Articles-51683 Guia a Pmgssi 2011

GUIA METODOLOGICA 2011

PROGRAMA DE MEJORAMIENTO DE LA GESTIÓN SISTEMA DE SEGURIDAD DE LA INFORMACIÓN

Etapa I – Diagnóstico Etapa II – Planificación

Etapa III – Implementación

Red de Expertos Subsecretaría del Interior – División Informática Dirección de Presupuestos – División Tecnologías de la Información

RED DE EXPERTOS PMG – SSI 2011 _____________________________________________________________________

2

Contenido Introducción ........................................................................................................................... 3Objetivo y alcance de esta guía metodológica ....................................................................... 4

Alcances de la guía metodológica ...................................................................................... 4Cómo usar esta guía metodológica .................................................................................... 4

El sistema de seguridad de la información ............................................................................. 5Logros a alcanzar con el nuevo sistema de seguridad de la información .......................... 6Objetivos del SSI en el PMG ............................................................................................. 11

Ámbitos de interacción del SSI ............................................................................................. 13Alcance del SSI ...................................................................................................................... 15¿Quiénes deben estar involucrados en este PMG? .............................................................. 17Etapas del SSI ........................................................................................................................ 18ETAPA I: Diagnóstico ............................................................................................................. 18

Diagnóstico ....................................................................................................................... 19ETAPA II: Planificación .......................................................................................................... 28

Planificación ...................................................................................................................... 28ETAPA III: IMPLEMENTACIÓN ............................................................................................... 35Plazos y Medios .................................................................................................................... 84Historial de revisiones .......................................................................................................... 85


3

Introducción El proceso de Modernización del Estado tiene como objetivo central realizar las adecuaciones necesarias, tanto en la estructura institucional del aparato estatal, como en la manera en que estas instituciones “hacen las cosas”, aumentando la eficacia y eficiencia en sus funciones de modo de servir mejor a la ciudadanía. En el año 1998, con la implementación de la ley Nº 19.553, se inició el desarrollo de Programas de Mejoramiento de la Gestión (PMG) en los servicios públicos, asociando el cumplimiento de objetivos de gestión a un incentivo en las remuneraciones de los funcionarios. A partir del año 2010, el PMG incluye al sistema de “Seguridad de la Información” – dentro del área de Calidad de Atención a Usuarios – cuya asistencia y validación están a cargo de la Subsecretaría del Interior y la Dirección de Presupuestos. La información es un bien que, como otros bienes de la organización, tiene gran valor y necesita ser protegida en forma apropiada. La Seguridad de la Información protege a dicha información de una gran gama de amenazas con el fin de asegurar la continuidad de las operaciones, minimizar el daño de la institución y maximizar la eficiencia y las oportunidades de mejora de la gestión de la organización. Esta puede existir de muchas formas, pudiendo ser:

• Impresa o escrita en papel • Almacenada electrónicamente • Transmitida por correo o medios electrónicos • Mostrada en películas o en una conversación

Cualquier forma que tome la información, los dispositivos a través de los cuales es compartida y almacenada, siempre debe estar protegida en forma adecuada. La Seguridad de la Información se logra mediante la implementación de un adecuado conjunto de controles, que pueden traducirse en políticas, procedimientos, prácticas, estructuras organizacionales y funciones de software. Se necesita establecer estos controles para asegurar que se cumplan los objetivos específicos de seguridad de la organización. Con todo lo anterior, ha surgido la necesidad de que cada institución gubernamental cuente con un Sistema de Seguridad de la Información adecuado que permita asegurar la calidad, disponibilidad y oportunidad de la información, y la presente Guía ayudará a los mencionados organismos a alcanzar dicho objetivo.


4

Objetivo y alcance de esta guía metodológica El objetivo de esta guía es presentar de manera detallada el desarrollo de cada uno de los requisitos técnicos asociados a las distintas etapas que componen el sistema, así como servir de herramienta para la confección del informe final, el cual se debe presentar por cada institución pública, para verificar el cumplimiento de los objetivos comprometidos por los servicios públicos en el marco del Sistema Seguridad de la Información.

Alcances de la guía metodológica Esta guía entregará los lineamientos para la presentación de los requisitos técnicos del Sistema de Seguridad de la Información. Sin embargo, no constituye un manual de gestión de proyectos. Por esta razón, el desarrollo de algunos requisitos pudiera requerir del uso de herramientas que no son descritas en profundidad en esta guía y, en general, el empleo de conocimientos, capacidades y habilidades que se suponen existentes en cada uno de los servicios adscritos al sistema. Sin embargo, a lo largo de la guía se enfatizan ciertos aspectos en los que se ha creído conveniente profundizar.

Cómo usar esta guía metodológica El cuerpo central de la guía se divide en dos partes: La primera de ellas describe el SSI, sus objetivos y elementos constitutivos. En la segunda se detallan las etapas I, II y III del Sistema, las acciones necesarias y los medios para reportar su cumplimiento a la Red de Expertos del PMG. Además, se incluyen documentos anexos que cada encargado del SSI deberá utilizar como referencia. Esto es, información que deberá ser estudiada en función del marco legal1

, que incorpora los decretos supremos y leyes que rigen el funcionamiento de los sistemas de información y el manejo de información en las instituciones.

La documentación facilitada para la confección de los reportes del SSI deberá ser cuidadosamente completada, de acuerdo a los formatos establecidos. Además, se incluye documentación estándar, la cual cada servicio deberá adaptar de acuerdo a las necesidades propias.

1 Ver sección web “Legislación y otros documentos de apoyo”.


5

El sistema de seguridad de la información Los Activos de Información corresponden a todos aquellos elementos relevantes en la producción, emisión, almacenamiento, comunicación, visualización y recuperación de información de valor para la institución. De esta forma podemos distinguir 3 niveles básicos de activos de información:

• La Información propiamente tal, en sus múltiples formatos (papel, digital, texto, imagen, audio, video, etc.)

• Los Equipos/Sistemas/infraestructura que soportan esta información • Las Personas que utilizan la información, y que tienen el conocimiento de los procesos

institucionales. Dado que los activos de información poseen valor para la organización necesitan, por tanto, ser protegidos adecuadamente para que el “negocio”o la misión institucional no se vean perjudicados. Esto implica identificar riesgos, detectar vulnerabilidades y establecer los controles de seguridad que sean necesarios, tanto a nivel de gobierno institucional y de gestión de procesos, como a nivel de tecnologías de la información utilizadas. El Sistema de Seguridad de la Información (SSI) establece distintos controles tanto a nivel de gobierno y gestión, como de tecnologías de la información, con el objeto de garantizar que los activos de información cumplan con preservar las siguientes condiciones:

• La Integridad: La información está completa, actualizada y es veraz, sin modificaciones inapropiadas o corrupción.

• La Confidencialidad: La información está protegida de personas/usuarios no autorizados. • La Disponibilidad: Los usuarios autorizados pueden acceder a las aplicaciones y sistemas

cuando lo requieran para utilizar la información apropiadamente al desempeñar sus funciones.

Las nuevas tecnologías, el desarrollo del conocimiento, la liberación de las comunicaciones y la posibilidad de acceso libre a diversos aplicativos, requieren de un sistema que permita gestionar la seguridad de la información, lo cual consiste en la realización de las tareas necesarias para garantizar los niveles exigibles en la organización, dentro del ámbito de protección de las condiciones de integridad, confidencialidad y disponibilidad de la información, como principio clave. Según el Decreto Supremo N° 83 del 12 de enero de 2005 del Ministerio Secretaría General de la Presidencia (desde ahora en adelante DS-83), la Norma Chilena Oficial NCh-ISO 27001.Of2009 (desde ahora en adelante NCh ISO 27001), como también lo establecido en la Ley N° 20.285, y otras normativas presentes en el SSI del PMG, las exigencias y recomendaciones que se proveen, presentan desafíos en cuanto a la necesidad de garantizar estándares mínimos de seguridad en el uso, almacenamiento, acceso y distribución de información, por lo que es necesario que cada uno de los órganos del Estado cumpla con estas normativas a través de la implantación de un Sistema de Seguridad de la Información.


6

El DS-83, provee de un marco regulatorio para incorporar mayores niveles de seguridad a la información de los servicios públicos, sin embargo, su principal objetivo apunta al documento electrónico para facilitar la interoperabilidad en el Estado. Dado que el documento electrónico constituye sólo una parte de la información relevante a proteger, es que el Sistema de Seguridad de la Información debe abarcar a todos los Activos de Información identificados en las instituciones públicas, valiéndose de los dominios que establece la NCh ISO 27001.

Logros a alcanzar con el nuevo sistema de seguridad de la información Este nuevo Sistema constituye una herramienta para el ordenamiento de la gestión de cada institución desde el punto de vista del aporte efectivo de la tecnología a sus procesos institucionales relevantes identificando, primeramente, sus activos de información críticos vinculados a sus procesos estratégicos y de soporte y, seguidamente, que se logre identificar y gestionar los riesgos asociados a estos activos, aterrizando en planes de contingencia y de recuperación frente a desastres tecnológicos, que permitan establecer una continuidad operacional de sus procesos relevantes a nivel institucional, de modo de asegurar la provisión de los productos y servicios que deben ser brindados a sus clientes / usuarios / beneficiarios. En el mediano plazo, este sistema debe actuar como complemento y catalizador para el sistema PMG-Gobierno Electrónico (PMG-GE), introduciendo nuevas y mejores prácticas en la gestión de seguridad de la información en cada institución, así como en el gobierno de las Tecnologías de la Información y la Comunicación (TIC), convirtiéndose en un aporte efectivo a la gestión de las instituciones públicas. Las instituciones deberán adoptar el SSI, cumpliendo en un 100% con los dominios de seguridad establecidos en la NCh-ISO 27001, los cuales abarcan todos los Activos de Información que interesa proteger. Los objetivos de dichos dominios se describen a continuación: Tabla 1. Descripción de objetivos generales por dominio evaluado

Dominio: Política de seguridad Este dominio consiste en proporcionar a la institución la dirección y soporte para la seguridad de la información en concordancia con los requerimientos institucionales y las leyes y regulaciones pertinentes. La alta dirección debe establecer claramente el enfoque de la política en línea con los objetivos institucionales y demostrar su apoyo y su compromiso con la seguridad de la información, a través de la emisión y mantenimiento de un documento de Política General de Seguridad de la Información en toda la organización. Dominio: Organización de la seguridad de la información La finalidad de este dominio es establecer un marco referencial a nivel directivo para iniciar y controlar la implementación de la seguridad de la información dentro de la institución.


