Back to top
La presente Base Normativa se encuentra en estado de revisión.
Los usuarios convienen en exonerar de responsabilidad a la Intendencia de Montevideo, División Asesoría Jurídica, Equipo Técnico de Actualización Normativa e Información Jurídica, por todo tipo de daño o perjuicio, directo o indirecto que eventualmente puedan sufrir especialmente los derivados de involuntarias inexactitudes, falta de información o datos imperfectos de cualquier naturaleza, contenidos en los archivos de dicha base.

Digesto Departamental
Volumen III Relación Funcional

Libro III
De la relación funcional
Parte Reglamentaria
Título  Único
Nota:

Por Res.IM Nº 0441/23 de 19/01/2023 se aprobó un régimen de trabajo especial para el Servicio Central de Locomoción, que comienza a regir a partir del 1º de enero de 2023 y que extenderá su vigencia por el término de 1 (un) año.  Por Res.IM Nº 973/24 de 27/02/2024 se prorrogó la vigencia del citado régimen hasta el 31/12/2024.

Capítulo XVIII.3
Del Sistema de Gestión de la Seguridad de la Información
Sección IV
De la política de gestión de operaciones

Artículo R.418.21 ._

Establecer que la Política de Gestión de Operaciones, cuyo objetivo es asegurar la operación correcta y segura de las instalaciones de procesamiento de información, siendo el alcance de todas las instalaciones donde el Departamento de Desarrollo Sostenible e Inteligente procese información, abarcando los pasos previos a la puesta en producción de un servicio o sistema, su puesta en producción y su operación posterior.

Se deben establecer las responsabilidades y los procedimientos para la gestión y operación de las instalaciones de procesamiento de información.

a) Procedimientos documentados de operación:
i. Los procedimientos de operación deben documentarse, mantenerse actualizados y ponerse a disposición de los usuarios que los necesiten.
ii. Estos procedimientos deben especificar las instrucciones necesarias para la ejecución detallada de cada tarea.
iii. Se debe incluir en la documentación información de contacto para los casos en que se presenten dificultades.
iv. Estos procedimientos deben incluir pero no limitarse a :

  • procesamiento y utilización de información
  • respaldo
  • interdependencia, tiempos de comienzo y finalización de tareas programables
  • manejo de errores o condiciones de excepción presentados durante la ejecución de una tarea
  • reinicio, recuperación, verificación y validación de sistema en caso de falla

v. Los documentos de procedimientos y sus cambios deben estar debidamente aprobados por las direcciones de las áreas involucradas.

b) Gestión de cambios:

i. Deben controlarse los cambios en los sistemas operacionales, software en producción e instalaciones de procesamiento de información.
ii. Para el control de cambios debe considerarse:

  • identificación y registro de los cambios significativos
  • planificación y pruebas de los cambios
  • evaluación de impactos potenciales, incluyendo impactos a la seguridad
  • comunicaciones de los detalles del cambio a las personas involucradas
  • procedimientos de vuelta atrás para abortar y recuperar los cambios sin éxito

iii. Los cambios significativos que puedan tener gran impacto en la disponibilidad, confidencialidad o integridad de los sistemas deben ser aprobados por la Dirección de la Gerencia correspondiente.
iv. En caso que se necesiten realizar cambios de emergencia, los mismos deben ser documentados y aprobados dentro de las 24 horas de resuelto el problema.
v. Se deben realizar los respaldos correspondientes a configuraciones, tablas, software, etc, previo a la realización del cambio.
vi. La introducción de nuevos sistemas y cambios mayores a sistemas existentes debe seguir un proceso formal de documentación, especificación, pruebas, control de calidad y gestión de implementación. Este proceso debe incluir una evaluación de riesgo, el análisis de los impactos de cambios y la especificación de los controles de seguridad necesarios. Este proceso también debe asegurar que los procedimientos existentes de seguridad y control no sean comprometidos.
vii. Los cambios deben efectuarse por usuarios autorizados.
viii. Identificar todo el software, la información, entidades de base de datos y el hardware que pudieran requerir enmienda.
ix. Se debe informar en lo posible a los usuarios afectados antes de la implementación de los cambios.
x. Se debe informar internamente a los directores de las áreas del Departamento de Desarrollo Sostenible e Inteligente involucradas, Mesa de Servicios y Operaciones, con anterioridad al cambio.
xi. Se debe asegurar que al terminar cada cambio, la documentación de sistema sea actualizada y que la vieja documentación sea archivada o eliminada.
xii. Cuando la naturaleza del cambio lo permite se debe mantener un respaldo de la versión anterior al cambio.
xiii. La documentación de operaciones y los procedimientos de usuario, deben ser cambiados según sea necesario para que se mantengan actualizados.
xiv. La implementación de cambios, debe ocurrir en el momento adecuado y no interferir en lo posible con los procesos de negocio implicados.

c) Segregación de tareas:
i. Se deberán segregar las tareas y áreas de responsabilidad para reducir las oportunidades de modificación no autorizada o no intencional, o el uso inadecuado de los activos.
ii. Las siguientes áreas de actividad se definirán y serán desarrolladas por grupos/personal diferente:

