manual politicas seguridad[1]

8/7/2019 Manual Politicas Seguridad[1]

http://slidepdf.com/reader/full/manual-politicas-seguridad1 1/61

Superintendencia de Infraestructura y SoporteVigencia: Mayo 2010

MANUAL DE POLITICAS Y NORMAS

DE

SEGURIDAD LA INFORMACIÓN



Políticas de Seguridad – Ver. 1.0 – Rev. 1.0Elaborado por: Howard Padrón R. – Superintendente de Infraestructura y SoporteValencia, Mayo 2010

INDICE

I. OBJETIVO .............................................................................................................................. 5 II. ALCANCE ............................................................................................................................... 5 III. PREAMBULO ......................................................................................................................... 6 IV. VIGENCIA Y FUNCION DE ESTA POLITICA .................................................................. 7 V. CONCEPTO Y FINALIDAD .................................................................................................. 7 VI. METODOLOGIA .................................................................................................................... 8 VII. EVALUACION DE LOS RIESGOS EN MATERIA DE SEGURIDAD .............................. 8 VIII. SELECCION DE CONTROLES ............................................................................................ 9 IX. NOTIFICACION DE VIOLACIONES DE SEGURIDAD ................................................... 9 X. RESPONSABLES DE LA SEGURIDAD DE LA INFORMACION .................................. 11

SEGURIDAD EN LOS SISTEMAS DE INFORMACION / PROCESOSAUTOMATIZADOS ............................................................................................................. 11 SEGURIDAD EN LA INFRAESTRUCTURAS TECNOLOGICA / SOFTWARE ............. 11 SEGURIDAD FÍSICA ........................................................................................................... 12

XI. LA PARTICIPACION DE LA JUNTA DIRECTIVA ......................................................... 14 XII. PROPIETARIOS DE LA INFORMACION ........................................................................ 14 XIII. USUARIOS DE LA INFORMACION ................................................................................. 15 XIV. CUSTODIOS DE LA INFORMACION ............................................................................... 15 XV. PERSONAL EXTERNO A LA ORGANIZACION .............................................................. 15 XVI. LA INFORMACION Y SU CLASIFICACION ................................................................... 16

PAUTAS DE CLASIFICACIÓN........................................................................................... 19 SANCIONES ......................................................................................................................... 19

XVII. REQUERIMIENTOS DE SEGURIDAD EN CONTRATOS CON TERCEROS .............. 19 XVIII. CLASIFICACIÓN Y CONTROL DE ACTIVOS ................................................................. 21 XIX. SEGURIDAD DEL PERSONAL .......................................................................................... 21

SELECCIÓN Y POLÍTICA DE PERSONAL TALENTO HUMANO. ............................... 22 POLITICA DE DATOS CORPORATIVOS. ........................................................................ 22

XX. CAPACITACION DEL USUARIO ...................................................................................... 22 XXI. RESPUESTA A INCIDENTES Y ANOMALÍAS EN MATERIA DE SEGURIDAD ....... 23 XXII. SEGURIDAD FISICA .......................................................................................................... 23

AREAS SEGURAS................................................................................................................ 23 PERIMETRO DE SEGURIDAD FISICA ............................................................................. 24 CONTROLES DE ACCESO FISICO.................................................................................... 24 DESARROLLO DE TAREAS EN AREAS PROTEGIDAS ................................................ 26



-----------------------------------------------------------------------------------------------------------------------------------------------------------------


FUGA DE INFORMACIÓN ................................................................................................. 26 AISLAMIENTO DE LAS AREAS DE ENTREGA Y CARGA ........................................... 26

XXIII. SEGURIDAD DEL EQUIPAMIENTO ............................................................................... 27 SUMINISTROS DE ENERGIA ............................................................................................ 28 SEGURIDAD DEL CABLEADO ......................................................................................... 28 MANTENIMIENTO DE EQUIPOS ...................................................................................... 29 SEGURIDAD DEL EQUIPAMIENTO FUERA DEL AMBITO DE CORIMON ............... 29

XXIV. CONTROLES GENERALES ............................................................................................... 29 POLITICAS DE ESCRITORIOS Y PANTALLAS LIMPIAS ............................................. 30

XXV. GESTION DE COMUNICACIONES Y OPERACIONES ................................................. 31 PROCEDIMIENTOS Y RESPONSABILIDADES OPERATIVAS ..................................... 31

DOCUMENTACION DE LOS PROCEDIMIENTOS OPERATIVOS ......................... 31 CONTROL DE CAMBIOS EN LAS OPERACIONES ................................................. 31 PROCEDIMIENTOS DE MANEJO DE INCIDENTES ................................................ 32 SEGREGACION DE FUNCIONES ............................................................................... 33 ADMINISTRACION DE INSTALACIONES EXTERNAS ......................................... 33

PLANIFICACIÓN Y APROBACION DE SISTEMAS ........................................................ 33 PLANIFICACIÓN DE LA CAPACIDAD ..................................................................... 33 APROBACION DEL SISTEMA .................................................................................... 33

PROTECCION CONTRA SOFTWARE MALICIOSO........................................................ 35 CONTROLES CONTRA SOFTWARE MALICIOSO .................................................. 35

RESGUARDO DE LA INFORMACION .............................................................................. 35 REGISTRO DE ACTIVIDADES DEL PERSONAL OPERATIVO ............................. 36 REGISTRO DE FALLAS ............................................................................................... 36

ADMINISTRACION DE LA RED ....................................................................................... 36 CONTROLES DE REDES ............................................................................................. 37

ADMINISTRACION Y SEGURIDAD DE LOS MEDIOS DE ALMACENAMIENTO .... 37 ADMINISTRACION DE MEDIOS INFORMATICOS REMOVIBLES ...................... 37 ELIMINACION DE MEDIOS INFORMATICOS ......................................................... 38

INTERCAMBIOS DE INFORMACION Y SOFTWARE .................................................... 38 ACUERDOS DE INTERCAMBIO DE INFORMACION Y SOFTWARE .................. 38 SEGURIDAD DE LOS MEDIOS EN TRANSITO........................................................ 39 SEGURIDAD DEL COMERCIO ELECTRONICO ...................................................... 39 SEGURIDAD DEL CORREO ELECTRÓNICO ........................................................... 40 SISTEMAS DE ACCESO PÚBLICO ............................................................................ 41

XXVI. CONTROL DE ACCESOS ................................................................................................... 42 REQUERIMIENTOS DE NEGOCIO PARA EL CONTROL DE ACCESOS ..................... 42

POLITICA DE CONTROL DE ACCESOS ................................................................... 42 ADMINISTRACION DE ACCESOS DE USUARIOS ........................................................ 42

REGISTRO DE USUARIOS .......................................................................................... 43 ADMINISTRACION DE PRIVILEGIOS ...................................................................... 43 ADMINISTRACION DE CONTRASEÑAS DE USUARIO......................................... 43

RESPONSABILIDADES DEL USUARIO ........................................................................... 45



-----------------------------------------------------------------------------------------------------------------------------------------------------------------


USO DE CONTRASEÑAS ............................................................................................. 45 CONTROL DE ACCESO A LA RED ................................................................................... 45

AUTENTICACION DE USUARIOS PARA CONEXIONES EXTERNAS ................. 46 AUTENTICACION DE NODOS ................................................................................... 46 CONTROL DE CONEXION A LA RED ....................................................................... 46 SEGURIDAD DE LOS SERVICIOS DE RED .............................................................. 46 CONTROL DE ACCESO AL SISTEMA OPERATIVO ...................................................... 47 IDENTIFICACION Y AUTENTICACIO DE LOS USUARIOS .................................. 47 DESCONEXION DE ESTACIONES DE TRABAJO, POR TIEMPO INACTIVO ..... 47 LIMITACION DEL HORARIO DE CONEXION ......................................................... 47

CONTROL DE ACCESO A LAS APLICACIONES............................................................ 48 MONITOREO DEL ACCESO Y USO DE LOS SISTEMAS .............................................. 48

REGISTRO DE EVENTOS ............................................................................................ 48 PROCEDIMIENTOS Y AREAS DE RIESGO TECNOLOGICO ................................. 48 FACTORES DE RIESGO ............................................................................................... 49

XXVII. DESARROLLO Y MANTENIMIENTO DE SISTEMAS ............................................ 50 ANALISIS Y ESPECIFICACIONES DE LOS REQUERIMIENTOS DE SEGURIDAD .. 50 SEGURIDAD EN LOS SISTEMAS DE APLICACION ...................................................... 50

VALIDACION DE DATOS DE ENTRADA ................................................................. 50 CONTROLES DE PROCESAMIENTO INTERNO ...................................................... 51 CONTROLES Y VERIFICACIONES ............................................................................ 51 AUTENTICACION DE MENSAJES ............................................................................. 51 VALIDACION DE LOS DATOS DE SALIDA ............................................................. 52

CONTROLES CRIPTOGRAFICOS ..................................................................................... 52 POLITICA DE UTILIZACION DE CONTROLES CRIPTOGRAFICOS .................... 52 CIFRADO ....................................................................................................................... 52 FIRMA DIGITAL ........................................................................................................... 53 SERVICIOS DE NO REPUDIO ..................................................................................... 53 ADMINISTRACION DE CLAVES ............................................................................... 53

SEGURIDAD DE LOS ARCHIVOS DEL SISTEMA .......................................................... 54 PROCEDIMIENTOS DE CONTROL DE CAMBIOS ......................................................... 54

XXVIII. ADMINISTRACION DE LA CONTINUIDAD DE LOS NEGOCIOS ....................... 54 CONTINUIDAD DEL NEGOCIO Y ANALISIS DEL IMPACTO .............................. 55 ELABORACION E IMPLEMENTACION DE PLANES DE CONTINUIDAD DELNEGOCIOS ..................................................................................................................... 55 PRUEBAS, MANTENIMIENTO Y REEVALUACION DE LOS PLANES DECONTINUIDAD DE LOS NEGOCIOS ......................................................................... 55

XXIX. CUMPLIMIENTO ................................................................................................................ 56 CUMPLIMIENTO DE REQUISITOS LEGALES ................................................................ 56 DERECHOS DE PROPIEDAD INTELECTUAL ................................................................. 59

CUMPLIMIENTO DE LA POLITICA DE SEGURIDAD ............................................ 59 PROTECCION DE LAS HERRAMIENTAS DE AUDITORIA DE SISTEMAS ............... 60

XXX. CONCLUSIONES ................................................................................................................. 61



-----------------------------------------------------------------------------------------------------------------------------------------------------------------


I. OBJETIVO

Documentar las Políticas de Seguridad Tecnológica, que sirvan como base, reglas, normas y

procedimientos que regulen la forma en que el Grupo CORIMON, previene, protege y maneja los

riesgos de daño sobre la infraestructura de tecnología (Hardware y Software), a fin de minimizar los

riesgos asociados.

II. ALCANCE

Estándar basado en la Norma ISO 27001 para la gestión de la seguridad de la información que han

de ser aplicadas por los responsables de iniciar, implementar o mantener la seguridad en EL Grupo

CORIMON, C.A. Su propósito es proveer de una base común para el desarrollo de estándares de

seguridad de la organización y una práctica efectiva de la administración de la misma, brindando

confianza en las relaciones llevadas a cabo entre los procesos de CORIMON, C.A., los mismos tienen

como alcance:

Control de acceso (aplicaciones, base de datos, área del centro de cómputo, sedes

administrativas, filiales)

Resguardo de la Información

Clasificación y control de activos de la organización

Gestión de las redes (comunicaciones y de las operaciones)

Gestión de la continuidad del negocio

Seguridad de la Información en los Puestos de Trabajo

Control de Cambios

Protección de los documentos confidenciales de la empresaProtección contra cuerpos extraños del software en los sistemas de Información.

Monitoreo de la seguridad

Identificación y autenticación

Utilización de recursos de seguridad



-----------------------------------------------------------------------------------------------------------------------------------------------------------------


Soporte de Seguridad (Operativa)

Comunicaciones

Privacidad

Rutas seguras

III. PREAMBULO

La información es un recurso que, como el resto de los importantes activos comerciales, tiene valorpara una organización y por consiguiente debe ser debidamente protegida. La seguridad de lainformación protege ésta de una amplia gama de amenazas, a fin de garantizar la continuidadcomercial, minimizar el daño al mismo y maximizar el retorno sobre las inversiones y lasoportunidades.

La información puede existir en muchas formas. Puede estar impresa o escrita en papel, almacenadaelectrónicamente, transmitida por correo o utilizando medios electrónicos, presentada en imágenes, o

expuesta en una conversación. Cualquiera sea la forma que adquiere la información, o los medios porlos cuales se distribuye o almacena, siempre debe ser protegida en forma adecuada.

La seguridad de la información se define aquí como la preservación de las siguientes características:

Confidencialidad: se garantiza que la información sea accesible sólo a aquellas personasautorizadas a tener acceso a ella.

Integridad: se salvaguarda la exactitud y totalidad de la información y los métodos de procesamiento.

Disponibilidad: se garantiza que los usuarios autorizados tengan acceso a la información y a losrecursos relacionados con ella toda vez que se requiera.

La seguridad de la información se logra implementando un conjunto adecuado de controles, queabarcan políticas, prácticas, procedimientos, estructuras organizacionales de la Institución y funcionesdel software.

Se deben establecer estos controles para garantizar que se logren los objetivos específicos deseguridad de la organización.



-----------------------------------------------------------------------------------------------------------------------------------------------------------------


IV. VIGENCIA Y FUNCION DE ESTA POLITICA

La información, las redes y los sistemas informáticos que soportan la estructura en el Grupo Corimon, C.A.,son considerados activos importantes, por tal motivo su disponibilidad, integridad y confidencialidad sonesenciales para mantener un estatus de alta competitividad así como también beneficios, ventajas y unamayor rentabilidad; para lograr todo esto se hace necesario cumplir con las normas legales, estándares, yprocedimientos, a fin de poder soportar riesgos, de los cuales podría ser objeto la organización, que sonidentificados en algunas fuentes, entre las cuales se pueden citar fraudes informáticos, espionajeempresarial, actos de sabotaje, vandalismo y fenómenos naturales, así como virus informáticos o hackers.

Todas estas amenazas están en continuo proceso de expansión, lo que, unido al progresivo aumento de lossistemas de información y dependencia del negocio de los mismos (SAP), hace que todos los sistemas Yaplicaciones de la organización estén expuestos a riesgos cada vez mayores, que sin una adecuada gestiónde los mismos, pueden ocasionar que su vulnerabilidad se incremente y consiguientemente los activos sevean afectados.

Todo empleado es responsable del cumplimiento de los estándares, directrices y procedimientos de controlde acceso, así como también notificar a su supervisor, o algún nivel jerárquico superior, cuando por algunomotivo no pueda cumplir con la normativa de seguridad indicando el motivo por el cual no le es posibleapegarse a la normativa de seguridad. Cabe destacar que este nivel de responsabilidad va a ser conocido

por las diferentes áreas de la organización quienes serán las garantes de que esta información sea conocidapor cada integrante de la unidad.

V. CONCEPTO Y FINALIDAD

Como se indica en los párrafos anteriores la información es considerada unos de los activos más valiosos dela organización, por lo que se hace necesario adoptar mecanismos que eviten su pérdida, alteración odivulgación, puesto que esto traería como consecuencia pérdidas para el negocio, o bien incidirnegativamente en los objetivos plateados. Se considera que la información lleva inherente el riesgooperativo, y por consiguiente según sea el escenario también de tipo financiero y operacional.

Por lo antes expuesto se hace necesario desarrollar políticas de seguridad que garanticen integralmente lagestión de riesgos tecnológicos de seguridad, a fin de prevenirlos, detectarlos y corregirlos lo antes posible,todo esto está orientado a la minimización de los posibles impactos que algún incidente ocasione a losactivos.



-----------------------------------------------------------------------------------------------------------------------------------------------------------------


VI. METODOLOGIA

El riesgo en la Política de Seguridad Tecnológica, se retroalimentará de la matriz que elaborarán lasGerencias de: Control Interno, Tecnología y Normalización, que involucre la información que se gestiona através de los análisis de riesgo de la información. Para llevar a cabo el análisis de riesgo la Unidad deSeguridad Lógica, deberán inventariar toda la información crítica de la organización y analizar los entornos

informáticos, resaltando sus vulnerabilidades y estimando los niveles de riesgo existentes para cadasituación de la información.

