RESOLUCION DE GERENCIA GENERAL Nº -GG-ESSALUD-2005 La...

RESOLUCION DE GERENCIA GENERAL Nº 236 -GG-ESSALUD-2005

Lima, 29 de Abril del 2005

VISTA:

La Carta Nº 296-GCOl-ESSALUD-2005 de la Gerencia Central de Organización e Informática que solicita a la Gerencia General, la aprobación del proyecto de Directiva "Políticas de Seguridad Informática de EsSalud", elaborado conjuntamente con la Oficina de Seguridad Informática;

CONSIDERANDO:

Que, de acuerdo a lo establecido en el literal i) del Artículo 33º del Reglamento de Organización y Funciones del Seguro Social de Salud aprobado por Resolución de Presidencia Ejecutiva Nº 927-PE-ESSALUD-2003 de fecha 12 de Noviembre del 2003, es competencia del Gerente de División de Administración y Organización, facilitar a las unidades orgánicas de la Institución un adecuado soporte técnico informático, a fin de alcanzar una continua, segura y óptima operatividad de los sistemas de información corporativos y de sus plataformas tecnológicas;

Que, la información y los recursos informáticos son activos importantes y valiosos en nuestra Institución que requieren ser preservados, utilizados y mejorados por lo que debemos aseguramos que estén debidamente protegidos de amenazas y riesgos tales como fraude, sabotaje, violación de la privacidad, intrusos, hackers, interrupción de los servicios, accidentes, desastres naturales y otros;

Que, de acuerdo a lo establecido en el literal b) del Artículo 9º del Reglamento de Organización y Funciones de la Gerencia de División Administración y Organización aprobado por Resolución de Presidencia Ejecutiva Nº 957-PE-ESSALUD-2003 de fecha 03 de Diciembre del 2003, es competencia de la Oficina de Seguridad Informática, establecer políticas de seguridad informática y administración de datos relativos a los sistemas de información, recursos informáticos y su entorno físico a fin de brindar una adecuada protección;

Que, en tal sentido, es necesario establecer las políticas y responsabilidades que permitan la adecuada protección de la información contenida en los diferentes medios de Tecnología de Información con los que cuenta EsSalud;

Que, de conformidad con el literal b) del Articulo 24º del Reglamento de Organización y Funciones de la Institución aprobado por Resolución de Presidencia Ejecutiva Nº 927-PE-ESSALUD-2003 de fecha 12 de Noviembre del 2003, es competencia del Gerente General dirigir el funcionamiento de la Institución, emitir las directivas y los procedimientos internos necesarios, en concordancia con las políticas, lineamientos y demás disposiciones del Consejo Directivo y del Presidente Ejecutivo;

Estando a lo propuesto y en uso de las atribuciones conferidas;

RESOLUCION DE GERENCIA GENERAL No 236 -GG?ESSALUD-2005

SE RESUELVE:

1. APROBAR y poner en vigencia a partir de la fecha la Directiva de Gerencia General Nº 002-GG-ESSALUD-2005, "Políticas de Seguridad Informática de EsSalud", que forma parte integrante de la presente norma.

2. DEJAR SIN EFECTO las disposiciones que se opongan a la presente Resolución.

REGiSTRESE Y C MUNiQUESE

DIRECTIVA DE GERENCIA GENERAL Nº 002 -GG-ESSALUD-2005

POLITICAS DE SEGURIDAD INFORMATICA DE ESSALUD

GERENCIA DE DIVISIÓN DE ADMINISTRACIÓN Y ORGANIZACIÓN OFICINA DE SEGURIDAD INFORMATICA

1.

2.

3. ,

~\J1f 4.

s.

6.

7.



INDICE

Objetivo

Finalidad

Base Legal

Alcance

Responsabilidad

Conceptos de Referencia

Disposiciones

7.1.

7.2.

Disposiciones Generales

Disposiciones Específicas

7.2.1.

7.2.2.

7.2.3.

Políticas Generales

Metodología para Fonnalizar las Políticas de Seguridad lnfonnática

Políticas de Seguridad lnfonnática

Disposiciones Complementarias

Página

3

3

3

4

4

4

6

6

7

7

8

8

16

2



1. OBJETIVO

Establecer las políticas de seguridad informática que otorgan los instrumentos para aprovechar el mejor uso de las destrezas tecnológicas e implementan las medidas de protección adecuadas para resguardar la privacidad e integridad de la información contenida en los diferentes medios de Tecnología de Información con los que cuenta EsSalud.

2. FINALIDAD

Disponer de la normativa y regulaciones que permitan prevenir acciones contra la confidencialidad, integridad y disponibilidad de los activos informáticos de la Institución.