  • Aplicaciones
  • Análisis de Procesos Informáticos
  • Administración de Sistemas
  • Administración de base de datos
  • Operaciones
  • Mesa de Servicios
  • Telecomunicaciones
  • Arquitectura y Testing
  • Seguridad informática

d) Separación de entornos para desarrollo, prueba y producción.
i. Los entornos para desarrollo, prueba y producción deben separarse para reducir el riesgo no autorizado o cambios en el sistema de operación.
ii. Deben definirse y documentarse los procedimientos para el pasaje de software en ambiente de desarrollo a producción.
iii. El ambiente de pruebas debe emular el ambiente de producción tanto como sea posible.
iv. Los usuarios deben utilizar perfiles diferentes para los sistemas en producción o prueba y se deben exhibir mensajes de identificación para reducir el riesgo de errores.
v. No se debe utilizar información clasificada como confidencial, secreta o reservada en ambientes de desarrollo o prueba.
vi. Los datos de prueba deberán ser seleccionados cuidadosamente, protegidos y controlados.
vii. Para hacer pruebas debe ser evitado el empleo de base de datos de producción o copias de las mismas.
viii. En caso de utilizar información personal o cualquier otra información clasificada como confidencial, reservada o secreta para hacer pruebas, dicho contenido debe ser eliminado o modificado (ofuscado), evitando su reconocimiento, antes del empleo.
ix. Los procedimientos de control de acceso, que se aplican a sistemas en producción, deberán aplicarse también a los sistemas de prueba de aplicaciones.
x. El área de Seguridad debe autorizar cada vez que se copie la información de producción a otro sistema para pruebas.
xi. Debe borrarse la información de producción de un sistema de prueba inmediatamente después de que las pruebas son completadas.
xii. Debe registrarse la copia y el empleo de información de producción para proporcionar una pista de auditoría.

e) Gestión de capacidad.
i. Cada actividad nueva y en curso debe identificar los requisitos de capacidad.
ii. Todos los sistemas deben planificar con anticipación los requerimientos de capacidad y realizar un seguimiento de la capacidad de los sistemas.
iii. Los requisitos de capacidad a verificar incluyen, pero no están limitados a:

  • espacio de almacenamiento
  • tráfico de red
  • poder de procesamiento
  • balanceo de carga
  • requerimientos de memoria
  • Los requerimientos anteriores deben ser evaluados tanto en el centro de cómputos principal como en el de
  • contingencia, para aquellos servicios en los que se requiera alta disponibilidad.

iv. Los requisitos de capacidad física para la instalación de nuevo equipamiento a verificar, incluyen pero no están limitados a:

  • espacio físico para instalar nuevos servidores o dispositivos de forma adecuada
  • potencia eléctrica cubierta por las UPS para alimentarlos dentro de los márgenes de seguridad
  • recomendados por el fabricante para no incurrir en sobrecarga de las mismas
  • capacidad de acondicionamiento térmico
  • disponibilidad de conexiones de red
  • disponibilidad de conexiones de red duales para los casos en que el servicio brindado por el nuevo
  • equipamiento, deba tener características de alta disponibilidad.

f) Gestión de entrega de servicio por terceras partes.
i. Deben verificarse los controles de seguridad y definiciones de servicio incluidos en los acuerdos de entrega de servicios por terceras partes.
ii. Deben supervisarse regularmente los servicios proporcionados por terceras partes y realizarse auditorías regulares de los mismos, para verificar el cumplimiento de los niveles acordados.
iii. El acceso físico o lógico a la infraestructura y aplicaciones únicamente se debe dar a los proveedores para propósito de soporte, cuando sea necesario, y con aprobación de la dirección.
iv. Las actividades del proveedor deben ser supervisadas.
v. Se deben incluir acuerdos de confidencialidad en los contratos de servicio de terceras partes.

g) Aceptación del sistema.
i. Se deben establecer los criterios de aceptación para nuevos sistemas, actualizaciones y nuevas versiones. Las pruebas y controles deben tener en cuenta:

  • requisitos de rendimiento y capacidad
  • procedimientos de recuperación de errores y reinicio
  • planes de contingencia
  • metodologías y procedimientos de prueba
  • controles y medidas de seguridad instalados
  • evaluación de impacto en sistemas e infraestructura existente
  • capacitación al área de operaciones y soporte a usuarios

h) Respaldo.
i. Deben realizarse regularmente respaldos de la información y del software y probarse regularmente de acuerdo a la política de respaldo.

i) Documentación de sistemas.
i. La documentación de sistemas que contengan información clasificada como secreta, reservada o confidencial, debe almacenarse en forma segura y tener restringido su acceso.

j) Roles y responsabilidades.
i. El área de Seguridad Informática es responsable de asegurar su cumplimiento.
ii. Es responsabilidad de las Gerencias de Tecnología de la Información y Tecnología para Ciudades Inteligentes, la correcta implementación de esta política.

FuenteObservaciones
num. 1 y 6
Sustituye la Res.IMM Nº 66/10 de 04.01.2010
num. 1