7

La dirección debe aprobar la política de seguridad de la información, asignar los roles de seguridad a los comités y designar al encargado de seguridad mediante una resolución, el cual debe coordinar y revisar la implementación de la seguridad en toda la institución. Si fuese necesario, se debe establecer una fuente de consultoría sobre seguridad de la información que esté disponible dentro de la institución. Se deben desarrollar contactos con los especialistas o grupos de seguridad externos, incluyendo las autoridades relevantes, para mantenerse actualizado con relación a las tendencias mundiales, monitorear los estándares, evaluar los métodos y proporcionar vínculos adecuados para el manejo de los incidentes de seguridad de la información. Se debe fomentar un enfoque multidisciplinario para la seguridad de la información. Dominio: Gestión de activos El objetivo de este dominio es implementar y mantener una apropiada protección de los activos institucionales. Todos los activos deben ser inventariados y contar con un propietario nombrado. Los propietarios deben identificar todos los activos y deben asignar la responsabilidad por el mantenimiento de los controles apropiados. La implementación de controles específicos puede ser delegada por el propietario conforme sea apropiado, pero el propietario sigue siendo responsable por la protección de los activos. Adicionalmente se debe asegurar que la información reciba un nivel de protección adecuado. La información debe ser clasificada para indicar la necesidad, prioridades y grado de protección esperado en su manejo. La información puede ser pública o secreta –también se denomina “reservada”- (Ley 20.285), y contar con diferentes grados de importancia dentro de la institución. Algunos activos pueden requerir un nivel de protección adicional o manejo especial dependiendo de su criticidad y riesgo. Se debe utilizar un esquema de clasificación de información para definir un conjunto apropiado de niveles de protección y comunicar la necesidad de medidas de uso especiales. Dominio: Seguridad de los recursos humanos Lo que busca este dominio es que antes de la contratación, se debe asegurar que los funcionarios, personal a honorarios y terceros entiendan sus responsabilidades, y sean idóneos para los roles para los cuales son considerados; y reducir el riesgo de robo, fraude y mal uso de los medios. Las responsabilidades de seguridad deben ser definidas y claramente comunicadas a los candidatos antes de la contratación en descripciones de trabajo adecuadas y en los términos y condiciones del empleo. A su vez, se debe realizar la verificación de los antecedentes de dichos candidatos, de acuerdo con las leyes, regulaciones y normas éticas pertinentes y en proporción a los requisitos del cargo y de la información a la cual tendrá acceso , y los riesgos que se emanen de la clasificación de dicha información. Los funcionarios, personal a honorarios y terceros usuarios de los medios de procesamiento de la información deben firmar un acuerdo sobre sus roles y responsabilidades con relación a la seguridad. Durante las labores se debe asegurar que los funcionarios usuarios, contratistas y terceras personas estén al tanto de las amenazas y de la pertinencia de la seguridad de la información, de sus responsabilidades y obligaciones, y estén equipados para apoyar la política de seguridad organizacional en el curso de su trabajo normal, para reducir el riesgo de error humano e incidentes de seguridad.


8

Se debe proporcionar a todos los usuarios, funcionarios, personal a honorarios y terceras personas un nivel adecuado de conocimiento, educación y capacitación en procedimientos de seguridad y uso correcto de los medios de procesamiento, activos y servicios de información para minimizar los posibles riesgos de seguridad. Se debe establecer un proceso disciplinario normal para manejar las fallas en la seguridad. Además se debe asegurar que los funcionarios, contratistas o terceros que sean desvinculados o cambien su relación laboral, lo hagan de una forma adecuada, implementando medidas para que todo equipamiento sea devuelto y se eliminen todos los derechos de acceso de dicho funcionario desvinculado. Dominio: Seguridad física y del ambiente Este dominio consiste en prevenir el acceso no autorizado, daño e interferencia a las instalaciones de la institución y a la información. Los equipos de procesamiento de información crítica o sensible de la institución se deben mantener en áreas seguras, protegidos por un perímetro de seguridad definido, con barreras apropiadas de seguridad y controles de entrada. Éstos deben estar físicamente protegidos del acceso no autorizado, daño e interferencia. Es necesaria la protección de los equipos, incluyendo los portátiles usados fuera de las dependencias, para reducir el riesgo de acceso no autorizado a datos y para prevenir la pérdida o daño. Se pueden necesitar controles especiales para protegerlos de riesgos o accesos no autorizados, y salvaguardar las instalaciones de apoyo, tales como el suministro eléctrico y la infraestructura de cables. Dominio: Gestión de las comunicaciones y operaciones El objetivo de este dominio es crear procedimientos y responsabilidades operacionales de manera de asegurar la operación correcta y segura de los medios de procesamiento de la información. Cuando sea pertinente, se debe implementar la segregación de deberes para reducir el riesgo de negligencia o mal uso deliberado del sistema. Los sistemas operativos, los sistemas de aplicación y los medios de procesamiento de la información son vulnerables a la introducción de códigos de software malicioso, como virus de cómputo, virus de red, codigos troyanos y “bombas lógicas”. Los usuarios deben estar al tanto de los peligros de los códigos maliciosos. Se deben introducir controles para evitar, detectar y eliminar los códigos maliciosos y controlar los códigos móviles a través de antivirus, de manera de proteger la integridad del software y la integración. Se deben establecer los procedimientos de rutina para implementar la política de respaldo acordada y la estrategia para tomar copias de respaldo de la data y practicar su restauración oportuna. Se debe asegurar la protección de la información que viaja por correo electrónico y su infraestructura de soporte. La gestión segura del correo electrónico, requiere de la cuidadosa consideración de la información que es transmitida, su confidencialidad, implicancias legales, monitoreo y protección. También se pueden requerir controles adicionales para proteger la información confidencial que pasa a través de redes públicas.


9

Dominio: Control de Acceso La finalidad de este dominio es asegurar que el acceso del usuario es debidamente autorizado y evitar el acceso no autorizado a los sistemas de información. Se deben establecer procedimientos formales para controlar la asignación de los derechos de acceso a los sistemas y servicios de información. Los procedimientos deben abarcar todas las etapas en el ciclo de vida del acceso del usuario, desde el registro inicial de usuarios nuevos hasta la dada de baja de los usuarios que ya no requieren acceso a los sistemas y servicios de información. Cuando sea apropiado, se debe prestar atención especial a la necesidad de controlar la asignación de derechos de acceso privilegiados, lo que permite a los usuarios superar los controles del sistema. La cooperación de los usuarios autorizados es esencial para una seguridad efectiva. Los usuarios deben estar al tanto de sus responsabilidades para mantener controles de acceso efectivos, particularmente con relación al uso de claves secretas, su no divulgación y la seguridad del equipo asignado a él. Se debe implementar una política de escritorio y pantalla limpios para reducir el riesgo de acceso no autorizado o daño a los papeles y medios de almacenamiento de la información. Deben implementarse controles efectivos de manera de evitar el acceso no autorizado a los servicios de la red. Se debe controlar el acceso a los servicios de redes internas y externas. El acceso del usuario a las redes no debe comprometer la seguridad de los servicios de la red asegurando: a) Que existan las interfaces apropiadas entre la red de la institución y las redes de otras organizaciones, y redes públicas; b) Que se apliquen los mecanismos de autenticación apropiados para los usuarios y el equipo; c) Que el control del acceso del usuario a la información sea obligatorio. Se deben utilizar medios de seguridad para restringir el acceso a los sistemas operativos a los usuarios no autorizados. Los medios deben tener la capacidad para: a) Autenticar a los usuarios autorizados, en concordancia con una política de control de acceso definida; b) Registrar los intentos exitosos y fallidos de autenticación del sistema; c) Registrar el uso de los privilegios especiales del sistema; d) Emitir alarmas cuando se violan las políticas de seguridad del sistema; e) Proporcionar los medios de autenticación apropiados; f) Cuando sea apropiado, restringir el tiempo de conexión de los usuarios. De igual forma debe ocurrir con la información contenida en los sistemas de aplicación y al utilizar dispositivos móviles para trabajar de forma remota. Dominio: Adquisición, desarrollo y mantenimiento de los sistemas de información Aquellas instituciones que desarrollen software internamente o, en su defecto, encarguen su elaboración a un proveedor calificado, se debe garantizar que la seguridad sea una parte integral de los sistemas de información y se incluya en la etapa de formulación del software. Los sistemas de información incluyen sistemas de operación, infraestructura, aplicaciones de negocio, servicios y aplicaciones desarrolladas por el usuario. El diseño e implementación del sistema de información que soporta el proceso de negocio puede ser crucial para la seguridad. Se deben identificar y acordar todos los requerimientos de seguridad antes del desarrollo y/o implementación de los sistemas de información en la fase de requerimientos de un proyecto; y deben ser justificados, acordados y documentados como parte de las formalidades para un sistema de información.


10

Dominio: Gestión de incidentes en la seguridad de la información El objetivo de este dominio es asegurar que las debilidades y eventos de seguridad de la información asociados a sistemas de información son comunicados de manera de permitir tomar acciones correctivas a tiempo. Se debe establecer un procedimiento formal para informar los eventos de seguridad de la información, junto con la respuesta al incidente y un procedimiento de escalamiento, precisando la acción que se tomará al momento de recibir un informe de un evento de seguridad de la información. Estos procedimientos deben ser de conocimiento de todos los funcionarios de la organización. A su ve, se debe asegurar la aplicación de un enfoque constante y eficaz de gestión de incidentes de seguridad, estableciendo las responsabilidades y procedimientos para manejar los eventos y debilidades de seguridad de la información con eficacia, una vez que han sido informados. Se debe aplicar un proceso de mejora continua en la gestión general de incidentes de seguridad de la información. La evidencia requerida, cuando corresponda, debe ser recogida asegurando la conformidad con los requisitos legales. Dominio: Gestión de la Continuidad del Negocio El objetivo de este dominio es considerar los aspectos de la seguridad de la información de la gestión de la continuidad operativa de manera de hacer frente a las interrupciones de las actividades institucionales y proteger los procesos críticos de los efectos de fallas importantes o desastres en los sistemas de información y asegurar su reanudación oportuna. Se debe implementar el proceso de gestión de la continuidad del negocio para minimizar el impacto sobre la institución y lograr recuperarse de la pérdidas de activos de información (lo cual puede ser resultado de, por ejemplo, desastres naturales, accidentes, fallas del equipo y acciones deliberadas) hasta un nivel aceptable a través de una combinación de controles preventivos y de recuperación. Este proceso debe identificar los procesos institucionales críticos e integrar los requerimientos de gestión de la seguridad de la información de la continuidad del negocio con otros requerimientos de continuidad relacionados con aspectos como operaciones, personal, materiales, transporte y medios. Las consecuencias de los desastres, fallas en la seguridad, pérdida del servicio y la disponibilidad del servicio deben estar sujetos a un análisis del impacto en el negocio. Se deben desarrollar e implementar planes para la continuidad del negocio para asegurar la reanudación oportuna de las operaciones esenciales. La seguridad de la información debe ser una parte integral del proceso general de continuidad del negocio, y otros procesos importantes dentro de la organización. La gestión de la continuidad del negocio debe incluir controles para identificar y reducir los riesgos, además del proceso general de evaluación de riesgos, debe limitar las consecuencias de incidentes dañinos y asegurar que esté disponible la información requerida para los procesos institucionales. Dominio: Cumplimiento El objetivo de este domino consiste en evitar los incumplimientos de cualquier ley, estatuto, regulación u obligación contractual legal y de cualquier requisito de seguridad a los cuales puede estar sujeto el diseño, operación, uso y gestión de los sistemas de información.