3. BASE LEGAL

+ Constitución Política del Perú. + Ley Nº 27056, Ley de Creación del Seguro Social de Salud (ESSALUD) y el

Decreto Supremo Nº 002-99-TR que aprobó su reglamento. + Ley Nº 27269, Ley de Firmas y Certificados Digitales. + Ley Nº 2731 O, Ley que modifica el Artículo 11 º de la Ley Nº 27269. + Ley Nº 27444, Ley del Procedimiento Administrativo General. + Decreto Legislativo Nº 276 Ley de Bases de la Carrera Administrativa y de

Remuneraciones del Sector Público, y su Reglamento. + Resolución de Contraloría Nº 072-98-CG Normas Técnicas de Control Interno

para el Sector Público NTC 500 - Normas Técnicas de Control Interno para Sistemas Computarizados.

+ Texto Único Ordenado del Decreto Legislativo Nº 728, Ley de Productividad y Competitividad Laboral, y el Decreto Supremo Nº 001-96-TR que aprobó su reglamento.

+ Resolución Ministerial Nº 224-2004-PCM, uso obligatorio de la Norma Técnica Peruana "NTP-ISO/IEC 17799:2004 EDI. Tecnología de la Información. Código de Buenas Prácticas para la Gestión de la Seguridad de la Información. 1ª Edición" en entidades del Sistema Nacional de Informática.

+ Resolución de Presidencia Ejecutiva Nº 927-PE-ESSALUD-2003 que aprobó la Estructura Orgánica y el Reglamento de Organización y Funciones (ROF) de EsSalud.

+ Resolución de Gerencia General Nº 378-GG-ESSALUD-2003, que aprobó la directiva: "Normas de Dependencia Funcional de las Areas de Informática de EsSalud".

+ Reglamento Interno de Trabajo, aprobado por Resolución de Presidencia Ejecutiva Nº 139-PE-ESSALUD-99 y sus modificatorias.

+ Resolución de Gerencia General Nº 136-GG-ESSALUD-2003, que aprobó la directiva Nº 002-GG-ESSALUD-2003 "Normas para el Sistema de Administración Documentaría del Seguro Social de Salud".

3

--:::;:.~ ..... ' ' '

4.ALCANCE

Personal Involucrado: Esta política se aplica a todas las personas que laboran para EsSalud, incluyendo personal nombrado, contratado, temporal, contratistas, consultores, y terceros que acceden a cualquiera de nuestros recursos informáticos.

Sistemas involucrados: Esta política se aplica a todos los sistemas y equipos informáticos y de comunicación de datos pertenecientes a EsSalud. El presente documento cubre sólo información manejada por cualquier medio tecnológico informático.

5. RESPONSABILIDAD

La difusión y control de la presente directiva, es responsabilidad de todas las Gerencias y Jefaturas de EsSalud dentro de sus ámbitos correspondientes, así como, su cumplimiento es responsabilidad de todos los trabajadores que laboran en la Institución.

6. CONCEPTOS DE REFERENCIA

(~

• Activos lnfonnáticos: son bienes tangibles e intangibles asociados con los sistemas de información, como son los activos de información (archivos y base de datos, documentación, manuales, planes de continuidad), activos de software (aplicación, sistema operativo, herramientas de desarrollo), activos físicos (computadoras personales, equipos de comunicación, medios magnéticos) y servicios (alumbrado, energía, aire acondicionado).

• Aplicativo: Conjunto de programas orientados a automatizar funciones y procesos realizados por una organización.

• Archivo: Colección de datos estructurados, que pueden recuperarse fácilmente y usarse en una aplicación determinada.

• Areas Seguras: Son los perímetros dentro de los cuales se encuentra equipamiento informático que procesa y/ o almacena información sensible de la institución, entre las cuales tenemos Centro de Computo, Cintotecas, Archivos, Oficinas con información sensible.

• Centro de Almacenamiento: Ambiente de custodia de los medios de almacenamiento.

• Centro de Almacenamiento Externo: Ambiente de custodia de los medios de almacenamiento, ubicado fuera del edificio en el que está el centro de cómputo.

• Centro de Almacenamiento Interno: Ambiente de custodia de los medios de almacenamiento, ubicado dentro del centro de cómputo o en el mismo edificio que se encuentra este.

• Centro de Cómputo (CC): Ambiente donde se centraliza el proceso de información a través de uno o más servidores. Computadora Personal (PC): El conjunto formado por: la Unidad Central de Proceso (CPU), Monitor, Teclado y Mouse. Confiable: Caracteñstica de la información que garantiza su validez y que solo existirá si y solo si la información cumple las siguientes tres condiciones conjuntamente: Integridad, Confidencialidad y Disponibilidad.

• Contingencia: Evento que tiene la capacidad de interrumpir el normal proceso de una empresa, en general las consecuencias son catastrófico para el negocio y la reducción de sus efectos es muy costosa.

