1. ANÁLISIS Y ELABORACIÓN DE LAS
POLÍTICAS DE SEGURIDAD DE LA
COOPERATIVA SAN JOSÉ R.L.
Presentado por:
Luis C. Robles T.
Juan D. Mitre G.
1
2. Introducción.
El presente proyecto hace un estudio de la seguridad en la
información en la Cooperativa San José.
En el capítulo I describiremos las generalidades del
Proyecto. En el Capítulo II estableceremos los aspectos
teóricos utilizados para la confección del mismo.
En el capítulo III presentaremos la Política de Seguridad
elaborada posterior al análisis realizad de la forma en que
se lleva actualmente la Seguridad en la Información en la
Cooperativa San José.
2
3. Objetivos
Objetivo General.
Analizar las normas actuales de Seguridad de la Información de
la Cooperativa San José R.L. y así establecer las Políticas
Adecuadas de Seguridad en la Información.
Objetivos Específicos
Realizar la revisión de las normas que posee en la actualidad la
empresa para conocer los controles que se llevan a cabo.
Junto con los altos mandos de la Organización establecer los
nuevos controles que pueden ser incorporados a la Seguridad de
la Información que se lleva actualmente.
Establecer las Normas de Seguridad en los diferentes rubros a
fin de garantizar la seguridad dentro de la organización.
3
4. Justificación
Toda organización debe ser responsable de garantizar que
los activos de información que posea sea guardados
adecuadamente.
La presente investigación pretende hacer una evaluación de
la forma en la que se manejan actualmente los datos de la
Cooperativa San José a fin que pueda crearse una política
que vaya encaminada a proteger los activos de información
y se prevean posibles riesgos en el futuro provenientes de
interés ajenos a la organización.
4
5. Alcance
Nuestra Investigación pretende abarcar todos los aspectos
que implican la seguridad de la información de esta
organización, conocida como Cooperativa de Ahorro y
Crédito San José R.L., en donde se abarcan los aspectos de
seguridad física, acceso lógico y responsabilidades en la
misma.
5
7. Antecedentes de la Empresa
Obtiene su aval para funcionamiento como Institución
Financiera de Ahorro y Crédito a partir de 5 de enero del año
1992.
Fundada en la Ciudad de Aguadulce, en donde se instala su
primera sucursal. Se funda con más de 50 asociados y posee
permisos de para realizar operaciones de Ahorro y Crédito.
Ya para el año 2001 abren sucursales en Chitré, Natá y
Penonomé ampliando así su rango de actividades y
diversificando también sus productos con la apertura de un
Almacén Agropecuario en Aguadulce en el año 2002.
7
8. Misión y Visión
Misión
Ser una Empresa Cooperativa líder en el área de Ahorro,
Crédito y Producción.
Visión
Optimizar los resultados de las actividades productivas y
de servicios para el desarrollo sostenible.
8
10. Estructura de Tecnología de la
Información
El Departamento de Tecnologías de la Información está conformado
por 7 empleados los cuales se dedican a las labores propias del área.
Existen un Director de Departamento, 2 personas encargadas de la
programación de nuevas tareas, 1 Administrador de Base de Datos, 1
Administrador de Seguridad de Hardware y Redes, y 2 funcionarios
para Soporte Técnico.
10
11. Estructura de Tecnología de la
Información
Dirección de Tecnología de
la Información
Seguridad de Administración
Soporte
Programación Hardware y de Base de
Redes Técnico
Datos
11
12. Aplicaciones Utilizadas
Las aplicaciones utilizadas han sido desarrolladas dentro de la
Compañía.
Base de Datos SQL Server.
Desarrolladas en Visual Basic.
Son sistemas de control de Transacciones, ingreso de transacciones,
generación de reportes, estados financieros.
12
13. Políticas Actuales de Seguridad.
Aspectos Sobresalientes:
Poseen Manual para Usuarios.
Establecen controles de acceso lógico a la Base de Datos.
Uso adecuado de computadores.
No establecen sanciones para pérdidas, robos o modificaciones en la
información.
Establecen cambios períódicos en las contraseñas.
Fueron elaboradas por el personal del Dpto. de Tecnologías de la
Información.
No existe conciencia ante la Junta Directiva respecto al uso de
Seguridad en la Información, es un tema exclusivo del Dpto. de
Tecnologías de la Información.
13
14. Qué es un Sistema de Gestión de
Seguridad en la Información
Un Sistema de Gestión de la Información es un conjunto de Normas o
Políticas que incluyen estructura organizativa, activos físicos,
conocimiento, procedimientos y recursos humanos, que velen por la
confidencialidad, disponibilidad e integridad de la información y de los
datos existentes dentro de una organización.