11

Se debe contar con asesoría sobre los requisitos legales específicos en el departamento jurídico de la institución, o a través de profesionales del derecho calificados. De la misma, forma se debe asegurar que los sistemas cumplen con las normas y políticas de seguridad de la organización, a través de revisiones regulares y auditorías que comprueben el cumplimiento de normas aplicables a la implementación de la seguridad y controles documentados. Se deben establecer controles para salvaguardar los sistemas en producción y la integridad de las herramientas de auditoría durante las auditorías del sistema de información, y evitando el mal uso de ellas.

Objetivos del SSI en el PMG

El Sistema de Seguridad de la Información permite identificar amenazas y vulnerabilidades que afectan a los activos de información vinculados a cada proceso de la institución. El énfasis está en desarrollar un plan para el tratamiento de riesgos, cautelando debidamente los siguientes activos de información: Equipos, infraestructura fisica y tecnológica, software, bases datos, personas e información propiamente tal en sus múltiples formatos (papel, digital, audio, video, etc.). El objetivo del SSI es “contar con un sistema de gestión de seguridad de la información que permita lograr niveles adecuados de integridad, confidencialidad y disponibilidad para todos los activos de información institucional considerados relevantes, de manera tal que se asegure la continuidad operacional de los procesos institucionales y la entrega de productos y servicios a los usuarios / clientes / beneficiarios”2

.

A través de SSI, los servicios públicos deberán elaborar un levantamiento pormenorizado de estos activos en dos planes: el Plan de Continuidad del Negocio y el Plan de Recuperación frente a Desastres Tecnológicos. En toda organización moderna, donde un gran porcentaje de sus procesos descansan en TIC3

, los planes mencionados se transforman en elementos fundamentales para cumplir los objetivos principales de gestión de seguridad de la información (lograr que todos los activos de información institucional estén protegidos desde las perspectivas de Confiabilidad, Integridad y Disponibilidad).

Objetivos de las etapas del SSI: Etapa 1

Diagnosticar la situación de seguridad de la información institucional. Identificar de todos aquellos aspectos de seguridad de la información que establece el

Decreto Supremo N°83 y la NCh-ISO 27001, estableciendo el nivel en que la institución se encuentra con respecto de ellos.

2 MINISTERIO de Hacienda – Dirección de Presupuestos. Programa de Mejoramiento de la Gestión (PMG). Año 2010. Programa Marco Básico. Documento Técnico. Septiembre de 2009. Pág. 6. 3 MINISTERIO de Hacienda – Dirección de Presupuestos. Programa de Mejoramiento de la Gestión (PMG). Año 2010. Programa Marco Básico. Documento Técnico. Septiembre de 2009. Pág. 12.


12

Determinar las brechas a ser abordadas en el Plan General de Seguridad de la Información institucional.

Etapa 2 Definir el Plan General de Seguridad de la Información institucional, para el año en

curso y siguientes, considerando los resultados del diagnóstico y brechas detectadas en la Etapa I, y que comprenda la coordinación de todas las unidades vinculadas y los métodos para la implementación de la norma NCh-ISO 27001. Este plan debe estar aprobado por la Autoridad Superior del Servicio.

Elaborar el Programa de Trabajo Anual para implementar el plan de seguridad de la información definido, señalando el porcentaje de cada uno de los dominios de la norma NCh-ISO 27001 que se alcanzará para el año, hitos, cronograma, plazos y responsables.

Plan de mitigación de riesgos, que defina los riesgos asociados al Plan y sus acciones para resolverlos.

Difusión/capacitación/sensibilización a todos los funcionarios del plan de seguridad de la información y su programa de trabajo aprobado por la autoridad del Servicio.

Etapa 3

Implementar el programa de trabajo anual definido en la etapa anterior, de acuerdo a lo establecido en el plan general de seguridad de la información y el porcentaje de cumplimiento de la norma NCH-ISO 27001 comprometido.

Registrar y controlar los resultados de la implementación del programa de trabajo anual considerando actividades, dificultades, grado de avance en el cierre de las brechas, holguras detectadas, implementación del plan de mitigación de riesgos asociados a cada proyecto o iniciativa, las acciones de difusión/sensibilización/capacitación y las modificaciones realizadas según lo programado.

Etapa 4

Evaluar los resultados de la implementación del Plan General de Seguridad de la Información y Programa de Trabajo Anual, y formular recomendaciones de mejora.

Difundir a los funcionarios los resultados de la evaluación del Plan y Programa de Trabajo Anual.

Diseñar el Programa de Seguimiento a partir de las recomendaciones formuladas. Mantener del grado de desarrollo del sistema de acuerdo a cada una de las Etapas. Implementar los compromisos establecidos en el Programa de Seguimiento,

considerando plazos y responsables para superar las brechas aún existentes y debilidades detectadas.


13

Ámbitos de interacción del SSI El SSI interactúa estrechamente con diferentes áreas de la institución y sus procesos. La entrega de productos, servicios e información institucional y procesos de soporte institucional, debe considerar:

i. Provisión de productos estratégicos a aquellos procesos que hacen factible el cumplimiento de los objetivos estratégicos de cada institución.

ii. Productos que se proveen a los ciudadanos y/o usuarios institucionales, directa o indirectamente

(a través de empresas u otras instituciones).

iii. Procesos tecnológicos y manuales que se llevan a cabo en la generación, intercambio, transporte y/o almacenamiento de documentos electrónicos y otros activos de información, ya sea entre los diferentes organismos de la administración del Estado y en las relaciones de éstos con los particulares, cuando éstas tengan lugar utilizando técnicas y medios electrónicos o manuales, o dentro de dichos organismos.

iv. Normativa vigente, incorporada en proyectos de Gobierno Electrónico u otros, relacionadas con

la seguridad de la información, en particular:

• Ley N°19.553, febrero 1998. Concede asignación de modernización y otros beneficios que indica. Ministerio de Hacienda.

• Decreto N°475. Reglamento Ley 19.553 para la aplicación del incremento por Desempeño institucional del artículo 6° de la Ley y sus modificaciones.

• Ley N°20.212, agosto de 2007. Modifica las leyes N° 19.553, N° 19.882, y otros cuerpos legales, con el objeto de incentivar el desempeño de los funcionarios públicos. Ministerio de Hacienda.

• Ley N°19.799, abril de 2002. Sobre documentos electrónicos, firma electrónica y los servicios de certificación de dicha firma. Ministerio de Economía.

• DS N°181. Reglamento Ley 19.799 sobre documentos electrónicos, firma electrónica y la certificación de dicha firma.

• Instructivo Presidencial Nº 05, mayo de 2001: Define el concepto de Gobierno Electrónico. Contiene la mayor parte de las instrucciones referidas al desarrollo de Gobierno Electrónico en Chile.

• Instructivo Presidencial Nº 06, junio de 2004: Imparte instrucciones sobre la implementación de la firma electrónica en los actos, contratos y cualquier tipo de documento en la administración del Estado, para dotar así de un mayor grado de seguridad a las actuaciones gubernamentales que tienen lugar por medio de documentos electrónicos y dar un mayor grado de certeza respecto de las personas que suscriben tales documentos.

• DS N°77. Norma técnica sobre eficiencia de las comunicaciones electrónicas entre órganos de la Administración del Estado y entre éstos y los ciudadanos.

• DS N°81. Norma técnica para los órganos de la Administración del Estado sobre interoperabilidad de documentos electrónicos.


14

• DS N°158. Modifica D.S. N° 81 sobre norma técnica para la interoperabilidad de los documentos electrónicos.

• DS N°83. Norma técnica para los órganos de la Administración del Estado sobre seguridad y confidencialidad de los documentos electrónicos.

• DS N°93. Norma técnica para minimizar la recepción de mensajes electrónicos masivos no deseados en las casillas electrónicas de los órganos de la Administración del Estado y de sus funcionarios.

• DS N°100. Norma técnica para el desarrollo de sitios web de los órganos de la Administración del Estado.

• Ley Nº 20.285, agosto de 2008. Regula el principio de transparencia de la función pública y el derecho de acceso a la información de los órganos de la administración del Estado. Ministerio Secretaría General de la Presidencia.

• Instrucción General N°2, mayo de 2009, del Consejo para la Transparencia: Designación de Enlaces con el Consejo para la Transparencia.

• Instrucción General N°3, mayo de 2009, del Consejo para la Transparencia: Índice de Actos o Documentos calificados como secretos o reservados.

• Instructivo Presidencial N°08, diciembre de 2006: Imparte instrucciones sobre Transparencia Activa y Publicidad de la Información de la Administración del Estado.

• Circular Nº3, enero de 2007: Detalla las medidas específicas que deben adoptar los servicios y dispone los materiales necesarios para facilitar la implementación del instructivo presidencial sobre transparencia activa y publicidad de la información de la Administración del Estado.

• Ley Nº 19.880, mayo de 2003: Establece bases de los procedimientos administrativos que rigen los actos de los órganos de la administración del Estado. Ministerio Secretaría General de la Presidencia.

• Instructivo Presidencial N°4, junio de 2003: Imparte instrucciones sobre aplicación de la Ley de Bases de Procedimientos Administrativos.

• Ley N° 19.628, agosto de 1999. Sobre protección de la vida privada y datos personales. Ministerio Secretaría General de la Presidencia.