La gestión del riesgo es una actividad que debe llevarse a cabo permanentemente, mediante unconocimiento continuo de las vulnerabilidades de los sistemas informáticos, así como de la criticidad de lainformación contenida en los sistemas tecnológicos en el Grupo Corimon. C.A.

.Ciclo de Vida de las Políticas de Seguridad Tecnológica y sus pruebas

VII. EVALUACION DE LOS RIESGOS EN MATERIA DE SEGURIDAD

Los requerimientos de seguridad los analizará la Gerencia de Control Interno a través de la Unidad deSeguridad Lógica, mediante la utilización las mejores prácticas en seguridad, tal como la Norma ISO 27001 yDS5 de Cobit (Objetivos de Control en Tecnología de Información), para ello se tendrá que definir unametodología alineada con el Manual de Riesgo Tecnológico del grupo Corimon. Las erogaciones derivadasde la satisfacción de las necesidades de control deben ser equilibradas con respecto al impacto potencial delas fallas de seguridad en los negocios. Las técnicas de evaluación de riesgos pueden aplicarse a toda laorganización, o sólo a partes de la misma, así como a los sistemas de información individuales,

componentes de sistemas o servicios específicos cuando esto resulte factible, viable y provechoso.

La evaluación de riesgos es una consideración sistemática de los siguientes puntos:

Impacto potencial de una falla de seguridad en los negocios, teniendo en cuenta las potencialesconsecuencias por una pérdida de la confidencialidad, integridad o disponibilidad de la información yotros recursos.

Acción periódica en sistema existente

Concepción de un nuevo sistema

Gestión del Cambio

PoliticasPoliticas

YY

EstandaresEstandares

Auditoría

Administración del

Sistema de Seguridad

Acreditación

Pruebas de Seguridad y Certificación

Analisis de Riesgos

Analisis de sensibilidadAnalisis de sensibilidad

Identificación de riesgoIdentificación de riesgo

Determinación de RequerimientosDeterminación de Requerimientos

Elección de control de alternativasElección de control de alternativas

Informe de alternativasInforme de alternativas

Mitigación del Riesgo

Selección de la alternativaSelección de la alternativa

Aceptación de riesgo residualAceptación de riesgo residual

Implantación de Riesgo residual.Implantación de Riesgo residual.

Acción periódica en sistema existente

Concepción de un nuevo sistema

Gestión del Cambio

PoliticasPoliticas

YY

EstandaresEstandares

Auditoría

Administración del

Sistema de Seguridad

Acreditación

Pruebas de Seguridad y Certificación

Analisis de Riesgos

Analisis de sensibilidadAnalisis de sensibilidad

Identificación de riesgoIdentificación de riesgo

Determinación de RequerimientosDeterminación de Requerimientos

Elección de control de alternativasElección de control de alternativas

Informe de alternativasInforme de alternativas

Mitigación del Riesgo

Selección de la alternativaSelección de la alternativa

Aceptación de riesgo residualAceptación de riesgo residual

Implantación de Riesgo residual.Implantación de Riesgo residual.



-----------------------------------------------------------------------------------------------------------------------------------------------------------------


Probabilidad de ocurrencia de dicha falla tomando en cuenta las amenazas y vulnerabilidadespredominantes, y los controles actualmente implementados.

Los resultados de esta evaluación ayudarán a orientar y a determinar las prioridades y acciones de gestiónadecuadas para la administración de los riesgos concernientes a seguridad de la información, y para laimplementación de los controles seleccionados a fin de brindar protección contra dichos riesgos. Puederesultar necesario que el proceso de evaluación de riesgos y selección de controles deba llevarse a cabo envarias ocasiones, a fin de cubrir la totalidad de los procesos de la organización.

Se llevarán a cabo revisiones periódicas de los riesgos de seguridad y de los controles implementados a finde:

a. Reflejar los cambios en los requerimientos y prioridades en el Grupo Corimon, C.A.

b. Considerar nuevas amenazas y vulnerabilidades.

c. Corroborar que los controles siguen siendo eficaces y apropiados.

Las revisiones deben llevarse a cabo con diferentes niveles de profundidad según los resultados deevaluaciones anteriores y los niveles variables de riesgo que la gerencia de Control Interno está dispuesta aaceptar. Frecuentemente, las evaluaciones de riesgos se efectuarán en un nivel alto, a fin de priorizarrecursos en áreas de alto riesgo, y posteriormente en un nivel más detallado, con el objeto de abordarriesgos específicos.

VIII. SELECCION DE CONTROLES

Una vez identificados los requerimientos de seguridad, se implementarán controles para garantizar que losriesgos sean reducidos a un nivel aceptable. Los controles se seleccionarán sobre la base de estedocumento, otros estándares, o pueden diseñarse nuevos controles para satisfacer necesidades específicassegún corresponda.

Los controles deben seleccionarse teniendo en cuenta el costo de implementación en relación con losriesgos a reducir y las pérdidas que podrían producirse de tener lugar una violación de la seguridad.

También deben tenerse en cuenta los factores no monetarios, como el daño en la reputación, y ladisponibilidad de los recursos financieros, que deberán ser aprobados por el Director administrativo delgrupo cuando amerite el caso.

IX. NOTIFICACION DE VIOLACIONES DE SEGURIDAD

Es de carácter obligatorio para todo el personal (Fijo, Contratado) del Grupo Corimon, C.A., la notificacióninmediata de algún problema o violación de la seguridad, del cual fuere testigo; esta notificación deberealizarse por escrito vía correo electrónico a la Gerencia de Control Interno ó la Unidad de SeguridadLógica, este último está en la obligación de realizar las gestiones pertinentes al caso y de ser cierta lasospecha tomar las medidas adecuadas para solventar el incidente.



-----------------------------------------------------------------------------------------------------------------------------------------------------------------


Es responsabilidad de todo empleado que maneje datos o información a través de accesos debidamenteautorizados, el cumplimiento de las políticas de control de acceso, puesto que estas descansan en elestablecimiento de responsabilidades donde se incurra en alguna violación en materia de seguridadacarreando sanciones a quien las haya causado, puesto que esto ocasionaría perjuicios económicos a laorganización de diversa consideración. Es por ello que las personas relacionadas de cualquier forma con losprocesos tecnológicos deben ser conscientes y asumir que la seguridad es asunto de todos y, por tanto, se

debe conocer y respetar las políticas de Seguridad del Grupo.

Está fundamentado como una exigencia que el personal de la organización conozca sus responsabilidades,sanciones y medidas a tomar al momento de incurrir en alguna violación o falta, escrita en la política dedatos corporativos firmado por el empleado ó contratado por Corimon o cualquier empresa del grupo. Poresta razón se entenderá que sólo una adecuada política de seguridad tecnológica apoyará la concientizaciónpara obtener la colaboración de los empleados, haciéndoles conscientes de los riesgos que podemos correry de la importancia del cumplimiento de las Normas en esta materia.



-----------------------------------------------------------------------------------------------------------------------------------------------------------------


X. RESPONSABLES DE LA SEGURIDAD DE LA INFORMACION

En el grupo de Empresas Corimon, será la Gerencia de Control Interno, específicamente la Unidad deSeguridad Lógica quien asumirá la responsabilidad de la seguridad de la información, con el objeto dehomogeneizar y centralizar todo lo relativo al Control de Acceso (Aplicaciones, base de datos, área delcentro de cómputo, sedes administrativas, filiales), resguardo de la información, clasificación y control deactivos de la organización, gestión de seguridad en las redes de comunicaciones y de operaciones,implantar procedimientos de seguridad para la gestión de la continuidad del negocio, seguridad de lainformación en los puestos de trabajo, seguridad en control de cambios, protección de los documentosconfidenciales del grupo, protección contra cuerpos extraños del software en los sistemas de información,monitoreo de la seguridad, identificación y autenticación, utilización de recursos de seguridad, soporte deseguridad (operativa), privacidad y rutas seguras.

Los responsables de seguridad son competentes para resolver todos los problemas que se plantean enrelación con la seguridad en la información en los entornos en que desarrollan su labor.

Sus responsabilidades son las siguientes:

SEGURIDAD EN LOS SISTEMAS DE INFORMACION / PROCESOS AUTOMATIZADOS

Asegurar que la seguridad esté incluida como requerimiento dentro los sistemas en operación.

Prevenir la pérdida, modificación o mal uso de los datos de los usuarios dentro de las aplicaciones.

Garantizar la confidencialidad, autenticidad e integridad de la información.

Asegurar que los proyectos de tecnologías de la información y actividades de soporte sean conducidasen una manera segura.

Incorporar los resultados derivados del análisis de riesgos de los activos de información del negocioinvolucrados en el sistema.

SEGURIDAD EN LA INFRAESTRUCTURA TECNOLOGICA / SOFTWARE

Analizar y especificar los requerimientos de seguridad.

Incorporar mecanismos de control, monitoreo, recuperación y respaldo.

Mantener la seguridad del software de las aplicaciones y sus datos.

Prevenir la pérdida, modificación o mal uso de los datos de los usuarios dentro del centro de cómputo.

Establecer mecanismos de seguridad para las Telecomunicaciones (Enlaces, Transmisiones, Lan,Wan y Telefonía), Base de Datos, Seguridad Física.

Administración del Control de Cambio (programas, tablas, archivos u otros dispositivos de software yhardware).

Monitoreo de programas que administran datos sensibles y riesgosos para la organización.

Prevenir la pérdida, modificación o mal uso de los datos de los usuarios dentro de las aplicaciones.Incluir mensajes de autenticación, alerta y errores.

Garantizar la protección de archivos, utilizando técnicas criptográficas.

Desarrollo de políticas de uso de los controles criptográficos: gestión de las llaves, tamaño adecuadode las llaves, roles y responsabilidades.

Estipular planes de prueba, validación y verificación del buen funcionamiento del software.



-----------------------------------------------------------------------------------------------------------------------------------------------------------------


Implementar un estricto control de acceso sobre los códigos fuentes de los programas.

Utilizar prácticas de manejo de versiones.

Listados de programas deben ser almacenados en ambientes seguros.

Llevar un registro de todos los accesos realizadas a los códigos fuentes de los sistemas.

SEGURIDAD FÍSICA

Objetivos

1. Prevenir accesos no autorizados, daños e interferencias a las posesiones y activos de la organización.

2. Prevenir pérdida, daño o compromiso a los activos de información y la interrupción de las actividadesdel negocio.

3. Prevenir el compromiso o robo de la información y de las facilidades de procesamiento de lainformación.

1. Prevenir accesos no autorizados, daños e interferencias a las posesiones y activos de laorganización

Aseguramiento físico del perímetro alrededor de las posesiones y facilidades de procesamientode la información con el objeto de controlar el acceso y prevenir eventos naturales comoinundaciones e incendios.

Adopción de controles de entrada a áreas físicas.

Los Accesos deben seguir un procedimiento: justificación de ingreso para propósitos permitidos,registro de ingreso y salida, dar a conocer las instrucciones sobre las normas de seguridad en elárea y sobre los procedimientos de emergencia.

Accesos a información sensitiva y a las facilidades de procesamiento de información debe sercontrolada y restringida a personal autorizado por medio de mecanismos de autenticación

adecuados y herramientas de seguridad de accesos.Derechos de acceso a áreas seguras deben ser revisados regularmente y actualizados.

Deben ser dispuestas facilidades de acceso para evitar ingreso del público o empleados noautorizados.

Los edificios deben contar con las condiciones físicas requeridas por los Bomberos a fin degarantizar las condiciones para el procesamiento de datos.

Equipo de soporte (fax, fotocopiadoras, etc.) deben ubicarse apropiadamente para evitar elingreso a áreas seguras.

Puertas y ventanas desatendidas deben ser selladas y protecciones externas deben serconsideradas para las ventanas.

Sistemas de detección de intrusos deben ser dispuestos para cubrir todas las puertas yventanas externas accesibles, áreas no ocupadas y en las salas de máquinas y comunicaciones.

Facilidades de procesamiento de información manejadas por la organización deben estarfísicamente separadas de aquellas manejadas por terceros.

Los directorios internos donde se localizan activos críticos no deben ser accesibles para elpúblico.

Equipos de respaldo y restauración deben localizarse en lugares distintos a donde seencuentran las facilidades que soportan.



-----------------------------------------------------------------------------------------------------------------------------------------------------------------


Personal debe enterarse de las actividades dentro de un área segura a medida que seanecesario conocerlo.

Evitar trabajo no supervisado en áreas seguras.

Áreas seguras sin ocupar deben ser físicamente bloqueadas y revisadas periódicamente.

Acceso de personal de terceros debe ser autorizado sólo cuando está justificado o es requerido.

Este tipo de acceso debe ser autorizado y vigilado.Cualquier equipo de grabación (cámara, video, audio, etc.) no debe ser permitido, a menos quesea autorizado.

Áreas de carga y despacho deben ser vigiladas y, preferiblemente, aisladas de los activos deinformación para evitar accesos no autorizados.

Material que se recibe debe ser inspeccionado y registrado para identificar riesgos potenciales.

2. Prevenir pérdida, daño o compromiso a los activos de información y la interrupción de lasactividades del negocio

Garantizar la ubicación y protección del equipamiento.

La información debe ubicarse en áreas que minimicen el acceso innecesario.

Adoptar controles para minimizar el riesgo de amenazas potenciales como: robo, fuego,explosiones, humo, agua, polvo, vibraciones, interferencias electromagnéticas.

Establecer políticas sobre comer, beber y fumar cerca de los activos de información.

Acondicionamiento y vigilancia de las condiciones ambientales en donde están ubicados losequipos.

Garantizar la provisión de energía eléctrica.

Equipamiento debe ser protegido de fallas de servicio y otras anomalías eléctricas.

Cualquiera de las opciones que se adopten para garantizar la continuidad del servicio eléctrico,deben ser regularmente revisadas y probadas para garantizar el adecuado funcionamiento detales equipos.

Seguridad del cableado eléctrico y de telecomunicaciones

Deben ser protegidos de interferencia y daños.

Adoptar medios de transmisión alternativos.

Equipamiento debe ser puesto en mantenimiento de acuerdo a las especificaciones e intervalosde servicio recomendados por el proveedor.

Únicamente personal autorizado puede llevar a cabo las reparaciones y el servicio demantenimiento.

Deben llevarse registros de todas las fallas ocurridas, así como de las sospechas. Igualmentecon todo el mantenimiento preventivo y correctivo realizado.

Controles y medidas de respaldo deben ser tomadas cuando algún equipo debe ser trasladadopara mantenimiento.

Seguridad en traslado de equipos fuera de la organización.

Deben estar bajo constante vigilancia en lugares públicos.

Deben seguirse las recomendaciones de los fabricantes para el traslado de equipos.

Normas y controles para el traslado de equipos hacia el hogar de los empleados deben serdefinidas.

Deben adquirirse pólizas con cobertura adecuada para cubrir equipos fuera de la organización.

Disposición o re-uso de equipamiento seguro.



-----------------------------------------------------------------------------------------------------------------------------------------------------------------


Debe asegurarse que toda información o software sensitivo sea removido de manerairrecuperable.

3. Prevenir el compromiso o robo de la información y de las facilidades de procesamiento de la

información

Velar por el cumplimiento de la política de escritorios y pantallas vacías para reducir el riesgo deacceso no autorizado, pérdida o daño de la información.

Dispositivos de comunicación desatendidos como fax, telex y teléfonos deben ser protegidos.

Establecer mecanismos de verificación de equipos que entran y salen de la organización paradetectar apropiaciones indebidas de la propiedad.

XI. LA PARTICIPACION DE LA JUNTA DIRECTIVA

Los principios fundamentales y los objetivos que se pretenden cumplir con el establecimiento de la política

de seguridad de la información, es que la Junta Directiva y la Alta gerencia, apruebe los recursostecnológicos (herramientas) y humanos, que apoyarían la gestión de seguridad a fin de mitigar los riesgos alos cuales está expuesta la información que se maneja en toda la organización.

XII. PROPIETARIOS DE LA INFORMACION

Se asigna esta figura a aquel empleado que sea el responsable de la creación o manipulación de lainformación para fines inherentes al negocio sin perjuicio del cliente o de quien sea señalado como elpropietario de la información. Lo usual es que sea un integrante del área en la que se genera la información.Las responsabilidades generales son las siguientes:

Colaborar con los custodios de la información en los controles definidos por el propietario.

Estimar el valor de la información para la organización.

Autorizar cualquier cesión de información a un ente externo.

Autorizar el acceso controlado a los usuarios a la información.

Autorizar el tipo y nivel de acceso a los usuarios que requieren utilizar la información por las funcionesinherentes a su cargo e indicar el lapso de tiempo según sea el caso.