Este tipo de sistemas también trata de disminuir las posibilidades del
riesgo de pérdidas de la información dentro de la empresa y de igual
forma pretende garantizar la confidencialidad, integridad y
disponibilidad de información a todos los niveles.
14
15. Qué es un Sistema de Gestión de
Seguridad en la Información
Ventajas:
Mejorar la organización y la asignación de responsabilidades en lo
relativo a la seguridad de la información en la empresa.
Permite documentar y estandarizar las actividades referentes a la
gestión de la seguridad de la información.
Disminuir el riesgo derivado de posibles usos de información
confidencial por parte de personal ajeno.
Involucrar al personal como parte activa y creativa dentro de la
organización.
Aumentar la rentabilidad a medio y corto plazo, disminuir la
probabilidad de pérdidas y fugar en el sistema de información de la
entidad.
Mejorar la imagen corporativa.
15
16. Política de Seguridad en la Información
Cooperativa de Ahorro y Crédito San José R.L.
Descripción de la Norma.
El presente documento hace referencia a LAS POLÍTICAS DE
SEGURIDAD DE LA INFORMACIÓN de la Cooperativa San José
R.L. Es la regulación establecida de forma conjunta por los entes que
están vinculados a mantener resguardada la información dentro de esta
organización a fin de protegerla de pérdidas e irregularidades que causen
daño a los activos de la empresa.
Alcance.
Las presentes Normas y Procedimientos de Seguridad en la
Información tienen por objetivo establecer el resguardo de la
información, garantizar la durabilidad de los equipos informáticos y la
correcta interacción de personas con los equipos informáticos.
16
17. Política de Seguridad en la Información
Cooperativa de Ahorro y Crédito San José R.L.
POLÍTICAS PARA EL RECURSO HUMANO.
Cualquier usuario que utilice equipos de información del Cooperativa
San José R.L., acepta el uso adecuado de los Equipos Informáticos en
general, ya sea computadoras, impresoras, equipos de red y otros
definidos en este documento y el correcto uso de la Información que
ingresará y usará de estos equipos, siempre teniendo como objetivo
único sus labores dentro de la empresa, para lo cual acepta mantener la
confidencialidad de la misma en apego a las Normas aquí descritas y
rindiendo siempre informe a sus superiores inmediatos.
17
18. Política de Seguridad en la Información
Cooperativa de Ahorro y Crédito San José R.L.
POLÍTICAS PARA EL RECURSO HUMANO.
Definición de Roles.
Comité de Seguridad de la Información.
Conformado por un miembro de la Junta Directiva, un miembro de la
Gerencia General, Un Miembro de la Junta de Vigilancia, el Director del
Dpto. de Tecnologías de la Información y el Director del Dpto. de
Recursos Humanos.
Su función original, es garantizar el cumplimiento de la Política de
Seguridad de la Información.
Garantizar la correcta divulgación de la Política de Seguridad de la
Información de la Cooperativa San José R.L.
Realizar las investigaciones de incidentes o faltas cometidas contra la
Seguridad de la Información dentro de la organización.
18
19. Política de Seguridad en la Información
Cooperativa de Ahorro y Crédito San José R.L.
POLÍTICAS PARA EL RECURSO HUMANO.
Definición de Roles.
Sección de Seguridad de Hardware y Redes.
Realizar las inducciones de en cuanto a los lineamientos de seguridad
establecidos en la Norma de Seguridad de la Información
Monitorear las actividades de los usuarios a través de la red, por
medio de un programa adecuado que garantice que la información que
fluye por medio de los diferentes dispositivos sea la adecuada y se
garantice la confidencialidad de la misma.
Garantizar que los usuarios cuenten con las medidas de seguridad
dentro de los equipos que utilicen (Programas Antivirus, Contraseñas,
otros) de modo que se haga uno correcto uso de los equipos
informáticos en general.
19
20. Política de Seguridad en la Información
Cooperativa de Ahorro y Crédito San José R.L.
POLÍTICAS PARA EL RECURSO HUMANO
Definición de Roles.
Personal Nuevo.
Toda persona que ingrese a la Empresa Cooperativa San José R.L., y
que dentro de sus funciones esté el uso de equipo de computación,
deberá notificarse al Dpto. de Informática de la Institución.
El Encargado del Departamento de Tecnologías de la Información
asignará una persona que le informe cuales son sus obligaciones
respecto al uso de estos equipos y a la información guardada en ellos
a fin de garantizar una inducción correcta y evitar posibles errores.
