RESOLUCION DE LA OFICINA DE ADMINISTRACION Y FINANZAS

Nº 011-2011-SERVIR-OAF

Lima, 03 de Marzo de 2011

VISTOS,

El Informe Nº 020-2011/SERVIR-OAF-TI de fecha 02 de Marzo del 2011, mediante el

cual el Especialista en Tecnologías de Información de la Autoridad Nacional del Servicio Civil -

SERVIR propone a la Oficina General de Administración y Finanzas el proyecto de Directiva:

"Normas Técnicas para Garantizar la Seguridad de la Información en la Autoridad Nacional del

Servicio Civil - SERVIR".

CONSIDERANDO:

Que, de acuerdo a lo dispuesto por la Resolución Jefatura! Nº 347-2001-INEI, publicado

en la normativa de la ONGEI, que aprueba la Directiva Nº 018-2001-INEl/DTNP, "Normas y

Procedimientos Técnicos para Garantizar la Seguridad de la Información publicada por las

Entidades de la Administración Pública", se establece que a fin de garantizar la integridad,

autenticidad y validez de los datos publicados y disminuir los riesgos de la gestión de la

información por parte del usuario, es necesario establecer los procedimientos técnicos para

preservar la seguridad de la información presentada al ciudadano a través del "Portal del

Estado Peruano";

Que, estando que la citada Directiva es de cumplimiento obligatorio por todas los

entidades de la Administración Pública a nivel nacional, de acuerdo a lo dispuesto en el

artículo 2º de la precitada Resolución;

Que, en ese contexto, es necesario definir lineamientos de seguridad para proteger

información crítica de SERVIR, asegurar el control de acceso y uso de los servicios disponibles

vía Internet, así como fortalecer en el personal de la entidad una cultura de la seguridad de la

información promoviendo su adecuado tratamiento y protección acorde con la normatividad

correspondiente dispuesta por la ONGEI, a través de la aprobación de la correspondiente

Directiva;

Que, teniendo en cuenta que forma parte de las funciones de la Oficina General de

Administración y Finanzas el coadyuvar al fortalecimiento de la organización mediante la

adecuada gestión de tecnologías de la información y de los recursos informáticos, de acuerdo

a lo dispuesto en el artículo 182 del Reglamento de Organización y Funciones de SERVIR;

De conformidad con lo establecido en la Resolución Jefatura! N2 347-2001-INEI, que

apruebó la Directiva N2 018-2001-INEl/DTNP, "Normas y Procedimientos Técnicos para

Garantizar la Seguridad de la Información publicada por las Entidades de la Administración

Pública", el Reglamento de Organización y Funciones de SERVIR, aprobado mediante Decreto

Supremo N° 062-2008-PCM y modificado por Decreto Supremo N2 014-2010-PCM .

SE RESUELVE:

Artículo l°.- Aprobar la Directiva N2 004-2011-SERVIR/GG-OAF "Normas Técnicas

para Garantizar la Seguridad de la Información en la Autoridad Nacional del Servicio

Civil - SERVIR", misma que forma parte integrante de la presente Resolución.

Artículo 2°.- Disponer que la presente Resolución así como la Directiva aprobada se

publique en el portal institucional www.servir.gob.pe

Regístrese, comuníquese y archívese.

DIRECTIVA N2 004-2011-SERVIR/OAF

NORMAS TÉCNICAS PARA GARANTIZAR LA SEGURIDAD DE LA INFORMACIÓN EN LA

AUTORIDAD NACIONAL DEL SERVICIO CIVIL - SERVIR

l. FINALIDAD

La presente Directiva tiene como finalidad definir lineamientos de seguridad para proteger

la información crítica de la Autoridad Nacional del Servicio Civil, en adelante SERVIR,

asegurar el control de acceso y uso de los servicios disponibles vía Internet y fortalecer en

el personal de SERVIR una cultura de seguridad de la información, promoviendo su

adecuado tratamiento y protección, con el objetivo de contribuir a los objetivos

organizacionales de minimizar los riesgos de amenazas y vulnerabilidades del sistema de

información de SERVIR y mejorar los procedimientos del uso de activos y servicios

tecnológicos.