Tomar las medidas adecuadas para evitar que la información se divulgue o use sin autorización.

Cumplir con sus funciones y el manejo de la información según el nivel de acceso que corresponda asu perfil.

Por ningún motivo prestar o transferir su código de usuario a otro empleado que no tuviere los accesospara realizar las funciones, pues este código es intransferible y la violación del mismo traeráconsecuencias, de acuerdo al nivel de gravedad de la violación, desde una suspensión hasta ladesvinculación de la organización.Garantizar el establecimiento y aplicación de los controles establecidos por el propietario de lainformación.

Garantizar el cumplimiento de los acuerdos de nivel de servicio.

Cumplir con la Política de datos corporativos dando el derecho de la privacidad de la información declientes, empleados y el grupo de Empresas.



-----------------------------------------------------------------------------------------------------------------------------------------------------------------


Utilizar el fondo de pantalla, que identifique a CORIMON C.A., y comprometiéndose a no cambiar elmismo.

XIII. USUARIOS DE LA INFORMACION

Esta figura se le asigna a toda persona que siendo empleado o personal externo de La organización, tengaacceso para la manipulación de la información: borrar, modificar, leer o ingresar datos a la informaciónalmacenada en los sistemas informáticos tales como bases de datos, o información general de cualquier otrosistema; este acceso le será otorgado según sus funciones.

Para adquirir acceso bajo un perfil de usuario es necesario contar con la autorización por parte del Gerentede la unidad donde labora el personal, o por delegación de los propietarios de la información, este último sifuere el caso, esta autorización de acceso puede otorgarse de forma individual o por grupo de usuarios, estaúltima es el caso que el grupo de usuario requieran de la disponibilidad de la información para todo el

personal de su área, u otras áreas así como también para toda la organización. El propietario de lainformación según sea el caso puede ser también usuario y por tanto estar sujeto a las mismasresponsabilidades que cualquier otro usuario.

El nivel de acceso que le sea otorgado a los usuarios sólo será a la información vinculada a sus funciones yactividades en la organización que requieran de su manipulación, para un mejor desenvolvimiento deactividades, entre las cuales se pueden citar: captura, modificación, y procesamiento, donde la capacidadpara la manipulación de la data, sólo estará limitada por la autorización que se hubiere otorgado.

XIV. CUSTODIOS DE LA INFORMACION

Este calificativo corresponde al personal o unidades que integran las diferentes áreas de CORIMON C.A.,encargados de proporcionar, facilitar y atender la demanda de servicios informáticos de todo tipo en toda laestructura de la organización. Estos custodios se encargan de gestionar, procesar, y almacenar toda lainformación con el fin de hacerla visible para su manipulación en las diferentes áreas.

Por defecto, la Gerencia de Control Interno, específicamente la Unidad de Seguridad Lógica es el custodiode toda la información existente en soporte informático en el área. En los casos en que esté así previsto,otras áreas y personas pueden actuar como custodios de determinada información.

XV. PERSONAL EXTERNO

El personal externo que le brinde sus servicios al Grupo CORIMON C.A., tendrá acceso restringido, única yexclusivamente a información que no sea considerada como parte del activo más valioso de la organización;de esta forma estaremos exentos de que sea cometida alguna infracción por parte de algún personalexterno.



-----------------------------------------------------------------------------------------------------------------------------------------------------------------


El personal externo no está autorizado para manipular información confidencial, puesto que esta labor debey será realizada sólo por personal empleado con categoría de Confianza.. Dicho esto se entenderá que unempleado al firmar su contrato de compromiso con la organización, estará en la obligación de cumplir con lanormativa de seguridad y a los principios de disponibilidad y confidencialidad de la información.

Para tener un mejor respaldo que nos brinde mayor seguridad en el control de la información por parte del

personal externo, se deberá incluir una cláusula al momento de la firma del contrato que obligue al personalcontratado al cumplimiento de las normas, estándares y políticas del grupo de Empresas en referencia almanejo de la información (Política de datos corporativos ó acuerdo de confidencialidad). Con esta cláusulase da valor y poder al sentido de obligación del cumplimiento por parte del personal externo, y en caso deincurrir en alguna infracción en materia de seguridad, se tomarán las medidas que sean consideradasnecesarias para las sanciones, según sea el caso, bajo el amparo del contrato.

Toda información que se reciba de personas externas a la organización deberá tratarse de acuerdo con loscriterios que nos vengan indicados a la recepción de la misma. En caso de no recibir indicaciones, debentenerse en cuenta los criterios establecidos anteriormente y clasificarla de acuerdo con las categorías en laclasificación de la información, que se menciona a continuación:

XVI. LA INFORMACION Y SU CLASIFICACION

Con la finalidad de establecer políticas que regulen la Seguridad y Protección para toda la informaciónperteneciente al Grupo Crimon, C.A., que se almacene, procese, accese, comunique o transfiera por mediode tecnologías de información y comunicación; a los fines de controlar y minimizar posibles pérdidas,destrucción, divulgación, modificación y uso no autorizado, tanto por empleados de la Organización comode terceras personas, se requiere la clasificación de la misma.

Sobre la base de la prestación de Servicios automatizados y Gestión Interna, la información electrónica enCORIMON, C.A., será clasificada en los siguientes niveles de importancia:

Nro. Clasificación de laInformación

Detalle

1De ConocimientoPúblico

Información electrónica mantenida en Contenidos Web que puedeser accedida y conocida vía Internet por la sociedad en general.

2 De uso InternoInformación electrónica (Ej. Correo electrónico) que se genera ymaneja internamente en el Grupo CORIMON C.A., pero que sudestrucción, modificación, o divulgación a terceros, tantoaccidental como incidental no impacta la Gestión Interna.

3 De Servicio

Información electrónica producto de trámites y transacciones (Ej.solicitudes y aprobaciones de Mercancía, Materiales,, Pagos, etc)de servicio que preste la organización, a sus Clientes y socioscomerciales en general, pero que su destrucción, modificación, odivulgación no autorizada de forma accidental o incidental,impacta negativamente la imagen del servicio.

4 ConfidencialInformación electrónica que se maneje internamente en el Grupo



-----------------------------------------------------------------------------------------------------------------------------------------------------------------


CORIMON, y que su destrucción, modificación, o divulgación noautorizada, tanto accidental como incidental, impactanegativamente la imagen de la Organización o afecta laprestación de servicios y el negocio.

5 ConfidencialRestringida

Información electrónica que se maneje internamente en

CORIMON C.A., y que su destrucción, modificación, o divulgaciónno autorizada, tanto accidental como incidental, impactanegativamente los procesos de categoría riesgosos.

En adición a la clasificación anterior, también se establece la Información Vital; entendida como el conjuntode información requerida por la Organización para la administración segura. Esta Información puede ser: de“Servicio”, “Confidencial” y “Confidencial Restringida”.

Toda área del Grupo de Empresas, donde se use Tecnología de Información para procesar, almacenar ycomunicar información electrónica clasificada como de “Servicio”, “Confidencial” y “ConfidencialRestringida”; deberá poseer adecuados mecanismos de seguridad y control que garanticen la protección yresguardo de los recursos tecnológicos y de comunicación.

A continuación se detallan las medidas de seguridad mínimas para cada tipo de información. Estas medidasconstituyen normas y obligaciones en lo que se refiere a materias informáticas, siendo orientadas en lo quese refiere a tratamiento no informático:

Interna ConfidencialConfidencialRestringida

Identificación

Debe ir en primerapágina o portada. Puedecopiarse libremente

Debe ir en primerapág. Las copias sólopueden realizarse conautorización delpropietario.

Sello en todas las páginas.Páginas numeradas y connúmero total de páginas. Nopuede copiarse.

Distribución /correo

Electrónico

Interna, sólo dentro de laorganización

Personas autorizadas.Cabe unaidentificación general.

Personas concretas. Registro deejemplares. Debe haber lista dedistribución.

Correo FísicoUtilizar Sobre Sobre con

identificación“Personal” o similar

Entrega personal y certificación.Doble sobre y sello de garantíaen interior.

Transmisiónelectrónica /

Autorizada Permitida en el interiorde la organización. Enel exterior, encriptada.

Encriptación obligatoria.Confirmación de recepción. Nousar nunca fax.

ConservaciónImpedir acceso apersonas no autorizadas

Bajo llave. Protegidaen caso de soportemagnéticos-óptico.

En caja fuerte. No transportar,salvo casos excepcionales.

Destrucción

Romper papel. Borradofísico de cintas u otrosdispositivos dealmacenamiento.

Destructora de papel.Borrado físico decintas u otrosdispositivos dealmacenamiento.

Destructora de papel. Borradofísico de cinta u otrosdispositivos de almacenamiento.Bajo supervisión autorizada..

Conectividad

Sólo por Internet yprotegida con firewall

Por Intranet bajoprotección de firewall

Cuando sea por intercambio detrámites administrativos, debeser: vía extranet, con protecciónde firewall y con el uso de firmasy certificación de datoselectrónicos.



-----------------------------------------------------------------------------------------------------------------------------------------------------------------


Interconexióny Colaboratividad

Vía Internet y sólo haciaotras páginas Web deEmpresas del grupo.

Vía extranet y conprotección de firewall,cuando la requieranotras Empresas delGrupo.

Cuando sea por intercambio deservicios de trámitesadministrativos, debe ser: víaextranet, con protección defirewall y con el uso de firmas ycertificación de datos

electrónicos y encriptada .Ambos casos requierenautorización gerencial.



-----------------------------------------------------------------------------------------------------------------------------------------------------------------


PAUTAS DE CLASIFICACIÓN

Las clasificaciones y controles de protección asociados a la información en el Grupo de EmpresasCORIMON, C.A., deben estar relacionadas con las necesidades de distribución (uso compartido) orestricción de la información, y de la incidencia de dichas necesidades en las actividades de la Organización.Así mismo, podría resultar conveniente rotular la información según su grado de criticidad, (ejemplo: en

términos de integridad y disponibilidad).

Frecuentemente, la información deja de ser sensible o crítica después de un cierto período de tiempo,cuando la información se ha hecho pública. Estos aspectos deben tenerse en cuenta, puesto que laclasificación por exceso puede traducirse en gastos adicionales innecesarios para la organización.

La responsabilidad por la definición de la clasificación de un ítem de información, (ejemplo: un documento,registro de datos, archivo de datos o cualquier unidad de almacenamiento), y por la revisión periódica dedicha clasificación, debe ser asignada al creador o propietario designado de la información.

SANCIONES

Todos los empleados y personal contratado deben conocer y comprometerse formalmente a cumplir laclasificación de la información, así como la normativa y estándares que de ella se desprendan; comunicandooportunamente a su inmediato superior cuando observe su incumplimiento por parte de otros empleados oterceros. El incumplimiento de este procedimiento de seguridad, protección y control a la informaciónelectrónica, darán origen a la aplicación de sanciones internas, así como las previstas en la normativa legalvigente que rige esta materia y en la política corporativa que firman los empleados del Grupo CORIMON,C.A., al momento de su incorporación a la plantilla de la Organización.

XVII. REQUERIMIENTOS DE SEGURIDAD EN CONTRATOS CON TERCEROS

Todo Contrato de Servicio a ser firmado entre las Empresas filiales del Grupo CORIMON, C.A. y un tercerodebe contener la siguiente información:

Cumplimiento de los requisitos legales, (ejemplo: la legislación sobre protección de datos, propietariode la información).

Disposiciones que garanticen que todas las partes involucradas en el servicio del outsourcing,incluyendo los subcontratistas, estarán al corriente de sus responsabilidades en materia de seguridad.

Mantener y comprobar la integridad y confidencialidad de los activos de información de laOrganización.

Establecer los controles físicos y lógicos que se utilizarán para restringir y delimitar el acceso de losusuarios a la información sensible de la organización.

Cláusula de mantenimiento de la disponibilidad de los servicios ante la ocurrencia de desastres.

El mismo debe permitir la ampliación de los requerimientos y procedimientos de seguridad en un plande administración de la seguridad a ser acordado entre las partes.



-----------------------------------------------------------------------------------------------------------------------------------------------------------------




-----------------------------------------------------------------------------------------------------------------------------------------------------------------


XVIII. CLASIFICACIÓN Y CONTROL DE ACTIVOS

RESPONSABILIDAD POR RENDICION DE CUENTAS DE LOS ACTIVOS

La Gerencia Corporativa de TI debe rendir cuentas por todos los recursos tecnológicos que existen en el

Grupo de Empresas CORIMON C.A., que dan soporte a la información importante y la Unidad de SeguridadLógica en conjunto con la Unidad de Activos Fijos de la Gerencia de Contabilidad debe designar unpropietario para cada uno de ellos.

La rendición de cuentas debe garantizar que se mantenga una adecuada protección. Se deben identificar alos propietarios para todos los activos importantes y debe asignarse la responsabilidad por el mantenimientode los controles apropiados. La responsabilidad por la implementación de los controles puede ser delegada.En último término, el propietario designado del activo debe rendir cuentas por el mismo.

INVENTARIO DE ACTIVOS

La Gerencia Corporativa de TI junto a la Unidad de Activos Fijos, debe tener un inventario de los activos

ayudando a garantizar la vigencia de una protección eficaz de los recursos, y también pueden ser necesariospara otros propósitos de la organización. El proceso de compilación del inventario de activos es un aspectoimportante para las áreas de Seguridad y Control Interno. El inventario debe contener la capacidad deidentificar los activos y el valor relativo e importancia de los mismos. Con la base de esta información, laGerencia de Control Interno asignará los niveles de clasificación de la información a los activos informáticos,para así mantener un inventario de los activos importantes asociados a cada sistema de información. Porejemplo:

Recursos de Información: bases de datos y archivos, documentación de sistemas, manuales de procesos,manuales de usuario, material de capacitación, procedimientos operativos o de soporte, planes decontinuidad, disposiciones relativas a sistemas de emergencia para la reposición de información pérdidainformación archivada.

Recursos de software: software de aplicaciones, software de sistemas, herramientas de desarrollo yutilitarios.

Activos físicos: equipamiento informático (procesadores, monitores, computadoras portátiles, módems),equipos de comunicaciones (routers, Firewall), medios magnéticos (cintas y discos), otros equipos técnicos(suministro de electricidad, unidades de aire acondicionado), plantas eléctricas, cuarto de baterías.

XIX. SEGURIDAD DEL PERSONAL

Las funciones y responsabilidades en materia de seguridad, están documentadas en la presente política, ydeben ser documentadas según corresponda. Estas deben incluir las responsabilidades generales para laimplementación o el mantenimiento de la política de seguridad, así como las responsabilidades específicaspara la protección de cada uno de los activos, o por la ejecución de procesos o actividades de seguridad

específicos.



-----------------------------------------------------------------------------------------------------------------------------------------------------------------


SELECCIÓN Y POLÍTICA DE PERSONAL TALENTO HUMANO.

Se deben llevar a cabo controles de verificación del personal permanente en el momento en que se solicitael cargo. Estos deben incluir los siguientes:

a. Política de datos corporativos.b. Una comprobación (de integridad y veracidad) del Currículo Vitae del aspirante.c. Verificación de la identidad (documentos que lo soporten).

Cuando se otorga un cargo, por asignación inicial o por promoción, involucra a una persona que tieneacceso a las instalaciones de procesamiento de información, y en particular si éstas manejan informaciónsensible, (ejemplo: información financiera o altamente confidencial). En el caso del personal con posicionesde jerarquía considerable, esta verificación debe repetirse periódicamente. Es una tarea recurrente que elárea de Talento humano, envíe diariamente la notificación de egresado a la Unidad de Seguridad Lógica y laSuperintendencia de Infraestructura y Soporte, adicionalmente al listado mensual, a fin de efectuar elmantenimiento adecuado.

Un proceso de selección similar debe llevarse a cabo con contratistas y personal temporal, cuando éste esprovisto a través de una agencia, el contrato celebrado con la misma debe especificar claramente lasresponsabilidades de la agencia por la selección y los procedimientos de notificación que ésta debe seguir sila selección no ha sido efectuada o si los resultados originan dudas o inquietudes.

Los Gerentes, Superintendentes, Unidades Administrativas, Financieras, Contables, Tecnológicas yAuditoras, deben estar conscientes de que las circunstancias personales de sus empleados pueden afectarsu trabajo. Los problemas personales o financieros, los cambios en su conducta o estilo de vida, lasausencias recurrentes y la evidencia de stress o depresión pueden conducir a fraudes, robos, errores u otrasimplicaciones que afecten la seguridad. Esta información debe manejarse de acuerdo con la legislaciónpertinente que rija en la jurisdicción del caso.