• Contrasena o Password: Es una combinación de letras, números y signos que debe digitarse para obtener acceso al arranque o inicip de un equipo de

4

cómputo, protector de pantalla, computadora personal, un punto en la red, programa, aplicativo, entre otros.

+ Correo electrónico (e-mail): Medio electrónico para el envío y recepción de mensajes de una computadora a otra, asincrónicamente a través de la intemet o la intranet (o de una red, mediante modems y uso de líneas telefónicas)

+ Estándar: Regla que especifica una acción ó respuesta que se debe seguir a una situación dada.

+ Información: Elemento fundamental que manejan los ordenadores en forma de datos binarios. Tras la revolución industrial, se habla de la revolución de la información, que se ha convertido en el mayor valor de las empresas y de las personas. Adopta diversas formas puede estar impresa o escrita en papel, almacenada electrónicamente, transmitida por correo o por medios electrónicos, mostrada en vídeo o reproducida verbalmente.

+ Internet: Es un sistema mundial descentralizado y público de redes de computadoras, que interconecta todo tipo de empresas, organizaciones y personas particulares, mediante una amplia gama de servicios, recursos e información.

• Intranet Es una red privada que utiliza la misma tecnología, estándares y protocolos de Internet, para servicios al interior de una organización.

• Licencia: Es la autorización o permiso que concede el Titular de los derechos (Licenciante) al usuario de la obra u otra producción protegida (Licenciatario), para utilizarla en una forma determinada y de conformidad con las condiciones convenidas en el contrato de licencia.

+ Normas: reglas, directrices o características que determinan los patrones o modelos que se deben seguir.

+ Página Web: Es un documento electrónico que contiene información específica de un tema en particular y que es almacenado en un servidor web, de tal forma que pueda ser consultada por cualquier persona que se conecte a Internet o Intranet. Una página Web es la unidad básica del World Wide Web y puede ser editada con diferentes tipos de letras, imágenes, tablas, formularios, adornos, etc.

+ Planes de Contingencia: estrategia planificada con una serie de procedimientos que ofrece soluciones alternativos para restituir en breve los servicios de la organización en caso se presente una ocurrencia inesperada.

+ Politica: Declaración general de principios que presenta la Administración para un área de control definida. Las Políticas son plasmadas y soportadas por Normas, Estándares, Mejores Prácticas, Guías y Procedimientos. Las políticas son obligatorias y pueden considerarse el equivalente de una ley propia de la organización.

+ Procedimiento: Definen específicamente cómo las Políticas, Estándares, mejores prácticas y guías serán implementadas en una situación dada. Los Procedimientos son dependientes de la tecnología o de los procesos y se refieren a plataformas, aplicaciones o procesos específicos. Son utilizados para delinear los pasos que deben ser seguidos por una dependencia para implantar la seguridad relacionado a dicho proceso o sistema especifico.

+ Programa: Conjunto de instrucciones ordenadas correctamente, que permiten realizar una tarea o trabajo específico, escritas en un lenguaje de programación determinado.

+ Protector de Pantalla: Programa de protección de ingreso a la PC, que se activa automáticamente cuando la computadora no esta siendo usado, por un lapso determinado.

+ Recurso Informático: ver Activos Informáticos.

5

+ Red de Datos: Conjunto de computadoras, conectadas por un medio físico o inalámbrico que ejecutan un software especializado, que permite a las computadoras comunicarse y transmitir datos unas con otras.

+ Riesgo Informático: Es la posibilidad de ocurrencia de algún acontecimiento inesperado que no permita operar normalmente los medios de tecnología de información afectados, pudiendo ocasionar una alteración no autorizada de la información ó pérdida de la misma, e interrupción de los procesos durante un tiempo no previsible.

+ Sistema Operativo: Conjunto de Programas (software) que permiten interactuar con el equipo informático o computadora (PC). El sistema operativo comienza a trabajar cuando se enciende la romputadora.

+ Sistemas Críticos: son los sistemas de información cuya interrupción en su funcionamiento ocasionan un mayor impacto negativo en los servicios y en las funciones básicas de la organización.

+ Software: conjunto de instrucciones que tienen como finalidad dotar a la computadora de la capacidad de actuación, determinando sus posibilidades de uso y aplicaciones concretas. Generalmente es clasificado como Software de Base, Software Comercial y Software de Aplicaciones.

+ Tecnología de la Información: es el conjunto de elementos que brindan soporte directos o indirectos a los procesos de negocios de EsSalud. Esta compuesto por infraestructura (equipos, redes, sistemas base y aplicaciones) e información (bases de datos, procesamiento y transmisión de información).