2. ALCANCE

Las disposiciones contenidas en la presente Directiva son de aplicación obligatoria para

todas las unidades orgánicas que forman parte de la Autoridad Nacional del Servicio Civil -

SERVIR. Su aplicación incluye a todo equipo tecnológico conectado a la red de SERVIR, sea

propiedad de este o de terceros que requieran usar recursos tecnológicos de la institución.

3. RESPONSABILIDAD

Es responsable de la aplicación y cumplimiento de la presente directiva el Área de

Tecnologías de Información de SERVIR.

4. BASE LEGAL

• Decreto Legislativo Nº 1023 que crea la Autoridad Nacional del Servicio Civil.

• Decreto Supremo Nº 062-2008-PCM que aprueba el Reglamento de Organización y

Funciones de la Autoridad Nacional del Servicio Civil.

• Resolución de Gerencia General Nº 010-2009-ANSC-GG y sus modificatorias, que

aprueba el procedimiento de reclutamiento, selección y contratación del personal

CAP.

• Resolución de Gerencia General Nº 012-ANSC-GG y sus modificatorias, que aprueba el

procedimiento para la aplicación del régimen especial de contratación administrativa

de servicios - CAS.

• Resolución Jefatura! Nº 347-2001-INEI, que aprueba las normas y procedimientos

técnicos para garantizar la seguridad de la Información publicada por las Entidades de

la Administración Pública.

• Directiva Nº 016-2002-INEl/DTNP, normas y procedimientos técnicos para garantizar la

seguridad de la información publicada por las Entidades de la Administración Pública.

S. DISPOSICIONES GENERALES

a) El Área de Tecnologías de la Información es responsable de cumplir y hacer cumplir las

disposiciones contenidas en la presente directiva .

b) SERVIR es una entidad comprometida con la seguridad de la información como un

activo de valor para el cumplimiento de sus objetivos.

c) SERVIR contará con un equipo humano consciente del valor de la información, con una

actitud orientada a proteger la confidencialidad, in tep,ridad y disponibilidad de la

información.

d) SERVIR mejorará de manera continua la gestión de la seguridad de la información.

e) Todo aquello que no está explícitamente autorizado en esta Directiva requerirá de

aprobación expresa de la Jefatura de la Oficina de Ad min is tración y Finanzas.

6. DISPOSICIONES ESPECÍFICAS

6.1 DE LAS ACCIONES DE PREVENCIÓN

A. CON RELACIÓN A LA NATURALEZA DE LA INFORMACIÓN

Confidencialidad de la información

a) Toda información relacionada a las operaciones de SERVIR es confidencial y propiedad de SERVIR. Colaboradores, contratistas, consultores y demás personal que tenga relación de trabajo con SERVIR están prohibidos de revliJr información incluyendo:

• Documentos todavía no comunicados oficialmen te por SERVIR.

• Planes y estrategias de trabajo.

• Estudios y evaluaciones de mercado. • Programas, bases de datos e informaciones contcrii t:.1~ .

b) Toda información sobre la plataforma tecnológicJ usdd 1 por ~ CRVIR es confidencial. La tecnología usada, su ubicación y configuración consl " , L ;nformación confidencial incluyendo: equipos personales, programas, documentación, sistemas operativos, diagramas, servidores. La información de esta plataforma sólo puede ser entregada a terceros mediante autorización escrita de Oficin:i r ncra l de Administración y Finanzas.

Propiedad de la información

c) Cada elemento o servicio de la infraestructura tern o! \;ic.1 de SERVIR contará con cobertura administrativa por parte del área dr Tcc1' ' ,:· 15 de la Información, en adelante TI. Se identificará al personal autorizado a C'L' ir, modificar o borrar tipos específicos de información.