POLITICA DE DATOS CORPORATIVOS.

Los acuerdos de confidencialidad o no divulgación se utilizan para reseñar que la información es confidencialo secreta. Los empleados deben firmar habitualmente un acuerdo de esta índole como parte de sustérminos y condiciones iníciales de empleo.

El personal ocasional y los usuarios externos aún no contemplados en un contrato formalizado (quecontenga la Política de datos corporativos) deberán firmar el acuerdo mencionado antes de que se lesotorgue acceso a las instalaciones de procesamiento de información.

Los acuerdos de confidencialidad deben ser revisados cuando se producen cambios en los términos ycondiciones de empleo o del contrato, en particular cuando el empleado está próximo a desvincularse de laorganización o el plazo del contrato está por finalizar.

XX. CAPACITACION DEL USUARIO

La Gerencia de Control Interno a través del área de Talento Humano y las unidades usuarias debengarantizar que los usuarios estén al corriente de las amenazas e incumbencias en materia de seguridad de



-----------------------------------------------------------------------------------------------------------------------------------------------------------------


la información, y estén capacitados para respaldar la política de seguridad del Grupo CORIMON en eltranscurso de sus tareas normales. Los usuarios deben estar capacitados en relación con los procedimientosde seguridad y el correcto uso de las instalaciones de procesamiento de información, a fin de minimizareventuales riesgos de seguridad.

XXI. RESPUESTA A INCIDENTES Y ANOMALÍAS EN MATERIA DE SEGURIDADSe debe concienciar a todos los empleados y contratistas acerca de los procedimientos de comunicación delos diferentes tipos de incidentes (violaciones, amenazas, debilidades o anomalías en materia de seguridad)que podrían producir un impacto en la seguridad de los activos de la organización.

Se debe requerir que los mismos comuniquen cualquier incidente advertido o supuesto al punto de contactodesignado tan pronto como sea posible. La Gerencia de Normalización, la Gerencia Corporativa de TI y laGerencia de Talento humano deben establecer conjuntamente con la Gerencia de Control Interno unproceso disciplinario formal para ocuparse de los empleados que realicen violaciones de la seguridad.

Para lograr abordar debidamente los incidentes podría ser necesario recolectar evidencia tan pronto como

sea posible una vez ocurrido el hecho, es importante resaltar que los incidentes que afectan la seguridaddeben ser comunicados mediante canales gerenciales adecuados tan pronto como sea posible, a la gerenciade control interno.

COMUNICACIÓN DE ANOMALÍAS DEL SOFTWARE

Las unidades usuarias deben informar cuando exista una anomalía del software. Se deben considerar lassiguientes acciones:

1. Deben advertirse y registrarse los síntomas del problema y los mensajes que aparecen en pantalla.

2. La computadora debe ser aislada, si es posible, y debe detenerse el uso de la misma. Se debe alertarde inmediato a la persona pertinente (Superintendencia de Infraestructura y Soporte). Si se ha de

examinar el equipo, éste debe ser desconectado de las redes de la organización antes de ser activadonuevamente. El asunto debe ser comunicado inmediatamente a la Unidad de Seguridad Lógica.

Los usuarios no deben quitar el software que supuestamente tiene una anomalía, a menos que esténautorizados a hacerlo. La recuperación debe ser realizada por personal adecuadamente capacitado yexperimentado, en este caso la Superintedencia de Infraestructura y Soporte.

XXII. SEGURIDAD FISICA

AREAS SEGURAS

La gerencia corporativa de TI, debe garantizar que las instalaciones de procesamiento de información críticao sensible para toda la Organización estén ubicadas en áreas protegidas y resguardadas por un perímetrode seguridad definido, con vallas de seguridad y controles de acceso apropiados. Deben estar físicamenteprotegidas contra accesos no autorizados, daños e intrusiones. La Gerencia de Control Interno, realizaráevaluaciones para validar que existan las medidas necesarias en las áreas antes descritas



-----------------------------------------------------------------------------------------------------------------------------------------------------------------


La protección provista debe ser proporcional a los riesgos identificados. Se recomienda la implementaciónde políticas de escritorios y pantallas limpios, para reducir el riesgo de acceso no autorizado o de daño apapeles, medios de almacenamiento e instalaciones de procesamiento de información.

PERIMETRO DE SEGURIDAD FISICA

La Gerencia Corporativa de TI debe crear barreras físicas alrededor de las sedes de donde se encuentraninfraestructura de servicios de sistemas y procesamiento de información. Cada barrera establece unperímetro de seguridad, cada uno de los cuales incrementa la protección total provista.

a. El perímetro de seguridad debe estar claramente definido.

b. El perímetro de un edificio o área que contenga instalaciones de procesamiento de información debeser físicamente sólido (ejemplo: no deben existir claros [o aberturas] en el perímetro o áreas dondepueda producirse fácilmente una interrupción). Las paredes externas del área deben ser deconstrucción sólida y todas las puertas que comunican con el exterior deben ser adecuadamente

protegidas contra accesos no autorizados, (ejemplo: mediante mecanismos de control, vallas, alarmas,cerraduras, etc.).

c. Debe existir un área de recepción atendida por personal u otros medios de control de acceso físico alárea o edificio. El acceso a las distintas áreas y edificios debe estar restringido exclusivamente alpersonal autorizado.

d. Las barreras físicas deben, si es necesario, extenderse desde el piso (real) hasta el techo (real), a finde impedir el ingreso no autorizado y la contaminación ambiental, por ejemplo, la ocasionada porincendio e inundación.

e. Todas las puertas de incendio de un perímetro de seguridad deben tener alarma y cerrarse

automáticamente.

CONTROLES DE ACCESO FISICO

La Gerencia Corporativa de tecnología de Información debe garantizar el controlado acceso a la sala dondese encuentran los dispositivos de hardware y software críticos para la organización. Se debe tener en cuentalos siguientes controles:

a. Los visitantes de áreas protegidas deben ser supervisados o inspeccionados y la fecha y horario de suingreso y egreso deben ser registrados. Sólo se debe permitir el acceso a los mismos con propósitosespecíficos y autorizados, instruyéndose en dicho momento al visitante sobre los requerimientos deseguridad del área y los procedimientos de emergencia.

b. El acceso a la información sensible, y a las instalaciones de procesamiento de información, debe sercontrolado y limitado exclusivamente a las personas autorizadas. Se deben utilizar controles deautenticación, (ejemplo: tarjeta y número de identificación personal (PIN), para autorizar y validar todoslos accesos). Debe mantenerse una pista protegida que permita auditar todos los accesos.



-----------------------------------------------------------------------------------------------------------------------------------------------------------------


c. Se requiere que todo el personal exhiba alguna forma de identificación visible y se le debe alentar acuestionar la presencia de desconocidos no escoltados y a cualquier persona que no exhiba unaidentificación visible.

d. Se deben revisar y actualizar periódicamente los derechos de acceso a las áreas protegidas.



-----------------------------------------------------------------------------------------------------------------------------------------------------------------


DESARROLLO DE TAREAS EN AREAS PROTEGIDAS

Cuando en cualquier de las Empresas del Grupo CORIMON C.A., existan desarrollos de tareas en áreasprotegidas se debe incrementar la seguridad y pueden requerirse controles y lineamientos adicionales. Estoincluye controles para el personal o terceras partes que trabajan en el área protegida, así como para lasactividades de terceros que tengan lugar allí. Se deberán tener en cuenta los siguientes puntos:

a. El personal sólo debe tener conocimiento de la existencia de un área protegida, o de las actividadesque se llevan a cabo dentro de la misma, según el criterio de necesidad de conocer.

b. Se debe evitar el trabajo no controlado en las áreas protegidas tanto por razones de seguridad comopara evitar la posibilidad de que se lleven a cabo actividades maliciosas.

c. Las áreas protegidas desocupadas deben ser físicamente bloqueadas y periódicamenteinspeccionadas, por la Gerencia de Control Interno y de Seguridad Integral.

d. El personal del servicio de soporte externo debe tener acceso limitado a las áreas protegidas o a las

instalaciones de procesamiento de información sensible. Este acceso debe ser otorgado solamentecuando sea necesario y debe ser autorizado y monitoreado. Pueden requerirse barreras y perímetrosadicionales para controlar el acceso físico entre áreas con diferentes requerimientos de seguridad, yque estén ubicadas dentro del mismo perímetro de seguridad.

FUGA DE INFORMACIÓN

Directrices para la implementación

Lo siguiente debería de considerarse para limitar el riesgo de fuga de información, por ejemplo, a través dela utilización y explotación de canales encubiertos:

a) Explotación de medios y comunicaciones de salida para ocultar la informaciónb) Enmascarar y modular el comportamiento de sistemas y comunicaciones para reducir la probabilidad

de que una tercera parte sea capaz de deducir información de tal comportamientoc) Hacer uso de sistemas y software que son considerados de alta integridadd) Seguimiento regular del personal y las actividades del sistema, cuando sea permitido bajo la

legislación y reglamentación vigentes.e) Seguimiento a la utilización de los recursos de computación

Los canales encubiertos son rutas las cuales no están previstas para conducir flujos de información, pero sinembargo pueden existir en un sistema o red. Por ejemplo, manipulación de los bits en paquetes deprotocolos de comunicación podría utilizarse como un método oculto de señalización. Por su naturaleza,prevenir la existencia de todos los canales encubiertos posibles podría ser difícil, pero no imposible. Sinembargo, explotación de tales canales es llevada a cabo por el código troyano.

AISLAMIENTO DE LAS AREAS DE ENTREGA Y CARGA

Las áreas de entrega y carga deben ser controladas y, si es posible, estar aisladas de las instalaciones deprocesamiento de información, a fin de impedir accesos no autorizados. Los requerimientos de seguridad de



-----------------------------------------------------------------------------------------------------------------------------------------------------------------


dichas áreas deben ser determinados mediante una evaluación de riesgos. Se deben tener en cuenta lossiguientes lineamientos:

a. El acceso a las áreas de depósito, desde el exterior de la sede de la organización, debe estar limitadoa personal que sea previamente identificado y autorizado.

b. El área de depósito debe ser diseñada de manera tal que los suministros puedan ser descargados sinque el personal que realiza la entrega acceda a otros sectores del edificio.

c. Todas las puertas exteriores de un área de depósito deben ser aseguradas cuando se abre la puertainterna.

d. El material entrante debe ser inspeccionado para descartar peligros potenciales antes de sertrasladado desde el área de depósito hasta el lugar de uso.

XXIII. SEGURIDAD DEL EQUIPAMIENTO

La Gerencia Corporativa de TI debe garantizar la protección del equipamiento (incluyendo el que se utilizaen forma externa) para reducir el riesgo de acceso no autorizado a los datos y para prevenir pérdidas odaños. Esto también debe tener en cuenta la ubicación y disposición equipamiento. Pueden requerirsecontroles especiales para prevenir peligros o accesos no autorizados, y para proteger instalaciones desoporte, como la infraestructura de cableado y suministro de energía eléctrica.

A fin de garantizar que el equipamiento debe ser ubicado o protegido de tal manera que se reduzcan losriesgos ocasionados por amenazas y peligros ambientales, y oportunidades de acceso no autorizado. Sedeben tener en cuenta los siguientes puntos:

a. El equipamiento debe ser ubicado en un sitio que permita minimizar el acceso innecesario a las áreasde trabajo.

b. Las instalaciones de procesamiento y almacenamiento de información, que manejan datos sensibles,deben ubicarse en un sitio que permita reducir el riesgo de falta de supervisión de las mismas durantesu uso.

c. Los ítems que requieren protección especial deben ser aislados para reducir el nivel general deprotección requerida.

d. Se deben adoptar controles para minimizar el riesgo de amenazas potenciales, de: robo, incendio,explosivos, humo, agua (o falta de suministro), polvo, vibraciones, efectos químicos, interferencia en elsuministro de energía eléctrica.

La Gerencia Corporativa de TI y Talento Humano de CORIMON, C.A. debe analizar su política respecto acomer, beber y fumar cerca de las instalaciones de procesamiento de información.

Se deben monitorear las condiciones ambientales para verificar que las mismas no afecten de maneraadversa el funcionamiento de las instalaciones de procesamiento de la información.



-----------------------------------------------------------------------------------------------------------------------------------------------------------------


Se debe considerar el impacto de un eventual desastre que tenga lugar en zonas próximas a las sedes delGrupo de Empresas, (ejemplo: un incendio en un edificio cercano, la filtración de agua desde el cielo raso oen pisos por debajo del nivel del suelo o una explosión en la calle).

SUMINISTROS DE ENERGIA

La Gerencia Corporativa de TI en conjunto con la Gerencia de mantenimiento, debe garantizar la atenciónde las posibles fallas en el suministro de energía u otras anomalías eléctricas. Se debe contar con unadecuado suministro de energía que esté de acuerdo con las especificaciones del fabricante o proveedor delos equipos. Entre las alternativas para asegurar la continuidad del suministro de energía podemos enumerarlas siguientes:

1. Múltiples bocas de suministro para evitar un único punto de falla en el suministro de energía

2. Plantas Eléctricas.

3. Cuarto de Baterías.

Se recomienda una planta eléctrica para asegurar el apagado regulado ó sistemático, o la ejecución continuadel equipamiento que sustenta las operaciones críticas de la organización.

Los planes de contingencia deben contemplar las acciones que han de emprenderse ante una falla de unaplanta eléctrica.

Así mismo, los interruptores de emergencia deben ubicarse cerca de las salidas de emergencia de las salasdonde se encuentra el equipamiento, a fin de facilitar un corte rápido de la energía en caso de producirseuna situación crítica. Se debe proveer de iluminación de emergencia en caso de producirse una falla en elsuministro principal de energía. Se debe implementar protección contra rayos en todos los edificios y sedeben adaptar filtros de protección contra rayos en todas las líneas de comunicaciones externas.

SEGURIDAD DEL CABLEADO

El cableado de energía eléctrica y de comunicaciones que transporta datos o brinda apoyo a los servicios deinformación debe ser protegido contra interceptación o daño. Se deben tener en cuenta los siguientescontroles:

a. Las líneas de energía eléctrica y telecomunicaciones que se conectan con las instalaciones deprocesamiento de información deben ser subterráneas, siempre que sea posible, o sujetas a unaadecuada protección alternativa.

b. El cableado de red debe estar protegido contra interceptación no autorizada o daño, por ejemplomediante el uso de conductos o evitando trayectos que atraviesen áreas públicas.

c. Los cables de energía deben estar separados de los cables de comunicaciones para evitarinterferencias.



-----------------------------------------------------------------------------------------------------------------------------------------------------------------


MANTENIMIENTO DE EQUIPOS

El equipamiento debe mantenerse en forma adecuada para asegurar que su disponibilidad eintegridad sean permanentes. Se deben considerar los siguientes lineamientos:

a. El equipamiento debe mantenerse de acuerdo con los intervalos servicio y especificacionesrecomendados por el proveedor.

b. Sólo el personal de mantenimiento autorizado puede brindar soporte y llevar a caboreparaciones en el equipamiento.

c. Se deben mantener registros de todas las fallas supuestas o reales y de todo el mantenimientopreventivo y correctivo.

d. Deben implementarse controles cuando se retiran equipos de la sede de la Organización parasu mantenimiento con respecto a (borrado permanente y sobre escritura de datos). Se debecumplir con todos los requisitos impuestos por las pólizas de seguro.

SEGURIDAD DEL EQUIPAMIENTO FUERA DEL AMBITO DE CORIMON, C.A.

El uso de equipamiento destinado al procesamiento de información, fuera del ámbito de laOrganización, debe ser autorizado por el nivel gerencial de tecnología.

Se deben considerar los siguientes lineamientos:

a. El equipamiento y dispositivos retirados del ámbito de la organización no deben permanecerdesatendidos en lugares públicos. Las computadoras personales deben ser transportadas comoequipaje de mano.

b. Se deben respetar permanentemente las instrucciones del fabricante, (ejemplo: protección porexposición a campos electromagnéticos fuertes).

c. Los controles de trabajo en domicilio deben ser determinados a partir de un análisis de riesgo yse aplicarán controles adecuados según corresponda, (ejemplo: gabinetes de archivo concerradura, política de escritorios limpios y control de acceso a computadoras).

d. Una adecuada cobertura de seguro debe estar en orden para proteger el equipamiento fuera delámbito de la organización.