+ World Wide Web: interfaz de comunicación en la Internet, que emplea imágenes, textos, sonidos, o videos relacionados entre sí denominados enlaces hipertexto, de tal modo que al seleccionar una palabra o gráfico se pasa de uno a otros en el interior de una misma página, o entre distintas páginas.

7. DISPOSICIONES

7.1. Disposiciones Generales

7 .1.1. Responsabilidades Funcionales

La Oficina de Seguridad Informática, es responsable de gestionar la seguridad informática dentro de la organización. Correspondiéndole elaborar las normas y directivas que permitan establecer los procesos, métodos y procedimientos para una adecuada administración, seguridad y gestión de los recursos informáticos de Essalud, y además en coordinación con la Gerencia Central de Organización e Informática velar por su cumplimiento.

La Gerencia Central de Organización e Informática, es responsable de implantar y velar por el cumplimiento de las políticas, normas, pautas y procedimientos de la seguridad informática en toda la Institución. También es responsable de evaluar, adquirir e implantar productos que garanticen un ambiente informático seguro.

La Gerencia de Producción, es responsable de asegurar el correcto funcionamiento y disponibilidad de los sistemas y servicios informáticos del centro de cómputo de la Sede Central, elaborar y establecer estándares y procedimientos de seguridad y de mantenimiento físico a la base de datos, participar en la elaboración y realizar el seguimiento en el cumplimiento de las políticas de seguridad de los centros de cómputo, servicios informáticos y de comunicaciones. También es responsable de informar inmediatamente al

6

encargado de la Oficina de Seguridad Informática y a sus superiores sobre toda transgresión a las políticas y normas referidas a la seguridad informática.

Los Encargados de las Oficinas de Soporte Informático de los Centros Asistenciales, son responsables de garantizar el funcionamiento de los sistemas de información y/o aplicativos que están en explotación en las áreas usuarias dentro de su entorno, dotando los procedimientos necesarios de control y los procesos de copias de respaldo. También son responsables de informar inmediatamente a la Mesa de Ayuda, al encargado de la Oficina de Seguridad Informática y a sus superiores sobre toda transgresión a las políticas y normas referidas a la seguridad informática.

7 .1.2. Responsabilidades de Uso

Propietarios, los propietarios de la información son los gerentes de las áreas que producen dicha información y/o tienen a su cargo la actualización y explotación de la misma, siendo ellos o sus representantes dentro de la organización quienes tienen la responsabilidad de autorizar los accesos a las aplicaciones en producción que procesan la información que les pertenece y definir los niveles de protección para la misma. Todos los aplicativos en producción deben tener un propietario designado.

Custodios, los custodios de la información son aquellos que tienen la posesión física ó lógica de los aplicativos y la información. Los custodios de los principales sistemas de información corporativos y centralizados en el centro de cómputo de la Sede Central son miembros de la Gerencia Central de Organización e Informática. Los custodios de los sistemas de información corporativos y distribuidos son los encargados de las Oficinas de Soporte Informático. Si la información se maneja en el disco duro de una computadora personal, el usuario necesariamente será el custodio de la misma. Los custodios son los responsables de salvaguardar la información, incluyendo implementar los sistemas de control de accesos para prevenir los accesos no autorizados, mantener las copias de respaldo de la información crítica y velar por las mejores condiciones de la seguridad física y ambiental.

Usuarios, los usuarios son aquellas personas que utilizan la información como parte de su trabajo diario. Los usuarios son responsables de conocer y cumplir las políticas, procedimientos y normas establecidas en seguridad informática.

7.2. Disposiciones Específicas

7.2.1. POLITICAS GENERALES

7.2.1.1. La seguridad informática debe vigilar el cumplimiento de las siguientes propiedades de la información:

• Confidencialidad, la información debe ser vista y manipulada únicamente por el personal que tiene derecho o la autoridad para hacerlo. • Integridad, la información debe ser consistente, fiable y no propensa a alteraciones no deseadas.

7

• Disponibilidad, la información debe estar en el lugar, en el momento y en la forma que es requerida por el usuario autorizado.

7.2.1.2. La seguridad informática debe proveer el conjunto de controles, representados por políticas, buenas prácticas, procedimientos, guías y funciones de software que minimicen los riesgos y aseguren la continuidad del negocio.