B. CON RELACIÓN A LAS ÁREAS DE TRABAJO Y LAS APLICl\CI ~ NE S UTILIZADAS

a) La sala de máquinas (Data Center) será de acceso rcst1 ¡, .. , para personal autorizado.

b) La información, servicios y procedimientos administr:i t 1 <; • proveer a la ciudadanía,

se administrarán por medios electrónicos con aplicaciclll •''. sr· ·uras.

c) Las aplicaciones que administran transacciones operativas deberán incorporar

procedimientos técnicos de seguridad mediante las siguientes técnicas: Secure Sockets

Layer (SSL) y Public Key lnfrastructure (PKI)

d) Se incorporará un sistema de seguridad antivirus en los servidores que gestionan las

bases de datos y aplicaciones de SERVIR.

e) Se incorporará una herramienta de detección de intrusos y control de accesos para

proteger la información de carácter confidencial de la institución.

f) Se dispondrá de copias de seguridad de la información crítica con herramientas de

respaldo en línea que evite interrumpir los servicios brindados.

g) Se contará con una adecuada alimentación eléctrica, que involucre el estado de los

pozos a tierra, UPS, estabilizador y redes de alimentación eléctrica independientes.

C. CON RELACIÓN A LOS SISTEMAS DE RED LOCAL Y CONECTIVIDAD A INTERNET

Acceso a servicios externos

a) Los elementos de comunicación interna y externa serán controlados, evitando que ante un exceso de demanda las operaciones de SERVIR sean afectados negativamente. Se implementarán mecanismos de control de demanda de los recursos de comunicaciones: • Herramientas de priorización de tráfico.

• Productos de memoria intermedia. b) El acceso de SERVIR a entidades externas estará asegurado, impidiendo la existencia de

brechas que posibil iten el acceso no autorizado. d) Toda conexión con entidades externas estará bajo el control del Área de Tecnologías

de la Información. e) Las áreas que requieran acceso a entidades externas de acuerdo a la naturaleza de sus

funciones deberán coordinar con el Área de Tecnologías de la Información la implementación del servicio .

f) Ningún equipo de la red de SERVIR que requiera conexión externa dispondrá de acceso irrestricto, estará limitado a lo necesario para sus funciones.

g) Toda entidad que se conecte a la red de SERVIR deberá asegurar previamente sus propios sistemas de manera consistente con los requerimientos de SERVIR.

Acceso desde el exterior a servicios internos

h) Todo acceso de terceros no será directo a los servicios internos de SERVIR. Cualquier acceso remoto a servicios internos de SERVIR será autenticado con mecanismos que garanticen la identidad del cliente externo.

i) El acceso remoto a través de una red pública a la red de SERVIR que implique transmisión de información confidencial empleará mecanismos que garanticen la privacidad de los datos transmitidos.

j) Los equipos personales conectados a la red de SERVIR o que se encuentren físicamente dentro de sus instalaciones, no tendrán conectados módems externos o equipos similares (antenas de proveedores de comunicaciones)

Servicios de Internet

k) El uso del servicio de Internet se brindará contando con mecanismos que aseguren la protección de la red interna y sus equipos.

1) La red local y el sistema de conectividad a Internet contarán con sistemas de seguridad.

m) Se tendrá en consideración la aplicación de técnicas de seguridad que se evalúen como convenientes: firewall, detección de intrusos, inspección de contenido, auditoría, filtrado, Proxy, autenticación; que permitan controlar la seguridad de los usuarios de la red local y sistema de conectividad a Internet.

n) Se implementarán lineamientos de restricción en la asignación de las direcciones IP en los usuarios.

o) Se establecerán redes privadas virtuales para permitir enlaces temporales privados entre usuarios y aplicaciones internas y externas de SERVIR.

Servicios externos

p) Se clausurarán los servicios de comunicación que no sean estrictamente necesarios y módulos de los aplicativos que soportan la identificación para acceso remoto.

q) Se establecerán controles de acceso a los servicios telnet, ftp o similares. r) Se implementarán lineamientos de control de acceso:

• Inhabilitación de cuentas a usuarios que dejaron de laborar en SERVIR, solicitaron licencia o no se conecten al sistema por un período de tiempo determinado.

