ANÁLISIS Y SEGURIDAD DE LA INFORMACIÓNSEGUNDO

NOMBRE: ROSA KARLA CONDOY INTRIAGO

CENTRO DE APOYO: NUEVA LOJA N°18

MATERIA: ANÁLISIS Y SEGURIDAD DE LA INFORMACIÓN

TUTOR: LUIS LENIN RECALDE HERRERA

Actividad de aprendizaje 2.1. 1. Explique la importancia de considerar el avance tecnológico y lafacilidad de acceder a la información, durante la planificación de medidas deseguridad en el flujo de la información de una empresa. (2 puntos)

Desde el punto vista técnico hoy en la actualidad es una necesidad de lasempresas llevar de una forma ordenada la información y que se disminuya elespacio físico al momento de almacenar información de todo tipo, esto se vereflejado de apoyarse de forma inmediata a la tecnología, la misma que es muyfuncional para que una empresa lleve sus datos de forma eficaz y técnica tan solominimizando la información física a información digital , pero se debe tomar encuenta que a la vez es fácil de vulnerar, al cabo que la información sea fácil deverificar por personas no leales a la empresa. Por lo cual en la actualidadmediante medidas técnicas u operativas se ha desarrollado métodos eficaces parael resguardo y seguridad de la información informática con el fin de hacerleintangible para personas no accesibles a la empresa.

En si estas medidas son eficaces porque facilita la manipulación de informacióndigital siendo así que involucra a todos los puntos clave de una empresa, con el deplanificar en todos los enfoques que sean necesarios para poder dar paso yfacilidad al momento de analizar cualquier tipo de inconveniente en queacontezca en la fluidez de la información, la tecnología es una herramienta muyeficaz al momento de analizar en ese tipo de diagnóstico situacional erradicadodurante el tiempo de la planificación y análisis crítico de la información de formasegura.

De acuerdo a esta manera es muy eficaz llevar la información mediante la formatécnica tecnológica con el fin de poder reducir espacios físicos, ya que si ladocumentación o información puede ser saboteada o adulterada, por tenerla deforma física, por lo cual mediante el sistema tecnológico facilita elalmacenamiento de la misma, y así poder verificarla de una forma segura y eficaz,siempre y cuando el sistema informático sea seguro y de tipo técnico, con el fin deque no halla fuga de la misma o peor aún que sea utilizada para desprestigiar a laempresa.

2. Explique las vulnerabilidades que existe al transmitir la información através de los diferentes medios y las medidas preventivas que ustedrecomendaría. (2 puntos)

Conducción física de la información: Mensajeros

En esta actividad tenemos que asignar esta responsabilidad a una personaconfiable la cual movilice la información en cualquier medio que sea seguro y detotal confiabilidad.

Vulnerabilidad

Que sea interceptado el mensaje para ser descubierto, no llegar a su lugar dedestino a tiempo y ser vendida la información a la competencia.

Transmisión por línea física: El telégrafo, el, el teléfono, el computador

De acuerdo a esta transmisión es una de las más accesibles por los usuarios almomento de intercambiar información por medio de teléfono y el ordenador, yaque es un medio en el cual nos ahorra tiempo y dinero en el momento de trasmitirinformación, en sí esta vendría a ser la forma más eficaz de envío y recepción deinformación ya sea de manera oral o escrita.

Vulnerabilidad

La comunicación por línea física puede ser fácilmente interferida y conocerse elmensaje que se transmite, ya que en la actualidad existen programas de altatecnología los cuales pueden jaquear cualquier tipo de información emitida porestos instrumentos de línea física, así como pueden ser detectadas las víastelefónicas donde se está receptando la información oral, de acuerdo con estodebemos tomar en cuenta que hay que proteger todos las vías de acceso a lainformación que vamos a emitir por estos medios.

Transmisión por radiofrecuencia: El radio, radioteléfono, teléfono celular,satélites, computador

La transmisión por radiofrecuencia es una de las más superiores ya que alcanzauna velocidad de transmisión de 10 mil ciclos por segundo en donde el radio,radioteléfono son herramientas básicas para la comunicación de los seres

humanos, por motivo que se puede enviar mensajes orales a cualquier lugar asísea a distancias moderadas, con el fin de emitir información ya sea de carácterpersonal o mensaje colectivo.

En lo que corresponde al teléfono celular, es el medio más práctico y utilizado enla vida actual, ya que es un dispositivo portable que tiene una cobertura excelentey se lo puede portar de forma cómoda, porque es un dispositivo de dimensionespequeñas y muy eficaces para emitir información oral y escrita de forma digital.

Los satélites también son unos de los medios más avanzados de emitirinformación ya que podemos emitir información de cualquier tipo a largasdistancias, de forma instantánea para identificar cualquier tipo de dato seaescrito, oral o gráfico.

Tomando en cuenta la computadora, tenemos que basarnos que esta funcionapara emitir información siempre y cuando tenga internet para que sirva comoreceptor y emisor de información.

Vulnerabilidad

Son fáciles de vulnerar ya que en la actualidad existente muchos programas parajaquear información, también son vulnerables porque la información si no es bienllevada se puede desviar a otros lados de la red informática utilizada.

3. Explique la importancia que tiene clasificar la información que semaneja dentro de una organización para mejorar el proceso de seguridad dela misma. (2 puntos)

Con base a la importancia

Hace relación a la necesidad de establecer qué información se debe mantener,íntegra, completa y a evitar que esta información se pierda, se distorsione o sealtere, es decir como debe ser manejada la información desde la emisión a larecepción de la misma en relación a su envió.

Con base a la confidencialidad

Hace relación concretamente a quién puede, quién no puede y quién no debeCONOCER LA INFORMACIÓN, es decir la confidencialidad del emisor al receptor dela misma, de acuerdo a esto la clasificamos si puede ser pública, reservada,confidencial o restringida.

Con base a la difusión

Esto hace relación a QUIEN debe conocer la información para así evitar fuga deinformación a través de los diferentes medios que sea enviada.

Con base a la confiabilidad de los usuarios

Es el manejo de la información mediante el previo análisis de cómo va a serasimilada la información de acuerdo a los usuarios, es decir ellos evalúan si puedeser poco confiable, sin clasificación de confiabilidad, normalmente confiable yconfiable.

4. Explique la importancia de que una organización cuente con unaplanificación de seguridad de la información. (2 puntos)

Dentro del proceso de seguridad de la información es necesario que tomemos encuenta:

• La información debe ser obtenida y usada solo para propósitos específicos yexclusivos de la empresa.• Debe ser adecuada, relevante y no excesiva• Debe ser acertada y actualizada siempre que sea necesario• La información debe ser integrada y procesada • La información debe ser conservada el tiempo necesario• Debe archivarse con seguridad• Debe ser difundida únicamente a las personas que requieran lainformación.

De acuerdo a esto podemos deducir que es de vital importancia tener lainformación de una manera organizada, para que así no haya fuga deinformación, con el fin de que si a futuro se desea hacer auditorias de carácterinformativo, se nos haga fácil evaluar las posibles fugas de la información almomento de planificar la seguridad de la misma.