7.2.2. METODOLOGiA PARA FORMALIZAR LAS POLiTICAS DE SEGURIDAD INFORMATICA

7 .2.2.1. Las políticas de seguridad informática, serán materializadas a través del desarrollo de diez (10) capítulos, definidos según la Norma Técnica Peruana "NTP-ISO/IEC 17799-2004 EDI. Tecnología de la Información. Código de Buenas Prácticas Para la Gestión de la Seguridad de la Información. 1ª Edición", dispuesto en su uso obligatorio por la Presidencia del Consejo de Ministros, los cuales son:

• Capítulo 1: Gestión de las Políticas de Seguridad • Capítulo 11: Aspectos Organizativos para la Seguridad • Capítulo 111: Clasificación y control de Activos • Capítulo IV: Seguridad Ligada al Personal • Capítulo V: Seguridad Física y del Entorno • Capítulo VI: Gestión de Comunicaciones y Operaciones • Capítulo VII: Control de Accesos • Capítulo VIII: Desarrollo y Mantenimiento de Sistemas • Capítulo IX: Gestión de Continuidad del Negocio • Capítulo X: Cumplimiento

7.2.2.2. El desarrollo de los capítulos mencionados en el punto anterior será materializado mediante Normas a elaborar por la Oficina de Seguridad Informática, que incluirán políticas generales a ser conocidas y cumplidas por los propietarios, custodios y usuarios, y políticas específicas dirigidas al personal de Informática.

7.2.3. POÚTICAS DE SEGURIDAD INFORMATICA

7.2.3.1. CAPITULO 1: Gestión de las Políticas de Seguridad

Las políticas deben reflejar las expectativas de la organización en materia de seguridad, asimismo debe establecer los criterios de protección en el ámbito de la empresa y servir de guía para la creación de las Normas de Seguridad. Todas las Gerencias deben manifestar su apoyo y compromiso a la seguridad de la información, exigiendo su fiel cumplimiento y de ser el caso aplicar las sanciones administrativas a determinar por la autoridad competente.

1. La Oficina de Seguridad Informática tiene entre sus funciones el encargo de elaborar las políticas y normas de seguridad, en

8

las que se definirá qué hay que proteger y el objeto concreto dé la protección.

2. La Gerencia Central de Organización e informática publicará y comunicará a todos los empleados mediante los medios existentes, las directivas, normas, u otro documento relativo a las políticas de seguridad y afines.

3. Basándose en las políticas y normas de seguridad, los custodios serán responsables de elaborar y actualizar los procedimientos de seguridad, en los que se describirá cómo proteger lo definido en las normas y las personas o grupos responsables de la implantación y seguimiento de su nivel de cumplimiento.

4. Los procedimientos deben ser revisados, aprobados y publicados por sus propietarios.

5. La Oficina de Seguridad Informática debe programar revisiones periódicas para verificar el cumplimiento, la efectividad, el impacto y los efectos de las políticas.

7.2.3.2. CAPITULO 11: Aspectos Organizativos para la Seguridad

A la Oficina de Seguridad Informática se le ha conferido la función de gestionar la seguridad informática dentro de la organización. Por lo que es importante el compromiso, la participación y el apoyo visible de las Gerencias a las iniciativas de seguridad, a las responsabilidades para la protección de los activos individuales y a la ejecución de los procesos específicos de seguridad en toda la organización.

1. El personal debe asumir un comportamiento activo y participativo en la protección y salvaguarda de los activos informáticos.

2. Las políticas funciones y organización.

sirven de guías para la asignación de las responsabilidades de seguridad en la

3. Al concretarse, acuerdos con terceros para acceder a los activos informáticos de la organización, los contratos correspondientes deben incluir el cumplimiento de las normas y políticas de seguridad informática, así como las penalidades por las faltas cometidas al respecto.

4. Al concretarse, acuerdos de outsourcing en el tratamiento de funciones internas, deberá considerarse las mismas indicaciones del punto anterior.

5. Al formalizarse la contratación de terceros se les proporcionará un documento que resume las políticas y normas de seguridad informática en EsSalud, a cumplirse obligatoriamente por empresas de terceros. Estos últimos instruirán a su personal a destacar en el cumplimiento de lo

9

señalado. La Oficina de Seguridad Informática redadará el documento resumen.

7.2.3.3. CAPITULO 111: Clasificación y control de Activos

Contar con un inventario de los adivos informáticos de la organización proporciona la base de conocimiento para mantener un nivel adecuado de protección.

1. Las Jefaturas de las unidades orgánicas son responsables de mantener adualizado el inventario de los adivos informáticos bajo su responsabilidad.

2. Todo adivo informático que no pertenezca a la Institución y se desee emplear en alguna de sus unidades orgánicas, deberá contar con el permiso del responsable de dicha unidad, debiendo ser inventariado física y lógicamente en su ingreso y salida, además previo a su instalación deberá ser evaluado y aceptado por la Gerencia Central de Organización e Informática, de tal manera que no constituya un elemento que ponga en riesgo la seguridad informática en la Institución.

3. El software instalado en los activos informáticos debe contar con su respediva licencia o permiso de uso, lo que contravenga a esta política, será de responsabilidad del usuario.

4. El empleo de software libre, previo a su uso debe contar con la autorización de la Gerencia Central de Organización e Informática.

