Resolución Nº 66/10

Resolución N° 66/10	Nro de Expediente: 6003-001710-09
PLANIFICACION	Fecha de Aprobación: 4/1/2010

Tema:
VARIOS

Resumen:
Establecer la Política de Gestión de Operaciones para la Intendencia Municipal de Montevideo.-

Montevideo, 4 de Enero de 2010.-

VISTO: las presentes actuaciones relacionadas con la importancia de identificar y proteger los activos de información de la Intendencia Municipal de Montevideo; RESULTANDO: que la Administración se ha trazado como objetivo el garantizar la continuidad de las principales operaciones y minimizar el impacto provocado por incidentes de seguridad, así como garantizar que la información distribuida o producida por la Organización mantenga su integridad y confidencialidad de forma apropiada y que la misma se encuentre disponible siempre que sea necesaria; CONSIDERANDO: 1º) que la Dirección de la División Tecnología de la Información, a fin de lograr estos cometidos, se ha abocado al desarrollo, implantación, mantenimiento y mejora continua de un Sistema de Gestión de la Seguridad de la Información; 2º) que en ese marco corresponde asignar al área responsable de seguridad de la información, el mantenimiento de dicha política y el asesoramiento respecto a su implantación; 3º) que se debe asegurar la operación correcta y segura de las instalaciones de procesamiento de información, 4º) que se estima necesario que todo el personal de la División Tecnología de la Información de la Intendencia Municipal de Montevideo debe adherirse a esta política de seguridad; 5º) que el Director General del Departamento de Planificación se manifiesta de conformidad a lo informado, estimando procedente el dictado de Resolución al respecto; EL INTENDENTE MUNICIPAL DE MONTEVIDEO RESUELVE: 1º. Establecer la siguiente Política de Gestión de Operaciones, cuyo objetivo es asegurar la operación correcta y segura de las instalaciones de procesamiento de información, siendo el alcance todas las instalaciones donde la División Tecnología de la Información procese información, abarcando los pasos previos a la puesta en producción de un servicio o sistema, su puesta en producción y su operación posterior a) Política i. Se deben establecer las responsabilidades y los procedimientos para la gestión y operación de las instalaciones de procesamiento de información. a.1) Procedimientos documentados de operación i. Los procedimientos de operación deben documentarse, mantenerse actualizados y ponerse a disposición de los usuarios que los necesiten. ii. Estos procedimientos deben especificar las instrucciones necesarias para la ejecución detallada de cada tarea. iii. Se debe incluir en la documentación información de contacto para los casos en que se presenten dificultades. iv. Estos procedimientos deben incluir pero no limitarse a:  procesamiento y utilización de información  respaldo  interdependencia, tiempos de comienzo y finalización de tareas programables  manejo de errores o condiciones de excepción presentados durante la ejecución de una tarea  reinicio, recuperación, verificación y validación de sistema en caso de falla v. Los documentos de procedimientos y sus cambios deben estar debidamente aprobados por las direcciones de las áreas involucradas. a.2) Gestión de cambios i. Deben controlarse los cambios en los sistemas operacionales, software en producción e instalaciones de procesamiento de información. ii. Para el control de cambios debe considerarse:  identificación y registro de los cambios significativos  planificación y pruebas de los cambios  evaluación de impactos potenciales, incluyendo impactos a la seguridad  comunicaciones de los detalles del cambio a las personas involucradas  procedimientos de vuelta atrás para abortar y recuperar los cambios sin éxito iii. Los cambios significativos que puedan tener gran impacto en la disponibilidad, confidencialidad o integridad de los sistemas deben ser aprobados por el Comité de Gestión de Cambios. iv. En caso que se necesiten realizar cambios de emergencia, los mismos deben ser documentados y aprobados dentro de las 24 hs de resuelto el problema. v. Se deben realizar los respaldos correspondientes a configuraciones, tablas, software, etc, previo a la realización del cambio. vi. La introducción de nuevos sistemas y cambios mayores a sistemas existentes debe seguir un proceso formal de documentación, especificación, pruebas, control de calidad, y gestión de implementación. Este proceso debería incluir una evaluación de riesgo, el análisis de los impactos de cambios, y la especificación de los controles de seguridad necesarios. Este proceso también debería asegurar que los procedimientos existentes de seguridad y control no sean comprometidos. vii. Los cambios deben efectuarse por usuarios autorizados. viii. Identificar todo el software, la información, entidades de base de datos, y el hardware que pudieran requerir enmienda. ix. Se debe informar en lo posible a los usuarios afectados antes de la implementación de los cambios. x. Se debe informar a Mesa de Ayuda con anterioridad al cambio. xi. Se debe asegurar que al terminar cada cambio, la documentación de sistema sea actualizada y que la vieja documentación sea archivada o eliminada. xii. Cuando la naturaleza del cambio lo permite se debe mantener un respaldo de la versión anterior al cambio. xiii. La documentación de operaciones y los procedimientos de usuario, deben ser cambiados según sea necesario para que permanezcan adecuados. xiv. La implementación de cambios, debe ocurrir en el momento adecuado y no interferir en lo posible con los procesos de negocio implicados. a.3) Segregación de tareas i. Se deberán segregar las tareas y áreas de responsabilidad para reducir las oportunidades de modificación no autorizada o no intencional, o el uso inadecuado de los activos. ii. Las siguientes