •Jefe de Soporte Terreno: Responsable de hacer cumplir el procedimiento a los técnicos de soporte terreno, así como capacitar a los nuevos recursos en caso de rotación. •Encargado de Compras: Responsable de preparar y enviar la cotización al cliente y conseguir las aprobaciones correspondientes, para la compra. •Jefe o Gerente de Operaciones: responsables de que su sus técnicos conozcan y cumplan el procedimiento, también es responsable de asignar a una persona el rol de encargado compra. •Otros roles que participen de manera directa: Son los responsables de cumplir con este procedimiento. Responsabilidades El Oficial de Cumplimiento, debe realizar por lo menos un control mensual. Informar cuando los umbrales de cumplimento de licencias hayan sido superados. El incumplimiento de los pasos detallados en este procedimiento, será pasibles de amonestaciones, determinadas por la Gerencia de TIC Procedimientos relacionados •Procedimiento de Adquisición de Equipos y Solicitud de Licencias •Procedimiento de Compra de Licencias •Políticas de Compras BIS •Manejo de excepciones Situaciones no contempladas expresa y taxativamente en este documento, serán escaladas a la Gerencia de TIC para que esta instancia determine su resolución. Excepciones podrán ser autorizadas solo por el Gerente de TIC Normativas Generales a. Este procedimiento tiene vigencia para todas las compañías soportadas por TIC b. Todas las instalaciones de programas informáticos licenciados deben tener la aprobación del Administrador de la compañía c. El Oficial de Cumplimiento deberá informar a los Gerentes de TIC cuando el nivel de exposición sea el 30% •Anexos Anexo I – Actividades y Tareas 1- El Oficial de Cumplimiento, debe realizar por lo menos un control mensual de instalación de licencias. 2- El Oficial de Cumplimiento deberá emitir informes a los Gerentes de TIC: a. Cuando el nivel de exposición supere el 30% en su división. b. Cuando los Gerentes de TIC lo requieran •CUMPLIMIENTO Cumplimiento de Requisitos Legales Cronograma de Retención de la Información: Todos los registros de contabilidad financiera, contabilidad de impuestos y documentos legales, deben ser retenidos durante el plazo de tiempo establecido por Ley. Consideraciones sobre Auditoría de Sistemas
  • 6. HECTOR ELISEO UCEDO PAIRET Controles de Auditoría de Sistemas. Verificación de Cumplimiento de Seguridad Informática: El Auditor Informático debe llevar a cabo la verificación del cumplimiento de las políticas, normas y procedimientos relacionados con la seguridad informática. Incumplimiento a estas políticas: En caso de infracción de las políticas detalladas en este documento, se informara a RRHH de cada Compañía, a fin de aplicar las sanciones correspondientes detalladas en los contratos firmados al inicio de la relación laboral.
  • 7. HECTOR ELISEO UCEDO PAIRET Controles de Auditoría de Sistemas. Verificación de Cumplimiento de Seguridad Informática: El Auditor Informático debe llevar a cabo la verificación del cumplimiento de las políticas, normas y procedimientos relacionados con la seguridad informática. Incumplimiento a estas políticas: En caso de infracción de las políticas detalladas en este documento, se informara a RRHH de cada Compañía, a fin de aplicar las sanciones correspondientes detalladas en los contratos firmados al inicio de la relación laboral.

Related Documents