5. Los adivos informáticos deben clasificarse para indicar la prioridad, grado de protección, impado en la institución ante su carencia y riesgo.

6. Todos los adivos informáticos definidos como importantes o críticos deben tener un propietario designado.

7. El traslado de los adivos informáticos esta sujeto a la Dirediva que regula las Normas para la Asignación de Bienes Patrimoniales de EsSalud.

7.2.3.4. CAPITULO IV: Seguridad Ligada al Personal

Considera los temas relacionados a la capacitación, cultura, ética y confianza del personal interno y externo; para una correda interpretación y aplicación de las políticas de seguridad informática.

1. Las políticas de personal en los procesos de selección desarrollados a nivel nacional y a cargo de la Gerencia Central de Recursos Humanos, deben asegurar que la persona contratada cumpla con las exigencias de su cargo, así como la comprobación de sus antecedentes.

10

2. A través de la Intranet Institucional los propietarios, custodios y usuarios recibirán información en el uso correcto de los recursos informáticos para minimizar los posibles riesgos en la seguridad.

3. Las Jefaturas de las unidades orgamcas de EsSalud son responsables de asegurarse que el personal a su cargo tenga conocimiento de las disposiciones que regulan la seguridad informática.

4. El personal debe emplear los activos informáticos asignados a su cargo, único y exclusivamente para el cumplimiento de sus funciones laborales.

5. Los procedimientos y/o normativa vigentes relacionados a la contratación de personal en la institución y los contratos con terceros deben incluir cláusulas de confidencialidad de la información.

7.2.3.5. CAPITULO V: Seguridad Fisica y del Entorno

Comprende los temas referidos al acceso a las instalaciones de los equipos informáticos, de la ubicación adecuada de los equipos y de los mecanismos de prevención de peligro.

1. Los equipos informáticos que administren información crítica y sensible deben estar ubicados en espacios seguros, aislados y de difícil penetración por personal no autorizado. Su acceso será posible sólo mediante controles de entrada.

2. Los medios de respaldo deben resguardarse en dos ambientes, denominados Centro de Almacenamiento. Uno de ellos, denominado "Interno", debe encontrarse cerca del Area Segura identificada como Centro de cómputo, y el segundo, denominado "Externo" en otro edificio no contiguo.

3. Los centros de almacenamiento deben estar ubicados en espacios seguros, aislados y de dificil penetración por personal no autorizado. Su acceso será posible sólo mediante controles de entrada.

4. Los centros de cómputo y los centros de almacenamiento deben tener instalado dispositivos de seguridad (como: detectores de humo, sistemas de protección contra incendio, aire acondicionado, extintores, entre otros) que identifiquen y/o neutralicen la posibilidad de daños por incendio, inundación, explosión u otras formas de desastres naturales o provocados.

5. Los centros de cómputo deben tener habilitado ambientes que cumplan las funciones de centro de almacenamiento interno y externo.

6. Las áreas de carga y descarga de insumos y suministros de cómputo, deben ser espacios aislados de los recursos de tratamiento de información para evitar accesos no autorizados.

11

7. El personal debe abstenerse de fumar, beber y comer cerca de los equipos de tratamiento de información.

8. Los equipos informáticos y de comunicaciones deben estar sujetos a mantenimiento preventivo, conforme a las recomendaciones y especificaciones técnicas de los mismos.

9. El Sistema Eléctrico debe cumplir los estándares señalados en el Código Nacional de Electricidad.

1 O. El centro de cómputo de la sede central, además del suministro eléctrico principal debe contar con medios alternativos (U.P.S. y Grupo Electrógeno) que aseguren su continuidad ante una eventualidad en el fluido eléctrico.

11. El centro de cómputo de las redes y/o centros asistenciales, además del suministro eléctrico regular deben contar como mínimo con U.P.S. y estabilizadores de voltaje (en caso el fluido eléctrico no se encuentre estabilizado) para la protección de los equipos.

12. El sistema de cableado de la red de datos debe cumplir los estándares EIAITIA Telecommunications lndustry Association I Electronic Industries Alliance y debe considerar rutas o medios de transmisión alternativos ante eventuales fallas.

13. El sistema de cableado de la red de datos debe cumplir con la norma NFPA70 (barreras contra fuego y/o protección contra fuego).

14. La mejora o habilitación o construcción de cualquier centro asistencial debe considerar el cumplimiento de las políticas de seguridad respectivas.

7.2.3.6. CAPITULO VI: Gestión de Comunicaciones y Operaciones

Considera los temas relacionados a las conexiones internas y externas a través de los distintos medios de comunicación: intemet, intranet, correo electrónico, entre otros. Asi como los temas asociados a las labores de operación de todos los recursos comprendidos en el tratamiento de la información.