20
21. Política de Seguridad en la Información
Cooperativa de Ahorro y Crédito San José R.L.
POLÍTICAS PARA EL RECURSO HUMANO
Definición de Roles.
Usuario Interno.
Todo colaborador que tenga acceso al uso de equipo de Informática o de
Redes.
Medidas Disciplinarias.
Se consideran faltas graves robar, dañar, divulgar información reservada
o confidencial de esta empresa, o de que se le declare culpable de un
delito informático. Por lo cual cualquier usuario interno que incurra en
dicha falta será motivo de sanción, establecida en el Reglamento Interno
de la Cooperativa San José R.L.
21
22. Política de Seguridad en la Información
Cooperativa de Ahorro y Crédito San José R.L.
POLÍTICAS PARA LA SEGURIDAD FÍSICA DE LA
INFORMACIÓN.
Los mecanismos de control de acceso físico para el personal y para
particulares deben permitir el acceso a las instalaciones y áreas
restringidas de Cooperativa San José R.L.
Protección de la Información.
El usuario deberá reportar de forma inmediata al Departamento de
Tecnologías de la Información cuando considere que existan riesgos
reales o potenciales para equipos de cómputo o comunicaciones, como
pueden ser fugas de agua, conatos de incendio u otros.
22
23. Política de Seguridad en la Información
Cooperativa de Ahorro y Crédito San José R.L.
POLÍTICAS PARA LA SEGURIDAD FÍSICA DE LA
INFORMACIÓN.
Controles de Acceso Físico.
Todo equipo de cómputo en general o de telecomunicaciones, ajeno a la
empresa, debe ser registrado de forma oportuna al momento de su entrada y su
salida. Preferiblemente debe ser revisado por personal del Dpto. de Tecnologías
de la Información de la organización de forma que se evite pérdida de equipos o
piezas.
Seguridad en el Área de Trabajo.
El Departamento de Tecnologías de la Información de la Cooperativa San José
R.L. es el lugar en donde se encuentran los activos de información de la
organización guardados, por lo cual se considera un área sensitiva.
23
24. Política de Seguridad en la Información
Cooperativa de Ahorro y Crédito San José R.L.
POLÍTICAS PARA LA SEGURIDAD FÍSICA DE LA
INFORMACIÓN.
Protección y Ubicación de los Equipos.
Los usuarios no podrán mover los equipos de cómputo o telecomunicaciones,
instalarán o desinstalarán dispositivos en ellos, sin la autorización del Dpto. de
Informática.
Mantenimiento de los Equipos.
Es responsabilidad absoluta del Departamento de Tecnologías de la
Información, en el Área de Soporte Técnico realizar las reparaciones, revisiones
y actualizaciones a los equipos de informática de la Cooperativa San José R.L
24
25. Política de Seguridad en la Información
Cooperativa de Ahorro y Crédito San José R.L.
POLÍTICAS PARA LA SEGURIDAD FÍSICA DE LA
INFORMACIÓN.
Pérdida en los Equipos.
El usuario que tenga bajo su resguardo algún equipo de cómputo, será
responsable de su uso y custodia; en consecuencia, responderá por dicho bien
de acuerdo a la normatividad vigente en los casos de robo, extravío o pérdida
del mismo.
Daños en los Equipos.
El equipo de cómputo o cualquier recurso de tecnología de información que
sufra alguna descompostura por maltrato, descuido o negligencia por parte del
usuario quien resguarda el equipo, se levantara un reporte de incumplimiento de
políticas de seguridad.
25
26. Política de Seguridad en la Información
Cooperativa de Ahorro y Crédito San José R.L.
POLÍTICAS PARA LA SEGURIDAD Y ADMINISTRACIÓN DE
OPERACIONES DE CÓMPUTO.
Los usuarios que hagan uso de equipo de cómputo, deben conocer y aplicar las
medidas para la prevención de código malicioso como pueden ser virus,
caballos de Troya o gusanos de red.
Instalación de Software
Cada vez que se necesite la instalación de algún programa en una computadora,
esta labor debe ser realizar por la Sección de Soporte Técnico del Departamento
de Tecnologías de la Información.
26
27. Política de Seguridad en la Información
Cooperativa de Ahorro y Crédito San José R.L.
POLÍTICAS PARA LA SEGURIDAD Y ADMINISTRACIÓN DE
OPERACIONES DE CÓMPUTO.
Identificación de Incidentes.
Cuando exista la sospecha o el conocimiento de que información confidencial o
reservada ha sido revelada, modificada, alterada o borrada sin la autorización de
las unidades administrativas competentes, el usuario informático deberá
notificar al Área de Tecnologías de la Información.