5. Explique la importancia y uso de los acuerdos de confidencialidad de lainformación dentro de una organización. (2 puntos)

Para la Seguridad de Información, la confidencialidad busca prevenir el acceso noautorizado ya sea en forma intencional o no intencional de la información, es decires de gran importancia tener la información clasificada previamente, para asípoder calificar el grado de importancia en una organización muy bienestructurada con el fin de ver y analizar el grado de confidencialidad que tiene lamisma, para que así esta no se difundida a la competencia o personas noaccesibles a la empresa.

Ya que la información de cada una de las empresas es de vital importancia yconfidencialidad de la misma, porque en esta información se mide la eficienciadel trabajo administrativo que realiza la empresa.

Actividad de aprendizaje 2.2.Para el desarrollo de este ejercicio, usted asumirá como Jefe delDepartamento de Seguridad e Inteligencia Corporativa de “PETROGAS” Cía.

Ltda., dedicada a realizar trabajos de exploración petrolera, en la cual semanejan los siguientes documentos:

1. Planes estratégicos de la Compañía.

2. Información financiera de la empresa PETROGAS, en la que constan lasfuentes de financiamiento y los socios.

3. Cartera digitalizada de clientes de la compañía.

4. Licitaciones sobre materiales e insumos de oficina.

5. Respaldos magnéticos y físicos de las auditorías realizadas a susclientes.

6. Balances anuales de las empresas a las que brindan su servicio.

7. Planificación anual de las empresas a las que brindan suasesoramiento.

8. Información de empleados administrativos y de seguridad de lasempresas a las que brindan asesoramiento.

9. Tarjetas de todo el personal que labora en PETROGAS.

10. Rol de pagos de la empresa PETROGAS.

11. Planes de contingencia y planes de seguridad para protección de ladocumentación de la empresa PETROGAS.

12. Recortes de prensa y análisis financieros del país.

Realice una planificación básica de protección y acceso a la información de lacompañía PETROGAS, considerando los documentos que se maneja dentro de laempresa y siguiendo los pasos de la planificación. (10 puntos).

PLAN DE SEGURIDAD DE LA INFORMACIÓN “PETROGAS”

1. INTRODUCCIÓN.

La Seguridad Informática tiene dos propósitos fundamentales de protección, laSeguridad de la Información y la Protección de Datos, estos dos campos se debendistinguir entre los dos, porque forman la base y dan la razón, también dan lajustificación en la selección de los elementos de información que requieren unaatención especial dentro del marco de la Seguridad Informática y normalmentedan el motivo y la obligación para su protección establecida.

En sí, en la Seguridad de la Información el objetivo de protección son los datosmismos, también se trata de evitar la pérdida y modificación de los mismos. Laprotección debe garantizar en primer lugar la confidencialidad, integridad ydisponibilidad de los datos, sin embargo existen más requisitos como por ejemplola autenticidad.

El fundamento u objetivo para implementar medidas de protección que respondena la Seguridad de la Información y protección de datos son el propio interés de lainstitución o persona que maneja los datos de la empresa, porque la pérdida omodificación de los datos, le puede causar un daño drástico en la misma. Entoncesen referencia al ejercicio con el banco, la pérdida o la modificación errónea, seacausado intencionalmente o simplemente por negligencia humana, de algúnrécord de una cuenta bancaria, puede resultar en pérdidas económicas u otrosconsecuencias negativas para la empresa.

En la actualidad existen algunas profesiones que, por su carácter profesional,están reconocidos u obligados por su juramento de respetar los datos personalescomo por ejemplo los médicos, abogados, jueces y también los sacerdotes. Peroindependientemente, existen normas jurídicas, la responsabilidad de untratamiento adecuado de datos personales y las consecuencias que puede causaren el caso de no cumplirlo recae sobre cada persona que maneja o tiene contactocon tal información, y debería tener sus raíces en códigos de conducta yfinalmente la ética profesional y humana, de respetar y no perjudicar los derechoshumanos y no hacer daño a la empresa o usuarios de esta.

2. OBJETIVO GENERAL

Impulsar la seguridad de todos los campos y directrices técnicas que semanejan y desempeñan en la compañía PETROGAS, con el fin de garantizar lasutilidad de la empresa en el ámbito informático, para no tener imparcialidadante la competencia.

3. OBJETIVO ESPECIFICO

Desarrollar herramientas sistemáticas y de carácter tecnológico para mantenerla sutilidad de la información que se maneja en la empresa PETROGAS, la cualobtendremos mediante una planificación basada a las normas técnicas de laseguridad de la información, para así monopolizar todas las áreas técnicasadministrativas de la empresa y así obtener beneficios de la misma.

4. INFORMACIÓN GENERAL

Basado en los objetivos planteados, esta actividad se dará lugar en todos losestablecimientos de la empresa, acción que se impartirá todos los díasmediante horarios definidos en todos los territorios y áreas que manejeninformación de cualquier tipo en específico.

Este trabajo será fiscalizado por técnicos en el área de seguridad de lainformación, con el fin de llevar la misma de una forma técnica y muy legible, paratodo el grupo administrativo de la empresa PETROGAS.

RECOPILACIÓN DE INFORMACIÓN DE TODAS LA ÁREAS. ANÁLISIS DEL PERSONAL DE SEGURIDAD FÍSICA. DISPOSICIÓN DE ÁREAS FÍSICAS PARA EL CONTROL DE INGRESOS EN

GENERAL. HORARIOS ESPECÍFICOS PARA LA RECEPCIÓN, ENTREGA Y ENCOMIENDA DE

DATOS. DE FORMA DEFINIDA.

5. DESARROLLO

Información Confidencial.

1. Control de acceso al Área de Sistemas

La libertad de acceso al área de sistemas puede crear un significativo problema deseguridad.

El acceso normal debe ser dado solamente a la gente que regularmente trabaja enesta área. Cualquier otra persona, de otro modo puede tener acceso únicamentebajo control.

Mantener la seguridad física de su área de sistema es su primera línea de defensa.Para ello deberá tomar en consideración el valor de sus datos, el costo deprotección, el impacto que su pérdida podría tener en su organización y lamotivación, competencia y oportunidades de la gente que podría querer dañar losdatos o el sistema.

Existen diferentes formas de implementarlo:

Forma Institucional.- El acceso al Área de Sistemas se identifica en el áreade Recepción Institucional, asignándole un color específico: rojo porejemplo.

Sólo en el Área.- Asignando un puesto de vigilancia en el ingreso al Área deSistemas.

2. Acceso Limitado a los Terminales

Igualmente, se deberá considerar la mejor manera de identificar a los operadoresde terminales del Sistema, y el uso de contraseñas, cuando un terminal no seausado pasado un tiempo predeterminado (5 - 10 Min.).

Restricciones que pueden ser aplicadas: Restricciones que pueden seraplicadas:

Determinación de los períodos de tiempo para los usuarios o las terminales. Designación del usuario por terminal o del terminal por usuario. Limitación del uso de programas para usuario o terminales. Límite de tentativas para la verificación del usuario. Tiempo de validez de las señas.