1. Las labores operativas deben sustentarse en procedimientos documentados que instruyan la ejecución detallada de las tareas operativas, del uso y funcionamiento de los medios de comunicación, del arranque y cierre de las computadoras y servidores, de los datos de respaldo, del mantenimiento de equipos, entre otros.

2. Los cambios en la configuración de los sistemas operativos y en los equipos de comunicaciones, deben regularse a través de procedimientos claros y sencillos que aseguren la continuidad de los procesos operativos.

12

7.2.3.7.

3. La gestión de incidencias debe contar con medios de registros rápidos, accesibles, y aprovechables en análisis estadísticos que permitan estimar posibles ocurrencias y tomar las acciones preventivas que lo neutralicen o minimicen sus efectos.

4. Los ambientes de desarrollo, prueba y producción deben mantenerse separados para reducir el riesgo del mal uso accidental o deliberado de la información.

5. Las jefaturas encargadas de supervisar las labores contratadas de proveedores externos deben velar para que dicho personal externo cumpla las políticas, normas y procedimientos sobre seguridad informática, para evitar la posibilidad de daño, pérdida o mal uso de los recursos informáticos.

6. Deben efectuarse labores de planificación de la capacidad de procesamiento y de almacenamiento, que permitan estimar las proyecciones de los requisitos futuros de capacidad, para reducir los riesgos de sobrecarga del sistema.

7. La aceptación de nuevos sistemas de información y versiones nuevas o mejoradas antes de su puesta en producción debe estar sujeta a pruebas y validaciones intermedias, con la participación de los propietarios y usuarios para asegurar la satisfacción de los cambios y su correcto funcionamiento.

8. Para evitar el ingreso de software malicioso, la red de datos debe contar con medidas de prevención y detección que impidan su ingreso y funcionamiento.

9. Los datos sensibles que circulan por las redes públicas deben contener medidas de seguridad que eviten su captura, alteración o robo.

1 O. Los medios de almacenamiento, los datos de entrada o salida y Ja documentación de los sistemas deben estar sujetos a controles y procedimientos operativos, para protegerlos de daño, robo y acceso no autorizado que afecten la integridad de la información.

11. Los intercambios de información y software con entidades externas deben ser autorizados por sus propietarios y estar sujetos a medidas de seguridad apropiadas que eviten su captura, alteración, daño o robo.

CAPITULO VII: Control de Accesos

Considera los temas relacionados con el acceso a los sistemas, a las bases de datos, las facultades o privilegios asignados a los usuarios y la información a ser auditada.

13

1. La información contenida en los sistemas de información, y la facilidad a los servicios informáticos deben tener un propietario designado.

2. El otorgamiento y mantenimiento de los accesos a los sistemas de información y/o a los servicios informáticos, para cada usuario o grupo de usuarios deben estar regulados mediante procedimientos que dejen constancia de la facultad de facilidades provistas por el propietario.

3. Los usuarios son responsables en el uso correcto y adecuado de los accesos provistos a los aplicativos y/o servidores, principalmente en el uso de las contraseñas y en el resguardo del material puesto a su disposición.

4. Los accesos entregados a los usuarios sobre las redes y sus servicios no deben comprometer la seguridad de dichos servicios.

5. La seguridad lógica de los sistemas de información debe contar con las siguientes facilidades: definición y mantenimiento de usuarios, roles y perfiles, administración de contraseñas, registro de acceso regulares y fallidos entre otras bondades.

6. La administración de los accesos a los servidores debe estar regulado por procedimientos estrictos que identifiquen los niveles de autorización, las razones que lo posibilitan, el registro de la evidencia mediante un formato y las acciones efectuadas.

7. Todo usuario deberá contar con una contraseña de arranque en la PC a su cargo. Dicha contraseña será de acuerdo a la estructura establecida para la elaboración de contraseñas. Asimismo es obligatorio el uso de protector de pantalla con contraseña.

8. Todo los accesos a la red, servidores, aplicativos, cuenta de correo y otros, que fueran brindados al personal que deja de laborar en la institución, serán dados de baja como máximo en los próximos siete (7) días calendarios de su término laboral. Asimismo dicho personal entregará la(s) contrasefla(s) al jefe inmediato superior como parte de la resolución de cargo, quien inmediatamente procederá al cambio de dicha(s) contraseña(s).

9. Todo personal que se ausente varios días por vacaciones u otras razones, deberá cambiar la clave de arranque de la PC a su cargo y entregarla al Jefe inmediato superior en un sobre lacrado.

7.2.3.8. CAPITULO VIII: Desarrollo y Mantenimiento de Sistemas

14

Comprende las definiciones y controles para el desarrollo y/o adquisición de software, así como las modificaciones a los sistemas de Producción.