XXIV. CONTROLES GENERALES

La Gerencia Corporativa de TI conjuntamente con la Gerencia de Control Interno debe garantizar que

las instalaciones de procesamiento de la información y la información deben ser protegidas contra ladivulgación, modificación o robo por parte de personas no autorizadas, debiéndose implementarcontroles para minimizar pérdidas o daños.



-----------------------------------------------------------------------------------------------------------------------------------------------------------------


POLITICAS DE ESCRITORIOS Y PANTALLAS LIMPIAS

Existe un logo estándar, que identifica al grupo de Empresas CORIMON, este debe ser respetado entodas las estaciones de trabajo, se debe considerar la adopción de una política de escritorios limpiospara proteger documentos en papel y dispositivos de almacenamiento removibles y una política depantallas limpias en las instalaciones de procesamiento de información, a fin de reducir los riesgos de

acceso no autorizado, pérdida y daño de la información durante el horario normal de trabajo y fueradel mismo.

Se deben aplicar los siguientes lineamientos:

a. Cuando corresponda, los documentos en papel y los medios informáticos deben seralmacenados bajo llave en gabinetes y/u otro tipo de mobiliario seguro cuando no están siendoutilizados, especialmente fuera del horario de trabajo.

b. La información sensible o crítica de la organización debe guardarse bajo llave (preferentementeen una caja fuerte o gabinete a prueba de incendios) cuando no está en uso, especialmentecuando no hay personal en la oficina.

c. Las computadoras personales, terminales e impresoras no deben dejarse conectadas cuandoestán desatendidas y las mismas deben ser protegidas mediante cerraduras de seguridad,contraseñas u otros controles cuando no están en uso.

d. La información sensible o confidencial, una vez impresa, debe ser retirada de la impresorainmediatamente.



-----------------------------------------------------------------------------------------------------------------------------------------------------------------


XXV. GESTION DE COMUNICACIONES Y OPERACIONES

PROCEDIMIENTOS Y RESPONSABILIDADES OPERATIVAS

La Gerencia Corporativa de TI debe garantizar el funcionamiento correcto y seguro de las instalaciones de

procesamiento de la información, estableciendo responsabilidades y procedimientos para la gestión yoperación de todas las instalaciones de procesamiento de información. Esto incluye el desarrollo deinstrucciones operativas y procedimientos apropiados de respuesta a incidentes.

DOCUMENTACION DE LOS PROCEDIMIENTOS OPERATIVOS

La Superintendencia de Infraestructura y Soporte, debe documentar y mantener los procedimientosoperativos identificados y los mismos deben ser tratados como documentos formales y los cambios serautorizados por el nivel gerencial.

Los procedimientos deben especificar las instrucciones para la ejecución detallada de cada tarea, coninclusión de:

a. Procesamiento y manejo de la información.

b. Requerimientos de programación incluyendo interdependencias con otros sistemas, tiempos de iniciode primeras tareas y tiempos de terminación de últimas tareas.

c. Instrucciones para el manejo de errores u otras condiciones excepcionales que podrían surgir durantela ejecución de tareas, incluyendo restricciones en el uso de utilitarios del sistema.

d. Personas de soporte a contactar en caso de dificultades operativas o técnicas imprevistas.

e. Instrucciones especiales para el manejo de salidas, como el uso de papelería especial o laadministración de salidas confidenciales, incluyendo procedimientos para la eliminación segura desalidas de tareas fallidas.

Adicionalmente se debe preparar documentación sobre procedimientos referidos a actividades demantenimiento del sistema, relacionadas con las instalaciones de procesamiento de información ycomunicaciones, tales como los procedimientos de inicio y cierre, resguardo, mantenimiento de equipos,salas de cómputos y administración y seguridad del manejo de correo.

CONTROL DE CAMBIOS EN LAS OPERACIONES

La Gerencia Corporativa de TI debe controlar los cambios en los sistemas e instalaciones de procesamientode información. El control inadecuado de estos cambios es una causa común de las fallas de seguridad y desistemas, a través de registros y Log de auditoría que permitan evidenciar los responsables de los cambiosefectuados a nivel de base de datos, aplicaciones, interfaces, programas, tablas, sistemas operativos yrutinas de sistemas.

La Gerencia Corporativa de TI, debe implementar responsabilidades y procedimientos gerenciales formalespara garantizar un control satisfactorio de todos los cambios en el equipamiento, el software o losprocedimientos. Los programas operativos deben estar sujetos a un control estricto de los cambios. Cuandose cambian los programas, se debe retener un registro de auditoría que contenga toda la informaciónrelevante.



-----------------------------------------------------------------------------------------------------------------------------------------------------------------


Los cambios en el ambiente operativo pueden tener impacto en las aplicaciones. Siempre que sea factible,los procedimientos de control de cambios en las operaciones y aplicaciones deben estar integrados enparticular, se deben considerar los siguientes ítems:

a. Identificación y registro de cambios significativos.

b. Evaluación del posible impacto de dichos cambios.

c. Procedimiento de aprobación formal de los cambios propuestos.d. Comunicación de detalles de cambios a todas las personas pertinentes.

e. Procedimientos que identifican las responsabilidades por la cancelación de los cambios fallidos y larecuperación respecto de los mismos.

PROCEDIMIENTOS DE MANEJO DE INCIDENTES

La Gerencia Corporativa de TI debe establecer procedimientos y responsabilidades para el manejo deincidentes a fin de garantizar una respuesta rápida, eficaz y sistemática a los incidentes relativos aseguridad. Se deben considerar los siguientes controles.

a. Se deben establecer procedimientos que contemplen todos los tipos probables de incidentes relativosa seguridad, incluyendo:

Fallas en los sistemas de información y pérdida del servicio

Negación del servicio

Errores ocasionados por datos comerciales incompletos o inexactos

Violaciones de la confidencialidad

b. Además de los planes de contingencia normales (diseñados para recuperar sistemas y servicios tanpronto como sea posible), los procedimientos también deben contemplar:

Análisis e identificación de la causa del incidentePlanificación e implementación de soluciones para evitar la repetición del mismo, si resultanecesario

Recolección de pistas de auditoría y evidencia similar

Comunicación con las personas afectadas o involucradas con la recuperación, del incidente

Notificación de la acción a la autoridad pertinente

c. Análisis de problemas internos:

Sólo se otorga acceso a los sistemas y datos existentes al personal claramente identificado yautorizado en relación con el acceso de terceros)

d. Las acciones de emergencia se comunican a la gerencia y se revisan sistemáticamente



-----------------------------------------------------------------------------------------------------------------------------------------------------------------


SEGREGACION DE FUNCIONES

La Gerencia de Control Interno debe garantizar la segregación de funciones operativas, tecnológicas y decontrol, a fin de reducir el riesgo por el mal uso, accidental o deliberado del sistema. Se debe considerar lasegregación de la gestión o ejecución de ciertas tareas o áreas de responsabilidad, a fin de reducir lasoportunidades de modificación no autorizada o mal uso de la información o los servicios.

ADMINISTRACION DE INSTALACIONES EXTERNAS

El empleo de un personal externo u outsourcing que se encargue de la administración de las instalacionesde procesamiento de información puede introducir potenciales exposiciones al riesgo en materia deseguridad, como la posibilidad de compromiso, daño o pérdida de datos en la sede del contratista. Estosriesgos deben ser identificados con anticipación, y deben acordarse controles adecuados con el contratista eincluirse en el contrato.

Se deben abordar, entre otras, las siguientes cuestiones específicas:

a. Identificar las aplicaciones sensibles o críticas que convienen retener en el Grupo de Empresas.b. Asignación de responsabilidades específicas y procedimientos para monitorear con eficacia todas las

actividades de seguridad pertinentes.

c. Responsabilidades y procedimientos de comunicación y manejo de incidentes relativos a la seguridad.

PLANIFICACIÓN Y APROBACION DE SISTEMAS

La Gerencia Corporativa de TI debe realizar proyecciones para futuros requerimientos de capacidad, a fin dereducir el riesgo de sobrecarga del sistema. Se deben establecer, documentar y probar los requerimientosoperativos de nuevos sistemas antes de su aprobación y uso.

PLANIFICACIÓN DE LA CAPACIDAD

Las Superintendencia de Infraestructura y Soporte, deben monitorear las demandas de capacidad y realizarproyecciones de los futuros requerimientos, a fin de garantizar la disponibilidad del poder de procesamientoy almacenamiento adecuados. Estas proyecciones deben tomar en cuenta los nuevos requerimientos denegocios de la organización y las tendencias actuales y proyectadas en el procesamiento de la información..

Los gerentes deben utilizar esta información para identificar y evitar potenciales cuellos de botella quepodrían plantear una amenaza a la seguridad del sistema o a los servicios del usuario, y planificar unaadecuada acción correctiva.

APROBACION DEL SISTEMA

La Gerencia Corporativa de TI, a través de los comités ejecutivos y de tecnología, debe establecer criteriosde aprobación para nuevos sistemas de información, actualizaciones ("upgrades") y nuevas versiones, y sedeben llevar a cabo adecuadas pruebas de los sistemas antes de su aprobación. Los gerentes usuariosdeben garantizar que los requerimientos y criterios de aprobación de nuevos sistemas sean claramentedefinidos, acordados, documentados y probados.



-----------------------------------------------------------------------------------------------------------------------------------------------------------------


Para los principales nuevos desarrollos, las funciones y usuarios de operaciones deben ser consultados entodas las etapas del proceso de desarrollo para garantizar la eficiencia operativa del diseño propuesto delsistema. Deben llevarse a cabo pruebas apropiadas para constatar el cumplimiento cabal de todos loscriterios de aprobación.



-----------------------------------------------------------------------------------------------------------------------------------------------------------------


PROTECCION CONTRA SOFTWARE MALICIOSO

La Gerencia de Control Interno, debe concientizar a los usuarios acerca de los peligros del software noautorizado o malicioso, y los administradores de los servidores deben, cuando corresponda, introducircontroles especiales para detectar o prevenir la presencia de los mismos.. En particular, es esencial que se

tomen precauciones para detectar y prevenir virus informáticos en computadoras personales.

CONTROLES CONTRA SOFTWARE MALICIOSO

Se deben implementar controles de detección y prevención para la protección contra software malicioso, yprocedimientos adecuados de concientización de usuarios. La protección contra software malicioso debebasarse en la concientización en materia de seguridad y en controles adecuados de acceso al sistema yadministración de cambios.

Se deben tener en cuenta los siguientes controles:

a. Una política formal que requiera el uso de software con licencia y prohíba el uso de software noautorizado

b. Una política formal con el fin de proteger contra los riesgos relacionados con la obtención de archivosy software desde o a través de redes externas, o por cualquier otro medio, señalando qué medidas deprotección deberían tomarse (ver también).

c. Instalación y actualización periódica de software de detección y reparación anti-virus, para examinarcomputadoras y medios informáticos, ya sea como medida precautoria o rutinaria.

d. Realización de revisiones periódicas del contenido de software y datos de los sistemas que sustentanprocesos críticos del Negocio. La presencia de archivos no aprobados o modificaciones no

autorizadas debe ser investigada formalmente.

e. Verificación de la presencia de virus en archivos de medios electrónicos de origen incierto o noautorizado, o en archivos recibidos a través de redes no confiables, antes de su uso.

f. Verificación de la presencia de software malicioso en archivos adjuntos a mensajes de correoelectrónico y archivos descargados por Internet ("downloads") antes de su uso. Esta verificaciónpuede llevarse a cabo en diferentes lugares, (ejemplo: en servidores de correo electrónico,computadoras de escritorio o al ingresar en la red de la organización).

RESGUARDO DE LA INFORMACION

La Gerencia Corporativa de TI, debe realizar periódicamente copias de resguardo de la información y lossoftware esenciales para la Organización. Se debe contar con adecuadas instalaciones de resguardo paragarantizar que toda la información y el software esencial de CORIMON, C.A., pueda recuperarse una vezocurrido un desastre o falla de los dispositivos. Las disposiciones para el resguardo de cada uno de lossistemas deben ser probadas periódicamente para garantizar que cumplen con los requerimientos de losplanes de continuidad de los negocios. Se deben tener en cuenta los siguientes controles:



-----------------------------------------------------------------------------------------------------------------------------------------------------------------


a. La información se debe almacenar en una ubicación remota un nivel mínimo de información deresguardo, junto con registros exactos y completos de las copias de resguardo y los procedimientosdocumentados de restauración, a una distancia suficiente como para evitar daños provenientes de undesastre en el sitio principal. Se deben retener al menos tres generaciones o ciclos de información deresguardo para aplicaciones importantes.

b. Se debe asignar a la información de resguardo un nivel adecuado de protección física y ambientalconsecuente con los estándares aplicados en el sitio principal. Los controles aplicados a losdispositivos en el sitio principal deben extenderse para cubrir el sitio de resguardo.

c. Los medios de resguardo deben probarse periódicamente, cuando sea factible, a fin de garantizar laconfiabilidad de los mismos con relación a su eventual uso en casos de emergencia. Esta tarea esresponsabilidad directa de la Unidad de Seguridad Lógica.

Se debe determinar el período de guarda de la información esencial para las Empresas del grupo y tambiénlos requerimientos de copias de archivos que han de guardarse en forma permanente.

REGISTRO DE ACTIVIDADES DEL PERSONAL OPERATIVO

El personal operativo debe mantener un registro de sus actividades. Los registros deben incluir, segúncorresponda:

a. Tiempos de inicio y cierre del sistema

b. Errores del sistema y medidas correctivas tomadas

c. Confirmación del manejo correcto de archivos de datos y salidas

d. El nombre de la persona que lleva a cabo la actualización del registro

Los registros de actividades del personal operativo deben estar sujetos a verificaciones periódicas e

independientes con relación a los procedimientos operativos.

REGISTRO DE FALLAS

Se deben comunicar las fallas y tomar medidas correctivas. Se debe registrar las fallas comunicadas por losusuarios, con respecto a problemas con el procesamiento de la información o los sistemas decomunicaciones. Deben existir reglas claras para el manejo de las fallas comunicadas, con inclusión de:

a. Revisión de registros de fallas para garantizar que las mismas fueron resueltas satisfactoriamente.

b. Revisión de medidas correctivas para garantizar que los controles no fueron violentados.

ADMINISTRACION DE LA RED

La Superintendencia de Infraestructura y Soporte, debe garantizar la operatividad en las redes y laprotección de la infraestructura de apoyo. Es de suma importancia que la administración de seguridad de lasredes esté bajo la responsabilidad de la Unidad de Seguridad Lógica.



-----------------------------------------------------------------------------------------------------------------------------------------------------------------


CONTROLES DE REDES

Se requiere un conjunto de controles para lograr y mantener la seguridad de las redes de la organización. Elresponsable de la administración de redes (Superintendencia de Infraestructura y Soporte) debenimplementar controles para garantizar la seguridad de los datos en la misma, y la protección de los serviciosconectados contra el acceso no autorizado. En particular, se deben considerar los siguientes ítems:

a. Se deben establecer los procedimientos y responsabilidades para la administración del equipamientoremoto, incluyendo los equipos en las áreas usuarias.

b. Si resulta necesario, deben establecerse controles especiales para salvaguardar la confidencialidad eintegridad del procesamiento de los datos que pasan a través de redes públicas, y para proteger lossistemas conectados. También pueden requerirse controles especiales para mantener ladisponibilidad de los servicios de red y computadoras conectadas.

c. Las actividades gerenciales deben estar estrechamente coordinadas tanto para optimizar el servicio ala actividad en el grupo de Empresas, así para garantizar que los controles se aplican uniformementeen toda la infraestructura de procesamiento de información.

ADMINISTRACION Y SEGURIDAD DE LOS MEDIOS DE ALMACENAMIENTO

El administrador de Base de Batos, debe garantizar los medios de almacenamiento controlados y protegidosfísicamente y debe establecer procedimientos operativos apropiados para proteger documentos, medios dealmacenamiento (cintas, discos, u otras unidades de Almacenamiento), datos de entrada/salida ydocumentación del sistema contra daño, robo y acceso no autorizado. La Unidad de Seguridad lógica,monitoreará los eventos ocurridos en la base de datos que afecten la seguridad en la misma.