3. Control de acceso a la Información

Algunos usuarios o extraños (personal no autorizado) pueden encontrar algunaforma mediante la cual, logren el acceso al sistema o la base de datos y descubririnformación clasificada o datos no autorizados.

Se deberá considerar la existencia de:

Programas de Control. Deben existir programas protegidos que mantengany controlen a los usuarios y sus derechos de acceso, ya sea por grupos oindividualmente.

El uso de tal programa puede conferir al usuario algunos de los privilegiosque corresponden al controlador de dichos programas. La transferencia deprivilegios es adecuada si el programa actúa como filtro de la información.

Palabra de Acceso (Password). Es una palabra especial o código que debeteclearse al sistema de computadora antes que se realice un proceso.Constituye un procedimiento de seguridad que protege los programas ydatos contra los usuarios no autorizados.

La identificación de un individuo debe ser muy difícil de imitar y copiar.Aunque su nombre pueda ser único, es fácil que cualquiera que observe aquienes tienen acceso al sistema lo copie, por lo que no es una claveadecuada.

Una vez que se obtiene una clave de acceso al sistema, ésta se utiliza paraentrar al sistema de la base de datos desde el sistema operativo. Laresponsabilidad del manejo de la clave corresponde tanto al que accesacomo al sistema operativo.

A fin de proteger el proceso de obtención de una llave del sistema, cuandoel usuario realiza la entrada (en inglés LOGIN), solicita una clave de accesocon el nombre del usuario, la cual consiste de unas cuantas letras elegidaspor el usuario.

Un intruso puede intentar descubrirla de dos maneras: una, observando elingreso de la clave y otra, utilizando un método de ensayo y error paraintroducir posibles claves de acceso y lograr entrar.

El sistema de computación debe cerrarse después que un individuo noautorizado falle dos veces al intentar ingresar una clave de acceso.

Las claves de acceso no deben ser largas puesto que son más difíciles derecordar.

En todo proceso corporativo es recomendable que el responsable de cadaárea asigne y actualice en forma periódica el password a los usuarios.

No se puede depender de que la ausencia de un operador o responsable deun computador trabe la operatividad normal de una institución, por lo quepuede ser necesario el establecimiento de un procedimiento de tener unduplicado de los passwords asignados, bajo un esquema de nivelesjerárquicos, en sobre lacrado.

Esto es, el Jefe Inmediato superior tendrá en un sobre lacrado, lospasswords de su personal, debiendo utilizar un cuaderno de control,cuando exista la necesidad de romper el sobre lacrado (anotando fecha,hora, motivo, etc.), así como un procedimiento de cambio de passwordsperiódicos y por dichas eventualidades.

Niveles de Acceso. Los programas de control de acceso deberán identificar a losusuarios autorizados a usar determinados sistemas, con su correspondiente nivelde acceso. Las distinciones que existen en los niveles de acceso están referidos a lalectura o modificación en sus diferentes formas.

De acuerdo a ello se tienen los siguientes niveles de acceso a la información:

Nivel de consulta de la información no restringida o reservada. Nivel de mantenimiento de la información no restringida o reservada. Nivel de consulta de la información incluyendo la restringida o reservada. Nivel de mantenimiento de la información incluyendo la restringida.

a) Nivel de consulta de la información

El privilegio de lectura está disponible para cualquier usuario y sólo se requiere unconocimiento de la estructura de los datos, o del Sistema de otro usuario paralograr el acceso.

La autorización de lectura permite leer pero no modificar la base de datos.

b) Nivel de mantenimiento de la información

El concepto de mantenimiento de la información consiste en:

Ingreso. Permite insertar datos nuevos pero no se modifica los ya existentes.

Actualización. Permite modificar la información pero no la eliminación de datos.

Borrado. Permite la eliminación de datos.

Un usuario puede tener asignados todos, ninguno o una combinación de los tiposde autorización anteriores. Además de las formas de autorización de acceso dedatos antes mencionados, es posible autorizar al usuario para que modifique elesquema de la base de datos, pero es preferible que esta función sea deresponsabilidad del Centro de Cómputo.

Cada palabra clave debe tener asignado uno de los niveles de acceso a lainformación mencionados anteriormente.

La forma fundamental de autoridad es la que se le da al administrador de la basede datos, que entre otras cosas puede autorizar nuevos usuarios, reestructurar labase de datos, etc. Esta forma de autorización es análoga a la que se provee a un"super usuario" o al operador para un sistema operativo.

Destrucción

Sin adecuadas medidas de seguridad las empresas pueden estar a merced no sólode la destrucción de la información sino también de la destrucción de su equipoinformático.

La destrucción del equipo puede darse por una serie de desastres como son:incendios, inundaciones, sismos, o posibles fallas eléctricas, etc.

Cuando se pierden los datos y no hay disponibles copias de seguridad, se han devolver a crear los datos o trabajar sin ellos. De hecho, se puede comprobar cómouna gran parte del espacio en disco está ocupado por archivos, que es útil tener amano pero que no son importantes para el funcionamiento normal. Un ejemplotípico son las copias de la correspondencia en forma de archivos del procesadorde textos. Estos archivos se guardan muchas veces como referencia o, por sihubiera que enviar cartas parecidas en un futuro. Sin embargo, probablementetambién existe copia en papel de estas cartas. Si se borran los archivos, puede sermolesto, pero las consecuencias en la organización pueden ser mínimas.

Los archivos de contabilidad suponen una situación diferente, ya que volver acrearlos puede necesitar de mucho tiempo y costo. Muchas organizaciones basanen estos archivos la toma de decisiones diaria. Sin los datos al día, elfuncionamiento se vería seriamente dañado. Para evitar daños mayores al ser

destruida la información, debe hacerse backups de la información vital para laempresa y almacenarse en lugares adecuadamente preparados para ese fin y depreferencia aparte del local donde se encuentran los equipos que usualmente lomanejan.

Hay que protegerse también ante una posible destrucción del hardware o softwarepor parte de personal no honrado. Por ejemplo: hay casos en los que, empleadosque han sido recientemente despedidos o están enterados que ellos van a serdespedidos, han destruido o modificado archivos para su beneficio inmediato ofuturo.

Revelación o Infidencia

La revelación o infidencia es otra forma que utilizan los malos empleados para supropio beneficio. La información, que es de carácter confidencial, es vendida apersonas ajenas a la institución. Para tratar de evitar este tipo de problemas sedebe tener en cuenta lo siguiente:

Control del uso de información en paquetes abiertos o cintas y otros datosresiduales.

La información puede ser conocida por personas no autorizadas, cuando se dejaen paquetes abiertos o cintas que otras personas pueden usar.

Se deben tomar medidas para deshacerse del almacenaje secundario deinformación importante o negar el uso de ésta a aquellas personas que puedenusar mal los datos residuales de éstas.

Mantener datos sensitivos fuera del trayecto de la basura

El material de papel en la plataforma de la descarga de la basura puede seruna fuente altamente sensitiva de recompensa para aquellos que esperan el recojode la basura. Los datos sensitivos deben ser apartados de este procedimiento paratener una mayor seguridad de protección de la información, cuando éstos sondescartados o eliminados, debiendo recurrirse a destructores o picadoras depapel.