• Ley Nº 17.336, octubre de 1970: Sobre propiedad intelectual. Ministerio de Educación Pública. • Ley Nº 19.223, junio de 1993: Sobre delitos informáticos. Ministerio de Justicia. • Ley Nº 19.927, enero de 2004: Sobre delitos de pornografía infantil. Ministerio de Justicia. • Guía Metodológica del Sistema Gobierno Electrónico. • Guía Metodológica del Sistema Seguridad de la Información.

Para comprender en detalle el alcance de la legislación, revisar documentación en sitio Web: http://www.dipres.cl, sección Sistema Seguridad de la Informacion “Anexo 3 - Referencias legales y normativas”.

http://www.dipres.cl/�


15

Alcance del SSI El Sistema de Seguridad de la Información debe abarcar, en el largo plazo, la totalidad de los procesos de las instituciones de la Administración Pública. Sin embargo, y dada la magnitud que tal propósito implica, se debe priorizar y focalizar los esfuerzos en aquellos procesos críticos para cada institución, compatibilizando la necesidad de proveer servicios con mayores niveles de seguridad y calidad. En orden a realizar este análisis, los servicios deben considerar los avances ya realizados en materia de gestión de procesos a través del PMG, ya sea dentro del Programa Marco Básico (PMB), Avanzado (PMA) y de la Calidad (PMC) y otras iniciativas modernizadoras que pueda haber en una institución. La figura N° 1, muestra tres grandes tipos de procesos que se desarrollan en los servicios públicos y su vinculación con los sistemas del PMG: • Procesos de Dirección: Se tiene el Sistema de Planificación y Control de Gestión (SPCG) al igual

que el Sistema de Monitoreo del desempeño Institucional, bajo el cual se determinan las definiciones estratégicas de cada servicio (ver Ficha A.1 por servicio), los indicadores asociados a su cumplimiento y los medios para verificarlo (ver Formulario H por servicio). Estos sistemas se encuentran dentro de los procesos de dirección de los servicios e implica decisiones de tipo programático y presupuestario para el mismo. En este mismo nivel se encuentran los procesos del Sistema de Auditoría Interna (SAI), que debe desarrollar en forma permanente y continua, auditorias de carácter general, fundamentalmente preventivas y de apoyo a la gestión estratégica. Los productos establecidos en las definiciones estratégicas son el resultado de la ejecución de los procesos críticos de los servicios, por tanto, tales definiciones son la base sobre la cual se debe definir qué procesos se incorporarán en le SSI.

• Procesos de provisión de bienes y servicios: Destinados a dar cumplimiento a la misión

institucional, cuya modernización se establece mediante el desarrollo de proyectos establecidos en el Sistema de Gobierno Electrónico – Tecnologías de Información (SGE), de modo que se dé respuestas de calidad a los requerimientos de los clientes. Tales requerimientos son objeto del Sistema Integral de Información y Atención Ciudadana (SIAC), así como pueden serlo del Sistema de Acceso a la Información Pública (SAIP), según sea el caso. Los productos de estos procesos son los que están presentes en las definiciones estratégicas, pues llevan a la práctica la misión de la organización.

• Procesos de soporte: Éstos se han ido estandarizando a través de los Sistemas de Capacitación

(SC), Evaluación del Desempeño (SED), Higiene - Seguridad y mejoramiento de ambientes de trabajo (HSYMAT) y Compras y Contrataciones Públicas (SCCP). Son procesos de apoyo a la función o al negocio del servicio.

Esta descripción permite reconocer que los servicios que deben implementar el SSI cuentan con herramientas que pueden aportar, por tanto la implementación no parte de cero.


16

Figura 1. Aplicación de los dominios de la norma NCh-ISO 27001 en los procesos institucionales.

Tres de los once dominios que explicita la norma NCh-ISO 27001, se deberán aplicar sólo a procesos de provisión de bienes y servicios debidamente priorizados a través de las definiciones estratégicas. Los dominios de “gestión de activos”, “seguridad física y ambiental”, y “gestión de la continuidad del negocio” han de ser desarrollados sobre la base de estos procesos cuyo impacto en la gestión del servicio es mayor. Tales procesos requieren y generan información en la sucesión de sus etapas, y esta información se encuentra soportada en activos de información que se debe asegurar. Los ocho dominios restantes afectan a todos los procesos institucionales, sin excepción, por cuanto influyen en todo el quehacer del servicio.


17

¿Quiénes deben estar involucrados en este PMG? Para el desarrollo del SSI, será necesario aunar el aporte y trabajo de los profesionales de todas las áreas, con el fin de desarrollar adecuadamente los proyectos de interés institucional. Este equipo multidisciplinario permitirá dividir las responsabilidades, logrando la especialización en cada uno de los dominios de la norma NCh-ISO 27001, obteniendo resultados de calidad satisfactoria. Dentro del desarrollo del programa se deberá tener presente al siguiente personal: 1.- Directivos. Dada la magnitud y relevancia de la tarea, se requiere de la participación activa de los más altos directivos de la institución, ya sea para entregar las orientaciones básicas, como para tomar las decisiones que influirán en el modo de operar del servicio público. Adicionalmente, es importante contar con un fuerte liderazgo y compromiso de los directivos que soporte la intervención de los procesos que se buscan mejorar. El rol que cumplen, no puede delegarse sin una significativa pérdida de credibilidad respecto a la seriedad del esfuerzo. 2.- Profesionales y técnicos. Parte importante de este equipo multidisciplinario es la activa participación de profesionales y técnicos seleccionados, que entienden y manejan el desarrollo de los procesos dentro de la institución. Para lo anterior, es necesario que cumplan con los perfiles acordes al cargo, dado que ellos entregarán los antecedentes y atenderán los requerimientos en la práctica. 3.- Otros funcionarios. Además, será necesario incluir a otro personal que pueda ser relevante para el correcto desarrollo del programa de implantación del SSI, ya sea directa o indirectamente. Cabe mencionar que también se debe incluir al personal a cargo de la Gestión de Calidad, dueños de procesos estratégicos del servicio o de procesos de provisión de productos y servicios, personal del área de gestión de riesgo; abogados/as del área jurídica, RRHH, profesionales del área informática, entre otros.


18

Etapas del SSI

ETAPA I: Diagnóstico La etapa de diagnóstico es fundamental, ya que entrega los lineamientos para el trabajo a desarrollar en las etapas siguientes. El diseño de proyectos de implementación de controles de seguridad dentro de la institución requiere de un adecuado diagnóstico de la situación que se busca intervenir. Un diagnóstico deficiente casi necesariamente conduce a iniciativas que presentan resultados de poco o bajo impacto sin lograr resolver el problema abordado. Un proyecto no surge de la nada, sino de una situación que se considera negativa, ineficaz o susceptible de modificar al reconocer una oportunidad de mejora. Desde el punto de vista de Seguridad de la Información, se enfatiza la capacidad de generar valor mediante el uso de políticas, estándares y procedimientos de seguridad que, en complemento con las Tecnologías de Información y Comunicaciones (TIC), conforman un sistema de gestión administrado. Sin embargo, el objetivo no es la incorporación de dichas tecnologías, de la normativa interna o el gobierno corporativo de seguridad, sino la mejora de la gestión de las instituciones a través de ellas. En este sentido, es indispensable que los servicios determinen si sus áreas y divisiones requieren mejoras antes de intervenir en sus procesos, para no generar actividades de control que sean innecesarias, utilizando recursos que pueden aprovecharse en necesidades más urgentes en la institución. Es importante destacar que uno de los aspectos relevantes para la aprobación de esta etapa es que el “nivel de cumplimiento” sea consistente con el “estado real de la institución” y NO sobredimensionar los valores, siendo un nivel bajo o alto de completitud igualmente válido para la aceptación del Diagnóstico. En esta etapa, utilizando los dominios de áreas de seguridad de acuerdo a la normativa NCH-ISO 27001 junto con DS-83, se realizará el diagnóstico de la situación actual de la institución, estableciendo los niveles en cada uno de ellos, determinando las brechas que deberán ser abordadas en el Plan de Seguridad especificado en la Etapa II del PMG-SSI, y mitigadas en la Etapa III de este sistema. Estos dominios o aspectos sobre los cuales se debe realizar el diagnóstico están descritos en la sección “El Sistema de Seguridad de la Información”.


19

Tabla 2. Dominios NCH-ISO 27001.Of2009 Dominio: Política de Seguridad Dominio: Organización de la Seguridad de la Información Dominio: Gestión de Activos Dominio: Seguridad de recursos humanos Dominio: Seguridad Física y Ambiental Dominio: Gestión de las comunicaciones y operaciones Dominio: Control de Acceso Dominio: Gestión de un incidente en la seguridad de la información Dominio: Adquisición, desarrollo y mantenimiento de los sistemas de información Dominio: Gestión de la Continuidad del Negocio Dominio: Cumplimiento

Diagnóstico En este apartado se describen una serie de acciones, actividades, consideraciones y requerimientos, los cuales deberán ser cumplidos en su totalidad. Cada acción se verá reflejada en un documento entregable a la Red de Expertos, cuyo formato provee esta guía, y da respuesta a cada uno de los requisitos técnicos 2011 del SSI en el PMG. Para el reporte de esta etapa se ha diseñado una planilla electrónica “Matriz de Diagnóstico”. En este documento se recoge cada uno de los dominios de SI de la norma NCh-ISO 27001, aplicando los controles ahí señalados a los activos de información que sostienen los procesos institucionales. Además, con este instrumento se busca que los Servicios cumplan con priorizar las brechas para que, de esta forma, se construya un Plan General (Etapa II) basado en criterios objetivos. Por otra parte, la herramienta recoge la información asociada a los procesos más importantes de cada institución. La matriz de diagnóstico constituye el principal medio por el cual se informará a la Red de Expertos los requisitos de la Etapa I. Cada elemento de esta matriz facilita la respuesta a los requisitos técnicos 2011 del SSI y permitirá dar continuidad al trabajo de las etapas restantes. Del mismo modo, a esta matriz se le deberá adjuntar toda la documentación solicitada para verificar el cumplimiento total de los requisitos. Es necesario que el encargado PMG-SSI, como también todos los funcionarios que tengan participación en el llenado de la matriz, cumplan con la totalidad de los pasos necesarios y requisitos técnicos, con el fin de lograr y asegurar un cumplimiento satisfactorio de la etapa de diagnóstico. Para esto, se precisa realizar la siguiente secuencia de actividades:


20

Hoja “Dominios” de la Matriz de Diagnóstico: 1. Definir a los responsables a entrevistar para cada uno de los dominios, quienes deberán

conocer y comprender cada uno de ellos. Para facilitar la lectura, deberá ver el campo “Requisito/Control” de la Hoja “Dominios” del documento “Matriz de Diagnóstico”.