ADMINISTRACION DE MEDIOS INFORMATICOS REMOVIBLES

En las Empresas del Grupo CORIMON, C.A., la Gerencia Corporativa de TI establecerá los procedimientospara la administración de medios informáticos removibles, como cintas, discos, cualquier unidad dealmacenamiento e informes impresos, bajo la línea de la Unidad de Seguridad Lógica, que se detallan acontinuación:

a. Si ya no son requeridos, deben borrarse los contenidos previos de cualquier medio reutilizable que hade ser retirado de la organización.

b. Se debe requerir autorización para retirar cualquier medio de la Organización y se debe realizar un

registro de todos los retiros a fin de mantener una pista de auditoría.

c. Todos los medios deben almacenarse en un ambiente seguro y protegido, de acuerdo con lasespecificaciones de los fabricantes o proveedores.

Todos los procedimientos y niveles de autorización deben ser claramente documentados.



-----------------------------------------------------------------------------------------------------------------------------------------------------------------


ELIMINACION DE MEDIOS INFORMATICOS

Cuando ya no son requeridos, los medios informáticos deben eliminarse de manera segura. Si los mismosno se eliminan cuidadosamente, la información sensible puede filtrarse a personas ajenas a la organización.Se deben establecer procedimientos formales para la eliminación segura de los medios informáticos, a fin deminimizar este riesgo. Deben considerarse los siguientes controles:

a. Los medios que contienen información sensible deben ser almacenados y eliminados de manerasegura.

b. Puede resultar más fácil disponer que todos los medios sean recolectados y eliminados de manerasegura, antes que intentar separar los ítems sensibles.

c. Cuando sea posible, se debe registrar la eliminación de los ítems sensibles, a fin de mantener unapista de auditoría.

INTERCAMBIOS DE INFORMACION Y SOFTWARE

Deben de existir los controles para impedir la pérdida, modificación o uso inadecuado de la información queintercambian el grupo de Empresas que conforman CORIMON, C.A. Los intercambios de información ysoftware deben ser controlados y deben ser consecuentes con el apoyo de esta política. Los intercambiosdeben llevarse a cabo de conformidad con los acuerdos existentes. Se deben establecer procedimientos yestándares para proteger la información y los medios en tránsito.

ACUERDOS DE INTERCAMBIO DE INFORMACION Y SOFTWARE

Se debe establecer un procedimiento que establezca acuerdos de custodia de software cuandocorresponda, para el intercambio de información y software. Las especificaciones de seguridad de losacuerdos de esta índole deben reflejar el grado de sensibilidad de la información de negocio involucrada.

Los acuerdos sobre requisitos de seguridad deben tener en cuenta:

a. Responsabilidades gerenciales por el control y la notificación de transmisiones, envíos y recepciones.

b. Procedimientos de notificación de emisor, transmisión, envío y recepción.

c. Estándares técnicos mínimos para armado de paquetes y transmisión.

d. Responsabilidades y obligaciones en caso de pérdida de datos.

e. Información sobre la propiedad de la información y el software, y responsabilidades por la protecciónde los datos.



-----------------------------------------------------------------------------------------------------------------------------------------------------------------


SEGURIDAD DE LOS MEDIOS EN TRANSITO

La información puede ser vulnerable a accesos no autorizados, mal uso o alteración durante el transportefísico, (ejemplo: cuando se envían medios a través de servicios postales o de mensajería).

Los siguientes controles deben ser aplicados para salvaguardar los medios informáticos que se transportanentre distintos puntos.

a. Se deben utilizar medios de transporte o servicios de mensajería confiables. Se debe acordar con lagerencia de Seguridad Interna una lista de servicios de mensajería autorizados e implementar unprocedimiento para verificar la identificación de los mismos.

b. El embalaje debe ser suficiente como para proteger el contenido contra eventuales daños físicosdurante el tránsito y debe seguir las especificaciones de los fabricantes o proveedores.

c. Se deben adoptar controles especiales, cuando resulte necesario, a fin de proteger la informaciónsensible contra divulgación o modificación no autorizadas. Entre los ejemplos se incluyen:

Uso de recipientes cerradosEntrega en manoEmbalaje a prueba de apertura no autorizada (que revele cualquier intento de acceso)En casos excepcionales, división de la mercadería a enviar en más de una entrega y envío pordiferentes rutas.

SEGURIDAD DEL COMERCIO ELECTRONICO

La Gerencia Corporativa de TI en conjunto con la Gerencia de Control Interno, debe establecer losparámetros de envío de información, basados en la clasificación de la información, establecida en estemanual, considerando que el comercio electrónico es vulnerable a diversas amenazas relativas a redes, quepueden tener como resultado actividades fraudulentas, y divulgación o modificación de información. Sedeben aplicar controles para proteger al comercio electrónico de dichas amenazas. Las consideraciones enmateria de seguridad con respecto al comercio electrónico deben incluir las siguientes:

a. Autenticación. Qué nivel de confianza recíproca deben requerir el cliente y comerciante con respecto ala identidad alegada por cada uno de ellos?

b. Autorización. Quién está autorizado a fijar precios, emitir o firmar los documentos comerciales clave?Cómo conoce este punto el otro participante de la transacción.

c. Procesos de oferta y contratación. Cuáles son los requerimientos de confidencialidad, integridad yprueba de envío y recepción de documentos clave y de no repudio de contratos?

d. Información sobre fijación de precios. Qué nivel de confianza puede depositarse en la integridad dellistado de precios publicado y en la confidencialidad de los acuerdos relativas a descuentos?

e. Transacciones de compra. Cómo es la confidencialidad e integridad de los datos suministrados conrespecto a órdenes, pagos y direcciones de entrega, y confirmación de recepción?

f. Verificación. Qué grado de verificación es apropiado para constatar la información de pagosuministrada por el cliente?



-----------------------------------------------------------------------------------------------------------------------------------------------------------------


g. Cierre de la transacción. Cuál es forma de pago más adecuada para evitar fraudes?

h. Ordenes. Qué protección se requiere para mantener la confidencialidad e integridad de la informaciónsobre órdenes de compra y para evitar la pérdida o duplicación de transacciones.

i. Responsabilidad. Quién asume el riesgo de eventuales transacciones fraudulentas.

SEGURIDAD DEL CORREO ELECTRÓNICO

Riesgos de Seguridad

La Gerencia Corporativa de TI, debe garantizar que el correo electrónico posea la estructura de mensajes,grado de informalidad y vulnerabilidad a las acciones no autorizadas. Se debe tener en cuenta la necesidadde controlar a fin de reducir los riesgos de seguridad creados por el correo electrónico, para ello todo cambioque se produzca a nivel de parámetros de seguridad de correo electrónico, debe ser consultado con laUnidad de Seguridad Lógica. Los riesgos relativos a la seguridad comprenden:

a. Vulnerabilidad de los mensajes al acceso o modificación no autorizados o a la negación de servicio.

b. Vulnerabilidad a errores, (ejemplo: consignación incorrecta de la dirección o dirección errónea, y laconfiabilidad y disponibilidad general del servicio).

c. Impacto de un cambio en el medio de comunicación en los procesos de negocio, (ejemplo: el efectodel incremento en la velocidad de envío o el efecto de enviar mensajes formales de persona a personaen lugar de mensajes entre Las empresas del grupo CORIMON, C.A.).

d. Consideraciones legales, como la necesidad potencial de contar con prueba de origen, envío, entregay aceptación.

e. Complicidad de la publicación externa de listados de personal, accesibles al público.f. Control del acceso de usuarios remotos a las cuentas de correo electrónico.

Política de Correo Electrónico

La Gerencia Corporativa de TI debe generar una política clara con respecto al uso del correo electrónico,que incluya los siguientes tópicos:

a. Ataques al correo electrónico, (ejemplo: virus, interceptación).

b. Protección de archivos adjuntos de correo electrónico.

c. Lineamientos sobre cuando no utilizar correo electrónico.

d. Uso de técnicas criptográficas para proteger la confidencialidad e integridad de los mensajeselectrónicos.



-----------------------------------------------------------------------------------------------------------------------------------------------------------------


e. Retención de mensajes que, si se almacenaran, podrían ser hallados en caso de litigio.

f. Controles adicionales para examinar mensajes electrónicos que no pueden ser autenticados.

SISTEMAS DE ACCESO PÚBLICO

Se deben tomar recaudos para la protección de la integridad de la información publicada electrónicamente, afin de prevenir la modificación no autorizada que podría dañar la reputación del grupo de EmpresasCORIMON. Es posible que la información de un sistema de acceso público, (ejemplo: la información en unservidor Web accesible por Internet, deba cumplir con leyes, normas y estatutos de la jurisdicción en la cualse localiza el sistema o en la cual tiene lugar la transacción). Debe existir un proceso de autorización formalantes de que la información se ponga a disposición del público.

El software, los datos y demás información que requiera un alto nivel de integridad, y que esté disponible enun sistema de acceso público, deben ser protegidos, mediante mecanismos adecuados, (ejemplo: FirmasDigitales).



-----------------------------------------------------------------------------------------------------------------------------------------------------------------


XXVI. CONTROL DE ACCESOS

REQUERIMIENTOS DE NEGOCIO PARA EL CONTROL DE ACCESOS

La Unidad de Seguridad Lógica, debe garantizar que el acceso a la información y los procesos de negocio

estén controlados sobre la base de los requerimientos del negocio. Para lo cual esta debe tener en cuentalas políticas de difusión y autorización de la información.

POLITICA DE CONTROL DE ACCESOS

Requerimientos del Negocio

Se deben definir y documentar los requerimientos de negocio para el control de accesos. Las reglas yderechos del control de accesos, para cada usuario o grupo de usuarios, deben ser claramente establecidosen una declaración de política de accesos. Se debe considerar informar:

Requerimientos de seguridad de cada una de las aplicaciones.Identificación de toda información relacionada con las aplicaciones comerciales.

Las políticas de divulgación y autorización de información, (ejemplo: el principio de necesidad deconocer, y los niveles de seguridad y la clasificación de la información).

Coherencia entre las políticas de control de acceso y de clasificación de información de los diferentessistemas y redes.

Reglas de Control de Accesos

La Gerencia de Control Interno y la Unidad de Seguridad Lógica debe establecer:

a. La diferenciación entre reglas que siempre deben imponerse y reglas optativas o condicionales.

b. Los cambios en los permisos de usuario que son iniciados automáticamente por el sistema deinformación y aquellos que inicia el administrador.

c. Las reglas que requieren la aprobación del administrador o de otros antes de entrar en vigencia yaquellas que no.

ADMINISTRACION DE ACCESOS DE USUARIOS

La Unidad de Seguridad Lógica, debe ejecutar y monitorear los accesos de usuario. Se debe concederespecial atención, cuando corresponda, a la necesidad de controlar la asignación de derechos de acceso deprivilegio, que permiten a los usuarios pasar por alto los controles de sistema.



-----------------------------------------------------------------------------------------------------------------------------------------------------------------


REGISTRO DE USUARIOS

La Unidad de Seguridad Lógica en conjunto con la Superintedencia de Infraestructura y Soporte, estableceráun procedimiento formal de registro de usuarios para otorgar acceso a todos los sistemas y servicios.

a. Se debe utilizar un código de identificación personal que variará su estándar, según las limitaciones delos recursos, igualmente sus parámetros de seguridad.

b. Una tarea es verificar que el usuario tiene autorización del propietario del sistema para el uso delsistema o servicio de información.

c. Verificar el nivel de acceso otorgado y los privilegios.

d. Verificar periódicamente, y cancelar los usuarios egresados y trasladados.

ADMINISTRACION DE PRIVILEGIOS

La Unidad de Seguridad Lógica controlará la asignación y uso de privilegios (El uso inadecuado de losprivilegios del sistema resulta frecuentemente en el más importante factor que contribuye a la falla de lossistemas a los que se ha accedido ilegalmente).

a. Deben identificarse los privilegios asociados a cada producto del sistema por ej. Sistema Operativo,sistema de administración de bases de datos y aplicaciones, y las categorías de personal a las cualesdeben asignarse los productos.

b. Los privilegios deben asignarse a individuos sobre las bases de la necesidad de uso y evento porevento, (ejemplo: el requerimiento mínimo para su rol funcional solo cuando sea necesario).

c. Se debe mantener un proceso de autorización y un registro de todos los privilegios asignados. Losprivilegios no deben ser otorgados hasta que se haya completado el proceso de autorización.

ADMINISTRACION DE CONTRASEÑAS DE USUARIO

La Unidad de Seguridad Lógica validará la identidad de un usuario para ingresar a un sistema o servicio deinformación. La asignación de contraseñas debe controlarse a través de un proceso de administraciónformal, mediante el cual debe llevarse a cabo lo siguiente:

a. Requerir que los usuarios firmen la Política de datos corporativos.

b. Garantizar, cuando se requiera que los usuarios mantengan a sus propias contraseñas, que se provea

inicialmente a los mismos de una contraseña provisoria segura, que deberán cambiar de inmediato, através del monitoreo de los logs de auditoría.

Actualizar y relacionar las mejores prácticas en seguridad de la información, que gestione a fin de dar usoefectivo de los recursos tecnológicos (Atributos):



-----------------------------------------------------------------------------------------------------------------------------------------------------------------


ATRIBUTO DE SEGURIDAD PUNTORed

PUNTOSAP

PUNTOAPI

Longitud mínima de passwords 6 caracteres

alfanumérico

8 6

Restricciones de passwords (caracteres alfanuméricosetc.) Si existe

políticaSi NO

Número de logons concurrentes NO NO NO

Frecuencia de los cambios de passwords30 días 30 días 30 Días

Retención de passwords (generación de passwords) No Aplica No aplica NO Aplica

Número de intentos fallidos de login antes del bloqueo deusuario 3

NoBloquea No Bloquea

Período de lockout Verificar Verificar Verificar Número de logins necesarios una vez que el cambio depassword sea requerido 1 1 1

¿Es el password desplegado en pantalla? NO NO NO

¿El cambio de password es requerido luego del primerlogon? SI NO NO



-----------------------------------------------------------------------------------------------------------------------------------------------------------------


RESPONSABILIDADES DEL USUARIO

La Gerencia de Control Interno y la Gerencia de Talento humano deben concientizar a los usuarios acercade sus responsabilidades por el mantenimiento de controles de acceso eficaces, en particular aquellos

relacionados con el uso de contraseñas y parámetros de seguridad.

USO DE CONTRASEÑAS

Los usuarios del Grupo de Empresas CORIMON, C.A. deben seguir buenas prácticas de seguridad en laselección y uso de contraseñas y deben seguir los siguientes lineamientos:

a. Mantener las contraseñas en secreto.

b. Evitar mantener un registro en papel de las contraseñas, a menos que este pueda ser almacenado enforma segura.

c. Cambiar las contraseñas siempre que exista un posible indicio de compromiso del sistema o de lascontraseñas.

d. Seleccionar contraseñas de calidad, con una longitud mínima de seis caracteres que:

Sean fáciles de recordar:

No estén basadas en algún dato que otra persona pueda adivinar u obtener fácilmente medianteinformación relacionada con la persona, (ejemplo: nombres, números de teléfono, fecha denacimiento, etc.).

No tengan caracteres idénticos consecutivos o grupos totalmente numéricos o totalmentealfabéticos.

e. El cambio de las contraseñas a intervalos regulares o según el número de acceso (las contraseñas decuentas con privilegios deben ser modificadas con mayor frecuencia que las contraseñas comunes), yevitar reutilizar o reciclar viejas contraseñas.

f. No compartir las contraseñas individuales de usuario.

CONTROL DE ACCESO A LA RED

La Unidad de Seguridad Lógica, controlará el acceso a los servicios de red tanto internos como externos.Esto es necesario para garantizar que los usuarios que tengan acceso a las redes y a los servicios de red no

comprometan la seguridad de estos servicios, garantizando:

a. Interfaces inadecuadas entre la red de la Organización y las redes de otras empresas de servicios.

b. Mecanismos de autenticación apropiados para usuarios.

c. Control de acceso de usuarios a los servicios de información.



-----------------------------------------------------------------------------------------------------------------------------------------------------------------


AUTENTICACION DE USUARIOS PARA CONEXIONES EXTERNAS

Debe existir un monitoreo de las conexiones externas no autorizadas a la información del grupo deEmpresas CORIMON, (ejemplo: accesos mediante VPN, Escritorios remotos, etc). Por consiguiente, elacceso de usuarios remotos debe estar sujeto a la autenticación. Existen diferentes métodos deautenticación, algunos de los cuales brindan un mayor nivel de protección que otros. Es importantedeterminar mediante una evaluación de riesgos el nivel de protección requerido. Esto es necesario para laadecuada selección del método.