Preparar procedimientos de control para la distribución de información

Una manera de controlar la distribución y posible diversificación deinformación, es mantener un rastro de copias múltiples indicandoconfidencialidad o usando numeración como "Pág. 1 de 9".

Desafortunadamente, es muy común ver grandes volúmenes deinformación sensitiva tirada alrededor de las oficinas y relativamente disponible agran número de personas.

Modificaciones

Adicionalmente a proteger sus programas de Aplicación como activos, es amenudo necesario establecer controles rígidos sobre las modificaciones a losprogramas, para estar seguros de que los cambios no causan daños accidentaleso intencionados a los datos o a su uso no autorizado.

Deben ser considerados como medidas de seguridad para proteger los datos en elsistema, las limitaciones en el ámbito de los programas de aplicación, auditorías ypruebas, revisiones de modificaciones, exclusión cuando sea necesario de losprogramas de aplicación de las áreas de sistemas (pase al "Area de Producción" oa "Biblioteca de Programas") y restricciones efectivas en los programas deaplicación de las áreas de sistemas (necesidad de documento de autorización paratener acceso a los programas de aplicación).

Particular atención debe ser dada al daño potencial que pueda efectuar unprogramador a través de una modificación no autorizada.

Nuestra mejor protección contra la pérdida de datos consiste en hacer copias deseguridad, almacenando copias actualizadas de todos los archivos valiosos en unlugar seguro.

Los usuarios deben ser concientizados de la variedad de formas en que los datospueden perderse o deteriorarse. Una campaña educativa de este tipo puedeiniciarse con una reunión especial de los empleados, profundizarse con una seriede seminarios y reforzarse con carteles y circulares relacionados al tema.

Para la realización de las copias de seguridad se tiene que tomar algunasdecisiones previas como por ejemplo ¿Qué soporte de copias de seguridad se vausar? , ¿Se van a usar dispositivos especializados para copia de seguridad?, ¿Conqué frecuencia se deben realizar copias de seguridad?, ¿Cuáles son los archivos a

los que se le sacará copia de seguridad y donde se almacenará?, etc. Las empresaspodrían desear establecer directrices claras en estas materias, para que losusuarios tengan claras cuáles son sus responsabilidades. Tales reglas ynormativas pueden incorporase en una campaña educativa.

Las empresas deben tener muy en cuenta los siguientes puntos para la protecciónde sus datos de una posible contingencia.

1) Hacer de la copia de seguridad una política, no una opción.2) Hacer que la copia de seguridad resulte deseable.3) Facilitar la ejecución de la copia de seguridad (equipos adecuados,

disponibilidad, suministros). 4) Hacer la copia de seguridad obligatoria. 5) Asegurarse de que los usuarios cumplen la política de copias de seguridad

(Política de Auditoría a las Copias de Seguridad).

Políticas de seguridad

Para esto debemos distribuir las siguientes reglas de seguridad:

1. El establecimiento de un conjunto de actividades que permitan preservar yasegurar la confidencialidad, integridad y disponibilidad de la información,viabilizando la competitividad, rentabilidad, integridad y transparencia dela Empresa.

2. La periódica identificación, evaluación, tratamiento y monitoreo de losriesgos de seguridad de la información relevantes a la Empresa.

3. La investigación, respuesta oportuna y recuperación efectiva ante incidentesrelacionados con la seguridad de la información.

4. La comunicación oportuna y permanente de las políticas y procedimientosde la seguridad de la información definidos, asegurando razonablementeque sean comprendidos y se encuentren disponibles para todos lostrabajadores y colaboradores de la Empresa.

5. La responsabilidad por el uso de la información crítica y sensible por todoslos trabajadores y colaboradores de la Empresa.

6. El cumplimiento de los requerimientos dispuestos en las disposicioneslegales y contractuales aplicables a la Seguridad de la Información, quecomprenden a la Empresa.

7. El fortalecimiento de los valores, la sensibilización y el compromiso de todoslos trabajadores y colaboradores, de velar por el cumplimiento de lapresente política.

En lo financiero PETROGAS

Cuando el negocio requiera del acceso de colaboradores, se deberá realizaruna evaluación del riesgo para determinar sus implicancias sobre laseguridad de la información y las medidas de control que requieren.Asimismo PETROGAS deberá evaluar y medir periódicamente el nivel deseguridad ofrecido por los servicios de terceros, incorporando métricaspara el monitoreo.

Asegurar que los usuarios y colaboradores entiendan su responsabilidad,dentro de las funciones y ámbito para los que han sido contratados,reduciendo el riesgo de hurto, fraude o mal uso de las instalaciones y susactivos de información.

Los candidatos a ser contratados, empleados o colaboradores, parafunciones donde se tendrá acceso a información sensible, crítica oconfidencial, deben ser evaluados y seleccionados en forma rigurosa.

La responsabilidad de los empleados con acceso a la información sensible ocrítica o confidencial de PETROGAS, deberá estar definida en la Descripciónde Puesto y reflejarse en el Manual de Organización y Funciones. Losempleados deberán observar las normas y mantener el debido cuidado conla comunicación que fluye al exterior.

El acceso a los recursos de la información o archivos, debe limitarse alempleado contratado, que ha sido autorizado como responsable para lautilización o custodia de los mismos. La responsabilidad, en cuanto a lautilización y custodia, debe evidenciarse a través de registros, inventarios ocualquier otro documento o medio que permita llevar un control efectivosobre los recursos de la información o archivos.

Los empleados y practicantes de PETROGAS y, los colaboradores con suscontratistas, deben firmar un acuerdo de confidencialidad al sercontratados. La función Recursos Humanos es responsable de realizar estalabor con los empleados y, el Administrador del Contrato con loscolaboradores.

La función Recursos Humanos, al igual que el Administrador del Contrato,deben informar a las áreas competentes sobre el personal y colaboradoresque han culminado su vínculo laboral o relación contractualrespectivamente, con el fin de prevenir accesos no autorizados a lainformación, sistemas, oficinas o equipos PETROGAS

h. Los empleados y colaboradores, que desarrollan programas o proyectospara

PETROGAS, deben firmar acuerdos de derecho de propiedad, reconociendoque dichos programas, patentes, inventos y proyectos son de propiedadintegral de PETROGAS

La función Recursos Humanos debe incluir los temas de Seguridad de laInformación en las charlas de inducción a todo el personal y practicantesque ingresan a PETROGAS; y, deberá considerar dentro del programa anualde No debe ser reproducido sin autorización expresa de PETROGAS.Capacitación, temas de seguridad de la información que comprendadifusión, evaluación y monitoreo. Se incluya los acuerdos deconfidencialidad y de derecho de la propiedad, cada vez que se produzcancambios en la modalidad de contratación de los empleados.

Los empleados, cualquiera fuere su tipo de relación laboral, debencomprender y familiarizarse con la Política Corporativa, Reglamento yProcedimientos de Seguridad de la Información, el Código de Integridad yel Reglamento Interno de Trabajo de PETROGAS.