áreas de actividad se definirán y serán desarrolladas por grupos/personal diferente:  Desarrollo de Software  Administración de servidores  Administración de base de datos  Operación de sistemas/administración diaria  Mesa de ayuda  Administración de telecomunicaciones  Testing de sistemas iii. Las excepciones deberán ser revisadas y aprobadas por la Dirección de la División Tecnología de la Información y el área de Seguridad Informática. a.4) Separación de recursos para desarrollo, prueba y producción i. Los recursos para desarrollo, prueba y producción deben separase para reducir el riesgo de acceso no autorizado o cambios en el sistema en operación. ii. Deben definirse y documentarse las reglas para el pasaje de software en ambiente de desarrollo a producción. iii. El ambiente de pruebas debe emular el ambiente de producción tanto como sea posible. iv. Los usuarios deben utilizar perfiles diferentes para los sistemas en producción o prueba y se deben exhibir mensajes de identificación para reducir el riesgo de errores. v. No se deben utilizar datos confidenciales, secretos o reservados en ambientes de desarrollo o prueba. vi. Los datos de prueba deberían ser seleccionados cuidadosamente, protegidos y controlados. vii. Para hacer pruebas debe ser evitado el empleo de bases de datos de producción , en particular no debería utilizarse información personal o cualquier otra información sensible. viii. Si se utiliza información personal o cualquier otra información sensible para hacer pruebas, todos los detalles y el contenido sensible debe ser eliminado o modificado, más allá del reconocimiento, antes del empleo. ix. Las directrices siguientes deben ser aplicadas para proteger datos de producción cuando son utilizados para hacer pruebas: x. Los procedimientos de control de acceso, que se aplican a sistemas de aplicaciones en producción, deberían aplicarse también a los sistemas de prueba de aplicaciones. xi. Debe autorizarse por separado, cada vez que se copie la información de producción a un sistema de prueba de aplicación. xii. Debe borrarse, la información de producción de un sistema de prueba de aplicación inmediatamente después de que las pruebas son completadas. xiii. Debe registrarse, la copia y el empleo de información de producción para proporcionar una pista de auditoria. a.5) Gestión de capacidad i. Cada actividad nueva y en curso debe identificar los requisitos de capacidad. ii. Todos los sistemas deben planificar con anticipación los requerimientos de capacidad y realizar un seguimiento de la capacidad de los sistemas. iii. Los requisitos de capacidad a verificar incluyen, pero no están limitados a:  espacio de almacenamiento  tráfico de red  poder de procesamiento  balanceo de carga  requerimientos de memoria Los requerimientos anteriores deben ser evaluados tanto en el centro de cómputos principal como en el de contingencia, para aquellos servicios en los que se requiera alta disponibilidad. iv. Los requisitos de capacidad física para la instalación de nuevo equipamiento a verificar, incluyen pero no están limitados a:  espacio físico para instalar nuevos servidores o dispositivos de forma adecuada  potencia eléctrica cubierta por las UPS para alimentarlos dentro los margenes de seguridad recomendados por el fabricante para no incurrir en sobrecarga de las mismas  capacidad de acondicionamiento térmico  disponibilidad de conexiones de red  disponibilidad de conexiones de red duales para los casos en que el servicio brindado por el nuevo equipamiento, deba tener características de alta disponibilidad.- a.6) Gestión de entrega de servicio por terceras partes i. Deben verificarse los controles de seguridad y definiciones de servicio incluidos en los acuerdos de entrega de servicios por terceras partes. ii. Deben supervisarse regularmente los servicios proporcionados por terceras partes y realizarse auditorias regulares de los mismos, para verificar el cumplimiento de los niveles acordados. iii. El acceso físico o lógico únicamente se debe dar a los proveedores para propósitos de soporte, cuando sea necesario, y con aprobación de la dirección. iv. Las actividades del proveedor deben ser supervisadas. a.7) Aceptación del sistema i. Se deben establecer los criterios de aceptación para nuevos sistemas, actualizaciones y nuevas versiones. Las pruebas y controles deben tener en cuenta:  requisitos de rendimiento y capacidad  procedimientos de recuperación de errores y reinicio  planes de contingencia  metodologías y procedimientos de prueba  controles y medidas de seguridad instalados  evaluación de impacto en sistemas e infraestructura existente  capacitación al área de operaciones y soporte a usuarios a.8) Respaldo i. Deben realizarse regularmente respaldos de la información y del software y probarse regularmente de acuerdo a la política de respaldo. a.9) Documentación de sistemas i. La documentación de sistemas que contenga información sensible, debe almacenarse en forma segura y tener restringido su acceso. b) Roles y responsabilidades i. Es responsabilidad del conjunto de la División Tecnología de la División la correcta implementación de esta política. ii. El área de Seguridad Informática es responsable de asegurar su cumplimiento.- 2. Establecer que la Política de Gestión de Operaciones, deberá ser revisada anualmente a efectos de evaluar su implantación y modificada cuando así se requiera, a efectos del eficaz cumplimiento de sus objetivos.- 3. Encomendar a la Asesoría Jurídica, la realización de los procedimientos pertinentes a los efectos de su incorporación al Digesto Municipal.- 4. Comuníquese a Secretaría General; a Asesoría Jurídica y a todos los Departamentos y pase a la División Tecnología de la Información.-

RICARDO EHRLICH, Intendente Municipal.-
LIC. ANDREA VIGNOLO, Secretaria General (I).-