2. Igualmente, todos los participantes deberán conocer la totalidad de los documentos que

tengan impacto dentro de la normativa legal. Para esto, se recomienda revisar la sección “Legislación y otros documentos de apoyo” de la página web del sistema.

3. Luego de haber estudiado todos los antecedentes mencionados, se deberá proceder a realizar el diagnóstico utilizando la Hoja “Dominios” del documento “Matriz de Diagnóstico”, en la cual tendrá que completar los campos descritos en el formato de esta planilla. Este trabajo permitirá dar cumplimiento al requisito técnico “Revisión y verificación del nivel de cumplimiento de todos los requerimientos establecidos en el DS N°83, artículo primero, títulos I a V y la NCH 27001”.

Cabe señalar que para realizar el análisis de los dominios “gestión de activos”, “seguridad física y ambiental” y “gestión de la continuidad del negocio”, el servicio deberá establecer aquellos procesos críticos sobre los cuales se aplicarán. Esto en función de las definiciones estratégicas, comprometidas en el Formulario A1 de cada entidad, considerando entre sus procesos de provisión de bienes y servicios aquellos más críticos para el cumplimiento de la misión institucional. Dicha decisión implica que los dueños de tales procesos deben ser parte de los entrevistados para el diagnóstico.

Tabla 3. Matriz de diagnóstico (Hoja “Dominios”)

DOMINIO

CON

TRO

L IS

O

"REF

. DS-

83

(MA

TRIZ

AN

TIG

UA

)"

AM

BITO

REQUISITO /CONTROL

NIV

EL D

E

CUM

PLIM

IEN

TO

DES

CRIP

CIÓ

N D

EL

ESTA

DO

ACT

UA

L

DES

CRIP

CIÓ

N D

E LA

BR

ECH

A

**Co

men

tari

o ay

uda

DO

CUM

ENTO

S /

EVID

ENCI

AS

RESP

ON

SABL

E EN

TREV

ISTA

DO

(nom

bre

y ca

rgo)

Política de Seguridad

A.5.1.1 Art. 11 Documento de la política de seguridad de la información

En el Servicio: ¿existe un documento denominado Política de Seguridad de la información, que esté aprobado por el Jefe de Servicio, y que refleja claramente el compromiso, apoyo e interés en el fomento y desarrollo de una cultura de seguridad institucional?


21

Descripción de campos:

• Dominio: Nombre del dominio establecido en NCh-ISO 27001 a evaluar. • Control ISO: Referencia a NCh-ISO 27001. • Ref. DS-83 (Matriz Antigua): Referencia a DS-83 que utilizó en la Matriz de Diagnóstico

2010. • Ámbito: Alcance del control del dominio que se debe analizar. • Requisito/Control: Corresponde a lo que el encargado deberá evaluar dentro de la

institución. • Nivel de Cumplimiento: Espacio habilitado para la evaluación4

• Descripción del estado actual: Breve descripción de cómo se encuentra actualmente la institución en relación al requisito del dominio correspondiente.

en relación a cada uno de los requisitos de dominios descritos.

• Descripción de la brecha: Breve descripción de la brecha en la institución para poder cumplir con lo solicitado en el dominio de seguridad.

• Comentario Ayuda: Corresponde a una ayuda que le entrega la Red de Expertos sobre los documentos que debería adjuntar como evidencia en cada caso.

• Documentos/evidencias: Nombre de los archivos que contienen aquellos documentos que servirán de evidencia y respaldo para cada uno de los elementos evaluados, en casos que se señala que cumple.

• Responsable entrevistado (nombre y cargo): En esta columna se deben especificar cargos y nombres de los funcionarios que tienen responsabilidad administrativa en los procesos cubiertos por los dominios que, a través de entrevistas, provean parte importante de la información requerida para el diagnóstico, dando respuesta al requisito técnico “Entrevistas a los responsables de los ámbitos de seguridad cubiertos por cada dominio de seguridad”.

4. Otro insumo para completar la matriz será la revisión de los “documentos que soporten o

provean de evidencia al análisis, como por ejemplo, políticas, procedimientos, normas, registros, configuraciones de dispositivos, etc.” que, en sí mismos, son requisitos técnicos del SSI, por tanto son parte del reporte para la Red de Expertos.

5. De igual forma ocurre con “la identificación de metodologías/normativas de gestión de la

calidad u otra metodología de gestión por procesos que se encuentre en uso en la Institución, señalando alcance y ámbito de aplicación”, además de “la identificación de metodologías/normativas de gestión de riesgos que se encuentren en uso en la Institución, señalando alcance y ámbito de aplicación” que también constituyen requisitos técnicos que deben ser considerados para evaluar los requisitos de los diferentes dominios de seguridad contenidos en la Matriz de diagnóstico.

6. Con la información recopilada, debe ser llenado el campo “Nivel de Cumplimiento”, el cual al

momento de evaluar un requisito específico de un dominio de seguridad, el criterio a utilizar deberá ser:

4 Ver tabla 4 “Criterios de evaluación”


22

Tabla 4. Criterios de evaluación – Matriz de diagnóstico

VALOR CRITERIO DESCRIPCIÓN

NO No cumple La institución no cuenta con procedimientos, controles u otros elementos que le permitan cumplir con el requisito del dominio.

SI Cumple La institución cuenta con todos los controles, procedimientos, u otros elementos que le permiten cumplir con el requisito del dominio.

7. Luego de lo anterior, se deberá registrar la descripción del estado actual y de las brechas

(columnas “descripción del estado actual” y “descripción de brecha” de la planilla en hoja “Dominios” respectivamente) sobre las diferencias encontradas entre lo estipulado en los dominios del DS-83 e ISO 27001 y la realidad de la institución. Este reporte permitirá verificar el cumplimiento del requisito técnico de “establecer un registro de todas las brechas de seguridad por dominio detectadas”.

Hoja “Priorizacion de brechas”

8. Luego se debe dar cumplimiento al requisito técnico de “priorizar las brechas identificadas, basándose para ello en los criterios de riesgo institucionales”. Esta definición es fundamental para la segunda etapa, puesto que el trabajo a realizar se organizará sobre la base de los proyectos que respondan a las brechas priorizadas. Para esto, se debe ir a la hoja “Priorización de Brechas” de la Matriz de Diagnostico, en la cual se encontrará el siguiente cuadro para llenar:

Tabla 5. Hoja Priorización de Brechas

DOMINIO DESCRIPCIÓN DE LA BRECHA

Riesgo Nivel de

Probabilidad Impacto Severidad

PRIORIDAD DE LA

BRECHA

Política de Seguridad

El Servicio no cuenta con una Política General de Seguridad

Que la organización no cuente con los niveles de seguridad de la información adecuados dado que no implementará un SSI de forma óptima.

Casi Certeza Catastróficas EXTREMO ALTA


23

Descripción de campos:

• Dominio: Nombre del dominio establecido en NCh-ISO 27001 sobre el cual se evaluarán las brechas.

• Descripción de la brecha: Breve descripción de la brecha en la institución para poder cumplir con lo solicitado en el requisito del dominio de seguridad. Este campo se llenará por automáticamente toda vez que se ingrese una descripción de brecha en la hoja “Dominios”.

• Riesgo: Breve descripción del riesgo que implica mantener la brecha abierta en la institución, es decir, sin mitigarla con alguna inciativa concreta para implantar algún tipo de control.

• Nivel de Probabilidad: es la posibilidad de ocurrencia del riesgo especificado. La probabilidad se puede expresar en términos cuantitativos, mediante una escala que identifica niveles graduales. La probabilidad de ocurrencia de un riesgo asociado a una brecha, deberá evaluarse de acuerdo a la siguiente escala:

Tabla 6. Escala de Probabilidad

Categoría Valor Descripción

Casi certeza 5 Riesgo cuya probabilidad de ocurrencia es muy alta, es decir, se tiene un alto grado de seguridad que éste se presente (90% a 100%).

Probable 4 Riesgo cuya probabilidad de ocurrencia es alta, es decir, se tiene entre 66% a 89% de seguridad que éste se presente.

Moderado 3 Riesgo cuya probabilidad de ocurrencia es media, es decir, se tiene entre 31% a 65% de seguridad que éste se presente.

Improbable 2 Riesgo cuya probabilidad de ocurrencia es baja, es decir, se tiene entre 11% a 30% de seguridad que éste se presente.

Muy improbable 1 Riesgo cuya probabilidad de ocurrencia es muy baja, es decir, se tiene entre 1% a 10% de seguridad que esté presente

Fuente: Guía Técnica N° 45, CAIGG.

• Impacto: El impacto es la consecuencia que tiene la materialización del riesgo, sobre la

organización. Puede haber más de una consecuencia de un mismo evento. Las consecuencias se pueden expresar cualitativa o cuantitativamente. El impacto de un riesgo asociado a una brecha, deberá evaluarse de acuerdo a la siguiente escala:


24

Tabla 7. Escala de Impacto

Categoría Valor Descripción

Catastróficas 5

Riesgo cuya materialización puede generar pérdidas financieras ($) que tendrán un impacto catastrófico en el presupuesto y/o comprometen totalmente la imagen pública de la institución y del Gobierno. Su materialización dañaría gravemente el desarrollo del proceso y el cumplimiento de los objetivos, impidiendo finalmente que estos se logren.

Mayores 4

Riesgo cuya materialización puede generar pérdidas financieras ($) que tendrán un impacto importante en el presupuesto y/o comprometen fuertemente la imagen pública de la institución y del Gobierno. Su materialización dañaría significativamente el desarrollo del proceso y el cumplimiento de los objetivos, impidiendo que se desarrollen total o parcialmente en forma normal.

Moderadas 3

Riesgo cuya materialización puede generar pérdidas financieras ($) que tendrán un impacto moderado en el presupuesto y/o comprometen moderadamente la imagen pública de la institución y del Gobierno. Su materialización causaría un deterioro en el desarrollo del proceso dificultando o retrasando el cumplimiento de sus objetivos, impidiendo que éste se desarrolle parcialmente en forma normal.

Menores 2

Riesgo cuya materialización puede generar pérdidas financieras ($) que tendrán un impacto menor en el presupuesto y/o comprometen de forma menor la imagen pública de la institución y del Gobierno. Su materialización causaría un bajo daño en el desarrollo del proceso y no afectaría el cumplimiento de los objetivos.