Seguridad de equipos fuera de las instalaciones de PETOGAS.

a. El uso, fuera de las instalaciones de PETROGAS, de cualquier equipoportátil que contenga información, se realizará de acuerdo a losniveles de autorización.

b. Las áreas de Tecnologías de Información y Comunicacionesrealizarán periódicamente una revisión de los equipos, evaluarán losriesgos y aplicarán los controles o acciones para preservar laintegridad y el contenido de los equipos que salen fuera de lasinstalaciones de PETROGAS.

c. Los usuarios no deben realizar cambios en los controles deseguridad, ni en las configuraciones de los equipos establecidas porlas áreas de Tecnologías de Información y Comunicaciones.

d. Los usuarios no deben dejar expuestos al uso y/o disposición deterceros, en lugares de acceso público, los equipos informáticos o detratamiento de la información, de propiedad de PETROGAS.

e. Todos los equipos de tratamiento de la información, que deban serusados fuera de las instalaciones de PETROGAS deben contar conclave y una póliza de seguros de reposición.

Seguridad de los centros de cómputo

Objetivo

Prevenir y evitar pérdidas, daños o eventos que comprometan las instalaciones,infraestructura, equipos, datos y servicios de los Centros de Cómputo de lasOperaciones y del Centro de Cómputo Principal de PETROGAS.

Alcance

a. Los centros de cómputo de PETROGAS deben estar instalados yprotegidos en áreas seguras, donde se proporcione un nivel deseguridad contra accesos no autorizados, robo, daño y otros, sobrela base de controles de acceso físico perimetrales.

b. El Centro de Cómputo Principal de PETROGAS debe contar con:

Un área controlada y restringida sólo a personas autorizadas, y que por susfunciones dentro de ella se le concede la autorización. Los derechos deacceso a esta área, de todos los usuarios permitidos, deben ser revisadoscada tres (3) meses.

Un sistema de ingreso, a esta área sensible y crítica, controlado en todomomento, con un registro de ingreso obligatorio que debe contener comomínimo la identificación del usuario, fecha y hora de ingreso / salida,manteniendo un rastro de auditoría de los accesos.

Un registro de acceso de personas que ingresan por visita o trabajosespecíficos y que no pertenecen a esta área. El permiso de ingreso seráotorgado por el Departamento Tecnologías de Información yComunicaciones de PETROGAS. Estas personas, antes de ingresar, sedeberán registrar en la bitácora de ingreso y en todo momento estaránacompañadas por el Operador de Turno del Centro de Cómputo.

Mecanismos de protección física contra daños por fuego, cuyo equipocontra incendios debe resguardar toda el área del Centro de Cómputo

Principal. Controles de monitoreo de condiciones ambientales. Latemperatura y humedad deberán ser monitoreadas por el Operador deTurno y responder oportunamente ante las alertas.

Aviso que indique, que está terminantemente prohibido ingerir alimentos ybebidas en el Centro de Cómputo Principal.

Aviso que indique, que está terminantemente prohibido encender fuego yfumar en el Centro de Cómputo Principal.

No debe ser reproducido sin autorización expresa de PETROGAS. Equipos de suministro de energía eléctrica, como UPS y generador eléctrico,

que se deben revisar y probar regularmente y en forma inopinada, paraasegurar su capacidad y operatividad ante una contingencia eléctrica. Unprograma de mantenimiento preventivo para todos los equipos.

c. La Gerencia Departamento Tecnologías de Información yComunicaciones deberá establecer los mecanismos de control deactivos y recursos informáticos, así como las medidas de seguridadfísica para el acceso restringido a todos los Centros de Cómputo dePETROGAS.

d. La seguridad física de los Centros de Cómputo de PETROGAS, estaráa cargo del área responsable de la seguridad de instalaciones deOficina Principal y las Operaciones.

e. Los acápites del literal b), en lo que corresponda, serán deaplicación para los

Gestión de comunicaciones y operaciones

Control de Riesgos de Seguridad de la Información de los Servicios deOfimática

Objetivo

Controlar los riesgos del negocio asociados con los sistemas de ofimática queproporcionan facilidades para difundir más rápidamente y para compartir lainformación del negocio usando una combinación de documentos, estaciones detrabajo y comunicaciones móviles, correos escrito y de voz, comunicaciones de vozen general, multimedia, servicios y recursos postales y máquinas de fax, entreotros.

Alcance

o Es responsabilidad de cada usuario, recoger los documentosenviados a imprimir en las impresoras de PETROGAS de manerainmediata.

o Es responsabilidad de cada área, destruir los documentos impresosque ya no sirven y que contienen información confidencial, crítica osensible.

o Los usuarios deben ubicar los sistemas y dispositivos de ofimática asu cargo, impresoras, fax y fotocopiadoras, en ambientescontrolados para evitar que la información sea interceptada porpersonal o colaboradores no autorizados, o por personas externasde PETROGAS

o Los usuarios no deben enviar información confidencial para serimpresa en una impresora de red, sin que haya una personaautorizada que proteja su confidencialidad durante y después de laimpresión.

o Las fotocopiadoras, escáner, cámaras digitales o cualquier otraforma de tecnología de reproducción de PETROGAS, deben serutilizados solamente por las personas autorizadas.

Intercambio de software por voz, fax y video.

Objetivo

Evitar la pérdida, modificación o mal uso de la información intercambiada entreorganizaciones. Controlar los intercambios de información y software entreorganizaciones, con observancia de la legislación legal aplicable.

Alcance

o Los usuarios no deben dejar mensajes grabados con informaciónconfidencial, crítica o sensible, en máquinas contestadoras osistemas de correo de voz.

o Los usuarios no deben conversar directa o telefónicamente temassensibles, críticos o confidenciales, ante la presencia de tercerosajenos al tema, ni en lugares públicos.

o Los usuarios no deben discutir temas sensibles, críticos oconfidenciales en conferencias telefónicas o videoconferencias,cuando todos los participantes no sean competentes en el tema.

o Los usuarios deben evitar, en lo posible, discutir temas sensibles,críticos o confidenciales a través de un teléfono inalámbrico o unteléfono celular.

o Los usuarios no deben enviar información confidencial, por fax uotro medio de transferencia electrónica, a menos que cuenten con laautorización del propietario de la información y del receptorpreviamente a la transmisión y utilice una página inicial deprotección de información.

Transmisión de información confidencial, sensible o crítica

Objetivo

Evitar la divulgación no autorizada, pérdida, modificación o mal uso de lainformación confidencial, sensible o crítica, generada y utilizada por personal dela organización y/o intercambiada entre Gerencias / Oficinas de PETROGAS y otrasorganizaciones o instituciones.

Alcance

Está prohibido transmitir información confidencial, crítica o sensible de usointerno del Área / Operación que no haya sido debidamente autorizada por elGerente / Superintendente / Jefe o Supervisor inmediato, o por la Gerencia Generalde PETROGAS

Uso de correo electrónico y adjuntos

Objetivo

Evitar la pérdida, modificación o mal uso de la información intercambiada porcorreo electrónico dentro de PETROGAS o con otras organizaciones o instituciones.Optimizar el uso del sistema de correo electrónico y sus adjuntos por parte de losusuarios del servicio.