1. Los propietarios de los sistemas de información deben entregar a la Gerencia de Desarrollo de Sistemas, las especificaciones funcionales y operativas debidamente detalladas como base y sustento a la formulación técnica a emplearse en el desarrollo o adquisición de los mismos.

2. Los sistemas informáticos deben ser desarrollados y mantenidos sobre la base de una metodología, considerándose dentro de los mismos la elaboración y actualización de los manuales técnicos y de usuario.

3. El desarrollo de los sistemas de información debe incluir en sus definiciones los requisitos y los controles de seguridad a considerarse en el producto final. Asimismo los sistemas con información critica y sensible deben contener obligatoriamente pistas de auditoría.

4. Los nuevos desarrollos y las modificaciones de los sistemas de información emplearán en la conformación de nombres de sus programas, reportes, objetos, tablas, procedimientos almacenados, triggers, entre otros; los estándares aprobados por la Gerencia de Producción y la Gerencia de Desarrollo de Sistemas.

5. Las modificaciones y los nuevos desarrollos de sistemas de información previos a su puesta en producción deben ser validados y confirmados según procedimientos de control de cambios.

6. Los propietarios de los sistemas de información deben formar parte del proceso de validación y confirmación tanto en las etapas previas a su puesta en producción como en la implantación de las mismas.

7. Los sistemas de información deben proveer según corresponda controles iniciales, intermedios y finales que aseguren el procesamiento correcto en el ambiente de producción.

8. Todo software que se utilice para el desarrollo, mantenimiento, instalación y explotación de un aplicativo o sistema en la Institución, debe contar con sus respectivas licencias o permisos de uso.

7.2.3.9. CAPITULO IX: Gestión de Continuidad del Negocio

Considera los temas relacionados sobre las acciones a realizar de presentarse una ocurrencia inesperada causada por desastres y fallas de seguridad, asegurando la continuidad de los procesos de negocio a niveles de servicio aceptables por Essalud.

15

1. los custodios son los responsables de la elaboración, mantenimiento y comprobación periódica de los planes de contingencia de las tecnologías de información.

2. Los custodios en coordinación con los propietarios, deben definir la información a protegerse mediante copias de respaldo.

3. Los custodios son responsables de generar las copias de respaldo de la información a su cargo, garantizando su recuperación a través de pruebas. Para las aplicaciones y bases de datos multiusuarios, el administrador de dicho sistema es responsable de realizar las copias periódicas.

4. Todos los planes de contingencia deben ser revisados, probados y actualizados para demostrar su habilidad de mantener la continuidad de los procesos críticos, mínimo una vez al año.

7.2.3.10. CAPITULO X: Cumplimiento

Comprende los temas relacionados sobre las obligaciones legales, reglamentarias, regulatorias u de obligación contractual que sustentan la existencia de los sistemas de información.

1. los sistemas de información sujetos a dispositivos legales, regulatorios y contractuales deben contener en su funcionalidad las medidas y controles que aseguren el cumplimiento de las responsabilidades específicas.

2. El personal debe cumplir las restricciones legales sobre el uso de material protegido por derechos de propiedad intelectual y licencia de uso de software propietario.

3. los activos informáticos asignados al personal deben ser empleados única y exclusivamente para los fines propios que la institución lo señale.

DISPOSICIONES COMPLEMENTARIAS

1. las disposiciones aquí enmarcadas, entrarán en vigor a partir del día siguiente de su difusión.

2. Las normas y políticas objeto de este documento, podrán ser modificadas o adecuadas conforme a las necesidades que se vayan presentando; una vez aprobadas dichas modificaciones o adecuaciones, se establecerá su vigencia.

Las disposiciones sobre las medidas de seguridad de las computadoras y los sistemas de la red, son confidenciales y no deben ser reveladas fuera de la institución.

El personal que cometa infracciones en materia de seguridad informática estará sujeto a las sanciones administrativas que determine la autoridad competente de acuerdo al nivel del involucrado y al régimen laboral al que pertenezca de conformidad con las normas legales e institucionales vigentes.

16

5. El desconocimiento de las políticas y normas aquí descritas por parte del personal, no lo libera de tas sanciones y/o penalidades por el incumplimiento de las mismas.

6. Todas las sospechas de violaciones de la política, intrusiones al sistema, y otras condiciones que pondrían en riesgo la información o los activos informáticos, deben inmediatamente ser reportados a:

• Mesa de Ayuda, anexos: [email protected] , y

2646 ó a la cuenta

• Oficina de S~guridad Informática, anexos: 2627 - 2638 ó a la cuenta osl@essalüd.Qob.pe

---*---

17

RESOLUCION DE GERENCIA GENERAL Nº -GG-ESSALUD-2005 La...

Documents

Transcript of RESOLUCION DE GERENCIA GENERAL Nº -GG-ESSALUD-2005 La...