AUTENTICACION DE NODOS

La Superintendencia de Infraestructura y Soporte en conjunto con la Unidad de Seguridad Lógica, debemonitorear las conexiones remotas que brinden un medio para obtener acceso no autorizado a unaaplicación de CORIMON, C.A., por lo tanto las conexiones a sistemas informáticos remotos deben serautenticadas. Esto es particularmente importante si la conexión utiliza una red que esta fuera de control de lagestión de seguridad de la organización. La autenticación de nodos puede servir como un medio alternativode autenticación de grupos de usuarios remotos, cuando éstos están conectados a un servicio informáticoseguro y compartido.

CONTROL DE CONEXION A LA RED

La Superintendencia de Infraestructura y Soporte, debe garantizar la efectividad y funcionalidad de losrecursos de accesos para las redes, especialmente aquellas que se extiendan más allá de los límites de laorganización, pueden requerir la incorporación de controles para limitar la capacidad de conexión de losusuarios.

A continuación se enumeran ejemplos de aplicaciones a las cuales deben aplicarse restricciones:

Correo electrónicoTransferencia unidireccional de archivosTransferencia de archivos en ambas direccionesAcceso interactivoAcceso de red vinculado a hora o fecha

SEGURIDAD DE LOS SERVICIOS DE RED

La Unidad de Seguridad Lógica, debe garantizar las características de seguridad única o compleja, en el

grupo CORIMON, C.A., que utilizan servicios de red, así como que se provea de una clara descripción delos atributos de seguridad de todos los servicios utilizados.



-----------------------------------------------------------------------------------------------------------------------------------------------------------------


CONTROL DE ACCESO AL SISTEMA OPERATIVO

La Superintendencia de Infraestructura y Soporte debe poseer el control de los recursos a nivel de sistemaoperativo, debe garantizar los controles mínimos en seguridad, a fin de restringir el acceso a los recursos,tales como:

a. Identificar y verificar la identidad y, si fuera necesario, el Terminal o ubicación de cada usuarioautorizado

b. Registrar los accesos exitosos y fallidos al sistema

c. Suministrar medios de autenticación apropiados; si se utiliza un sistema de administración decontraseñas, éste debe asegurar la calidad de las mismas

IDENTIFICACION Y AUTENTICACIO DE LOS USUARIOS

A través de un proceso de administración de acceso, con parámetros de seguridad, la Unidad de SeguridadLógica, efectuará una autenticación de los accesos a todos los usuarios (incluido el personal de soportetécnico, como los operadores, administradores de red, programadores de sistemas y administradores debases de datos) deben tener un identificador único usuario, de manera que las actividades puedanrastrearse con posterioridad hasta llegar al individuo responsable.

DESCONEXION DE ESTACIONES DE TRABAJO, POR TIEMPO INACTIVO

Las estaciones de trabajo inactivas en ubicaciones de alto riego, (ejemplo: Áreas públicas o externas fueradel alcance de la gestión de seguridad de la organización, o que sirven a sistemas de alto riego), debenapagarse después de un período definido de inactividad, para evitar el acceso de personas no autorizadas.La Unidad de Seguridad Lógica, debe poseer la herramienta de desconexión por tiempo inactivo de la

estación de trabajo.

LIMITACION DEL HORARIO DE CONEXION

Si el software lo permite, se debe establecer restricciones al horario de conexión. La limitación del períododurante el cual se permiten las conexiones de la estación de trabajo a los servicios informativos reduce elespectro de oportunidades para el acceso no autorizado. Para ello debe establecer:

a. Utilización de lapsos predeterminados, (ejemplo: para transmisiones de archivos de lote, o sesionesinteractivas periódicas de corta duración).

b. Limitación de los tiempos de conexión al horario normal de oficina, de no existir un requerimientooperativo de horas extras o extensión horaria.



-----------------------------------------------------------------------------------------------------------------------------------------------------------------


CONTROL DE ACCESO A LAS APLICACIONES

La Gerencia Corporativa de TI debe diseñar esquemas de seguridad en los sistemas actuales y por adquirir,a fin de poseer un control lógico al software y a la información debe estar limitado a los usuarios autorizados.Los sistemas de aplicación deben:

a. Controlar el acceso de usuarios a la información y a las funciones de los sistemas de aplicación, deacuerdo con la política de control de accesos definida por Corimon C.A.

b. Brindar protección contra el acceso no autorizado de utilitarios y software del sistema operativo quetengan la capacidad de pasar por alto los controles de sistemas o aplicaciones.

c. No comprometer la seguridad de otros sistemas con los que se comparten recursos de información.

d. Tener la capacidad de otorgar acceso a la información únicamente al propietario, a otros individuosautorizados mediante designación formal, o a grupos de definidos de usuarios.

MONITOREO DEL ACCESO Y USO DE LOS SISTEMAS

La Unidad de Seguridad Lógica, debe monitorear a fin detectar desviaciones respecto de la política decontrol de accesos y registrar eventos para suministrar evidencia en caso de producirse incidentes relativosa la seguridad.

REGISTRO DE EVENTOS

La Gerencia Corporativa de TI, debe generar productos (Aplicaciones, herramientas) que permitan crear

registros de auditoría que contengan excepciones y otros eventos relativos a seguridad, y deben mantenersedurante un período definido para acceder en futuras investigaciones y en el monitoreo de control de accesos.

Los registros de auditorías también deben incluir:

a. ID de usuariob. Fecha y hora de inicio y fin

c. Ubicación de la estación de trabajo

d. Registros de intentos exitosos fe acceso al sistema

e. Registros de intentos fallidos de acceso a datos y otros recursos.

PROCEDIMIENTOS Y AREAS DE RIESGO TECNOLOGICO

La Unidad de Seguridad Lógica debe establecer procedimientos para monitorear el uso de las instalacionesde procesamiento de la información. Dichos procedimientos son necesarios para garantizar que los usuariossólo estén desempeñando actividades que hayan sido autorizadas explícitamente. El nivel de monitoreorequerido para cada una las instalaciones debe determinarse mediante una evaluación de riesgos.



-----------------------------------------------------------------------------------------------------------------------------------------------------------------


Entre las áreas que deben tenerse en cuenta se enumeran las siguientes:

a. Acceso no autorizado, incluyendo detalles como:

Códigos de usuarios

Fecha y hora de eventos claveTipos de eventos

Archivos a los que se accede

Utilitarios y programas utilizados

b. Todas las operaciones con privilegio, como:

Utilización de cuenta de supervisor

Inicio y cierre del sistema

Conexión y desconexión de dispositivos I/O

c. Intentos de acceso no autorizado, como:

Intentos fallidos

Violaciones de la política de accesos y notificaciones

Alertas de sistemas patentados para detención de intrusiones ;

d. Alertas o fallas de sistema como:

Alertas o mensajes de consola

Excepciones del sistema de registro

Alarmas del sistema de administración de redes

FACTORES DE RIESGO

La Unidad de Seguridad Lógica debe revisar periódicamente el resultado de las actividades de monitoreo. Lafrecuencia de la revisión debe depender de los riesgos involucrados. Entre los factores de riesgo que sedeben considerar se encuentran:

a. Criticidad de los procesos de aplicaciones

b. Valor, la sensibilidad o criticidad de la información involucrada

c. Experiencia acumulada en materia de infiltración y uso inadecuado del sistema

d. Alcance de la interconexión del sistema



-----------------------------------------------------------------------------------------------------------------------------------------------------------------


XXVII. DESARROLLO Y MANTENIMIENTO DE SISTEMAS

ANALISIS Y ESPECIFICACIONES DE LOS REQUERIMIENTOS DE SEGURIDAD

Cuando la Gerencia Corporativa de TI efectúe modificaciones o nuevos desarrollos, debe considerar los

controles de seguridad, a través de una comunicación de los requerimientos y diseños a la Gerencia deControl Interno. Los requerimientos de seguridad y los controles deben reflejar el valor de los recursos deinformación involucrados El marco para analizar los requerimientos de seguridad e identificar los controlesque los satisfagan son la evaluación y la administración de riesgo.

Los controles introducidos en la etapa de diseño son significativamente más baratos de implementar ymantener que aquellos incluidos durante o después de la implementación.

SEGURIDAD EN LOS SISTEMAS DE APLICACION

La Gerencia Corporativa de TI deberá participar a la Unidad de Seguridad Lógica, sobre los controles de

seguridad en las entradas, procesos y salidas de los sistemas de información, así como también el entornooperativo, pueden ser necesarios controles adicionales para sistemas que procesan o tienen impacto enrecursos sensitivos, valiosos o críticos de la organización. Tales controles deben ser determinados sobre labase de requerimientos de seguridad y evaluación de riesgo.

VALIDACION DE DATOS DE ENTRADA

Es importante considerar durante el desarrollo de los sistemas en las Empresas pertenecientes al GrupoCORIMON, C.A., que los datos de entrada en sistemas de aplicación deben ser validados para asegurar queson correctos y apropiados. Los controles deben ser aplicados a las entradas de las transacciones y a losdatos permanentes.

Se deben considerar los siguientes controles:

a. Valores fuera de rango

b. Caracteres inválidos en campos de datosc. Datos faltantes o incompletos

d. Volúmenes de datos que exceden los límites inferior y superior

e. Controles de datos no autorizados o inconsistentes

f. Revisión periódica de los contenidos de campos clave o archivos de datos para confirmar su validez eintegridad

g. Inspección de los documentos de entrada para detectar cambios no autorizados en los datos de

entrada (todos los cambios a los documentos de entrada deben ser autorizados)h. Procedimientos para responder a errores de validación

i. Procedimientos para determinar la veracidad de los datos

j. Determinación de las responsabilidades de todo el personal involucrado en el proceso de entrada dedatos.



-----------------------------------------------------------------------------------------------------------------------------------------------------------------


CONTROLES DE PROCESAMIENTO INTERNO

Objetivo: Asegurar el logro de los objetivos de control interno establecidos para los procesos de TI eincrementar los niveles de confianza entre la organización, clientes y proveedores externos. Este proceso selleva a cabo a intervalos regulares de tiempo.

Para ello la Gerencia de Administración, Control Interno y Seguridad encargadas de monitorear la efectividadde los controles internos a través de actividades administrativas y de supervisión, comparaciones,reconciliaciones y otras acciones rutinarias, evaluar su efectividad y emitir reportes sobre ellos en formaregular, permitirán revisar la existencia de puntos vulnerables y problemas de seguridad.

Por otro lado la Gerencia Control Interno a través de la Unidad de Seguridad Lógica, deberá adoptar comotrabajo rutinario hacer evaluaciones periódicas sobre la efectividad de los servicios de tecnología deinformación y de los proveedores de estos servicios, asegurándose del cumplimiento de los compromisoscontractuales..

CONTROLES Y VERIFICACIONES

Los controles requeridos dependerán de la aplicación y del impacto de eventuales alteraciones de datos enlos procesos del Grupo de Empresas. Para ello es necesario considerar los siguientes controles:

Controles en los cálculos

Controles en los cierres

Totales de actualización de archivos

Controles programa a programa

Validación de datos generados por el sistema

Verificaciones de la integridad de los datos o software descargados, o cargados

Totales de control de registros y archivos

AUTENTICACION DE MENSAJES

La Unidad de Seguridad Lógica debe monitorear la autenticación de mensajes, a fin de detectar cambios noautorizados en el contenido de un mensaje transmitido electrónicamente, o para detectar alteraciones en elmismo.

La Gerencia Corporativa de TI debe tener en cuenta la autenticación de mensajes para aplicaciones en lascuales exista un requerimiento de seguridad para proteger la integridad del contenido del mensaje,

(ejemplo: Transferencias electrónicas de fondos u otros intercambios electrónicos de datos similares). Sedebe llevar a cabo una evaluación de riesgos de seguridad para determinar si se requiere una autenticaciónde mensajes y para identificar el método de implementación más adecuado.



-----------------------------------------------------------------------------------------------------------------------------------------------------------------


VALIDACION DE LOS DATOS DE SALIDA

La Gerencia Corporativa de TI debe validar y garantizar que el procesamiento de la información almacenadasea correcto y adecuado a las circunstancias. La validación de salidas puede incluir:

a. Comprobaciones las salidas de los datosb. Control de los reportes y archivos

c. Procedimientos para responder a las pruebas de validación de salidas

d. Definición de las responsabilidades de todo el personal involucrado en el proceso de salida de datos.

CONTROLES CRIPTOGRAFICOS

La Unidad de Seguridad Lógica efectuará un modelo de criptografía que garantice proteger laconfidencialidad, autenticidad o integridad de la información. Es necesario incorporar técnicas criptográficaspara la protección de la información que se considera en estado de riesgo y para la cual otros controles no

suministran una adecuada protección.

POLITICA DE UTILIZACION DE CONTROLES CRIPTOGRAFICOS

La Unidad de Seguridad Lógica debe implementar soluciones criptográficas apropiadas, y debe ser vistocomo parte de un proceso más amplio de evaluación de riesgos, para determinar el nivel de protección quedebe darse a la información. Esta evaluación puede utilizarse posteriormente para determinar si un controlcriptográfico es adecuado. Se debe considerar lo siguiente:

Un procedimiento para la administración de claves, con inclusión de los métodos para administrar larecuperación de la información cifrada en caso de pérdida, o daño de las claves.

Funciones y responsabilidades.

Implementación de la política.

Administración de las claves.

Como se determinará el nivel apropiado de protección criptográfica;

Los estándares que han de adoptarse para la eficaz implementación en toda la organización.

CIFRADO

La Unidad de Seguridad Lógica debe implementar métodos de cifrado que garanticen la protección yconfidencialidad de la información.

Para ello debe de existir una evaluación de riesgos e identificar el nivel requerido de protección tomando encuenta el tipo y la calidad del algoritmo de cifrado utilizado y la longitud de las claves criptográficas a utilizar.



-----------------------------------------------------------------------------------------------------------------------------------------------------------------


Al implementar la política, la Unidad de Seguridad Lógica debe considerar las normas y restricciones quepodrían aplicarse al uso de técnicas criptográficas, en diferentes partes del mundo, y las cuestiones relativasal flujo de información cifrada a través de las fronteras. Asimismo, se deben considerar los controlesaplicables a la exportación e importación de tecnología criptográfica.

FIRMA DIGITAL

En el grupo de Empresas CORIMON, se debe crear un medio de protección de la autenticidad e integridadde los documentos electrónicos. Por ejemplo, puede utilizarse en comercio electrónico donde existe lanecesidad de verificar quien firma un documento electrónico y comprobar si el contenido del documentofirmado ha sido modificado.

Las firmas digitales pueden aplicarse a cualquier tipo de documento que se procese electrónicamente,(ejemplo: pueden utilizarse para firmar pagos, transferencias de fondos, contratos y convenios electrónicos).Pueden implementarse utilizando una técnica criptográfica sobre la base de un par de claves relacionadasde manera única, donde una clave se utiliza para crear una firma (la clave privada) y la otra, para verificarla(la clave pública).

SERVICIOS DE NO REPUDIO

La Unidad de Seguridad Lógica debe garantizar los servicios de no repudio cuando es necesario resolverproblemas acerca de la ocurrencia o no ocurrencia de un evento o acción, (ejemplo: Un problema queinvolucre el uso de una firma digital en un contrato o pago electrónico. Pueden ayudar a sentar evidenciapara probar que un evento o acción determinados han tenido lugar. Estos servicios están basados en el usode técnicas de encriptación y firma digital.

ADMINISTRACION DE CLAVES

Protección de Claves Criptográficas

La Unidad de Seguridad Lógica efectuará la administración de las claves criptográficas basadas en lastécnicas criptográficas, tales como:

a. Técnicas de clave secreta, cuando dos o más procesos que esta clave tiene que mantenerse ensecreto dado que una persona que tenga acceso a la misma podrá descifrar toda la informacióncifrada con dicha clave, o introducir información no autorizada.

b. Técnicas de clave pública, cuando cada usuario tiene un par de claves: una clave pública (que puedeser revelada a cualquier persona) y una clave privada (que debe mantenerse en secreto).

Se debe garantizar que las claves deben ser protegidas contra modificación y destrucción, y las clavessecretas y privadas necesitan protección contra divulgación no autorizada.



-----------------------------------------------------------------------------------------------------------------------------------------------------------------


SEGURIDAD DE LOS ARCHIVOS DEL SISTEMA

El administrador de Servicios de TI, Administrador de procesos y Seguridad Lógica, deben garantizar quelos proyectos y actividades de soporten en tecnología se lleven a cabo de manera segura, y deben controlarel acceso a los archivos del sistema, así como también el mantenimiento de la integridad del sistema, quedebe ser responsabilidad de la función usuaria o grupo de desarrollo a quien pertenece el software o sistemade aplicación.