Alcance

Todos los usuarios del servicio de correo electrónico de PETROGAS El correo electrónico es personal e intransferible, los usuarios

son responsables de todas las actividades que se realicen pormedio de las cuentas de correo electrónico que les seanasignadas por PETROGAS.

Los usuarios que tienen asignada una cuenta de correoelectrónico de PETROGAS, deben establecer una contraseñapara poder ingresar y utilizar su correo, esta clave debe sermantenida en secreto para evitar que dicha cuenta pueda serutilizada por otra persona.

Las cuentas de correo electrónico concedidas al personal ycolaboradores de PETROGAS, deben usarse sólo para lasactividades que estén relacionadas con el cumplimiento de sufunción en PETROGAS.

Está prohibido enviar por correo electrónico archivos adjuntosque no guarden relación con el quehacer de PETROGAS, talescomo: archivos de música, video, ejecutables y, cualquierarchivo de contenido pornográfico, profano o erótico y otros.

Se considera como falta laboral, en concordancia con elReglamento Interno de Trabajo, el facilitar u ofrecer la cuentay/o buzón del correo electrónico empresarial para uso deterceras personas, darle un uso comercial o de otranaturaleza fuera de sus funciones en PETROGAS, distribuirmensajes con contenidos impropios y/o lesivos a la moral yrealizar envíos masivos de correos no solicitados (SPAM).

Los colaboradores, usuarios que no tienen la condición detrabajadores de PETROGAS, que faciliten u ofrezcan la cuentay/o buzón del correo electrónico empresarial para uso deterceras personas, que le den un uso comercial o de otranaturaleza que no corresponde a las funciones que desarrolla,distribuyan mensajes con contenidos impropios y/o lesivos ala moral o realicen envíos masivos de correos no solicitados(SPAM), se les resolverá el contrato de locación de servicios ose solicitará a su empleador su relevo.

Todo correo electrónico externo recibido de fuentedesconocida, será eliminado en forma definitiva.

El envío de información confidencial, sensible o crítica, através del correo electrónico, deberá realizarse observando losprocedimientos para transmisión de información confidencial,sensible o crítica.

El “Administrador del Sistema de Correo Electrónico” deberámantener la privacidad, confidencialidad y seguridad de lainformación almacenada en el servicio de correo electrónico y,sólo la podrá levantar o hacer de conocimiento del que lasolicita, con autorización del usuario o por medio de unaorden judicial.

Retención y eliminación de registros

Objetivo

Proteger los registros físicos y lógicos importantes de la organización frente a supérdida y destrucción, en concordancia con los requisitos regulatorios,contractuales y de negocio. Asegurar que los registros y documentos vitales esténadecuadamente protegidos y mantenidos, asegurando que los registros que ya noson necesarios para PETROGAS y que carecen de valor, sean eliminados en elmomento apropiado.

Alcance

o Todos los registros de PETROGAS, incluyendo expedientes ydocumentos electrónicos, deben ser protegidos y mantenidosadecuadamente hasta que sean necesarios, de acuerdo a loestablecido por requerimientos operativos, administrativos, legales ocontractuales, conforme a lo indicado en el Cronograma deRetención de Registros.

o El Cronograma de Retención de Registros debe considerar, comoperiodos o tiempos de retención, los plazos establecidos en lanormatividad de las entidades reguladoras que ejercen control osupervisión sobre PETROGAS. Estos registros no pueden sereliminados o destruidos antes de culminado el periodo de retenciónestablecido.

o El Área / Operación responsable –designada por Gerencia General–es la encargada de la supervisión del cumplimiento del Cronogramade Retención de Registros de su competencia, cronograma que enconjunto con los Gerentes de la Estructura Básica y GerenteDepartamento Legal definirán y revisarán, estableciendo los periodosde retención para cada tipo de registro no contemplado en el incisoanterior.

o El Cronograma de Retención de Registros debe ser revisado yactualizado periódicamente, para garantizar que se mantienevigente el esquema de clasificación de los requerimientos legales yplazos establecidos por PETROGAS.

o Todas las Áreas / Operaciones deben adoptar mecanismos deprotección necesarios para salvaguardar la integridad,confidencialidad y disponibilidad de los registros físicos, expedientesy registros electrónicos que se encuentran bajo su custodia, deacuerdo a procedimiento.

Control de accesos

Objetivo

Controlar el acceso a los servicios y recursos informáticos previniendo el accesono autorizado a los mismos. Mantener los accesos autorizados a la informaciónsobre la base de los requisitos de seguridad de la información y del negocio,considerando los procedimientos de transmisión de la información y deautorizaciones.

Alcance

o Los propietarios de los activos de información de PETROGAS debencontrolar el acceso tanto a la información como a los recursos detratamiento de información y autorizar el acceso a los usuariossegún los privilegios que les correspondan.

o Las áreas de Tecnologías de Información y Comunicaciones, deOficina

o Principal y las Operaciones, así como las áreas usuarias, según sunivel de aprobación, deben habilitar los accesos y privilegios conperfiles estandarizados según las funciones del puesto o servicio

contratado, y monitorear los registros o bitácoras de auditoría deacceso a los sistemas de información.

o Las áreas de Tecnologías de Información y Comunicaciones deberánrevisar periódicamente las actualizaciones y modificaciones de losaccesos otorgados, verificando que éstos estén debidamenteautorizados.

o La Gerencia Departamento Tecnologías de Información yComunicaciones, conjuntamente con las áreas de Tecnologías deInformación y Comunicaciones de las Operaciones, implementaránlos controles de acceso a todos los recursos informáticos bajo sucontrol.

o Los usuarios deben cumplir con los controles de accesoimplementados por PETROGAS y no intentar acceder a información yaplicaciones a las que no estén autorizados.

o Los usuarios deben proteger la privacidad de las contraseñas ycualquier otro mecanismo de control de acceso y autenticación a losservicios informáticos de PETROGAS.

o La Gerencia Departamento Tecnologías de Información yComunicaciones deberá mantener actualizado un registro lógico y/ofísico de las altas y bajas de los usuarios de los servicios y recursos

Uso servicios de red

Objetivo

Prevenir el acceso no autorizado a los servicios de red, controlar el acceso a lasredes internas y externas, y asegurar que el acceso de los usuarios a las redes ysus servicios no comprometan la seguridad de dichos servicios, por medio de:

a) Interfaces adecuadas entre la red de la organización y lared pública o la red privada de otras organizaciones.

b) Mecanismos adecuados de autenticación para losusuarios y los equipos.

c) Control de los accesos de los usuarios a los servicios deinformación.

Alcance

Los usuarios deben contar con la autorización de su Gerente /Superintendente / Jefe de Departamento, según corresponda, para poderhacer uso de cualquiera de los servicios de red con los que cuentaPETROGAS.

Los usuarios no deben usar los servicios de red de PETROGAS para ver,descargar, guardar, recibir o enviar material relacionado con:

o Contenido ofensivo de cualquier clase, incluyendo materialpornográfico, profano, erótico y otros.

o Promover cualquier tipo de discriminación, sea está basada en laraza, el género, la nacionalidad, la edad, el estado civil, laorientación o preferencia sexual, la religión y/o la discapacidad.

o Comportamiento violento o intimidante, apuestas, juegos o beneficioeconómico personal.

o Archivos en cualquier formato cuyo contenido no tenga relación conlas actividades propias que realiza el usuario y/o PETROGAS.