Administración de la Configuración.
Ningún usuario debe cambiar la configuración inicial del computador que está
utilizando, desde el fondo de pantalla, hasta el IP de su máquina. Tampoco está
permitido utilizar ningún protocolo de transferencia de datos sin en
consentimiento del Dpto. de Tecnologías de la Información.
27
28. Política de Seguridad en la Información
Cooperativa de Ahorro y Crédito San José R.L.
POLÍTICAS PARA LA SEGURIDAD Y ADMINISTRACIÓN DE
OPERACIONES DE CÓMPUTO.
Seguridad para la Red.
Queda terminantemente prohibido instalar cualquier programa dañino,
programas hackers u otro programa que modifique, sustraiga o elimine alguna
información dentro de la red interna de la organización, por lo que se
considerará un ataque de hacker, lo cual es penado por las Leyes locales y será
motivo de destitución inmediata.
Uso de Correo Electrónico.
El correo electrónico es un instrumento de envío y recibo de información por
medio de internet. Todo usuario que amerite, mantendrá activa una cuenta de
correo electrónico dentro del servidor de la organización el cual deberá ser del
uso estricto en cuestiones laborales.
28
29. Política de Seguridad en la Información
Cooperativa de Ahorro y Crédito San José R.L.
POLÍTICAS PARA LA SEGURIDAD Y ADMINISTRACIÓN DE
OPERACIONES DE CÓMPUTO.
Controles para Programas Maliciosos.
Cada vez que un usuario inserte algún dispositivo de almacenamiento a las
unidades de entrada del computador que esté a su cargo deberán ser revisadas
con el Software Antivirus que ha sido previamente configurado y del que se le
ha explicado su uso, para evitar la entrada de virus y otros programas que
causen daño al Hardware o Software.
Internet.
El acceso a Internet proporcionado a los usuarios, es exclusivamente para las
actividades relacionadas con las necesidades del puesto y función que
desempeña.
29
30. Política de Seguridad en la Información
Cooperativa de Ahorro y Crédito San José R.L.
POLÍTICAS DE CONTROL DE ACCESO LÓGICO.
Toda persona que la organización le provea un usuario y una contraseña será
responsable de los actos que ocurran con dicha información; por lo cual es
importante mantenerla de forma secreta a fin de garantizar su seguridad.
Controles de Acceso Lógico.
Todos los usuarios de servicios de información son responsables por el de
usuario y contraseña que recibe para el uso y acceso de los recursos.
Administración y Uso de Contraseñas.
Las contraseñas serán asignadas a los usuarios de forma privada, mostrándoles
sus responsabilidades ante ella y las sanciones que implican el mal uso de las
mismas. Dicha responsabilidad recae en el Administrador de Seguridad de
Hardware y Redes.
30
31. Política de Seguridad en la Información
Cooperativa de Ahorro y Crédito San José R.L.
POLÍTICAS EL CUMPLIMIENTO DE LA SEGURIDAD DE
INFORMACIÓN.
Derechos de Propiedad Intelectual.
Todos los programas, aplicaciones y documentos desarrollados por los
colaboradores para el uso de la Cooperativa San José R.L., serán propiedad
absoluta de esta organización por lo cual queda prohibida la copia, acceso o
distribución de la misma a fin de salvaguardar los derechos de propiedad sobre
la misma.
Revisiones de Cumplimiento.
El Comité de Seguridad de la Información, en conjunto con el Depto. De
Tecnologías de la Información serán los responsables de realizar acciones de
verificación del cumplimiento del Manual de Políticas y Estándares de
Seguridad de la Información para Usuarios.
31
32. CONCLUSIONES
-El cumplimiento de las Normas o Políticas de Seguridad en una Empresa
garantiza la larga vida de los datos, información sensible y equipos físicos que
utilizan, por lo cual las organizaciones deben velar por su cumplimiento.
-La elaboración de estas normas hace posible que se establezcan controles de
todo tipo para el buen uso de los recursos informáticos, haciendo posible
sancionar a quiens incurran en las violaciones de los mismos y haciendo
responsable de sus actos.
-Paraelaborar Normas y Políticas de Seguridad en la Información es necesario
el conocimiento de las acciones que lleva una empresa, así como de los
empleados que la conforman a fin de involucrar a todos los entes activos en el
manejo de información.
-Es de vital importancia que el cumplimiento de las mismas vaya desde los
mandos operativos hasta los mandos gerenciales, de modo tal que toda la
organización se vea involucrada en el buen uso del recurso mas importante de la
empresa: LA INFORMACIÓN. 32