Insignificantes 1

Riesgo cuya materialización no genera pérdidas financieras ($) ni compromete de ninguna forma la imagen pública de la institución y del Gobierno. Su materialización puede tener un pequeño o nulo efecto en el desarrollo del proceso y que no afectaría el cumplimiento de los objetivos.


• Severidad: Una vez evaluados los riesgos asociados a las brechas definidos en sus

dimensiones de probabilidad e impacto, se puede obtener la severidad de cada uno de los riesgos relevados, utilizando la siguiente escala:

Tabla 8. Escala de Severidad

NIVEL PROBABILIDAD (P) NIVEL IMPACTO (I) SEVERIDAD DEL RIESGO S = (P x I)

Casi Certeza (5) Catastróficas (5) EXTREMO (25) Casi Certeza (5) Mayores (4) EXTREMO (20) Casi Certeza (5) Moderadas (3) EXTREMO (15) Casi Certeza (5) Menores (2) ALTO (10) Casi Certeza (5) Insignificantes (1) ALTO (5) Probable (4) Catastróficas (5) EXTREMO (20) Probable (4) Mayores (4) EXTREMO (16) Probable (4) Moderadas (3) ALTO (12) Probable (4) Menores (2) ALTO (8) Probable (4) Insignificantes (1) MODERADO (4) Moderado (3) Catastróficas (5) EXTREMO (15) Moderado (3) Mayores (4) EXTREMO (12) Moderado (3) Moderadas (3) ALTO (9) Moderado (3) Menores (2) MODERADO (6)


25

NIVEL PROBABILIDAD (P) NIVEL IMPACTO (I) SEVERIDAD DEL RIESGO S = (P x I) Moderado (3) Insignificantes (1) BAJO (3) Improbable (2) Catastróficas (5) EXTREMO (10) Improbable (2) Mayores (4) ALTO (8) Improbable (2) Moderadas (3) MODERADO (6) Improbable (2) Menores (2) BAJO (4) Improbable (2) Insignificantes (1) BAJO (2)

Muy improbable (1) Catastróficas (5) ALTO (5) Muy improbable (1) Mayores (4) ALTO (4) Muy improbable (1) Moderadas (3) MODERADO (3) Muy improbable (1) Menores (2) BAJO (2) Muy improbable (1) Insignificantes (1) BAJO (1)


• Prioridad de la brecha: La priorización de las brechas para crear iniciativas o proyectos

enfocados en mitigarlas, estará determinada de acuerdo a los riesgos que surgen al no cerrar la brecha, y los indicadores (entregables) que nos certifican su cumplimiento. Tabla 9. Escala de definición de prioridades

Prioridad Descripción

Alta Son actividades que deben ser llevadas a cabo en un corto plazo dado que involucran un alto riesgo de seguridad para la institución producto de sus vulnerabilidades asociadas.

Media

Son actividades de mediano plazo, se pueden considerar proyectos ya que requieren de una mayor programación, verificando su factibilidad, aprovisionamiento de recursos necesarios y designación de responsables. Estas actividades mitigan un conjunto de vulnerabilidades asociadas a un nivel de riesgo moderado.

Baja Estas actividades son proyectos con un horizonte de tiempo de desarrollo superior a un año y están orientadas a toda la organización, afectando gran parte de sus áreas, pero que cuya severidad del riesgo de mantener la brecha abierta es baja.

Hoja “Procesos”

9. Luego se debe dar cumplimiento al requisito técnico de “Identificación de los procesos y sus respectivos activos de información a incluir en alcance del SSI, para los dominios de aplicación específica en la institución: Gestión de activos, Seguridad física y ambiental, Gestión de la continuidad del negocio”. Para esto, se debe ir a la hoja “Procesos” en la cual encontrará el siguiente cuadro que debe llenar:


26

Tabla 10. Hoja “Procesos”

Ejemplo de determinación de procesos críticos para analizar dominios: gestión de activos, seguridad física y ambiental y gestión de la continuidad del negocio.


27

• Proceso: Corresponde al nombre del proceso de negocio (de provisión de

productos/servicios estratégicos) sobre el cual se evaluarán los dominios de gestión de activos, seguridad física y ambiental y gestión de la continuidad del negocio.

• Subproceso: Son aquellos subprocesos en los que puede estar dividido el proceso transversal mencionado en la columna anterior, dependiendo de la complejidad del mismo.

• Responsable Administrativo: Corresponde al funcionario (nombre – cargo) que guarda responsabilidad administrativa sobre el proceso o “dueño del proceso”.

• Etapas: Detalle de las etapas sucesivas que se deben desarrollar en cada subproceso para dar forma a la consecución del objetivo del proceso.

• Registro de Información: Corresponde a la información propiamente tal, en sus múltiples formatos, involucrada en cada etapa del subproceso descrito.

• Equipos/Sistemas: Detalle de los elementntos de infraestructura, equipos informáticos, sistemas y medios de almacenamiento físico donde los registros de información se procesan y almacenan.

• Personas: Cargos clave que están a cargo de esa etapa del subproceso y que manipulan los registros de información.

TODA LA DOCUMENTACIÓN ENTREGADA POR LA INSTITUCIÓN DEBERÁ SER APROBADA POR LA AUTORIDAD SUPERIOR DEL SERVICIO Y ENVIADA A LA RED DE EXPERTOS.


28

ETAPA II: Planificación En esta etapa se definen los objetivos de la implementación de soluciones o mejoras para resolver cada una de las brechas identificadas en la etapa de Diagnóstico, diseñando un completo programa de trabajo que permite alcanzar dichos objetivos en los plazos establecidos. Además, permite la coordinación de esfuerzos y recursos al interior de las Instituciones garantizando el éxito de las iniciativas. En esta etapa ya se han tomado las decisiones respecto del diagnóstico elaborado en la etapa anterior, en el cual se establecieron, de forma previa, las prioridades según las necesidades de la institución. El resultado de la información levantada en la Etapa de Diagnóstico, será la guía para destinar los recursos institucionales disponibles y establecer los requerimientos adicionales. Es importante que esta etapa se desarrolle con la debida antelación, de modo que sea consistente con el proceso de planificación presupuestaria.

Planificación

En el caso particular del Sistema de Seguridad de la Información, los proyectos/actividades que se incluyen en esta etapa adquieren la calidad de compromisos, a los cuales se les realizará un seguimiento que concluye en la etapa de Evaluación. Para que la institución pueda cumplir tales compromisos debe trazar una ruta que organice el trabajo, que incluya elementos de planificación de tareas y funciones, lo que garantizará el éxito de esta etapa. A continuación se presenta la secuencia de acciones para desarrollar la etapa II del SSI de acuerdo a los requisitos técnicos, señalando los medios a través de los cuales se podrá verificar su cumplimiento. 1. Definir una política de seguridad de la información. Esto permite dar cumplimiento al

requisito técnico de “Formulación de la documentación y las actividades necesarias para establecer en la institución una Política General de Seguridad de la Información”. Se debe garantizar que se genere una declaración institucional que enfatice el compromiso de la dirección con los objetivos de gestión de Seguridad de la Información (SI). La política debe contar con los siguientes contenidos: a. Una definición de seguridad de los activos de información, sus objetivos globales, alcance e

importancia. b. Los medios de difusión de sus contenidos al interior de la organización. c. Su reevaluación periódica, a lo menos cada tres años. d. La periodicidad con que se evaluará su cumplimiento.


29

e. Aprobación del Jefe de Servicio, reflejando claramente el compromiso, apoyo e interés en el fomento y desarrollo de una cultura de seguridad institucional.

2. En este marco, el Jefe de Servicio deberá nombrar a un Encargado de Seguridad de la

Información, considerando las siguientes funciones en la Resolución de nombramiento: a. Tener a su cargo el desarrollo inicial de las políticas de seguridad al interior de su

organización y el control de su implementación, y velar por su correcta aplicación. b. Coordinar la respuesta a incidentes que afecten a los activos de información institucionales. c. Establecer puntos de enlace con encargados de seguridad de otros organismos públicos y

especialistas externos que le permitan estar al tanto de las tendencias, normas y métodos de seguridad pertinentes.

3. Paralelamente el Jefe de Servicio deberá conformar, mediante una Resolución, un Comité de

Seguridad de la Información, señalando sus funciones específicas. Se sugiere que dicho Comité esté conformado por el Encargado de Seguridad, quien lo debería presidir, y por las personas que desempeñen los roles que a continuación se indican: a. Jefe Operaciones o Tecnologías de Información. b. Jefe de Recursos Humanos. c. Encargado de Calidad. d. Encargado de Riesgos. e. Asesor Jurídico (Abogado de la Institución) f. Jefes de Áreas de Negocio, si corresponde.

4. Posteriormente, se deberá elaborar la Cartera de proyectos e iniciativas. Esta es la definición clara y operativa de los objetivos específicos que se buscan alcanzar para las actividades o proyectos resultantes del diagnóstico inicial, considerando las brechas priorizadas.

Tabla 11. Cartera de Proyectos e Iniciativas

Descripción de campos: • N°: Numeración correlativa de los proyectos que facilite su identificación. • Nombre de proyecto o iniciativa: Es la identificación de cada iniciativa. Se debe definir

una para cada brecha o conjunto de ellas, de acuerdo al análisis diagnóstico realizado en la etapa I. El nombre debe identificar fácilmente la naturaleza del proyecto o iniciativa.

• Dominio SI: Se debe hacer referencia al dominio de seguridad al cual dicho proyecto o actividad llevará a completar (ej.: Política de Seguridad, Control de Acceso, etc.). También

N°

NO

MBR

E PR

OYE

CTO

O

INIC

IATI

VA

DO

MIN

IO

SI

% M

ETA

OBJ

ETIV

O

GEN

ERA

L

(DES

CRIP

CIÓ

N)

OBJ

ETIV

OS

ESPE

CÍFI

COS

(E

VID

ENCI

A D

E CU

MPL

IMIE

NTO

)

RESP

ON

SABL

E D

E PR

OYE

CTO

O

INIC

IATI

VA

FECH

A

ESTI

MA

DA

IN

ICIO

FECH

A

ESTI

MA

DA

TE

RMIN

O

COST

O D

EL

PRO

YECT

O O

IN

ICIA

TIV

A

PRES

UPU

ESTO

A

SOLI

CITA

R


30

debe ser coherente con la matriz de diagnóstico. Cabe señalar que un proyecto o iniciativa puede abordar más de un dominio o partes de éstos.