Los usuarios deben usar el servicio de Internet con que cuenta PETROGASpara el cumplimiento de sus funciones. Sólo en casos extraordinarios,donde no se disponga del servicio de Internet de PETROGAS, se podrá usarotro servicio.

Los usuarios no deben descargar o abrir archivos provenientes de Internetu otras redes externas sin tener activo y actualizado el software antivirus.

Los usuarios no deben tratar de violar la seguridad de las estaciones detrabajo, servidores o cualquier otro equipo de comunicaciones dePETROGAS.

Las áreas de Tecnologías de Información y Comunicaciones –OficinaPrincipal y Operaciones- deben habilitar y controlar los accesos a losservicios de red, monitorear la actividad en la red interna y desde / haciaInternet, evaluar las vulnerabilidades y, proponer a la GerenciaDepartamento Tecnologías de Información y Comunicaciones losmecanismos necesarios para reforzar el cumplimiento de la PolíticaCorporativa, Reglamento y Procedimientos de Seguridad de la Información.

Informática móvil

Objetivo

Garantizar la seguridad de la información cuando se usan dispositivos deinformática móvil: computador portátil, celular, acceso portable a datos (PDA),entre otros, que se conectan a la red interna o procesan información dePETROGAS.

Alcance

Las áreas de Tecnologías de Información y Comunicaciones realizarán unarevisión del dispositivo de informática móvil y aplicarán los controles a losequipos, antes de autorizar su conexión a la red interna.

Es responsabilidad del usuario, utilizando para ello las facilidades técnicasde almacenamiento recomendadas o proporcionadas o implementadas porlas áreas de Tecnologías de Información y Comunicaciones, realizarperiódicamente una copia de respaldo de la información confidencial,crítica o sensible contenida en sus dispositivos de informática móvil.

Es responsabilidad del usuario, utilizando para ello las facilidades técnicasde cifrado proporcionadas e implementadas por las áreas de Tecnologíasde Información y Comunicaciones, proteger la información confidencial delnegocio que reside en los dispositivos de informática móvil para evitar sudivulgación en caso de pérdida o robo.

Los usuarios que utilizan dispositivos móviles de informática, deberán teneren cuenta el “Procedimiento de Seguridad de Equipos fuera de lasInstalaciones de PETROGAS”, cuando el caso lo amerite.

Adquisición, desarrollo y mantenimiento de sistemas

Objetivo

Proteger la confidencialidad, autenticidad e integridad de la información. Sedeberán usar sistemas y técnicas criptográficas para proteger la informaciónsometida a riesgo, cuando otras medidas y controles no proporcionen laprotección adecuada.

Alcance

Los proyectos relacionados con tecnologías de información y comunicaciones,involucran distintas fases durante su “Ciclo de Vida”, como son: Proceso deadquisición y desarrollo de sistemas, pre-implementación, implementación, postimplementación y revisión de la calidad. En cada una de estas fases se deberá

contemplar la implementación de controles lógicos de aplicación definidos en losrequerimientos efectuados por los usuarios.

Uso de Controles Criptográficos

El uso de algoritmos de cifrado propietarios no está permitido para ningúnpropósito, a menos que sea revisado por personal experto y aprobado porla Gerencia Departamento Tecnologías de Información y Comunicaciones olas áreas de Tecnologías de Información y Comunicaciones de lasOperaciones.

La información sensible, crítica o confidencial debe ser cifrada antes de sertransmitida, en especial cuando se utilizan equipos de informática móvilfuera de las instalaciones de PETROGAS.

Recursos humanos e información confidencial

Protección de Datos y Privacidad de la Información Personal

Objetivo

Evitar el incumplimiento de la normatividad legal aplicable, requisitosreglamentarios u obligación contractual, así como toda obligación de seguridadde la información relacionada con la privacidad de la información personal.

Alcance

Todos los datos personales, como es el caso de legajos de personal,exámenes médicos, entre otros, son considerados confidenciales.

La recolección de datos personales no puede hacerse por medios desleales,fraudulentos, en forma contraria a las disposiciones de la ley o sin elconsentimiento del titular o persona natural a la que están referidos.

Los datos personales deben utilizarse solo para los fines para los cuales hansido recolectados, salvo que provengan o se hayan recolectado de fuentesaccesibles al público o a través de la Ley de Transparencia y Acceso a laInformación Pública.

Los datos personales sensibles, que revelan origen racial y étnico, opinionespolíticas, convicciones religiosas, filosóficas o morales, afiliación sindical einformación referente a la salud o a la vida sexual, sólo pueden serrecolectados y ser objeto de tratamiento, cuando la ley lo autorice o existamandato judicial o consentimiento del titular o cuando sean datos

necesarios para la determinación u otorgamiento de beneficios de saludque correspondan a sus titulares.

Los datos personales deben ser almacenados en áreas seguras: i) Físicas:restringiendo el acceso a personal no autorizado y, haciendo uso demecanismos de protección que garanticen su privacidad, legitimidad,confidencialidad e integridad. ii) Lógicas: haciendo uso de contraseñas parael acceso a las redes, sistemas de información, aplicaciones y/o bases dedatos que contengan datos personales.

Las áreas de Recursos Humanos son responsables del registro de los datospersonales, así como de supervisar la implantación de medidas técnicas yorganizativas que resulten necesarias para garantizar la integridad yconfidencialidad de los datos personales, de modo de evitar su mal uso,adulteración, pérdida, así como consulta o tratamiento no autorizado.

La Gerencia Departamento Tecnologías de Información y Comunicacionesasesorará a la Gerencia Departamento Recursos Humanos, a su expresasolicitud, en la implementación corporativa de controles de seguridad de lainformación, usando tecnologías de información y comunicaciones propiaso contratadas por PETROGAS.

Los datos personales confidenciales o reservados, sólo podrán ser reveladospor mandato judicial y/o cuando medien razones fundadas relativas a laseguridad pública, la defensa nacional o la salud pública.

Disposiciones complementarias

I. Aplicación Supletoria

En todo lo no previsto expresamente en el presente reglamento, será de aplicaciónlo dispuesto en el Estatuto Social y/o norma aplicable a PETROGAS.

II. Propuesta de Procedimientos, Formatos y Otros

En un plazo de noventa (90) días de entrada en vigencia del presente reglamento,las Gerencias de la Estructura Básica presentaran al Comité de Seguridad de laInformación sus procedimientos técnicos, formatos y otros, necesarios para laaplicación del Reglamento de Seguridad de la Información.

III. Aprobación de Procedimientos, Formatos y Otros

Los Procedimientos, para la correcta aplicación del presente reglamento, deberánser aprobados por Gerencia General en un plazo máximo de nueve (9) meses deentrada en vigencia del Reglamento de Seguridad de la Información.

IV. Vigencia del Reglamento

El presente reglamento entrará en vigencia a partir del décimo quinto (15) día útilde su aprobación.