• Control de horario en cuentas.

Claves de Acceso

s) Las claves de acceso son de carácter privado. El propietario asume la responsabilidad de las acciones ejecutadas con la misma. Los administradores de plataforma no conocerán la clave de los usuarios pero sí podrán administrarla (alta, baja, modificación)

t) Las claves de acceso tendrán características que garanticen su nivel de confidencialidad: caducidad periódica, tamaño mínimo.

Uso de aplicaciones

u) El uso de software que necesite SERVIR está normado por el Área de Tecnologías de la Información.

v) Sólo el personal autorizado por la OAF realizará la instalación de programas en los equipos de computación personal. Los usuarios están autorizados a usar sólo aquellos programas que se les ha asignado. El uso de un programa no autorizado será calificado como intento de evadir los mecanismos de seguridad de la institución.

w) Las condiciones de uso de los programas de cómputo estará normado mediante un documento de "Política de Uso de Software" suscrito por el personal de SERVIR

D. CON RELACIÓN AL PERSONAL DE SERVIR

Convenios de confidencialidad

a) El documento que formaliza la relación de SERVIR con los colaboradores regulares y personal temporal incluirá los criterios de confidencialidad del presente documento.

Se espera que SERVIR tenga reconocimiento por escrito del compromiso de los trabajadores de no revelar información confidencial.

Atribuciones

b) Cualquier cambio de configuración de un servicio debe ser atribución únicamente del administrador del mismo o personas designadas por este.

c) Todos los privilegios en los sistemas de información de SERVIR serán revocados

inmediatamente culminada la relación laboral del trabajador vinculado a la institución.

Existiendo además un esquema formal de comunicado a la OAF por parte de las áreas

internas acerca de los cambios de estado de empleo de los trabajadores de SERVIR

(altas, bajas, modificación de funciones) d) Se establecerán mecanismos de control de restricción de acceso a la información de la

institución de acuerdo a sus necesidades operativas:

• Permitir el acceso a personal autorizado y evitar el acceso no autorizado.

• Permitir el acceso de acuerdo al perfil de cada usuario.

• Detección y registro de intentos de acceso no autorizados.

6.2 DE LAS ACCIONES DE DETECCIÓN

a) Se revisarán periódicamente las últimas actividades realizadas en la base de datos de

los sistemas de seguridad en busca de acciones sospechosas efectuadas por usuarios externos o internos en SERVIR.

b) Se implementará un sistema de monitoreo especializado para detectar cualquier

evento fuera de lo normal en el sistema.

c) Se comprobará periódicamente la integridad de los archivos importantes del sistema.

d) Se verificará periódicamente los permisos de los archivos que se encuentren en los directorios de usuarios.

6.3 DE LAS ACCIONES DE RECUPERACIÓN

a) Se dispondrá de procedimientos de contingencia que permitan minimizar los daños y

proteger la información del servicio a nivel de bases de datos, aplicaciones,

configuración de los sistemas operativos y de comunicaciones. Para lo cual se contará

con un sistema de respaldo de información y un plan de continuidad de operaciones.

b) Los procedimientos de contingencia deberán ser documentados y difundidos entre el

personal responsable y operativo del Área de Tecnologías de la Información.

c) Se establecerán cursos de capacitación y simulacros que permitan evaluar la respuesta

del personal involucrado en la recuperación de contingencia dispuesta.

7. DISPOSICIONES COMPLEMENTARIAS

7.1 El Área de Tecnologías de la Información elaborará el Plan de Contingencias

institucional que considerará :

a. Respaldo de la configuración de servidores principales que permitan su puesta en

marcha ante una eventual contingencia.

b. Procedimientos de respaldo y restauración de la información crítica a nivel de

servidores.

7.2 Se establecerá periódicamente simulacros que permitan evaluar la respuesta del

personal involucrado en el Plan de Contingencias.

7.3 Las disposiciones de la presente Directiva se subordinan a lo que el Estado Peruano

establezca en el marco de medidas para el Almacenamiento y Respaldo de la

Información.

Lima, Marzo 2011