• % Meta: En esta columna se debe especificar el requisito técnico “metas a alcanzar para cada uno de los dominios”, señalando en qué medida el proyecto o iniciativa permitirá cerrar las brechas. Esto debe ser coherente con el requisito “indicadores para evaluar el nivel de eficacia en la implementación”, reportado en la matriz de diagnóstico, en la hoja “Resumen” donde se describe la línea base obtenida, mediante el gráfico: “Estado de la Institución por Dominio (%)”.

• Objetivo general (descripción): Es la descripción de lo que se pretende alcanzar con la iniciativa o proyecto.

• Objetivo específico (evidencia de cumplimiento): Para cada uno de los proyectos e iniciativas se debe declarar uno o más objetivos específicos, que describen los logros concretos que se deben obtener para alcanzar el cumplimiento total de los dominios de SI, en concordancia con los medios de verificación que conformarán la evidencia final (ejemplo: Política de Seguridad sancionada por la autoridad). Estos objetivos se construyen a partir de los beneficios directos que se espera lograr con el proyecto y están, por tanto, directamente vinculados a los no cumplimientos identificados en la etapa de Diagnóstico.

• Responsable de proyecto o iniciativa: También conocido como “jefe de proyecto”, es el responsable asignado para monitorear la ejecución del proyecto o iniciativa y reportar sus avances (puede ser un área o división específica, en cuyo caso la persona responsable es la jefatura).

• Fecha estimada inicio: Indicar la fecha aproximada de ejecución del proyecto, señalando al menos el mes y año.

• Fecha estimada término: Indicar la fecha aproximada de término de los trabajos, señalando al menos el mes y año.

• Costo del proyecto o iniciativa: Es el presupuesto total que implica su ejecución. • Presupuesto a solicitar: Es aquella fracción del costo del proyecto que implica solicitar

recursos adicionales. 5. Una vez establecidos los objetivos y entregables de los proyectos o actividades, la institución

estará en condiciones de determinar los recursos y el tiempo requerido para llevarlos a cabo. En este punto se debe elaborar un Programa de Trabajo. Este es una descripción detallada de los hitos y las actividades que se llevarán a cabo para implementar los proyectos. A continuación se propone el siguiente formato, el que permite cubrir cada uno de los requisitos técnicos:


31

Tabla 12. Programa de Trabajo

N° HITOS Y

PRODUCTOS ASOCIADOS

ACTIVIDADES ASOCIADAS

FECHA DE INICIO

FECHA DE TÉRMINO

ACTIVIDAD PRECEDENTE

COSTO RESPONSABLE

(ROL)

Descripción de los campos: • N°: Es la identificación con la cual se nominó la iniciativa o proyecto en la cartera. • Hitos y productos asociados: Se debe completar con la actividad que marca el cierre de

un conjunto de actividades para generar un producto, permitiendo verificar el avance en la ejecución del proyecto o iniciativa.

• Actividades Asociadas: Se debe desagregar el proyecto o iniciativa en todas las posibles actividades que sean involucradas. Dentro de las actividades se debe considerar las fechas de las sesiones del Comité de SI y de hitos de control con la Red de Expertos del PMG – SSI (Julio – Septiembre – Noviembre, a lo menos).

• Fecha de Inicio: Fecha estimada de inicio de la actividad específica. • Fecha de Término: Fecha estimada de término de la actividad específica. • Actividad Precedente: Se debe especificar si existe una actividad a desarrollar previo a la

ejecución, para poder determinar posibles atrasos. • Costo: Recursos monetarios para materializar el conjunto de acciones para lograr un hito. • Responsable (rol): Persona a cargo de ejecutar la actividad. Se debe especificar el cargo o

responsabilidad asignada.

Para establecer los hitos y sus actividades, es útil pensar en el proyecto como una suma de etapas intermedias que entregan algún producto o marcan un hito en el desarrollo del mismo, y luego especificar las actividades necesarias para terminarlos. Es importante que el programa de trabajo tenga un nivel de detalle apropiado para chequear el avance de su desarrollo, lo cual se deberá reportar en la etapa III. Es importante destacar que, para efectos del sistema de Seguridad de la Información del PMG, se entenderá finalizada la implementación de un proyecto o actividad cuando ésta se encuentre en régimen de operación, por lo que es de suma importancia que se estimen adecuadamente los plazos y recursos que permitan cumplir con los requisitos y compromisos asumidos en esta etapa de Planificación. Por tal razón, el planteamiento de hitos debe considerar entregables que permitan verificar que los proyectos se encuentran implementados y operando.

Aún cuando la información requerida para este punto es sólo la descrita, es altamente recomendable el uso de herramientas que han sido especialmente diseñadas para la planificación y seguimiento de proyectos, como por ejemplo:


32

• Carta Gantt: Diagrama que muestra, con diferentes niveles de detalle, las actividades de

un proyecto, su calendarización, recursos, responsables, interrelaciones y/o dependencias. • Línea crítica o CPM (Critical Path Method): Secuencia de los elementos terminales de la

red de actividades de un proyecto, con la mayor duración agregada, de tal forma que la duración de la ruta crítica determina la duración del proyecto entero y cualquier retraso en un elemento terminal en la ruta crítica impacta directamente la fecha de término planificada del proyecto.

• Técnica de Revisión y Evaluación de Programas o PERT (Program Evaluation Review Technique): Modelo para la administración y gestión de proyectos, que permite analizar las tareas necesarias para completar un proyecto dado, especialmente la duración de cada tarea, identificando el tiempo mínimo necesario para completar el proyecto.

Ejemplo de Carta Gantt:

6. Dentro de las medidas que se deben tomar para asegurar que el plan general del SSI se llevará

a cabo, se debe establecer un “Plan de mitigación de riesgo que defina los riesgos asociados al Plan y sus acciones para resolverlos”. Este requisito técnico debe consignar el estado actual del riesgo, nivel de criticidad, las personas responsables de la mitigación, entre otros aspectos que se explicitan en la siguiente tabla:


33

Tabla 13. Plan de Mitigación de Riesgo

N°

TIPO

DE

RIES

GO

RIES

GO

PRO

BABI

LID

AD

IMPA

CTO

SEV

ERID

AD

CAU

SA

DA

ÑO

ACC

IÓN

DE

MIT

IGA

CIÓ

N

RESP

ON

SABL

E

ACC

IÓN

DE

CON

TIN

GEN

CIA

Descripción de los campos: • N°: Numeración correlativa para identificar los riesgos fácilmente. • Tipo de riesgo: Específica el ámbito en donde se observa el riesgo. La planilla propuesta

señala los siguientes: o Personas: Clientes, usuarios finales, actores involucrados, equipo de trabajo, personas

de la organización, experiencias, habilidades, etc. o Procesos: Objetivos, características del proyecto, presupuesto, costos y cronograma,

requerimientos, diseño, desarrollo, testing, etc. o Tecnología: Seguridad, ambiente de desarrollo y testing, herramientas de desarrollo,

ambiente de operación y soporte, etc. o Ambiental: Aspectos legales, regulaciones económicas, tecnológicas o de negocio, etc.

• Riesgo: Posibles situaciones que nos puedan afectar en el desarrollo de las actividades ya planificadas. Como primera acción se debe revisar cada uno de los riesgos propuestos en la columna “Riesgo”, si son coherentes con la realidad de la institución y agregar o quitar aquellos de relevancia, según corresponda. En esta propuesta se especifican aquellos riesgos típicos de proyecto, lo que no quiere decir que coincidan plenamente con la realidad de la institución. Se debe ser muy específico en la definición de estos riesgos, ya que serán el fundamento para una eventual re planificación de actividades en la etapa III.

• Probabilidad: Indica el grado de certeza de que el riesgo se presente durante el desarrollo del proyecto. Asignar un valor entero, siendo: o 5=Casi certeza o 4=Probable o 3=Moderado o 2=Improbable o 1=Muy improbable

• Impacto: Grado de influencia que tiene la ocurrencia del riesgo en el desarrollo del proyecto. o 5=Catastrófico o 4=Mayor o 3=Moderado


34

o 2=Menor o 1=Insignificante

• Severidad: Producto de la probabilidad e impacto, lo cual es usado como una base para ordenar y priorizar los riesgos.

• Causa: Identifica la causa de la materialización del riesgo. • Daño: Identifica los potenciales resultados de la ocurrencia del riesgo. • Acción de Mitigación: Describe las acciones a llevar a cabo para mitigar el riesgo • Responsable: Indica el responsable de observar el estado del riesgo y si este cambió en

términos de su probabilidad o impacto. • Acción de contingencia: Actividades que se llevarán a cabo en caso de que el riesgo no

pueda ser superado. 7. Teniendo claridad respecto de la planificación y sus objetivos, se debe establecer un plan de

difusión, sensibilización y capacitación a todos los funcionarios –y a clientes/usuarios/beneficiarios, si corresponde-. Para decidir y priorizar a quienes irá dirigido, se debe considerar gradualmente desde el personal clave para la implantación, los directivos y luego a todos los funcionarios que deberán poner en práctica las políticas, estableciendo el detalle de las actividades a realizar para instalar en las personas la importancia de contar con un SSI, lo que constituye un requisito técnico. Éste apunta fundamentalmente a gestionar de manera efectiva el cambio organizacional que amerita la puesta en marcha del SSI, incorporando nuevas prácticas y rutinas de trabajo a las cuales las personas no necesariamente estarían habituadas. Se deberá considerar el los objetivos de las iniciativas y los proyectos a implementar, el mensaje central que debe ser conocido e internalizado por los funcionarios, los canales de comunicación escogidos para difundir el mensaje y la fecha de ejecución de las actividades consideradas para la difusión y capacitación. Para desarrollar este plan es fundamental la participación del área de recursos humanos u otra con responsabilidad en la gestión de las personas.