PROCEDIMIENTOS DE CONTROL DE CAMBIOS

Es necesario implantar la función de control de cambios al sistema, bajo un ambiente seguro, y basados enuna adecuada segregación de tareas y herramientas de monitoreos.

Para garantizar que exista un registro de los mantenimientos realizados al sistema, se recomiendadocumentar las fallas y solicitudes que han originado un mantenimiento al sistema. Se recomienda que elformulario o sistema contenga como mínimo la siguiente información:

Registro y solicitud de cada uno de los cambios.

Inventario del software que maneja la aplicación

Registro de las personas que están autorizadas a efectuar los cambios.

Identificar los cambios hechos al código fuente

Fecha y hora del cambio

Nombres y apellidos del responsable del cambio

Numero de cédula del responsable del cambio

Unidad administrativa a la que se encuentra adscrito

Documentación detallada del cambio

Procedimientos, programas, tablas que han sido actualizados, parámetros, Base de datos afectados,respaldos tomados.

Impacto del cambio en el sistema.

Nombre y apellidos del personal que autoriza el cambio.

Así como también formalizar el documento donde se solicitan los nuevos requerimientos.

XXVIII. ADMINISTRACION DE LA CONTINUIDAD DE LOS NEGOCIOS

La Gerencia de Control Interno debe diseñar y desarrollar un plan de continuidad del negocio, a fin deproteger los procesos críticos del negocio, que puedan afectar fallas significativas o desastres. Para ello sedebe implementar un proceso de administración de la continuidad de los negocios para reducir los riesgos,que puedan ocasionar los desastres y fallas de seguridad (que pueden ser el resultado de, (ejemplo:desastres naturales, accidentes, fallas en los equipos, y otras acciones) a un nivel aceptable mediante unacombinación de controles preventivos y de recuperación.



-----------------------------------------------------------------------------------------------------------------------------------------------------------------


El plan debe tener un análisis de impacto de eventos se deben analizar las consecuencias de desastres,fallas de seguridad e interrupciones del servicio. Se deben desarrollar e implementar planes de contingenciapara garantizar que los procesos de negocios puedan restablecerse dentro de los plazos requeridos. Dichosplanes deben mantenerse en vigencia y transformarse en una parte integral del resto de los procesos deadministración y gestión.

La administración de la continuidad de los negocios debe incluir controles destinados a identificar y reducirriesgos.

CONTINUIDAD DEL NEGOCIO Y ANALISIS DEL IMPACTO

La continuidad de los negocios debe comenzar por la identificación de eventos que puedan ocasionarinterrupciones en los procesos de los negocios, (ejemplo: fallas en el equipamiento, inundación e incendio).Luego debe llevarse a cabo una evaluación de riesgos para determinar el impacto de dichas interrupciones(tanto en términos de magnitud de daño como del período de recuperación). Estas dos actividades debenllevarse a cabo con la activa participación de los propietarios de los procesos y recursos de negocio. Estaevaluación considera todos los procesos de negocio y no se limita a las instalaciones de procesamiento de la

información.

Según los resultados de la evaluación, debe desarrollarse un plan estratégico para determinar el enfoqueglobal con el que se abordará la continuidad de los negocios. Una vez que se ha creado este plan, el mismodebe ser aprobado por la gerencia.

ELABORACION E IMPLEMENTACION DE PLANES DE CONTINUIDAD DEL NEGOCIOS

El plan debe incluir:

a. Identificación y acuerdo con respecto a todas las responsabilidades y procedimientos de emergencia

b. Implementación de procedimientos de emergencia para permitir la recuperación y restablecimiento delos tiempos. Analizar las dependencias de negocios externos y a los contratos vigentes

c. Documentación de los procedimientos y procesos acordados

d. Procedimiento del personal en materia de procedimientos y procesos de emergencia acordados,incluyendo el manejo de crisis

e. Prueba y actualización de los planes.

PRUEBAS, MANTENIMIENTO Y REEVALUACION DE LOS PLANES DE CONTINUIDAD DE LOSNEGOCIOS

El plan de continuidad del negocio debe de contener:

a. Pruebas de los diversos escenarios (discutiendo medidas para la recuperación del negocio utilizandoejemplo de interrupciones).



-----------------------------------------------------------------------------------------------------------------------------------------------------------------


b. Simulaciones (especialmente para entrenar al personal en el desempeño de sus roles de gestiónposterior a incidentes o crisis).

c. Pruebas de recuperación técnica (garantizando que los sistemas de información puedan serrestablecidos con eficacia).

d. Pruebas de recuperación en un sitio alternativo (ejecutando procesos de negocio en paralelo, conoperaciones de recuperación fuera de la sede principal).

e. Pruebas de instalaciones y servicios de proveedores (garantizando que los productos y servicios deproveedores externos cumplan con el compromiso contraído).

f. Pruebas completas (probando que la Organización, el personal de la Gerencia Corporativa de TI, lasinstalaciones y los procesos pueden afrontar las interrupciones).

XXIX. CUMPLIMIENTO

CUMPLIMIENTO DE REQUISITOS LEGALES

La Consultoría Jurídica del grupo de Empresas CORIMON, C.A., apoyará en el soporte de impedirinfracciones y violaciones de las leyes del derecho civil y penal; de las obligaciones establecidas por leyes,en los estatutos, normas, reglamentos o contratos; y de los requisitos de seguridad.

Se debe procurar asesoramiento sobre requisitos legales específicos por parte de los asesores jurídicos dela organización, o de abogados convenientemente calificados.

La Política y Normas de Seguridad de la información del grupo de Empresas de CORIMON, estará basadaen la ley de delitos informáticos, que fue publicada se publicó la Ley sobre Delitos Informáticos ("la Ley"),

cuyo objetivo es proteger los sistemas que utilicen tecnologías de información, así como prevenir y sancionarlos delitos cometidos contra o mediante el uso de tales tecnologías (Gaceta Oficial N° 37.313 del 30 deoctubre de 2001). Se trata de una ley especial que descodifica el Código Penal y profundiza aún más laincoherencia y falta de sistematicidad de la legislación penal, con el consecuente deterioro de la seguridad jurídica.

Contra los sistemas que utilizan tecnologías de información;

Contra la propiedad;

Contra la privacidad de las personas y de las comunicaciones;

Contra niños y adolescentes y;

Contra el orden económico.

Los delitos contra los sistemas que utilizan tecnología de información son los siguientes:

a. El acceso indebido a un sistema, es penado con prisión de uno a cinco años y multa de 10 a 50unidades tributarias (UT);



-----------------------------------------------------------------------------------------------------------------------------------------------------------------


b. El sabotaje o daño a sistemas, incluyendo cualquier acto que altere su funcionamiento, penado conprisión de cuatro a ocho años y multa de 400 a 800 UT, que aumentará a prisión de cinco a diez añosy multa de 500 a 1.000 UT si para su comisión se utiliza un virus o medio análogo. Si se trata desabotaje o daño culposo, la pena se reduce entre la mitad y dos tercios. Si se trata de sabotaje oacceso indebido a sistemas protegidos, la pena aumenta entre la tercera parte y la mitad;

c. La posesión de equipos o prestación de servicios para actividades de sabotaje, penado con prisión detres a seis años y multa de 300 a 600 UT;

d. El espionaje informático, que incluye la obtención, difusión y revelación de información, hechos oconceptos contenidos en un sistema, penado con prisión de tres a seis años y multa de 300 a 600 UT.Si el delito se comete para procurar un beneficio para sí o para otro, la pena aumenta entre un tercio yla mitad. El aumento será de la mitad a dos tercios si se pone en peligro la seguridad del Estado, laconfiabilidad de la operación de las personas afectadas o si como resultado de la revelación algunapersona sufre un daño; y La falsificación de documentos mediante el uso de tecnologías deinformación o la creación, modificación o alteración de datos en un documento, penado con prisión detres a seis años y multa de 300 a 600 UT. Si el delito se comete para procurar un beneficio para sí opara otro, la pena aumenta entre un tercio y la mitad. Si el hecho resulta en un perjuicio para otro, elaumento será de la mitad a dos tercios.

Delitos contra la propiedad: La técnica legislativa utilizada en este caso es incorrecta, pues a delitos yaprevistos en la codificación penal se les crea una supuesta independencia, cuando la única diferenciaexistente es el medio utilizado (electrónico en lugar de mecánico o material) y la naturaleza del bien tutelado,que en este caso es intangible, mientras que en los bienes muebles es física. En esta clase se incluyen:

a. El hurto, que consiste básicamente en apoderarse de un bien o valor tangible o intangible de carácterpatrimonial, sustrayéndolo a su tenedor mediante el acceso, interceptación, interferencia,manipulación o uso de un sistema que utilice tecnologías de información, penado con prisión de dos aseis años y multa de 200 a 600 UT.

b. El fraude realizado mediante el uso indebido de tecnologías de información, penado con prisión detres a siete años y multa de 300 a 700 UT.

c. La obtención indebida de bienes o servicios mediante el uso de tarjetas inteligentes (tarjetas decrédito, de débito o de identificación que garanticen el acceso a un sistema reservado u otrassimilares, penado con prisión de dos a seis años y multa de 200 a 600 UT

d. El manejo fraudulento de tarjetas inteligentes, o la creación, duplicación o incorporación indebida dedatos a registros, listas de consumo o similares, penado con prisión de cinco a diez años y multa de500 a 1.000 UT. La misma pena será impuesta a quienes sin tomar parte en los hechos descritos sebeneficien de resultados obtenidos.

e. La apropiación indebida de tarjetas inteligentes, penado con prisión de uno a cinco años y multa de 10a 50 UT. La misma pena se impondrá a quien reciba o adquiera dichas tarjetas.

f. Provisión indebida de bienes o servicios utilizando una tarjeta inteligente, a sabiendas de que dichoinstrumento ha sido falsificado, está vencido o ha sido alterado, penado con prisión de dos a seis añosy multa de 200 a 600 UT; y



-----------------------------------------------------------------------------------------------------------------------------------------------------------------


g. La posesión de equipos para falsificaciones, penado con prisión de tres a seis años y multa de 300 a600 UT.

Los delitos contra la privacidad de las personas y las comunicaciones son los siguientes:

a. La violación de la privacidad de la data o información de carácter personal que se encuentre en unsistema que use tecnologías de información, penado con prisión de dos a seis años y multa de 200 a600 UT. Esta pena se aumentara de un tercio a la mitad si como consecuencia del delito descritoresulta un perjuicio para el titular de la información o para un tercero;

b. La violación de la privacidad de las comunicaciones, penado con prisión de dos a seis años de prisióny una multa de 200 a 600 UT; y

c. La revelación indebida de datos o información obtenidos por los medios descritos en los literales a) ob) anteriores, penado con prisión de dos a seis años y multa de 200 a 600 UT. Esta pena seaumentará de un tercio a la mitad si el delito se cometió con fines de lucro o si resulta en un perjuiciopara otro.

El tema de la privacidad ha sido uno de los más discutidos en los ordenamientos jurídicos extranjeros,debido a los derechos humanos. Principalmente, en cuanto a los dos primeros puntos. Las discusiones sehan concentrado, básicamente, en la posibilidad de que el empleador revise las conversaciones y envío dedatos de los empleados que utilizan como medio el sistema del empleador, así como la propiedad de lainformación contenida en el sistema del empleador. Con relación al tercer punto, el tema se ha centrado enla posibilidad de que el dueño de un sistema venda información personal de los usuarios del sistema confines de comercialización.

Los delitos contra niños y adolescentes son los siguientes:

a. La difusión o exhibición de material pornográfico sin la debida advertencia para que se restrinja el

acceso a menores de edad, penado con prisión de dos a seis años y multa de 200 a 600 UT; y

b. La exhibición pornográfica de niños o adolescentes, penado con prisión de cuatro a ocho años y multade 400 a 800 UT.

El último tipo contempla los delitos contra el orden económico, que son los siguientes:

a. La apropiación indebida de propiedad intelectual mediante la reproducción, divulgación, modificación ocopia de un software, penado con prisión de uno a cinco años y multa de 100 a 500 UT; y

b. La oferta engañosa de bienes o servicios mediante la utilización de tecnologías de la información,

penado con prisión de uno a cinco años y multa de 100 a 500 UT, sin perjuicio de la comisión de undelito más grave.

Además de las penas principales indicadas anteriormente, se impondrán, sin perjuicio de las establecidas enel Código Penal, las siguientes penas accesorias:

a. El comiso de equipos, dispositivos, instrumentos, materiales, útiles, herramientas y cualquier otroobjeto que haya sido utilizado para la comisión de los delitos previstos en los artículos 10 y 19 de la



-----------------------------------------------------------------------------------------------------------------------------------------------------------------


Ley (posesión de equipos o prestación de servicios de sabotaje y posesión de equipos parafalsificaciones).

b. Trabajo comunitario por el término de hasta tres años en los casos de los delitos previstos los artículos6 y 8 de la Ley

La inhabilitación para el ejercicio de funciones o empleos públicos; para el ejercicio de la profesión, arte oindustria; o para laborar en instituciones o empresas del ramo por un período de hasta tres años después decumplida o conmutada la sanción principal, cuando el delito se haya cometido con abuso de la posición deacceso a data o información reservadas, o al conocimiento privilegiado de contraseñas, en razón delejercicio de un cargo o función público, del ejercicio privado de una profesión u oficio, o del desempeño enuna institución o empresa privada.

La suspensión del permiso, registro o autorización para operar o para ejercer cargos directivos y derepresentación de personas jurídicas vinculadas con el uso de tecnologías de información, hasta por elperíodo de tres años después de cumplida o conmutada la sanción principal, si para cometer el delito elagente se valió de o hizo figurar a una persona jurídica.

Además, el tribunal podrá disponer la publicación o difusión de la sentencia condenatoria por el medio queconsidere más idóneo.

DERECHOS DE PROPIEDAD INTELECTUAL

En la Política de datos corporativos, hace referencia a los procedimientos adecuados para garantizar elcumplimiento de las restricciones legales al uso del material respecto del cual puedan existir derechos depropiedad intelectual, como derecho de propiedad intelectual, derechos de diseño o marcas registradas. Lainfracción de derechos de autor (derecho de propiedad intelectual) puede tener como resultado accioneslegales que podrían derivar en demandas penales.

CUMPLIMIENTO DE LA POLITICA DE SEGURIDAD

La Gerencia de Control Interno en la figura de la Unidad de Seguridad Lógica debe garantizar que se llevena cabo correctamente todos los procedimientos de seguridad dentro de su área de responsabilidad.Asimismo, se debe considerar la implementación de una revisión periódica de todas las áreas de laorganización para garantizar el cumplimiento de las políticas y estándares de seguridad. Entre las áreas arevisar deben incluirse las siguientes:

a. Sistemas de información

b. Proveedores de sistemasc. Propietarios de información y de recursos de información

d. Usuarios

e. Gerentes



-----------------------------------------------------------------------------------------------------------------------------------------------------------------


PROTECCION DE LAS HERRAMIENTAS DE AUDITORIA DE SISTEMAS

Se debe proteger el acceso a las herramientas de auditoría de sistemas, (ejemplo: Archivos de datos o

software), dichas herramientas deben estar separadas de los sistemas operacionales y de desarrollo y nodeben almacenarse en directorios (áreas) de cintas o en áreas de usuarios, a menos que se les otorgue unnivel adecuado de protección adicional.



XXX. CONCLUSIONES

La Política de Seguridad de la información apoyará al grupo de Empresas CORIMON, C.A. en:

a. Definición de la seguridad de la información, sus objetivos y alcance generales y la importancia de laseguridad como un mecanismo que permite la distribución de la información

b. Una declaración del propósito de los responsables del nivel gerencial, apoyando los objetivos yprincipios de la Seguridad de la información;

c. Una breve explicación de las políticas, principios, normas y requisitos de cumplimiento en materia deseguridad, que son especialmente importantes para cualquier Organización formal.

d. Una definición de las responsabilidades generales y específicas en materia de gestión de la Seguridadde la información, incluyendo la comunicación de los incidentes relativos a la seguridad;

e. Referencias a documentos que puedan respaldar la política.

Esta política debe ser comunicada a todos los usuarios del GRUPO DE EMPRESAS CORIMON C.A., demanera pertinente, accesible y comprensible.

manual politicas seguridad[1]

Documents