V. Difusión y Supervisión del Reglamento

La difusión a todos los usuarios, estará a cargo de la Gerencia General, Gerenciasde Estructura Básica, Gerencias y Superintendencias de la OrganizaciónComplementaria, Jefes de Departamento / Unidad / Asesoría / Oficina, ySupervisores, en forma de cascada.

El Comité de Seguridad de la Información podrá revisar cuando se lo propongano cuando el caso lo amerite el contenido del presente Reglamento, en coordinacióncon las dependencias competentes de la Empresa, y propondrá las modificacionesque correspondan, para garantizar la confidencialidad, integridad ydisponibilidad de toda la información que almacena y procesa PETROGAS.

Responsables de la Seguridad

Como las normas de personal o de contratación, las normas o política deseguridad constituyen un documento fundamental para una empresa que seapoye en computadoras. En este documento se ha de fijar la responsabilidad decada nivel dentro de la organización respecto a las medidas de seguridad.Definición de responsabilidades para la Seguridad de Datos, Sistemas yProgramas. Las responsabilidades específicas para la protección de los datos,sistemas, programas, unidades de equipo, etc. deben ser firmemente mantenidossi se desea una seguridad adecuada.

En general, la persona con el control físico en un activo (datos, sistemas yprogramas), debe ser el responsable inmediato de su protección. En el caso dedatos del Centro de Procesamiento de Datos, esta persona es el Jefe de dichoCentro. Los Auditores internos y el personal de seguridad deben revisar que se lesdé una adecuada protección a los datos. Debido a que ellos no tienen control físicosobre esto, no pueden tener la responsabilidad principal de su cuidado, pero sí delcumplimiento de las normas y procedimientos de seguridad.

Hasta el grado permitido por el tamaño de sus operaciones, la responsabilidad deescribir, procesar o autorizar un programa, trabajo o específicamente un cambiodebe ser asignado a diferentes personas. La separación efectiva de funcionessensitivas relacionadas, ayudará a reducir los errores y el riesgo de actos noautorizados cometidos deliberadamente por el personal de Procesamiento deDatos. Las normas se han de trasladar en la jerarquía para que las personas clave,implementen las medidas de seguridad dadas y ejecuten las acciones adicionalesnecesarias. Por ejemplo: Cualquiera que utilice una computadora personal deberágrabar su trabajo y desconectar la computadora, siempre que la deje de usar. Elresponsable del servicio de informática realizará comprobaciones puntuales paraasegurar que las copias de seguridad se realizan según el plan aprobado.

Cuando se elabora la política de seguridad, también se debe tener muy en cuenta:

Adoctrinar al personal de procesamiento de datos en la importancia de laseguridad y la responsabilidad de cada uno en su mantenimiento.

6. EQUIPO DE TRABAJO Y FUNCIONES

Jefe o director de proyecto: Es el responsable final del proyecto que estárealizando. Es el enlace o interlocutor entre el cliente y la propia empresa quedesarrolla la aplicación. Se encarga de la planificación de costes y plazos fijadosante el cliente, de la ejecución y control del mismo.

Jefe de equipo: Es el responsable del desarrollo de las tareas asignadas a suequipo, dirige a los trabajadores y les indica la organización, asigna nuevastareas, suprime otras…

Analistas: Son las personas encargadas del análisis de todos los requisitos que losclientes han pedido para desarrollar la aplicación, así como intentar minimizar ladificultad que ello conlleva, resultando de su análisis una idea lo más concisa yclara posible sobre el software que se va a tener que desarrollar a continuación.

Diseñadores: Son los encargados de realizar el diseño y la estructura del proyectoque se va a tener que realizar. Éstos tendrán como base los análisis realizados porlos analistas e intentarán ajustarse lo máximo posible a las funcionalidades yrequerimientos que se nos ha exigido.

Programadores: Son los encargados de implementar el código fuente y objeto apartir del análisis y diseño que se ha realizado con anterioridad, así como derecopilar toda aquella documentación útil, sencilla y manejable de todo lo que sehaya implementado.

Probadores software: Serán los encargados de realizar la batería de pruebas sobrela aplicación una vez finalizada la programación de la misma, para encontrar einformar sobre los fallos posibles que no se hayan solventado y futuras incidenciasque se podrían producir en la utilización de la misma, así como verificar que todaslas funcionalidades que han sido requeridas se hayan implementado. Dichosprobadores, forman un grupo independiente al resto del equipo, para evitar quese influya negativamente (o positivamente) en el informe que se tendrá quedesarrollar, y por tanto, sea lo más imparcial posible.

Instaladores: Son los encargados de instalar el software de la aplicación en cadapuesto de trabajo que se necesite para el cliente. Se trasladarán para ello, hacialos lugares en los que se necesite su presencia para desarrollar esta función.

Auditor interno: Será el encargado de realizar una auditoría al final del proyecto,para comprobar si se ha realizado correctamente todas las etapas.

Emitirá un informe que aportará fiabilidad y seguridad al cliente, se entregará unproducto con la calidad exigida. Al igual que los probadores de software seráindependiente del resto del equipo por la misma razón.

Comité de Seguridad de la Información

o Identificar las metas de seguridad de la información, relacionarlascon las exigencias organizacionales e integrarlas en los procesosrelevantes.

o Planificar y coordinar la ejecución periódica de la evaluación deriesgos y proponer controles para el tratamiento de los mismos.

o Proponer planes, programas y presupuesto para mantener laconcientización de la seguridad de la información.

o Proponer la actualización de la Política Corporativa, Reglamento yo Procedimientos de seguridad de la información. o Proponer a la Gerencia General la inclusión de roles y

responsabilidades de seguridad de la información en el Reglamentode Organización y Funciones, Manual de Organización y Funciones y,Descripciones de Puesto.

o Monitorear el cumplimiento de la Política Corporativa, Reglamento yProcedimientos de seguridad de la información, verificando suefectividad y correcta implementación.

o Proponer convenios con especialistas en seguridad de la informaciónpara recibir asesoría.

o Solicitar los recursos necesarios para establecer y respaldar lasiniciativas, para mejorar la seguridad de la información.

o Reunirse ordinariamente, según su plan anual de trabajo, por lomenos cada dos (2) meses, utilizando la facilidad devideoconferencia con la que cuenta PETROGAS, de las cuales dos (2)serán presenciales; y, extraordinariamente cuando sea convocadopor Gerencia General o alguno de sus miembros.

o Los miembros designados en el Comité de Seguridad de Información,salvo los representantes de la Gerencia Departamento Tecnologíasde Información y Comunicaciones y de la Unidad Seguridad deOficina Principal, serán renovados cada dos (2) años.

o Lo no previsto expresamente en el presente Reglamento, seráresuelto por el Comité de Seguridad de la Información.

7. CONCLUSIÓN

Con este plan de seguridad ayudaremos a que la empresa PETROGAS tenga unamayor eficiencia en lo que respecta la seguridad de la información de la misma,para así poder fomentar buenos resultados a la hora de manejar informaciónconfidencial por parte de la empresa en lo que respecta a sus labores diarias detrabajo.