35

ETAPA III: IMPLEMENTACIÓN Tal como se planteó anteriormente en la sección “El Sistema de Seguridad de la Información” de esta guía metodológica, para llegar a proteger adecuadamente la información relevante que sustenta los procesos de una institución pública, se deben abarcar progresivamente todos los Activos de Información vinculados a esos procesos, valiéndose para ello de un diagnóstico sistemático de los controles establecidos en la NCH ISO 27001. El “Código de prácticas para gestión de la seguridad de la información”, NCH-ISO 27002. Of2009, propone una serie de consideraciones como punto de inicio para la implementación, de los cuales se desprenden las orientaciones para esta etapa. Los controles esenciales para la institución desde el punto de vista legal incluyen5

• Protección de la data y privacidad de la información personal. :

• Protección de los registros organizacionales. • Derechos de propiedad intelectual. Los controles considerados práctica común para la seguridad de la información incluyen5: • Documento de la política de seguridad de la información. • Asignación de responsabilidades de la seguridad de la información. • Conocimiento, educación y capacitación en seguridad de la información. • Procesamiento correcto en las aplicaciones. • Gestión de la vulnerabilidad técnica. • Gestión de la continuidad del negocio. • Gestión de los incidentes y mejoras de la seguridad de la información. Estos controles se aplican en organizaciones de distinto tipo y en la mayoría de los escenarios, y aunque son importantes y deben ser considerados, siempre se debe determinar la relevancia de cualquiera de ellos atendiendo los riesgos específicos que enfrenta la institución. Implementación. La experiencia ha demostrado que los siguientes factores con frecuencia son críticos para una exitosa implementación de la seguridad de la información dentro de una organización5: • Una política de seguridad, objetivos y actividades que reflejen la misión institucional. • Un enfoque para implementar, mantener, monitorear y mejorar la seguridad de la información

que sea consistente con la cultura institucional. • El apoyo visible y compromiso de la alta dirección. • Comprensión de los requisitos de seguridad, de evaluación del riesgo y de su gestión. • Comunicación efectiva en la seguridad de la información con todos los directivos, jefes de

5 Fuente: Código de prácticas para gestión de la seguridad de la información, NCH-ISO 27002. Of2009


36

división, funcionarios y otras partes interesadas. • Distribución de lineamientos sobre la política de seguridad de la información para todos los

jefes de división, funcionarios y otras partes involucradas. • Provisión de recursos para las actividades de gestión de la seguridad de la información. • Provisión del conocimiento, capacitación y educación apropiados para lograr conciencia sobre

el tema. • Un proceso de gestión de incidentes de seguridad de la información; • Implementación de un sistema de medición para evaluar el desempeño en la gestión de la

seguridad de la información y adoptar las sugerencias de mejoramiento.

Estos factores se operativizan en los controles, procedimientos o estándares que se deben ir implementando progresivamente en el SSI6

, de acuerdo a la planificación que proviene de la etapa II, registrando y controlando el avance en el cierre de las brechas detectadas en el diagnóstico. Concretamente, los requisitos técnicos de la etapa III buscan la implementación del Programa de Trabajo Anual para dar cumplimiento al Plan General de Seguridad de la Información Institucional, lo cual se debe desarrollar realizando las siguientes acciones:

1. Se debe registrar y controlar las actividades realizadas, analizándolas en términos del tiempo y recursos utilizados, así como las dificultades y holguras en la implementación. La planilla que se presenta a continuación, tiene por objetivo consignar toda desviación en tiempos y costos que sufra el proyecto o iniciativa en su etapa de implementación:

Tabla 14: Desviación de plazos y costos

HITO

FECHA INICIO FECHA TÉRMINO

DES

VIA

CIÓ

N

(DÍA

S) COSTO

DES

VIA

CIÓ

N

(M$)

Nº

EVEN

TO

ESTIMADA REAL ESTIMADA REAL ESTIMADO REAL

Descripción de los campos:

• Hito: Hacer referencia a los nombres de los hitos planificados en la etapa II para el año en

curso. • Fecha de Inicio:

o Estimada: Referencia al compromiso establecido en el programa de trabajo anual para iniciar el conjunto de actividades para lograr el hito.

o Real: Registro de la fecha en que efectivamente se iniciaron las actividades. • Fecha de Término:

o Estimada: Referencia al compromiso establecido en el programa de trabajo anual para terminar el conjunto de actividades para lograr el hito.

o Real: Registro de la fecha en que efectivamente se terminaron las actividades.

6 Ver tabla 16 al final de este apartado


37

• Desviación (días): Especificar la cantidad de días corridos de desviación para el término del hito.

• Costo: o Estimado: Especificar los costos que se comprometieron en la etapa II para ese hito. o Real: Registrar los costos en que incurrió efectivamente el desarrollo del hito.

• Desviación ($): Especificar la diferencia entre los recursos monetarios estimados y los reales para el logro del hito.

• N° Evento: Especificar un número correlativo para cada evento de reprogramación. Se entiende que cada vez que hay desviaciones se genera un evento de reprogramación.

2. Adicional y complementaria a la planilla de control anterior, se hace necesario llevar un registro pormenorizado de la implementación del Plan de Mitigación de Riesgos planificado en la etapa II, consignando todos los eventos que sean reprogramados frente a la materialización de un riesgo, para lo cual se propone la siguiente planilla: Tabla 15: Bitácora (historial de eventos de re programación):

Nº DE EVENTO FECHA RIESGO MATERIALIZADO ACTIVIDAD REPROGRAMADA

Los campos a llenar son los siguientes:

• N° de Evento: Hacer referencia al número de evento especificado en la planilla de desviación de plazos y costos.

• Fecha: Especificar la fecha de materialización del evento. • Riesgo materializado: Hacer referencia al riesgo que ocurrió, de acuerdo a lo especificado

en la planilla “Plan de Mitigación de Riesgos” creada en la etapa II. • Actividad Reprogramada: Hacer referencia a la actividad del plan de trabajo anual, que

debió ser reprogramada. Esta reprogramación debe ser validada por la Red de Expertos.

3. Para verificar el grado de avance en el cierre de las brechas por cada dominio de seguridad comprometido por el Servicio, se debe actualizar el nivel de cumplimiento de la matriz de diagnóstico, acompañando la evidencia correspondiente, de modo que el gráfico de la hoja “Estado de la Institución por Dominio (%)” señale el estado en el cual se encuentra la institución respecto al cierre de las brechas. Este deberá actualizarse a medida que se van cerrando las brechas, lo cual será controlado por la Red de Expertos en los hitos bimensuales definidos en la Etapa II (Julio – Septiembre – Noviembre).

4. Paralelamente se debe implementar las acciones de difusión/sensibilización/capacitación a todos los funcionarios y a clientes/usuarios/beneficiarios, cuando corresponda, mostrando las evidencias correspondientes.


Tabla 16: Actividades para la implementación de controles de SI – Etapa III

DOMINIO ÁMBITO REFERENCIA CONTROL ISO

REQUISITO/CONTROL ACTIVIDADES A REALIZAR EN EL PMG SSI

Polít

ica

de S

egur

idad

Difusión de la Política General de la Información

A.5.1.1 La política de seguridad de la información debería ser comunicada a todos los usuarios de la organización de manera pertinente, accesible y comprensible

• Se debe realizar la difusión del documento Política General de Seguridad: o Publicación en sitios de acceso al personal o Inducción a nuevos funcionarios o Comunicaciones a través de charlas y reuniones o Oficios informativos o Inducción a partes externas relevantes

Revisión de la política de seguridad de la información

A.5.1.2 La política de seguridad de la información debería ser revisada a intervalos planeados o si ocurren cambios significativos para asegurar su continua idoneidad, eficiencia y efectividad.

• Someter a revisión la Política de Seguridad Institucional en Comité de Seguridad de la Información, considerando: o Retroalimentación de partes interesadas. o Resultados de las revisiones efectuadas por terceras partes. o Estado de acciones preventivas y correctivas o Cambios en los procesos institucionales, directiva, nueva legislación,

tecnología, etc. o Alertas ante amenazas y vulnerabilidades. o Información relacionada a incidentes de seguridad. o Recomendaciones provistas por autoridades relevantes.

Org

aniz

ació

n de

la S

egur

idad

de

la

Info

rmac

ión

Compromiso de la dirección con la seguridad de la información

A.6.1.1 La dirección debería apoyar activamente la seguridad dentro de la organización a través de una dirección clara, compromiso demostrado, asignación explícita de las responsabilidades de la seguridad de la información y su reconocimiento.

• El Jefe de Servicio deberá: o Asegurar que los objetivos de la seguridad de la información son identificados,

cumplen con los requerimientos de la organización, y están integrados a los procesos relevantes.

o Revisar la efectividad en la implantación de la política. o Proveer una dirección clara y el respaldo visible para llevar a cabo las iniciativas

de seguridad. o Proveer los recursos necesarios para la seguridad de la información o Aprobar planes de capacitación y sensibilización para los funcionarios. o Asegurar que la implementación de los controles de seguridad se realicen a

través de toda la organización. Asignación de las responsabilidades de la seguridad de la información

A.6.1.3 Todas las responsabilidades de la seguridad de la información deberían estar claramente definidas.

• La definición de responsabilidades debe considerar: o La identificación de los procesos y activos de información relevantes. o Formalizar a los responsables por cada proceso/activo de información

identificado. o Los distintos niveles de autorización para los activos de información

identificados. Autorización de A.6.1.4 Se debería definir e implantar un • Se deben considerar los siguientes lineamientos:


39



proceso para facilidades procesadoras de información.

proceso de autorización por parte de la dirección para las nuevas instalaciones de procesamiento de información.

o Las nuevas instalaciones deberán poseer un mecanismo apropiado de identificación de usuarios, la que debe ser otorgada por el responsable asignado, verificando el cumplimiento con las políticas de seguridad.

o Donde sea necesario, el hardware y el software deberá ser chequeado en su compatibilidad con la infraestructura actual.

o El uso de dispositivos de carácter personal como laptops o dispositivos de mano, que sean utilizados para procesar información de la institución, podrían introducir nuevas vulnerabilidades, por lo tanto deben considerarse controles adicionales.

Acuerdos de confidencialidad

A.6.1.5 Se deberían identificar y revisar regularmente que los requerimientos de confidencialidad o acuerdos de no-divulgación reflejan las necesidades de la organización para proteger la información.

• Para identificar los requerimientos de confidencialidad o acuerdos de no divulgación, se deberá considerar: o La clasificación de la información (pública – secreta). o La duración del acuerdo, incluyendo la duración indefinida o Las acciones necesarias una vez que el acuerdo haya terminado. o Las responsabilidades para evitar la divulgación no autorizada de la

información. o La propiedad de la información, la propiedad intelectual y cómo se relaciona

con la información secreta. o El uso permitido de la información secreta. o El derecho de auditar y supervisar actividades que involucren información

secreta. o La notificación oportuna frente a una divulgación no autorizada o violaciones

de la información secreta. o Los términos de devolución o destrucción de la información, una vez que cesa

un acuerdo. o Las acciones necesarias en el caso de no cumplir con el acuerdo.

Contacto con las autoridades

A.6.1.6 Se deberían mantener los contactos apropiados con las autoridades pertinentes.

• Se deben mantener contactos con las siguientes autoridades relevantes: o Responsables por el tipo de incidentes de seguridad, o de los procesos de

continuidad de negocio y recuperación ante desastres (proveedores de internet u operadores de telecomunicaciones, etc.).

o Entidades reguladoras. o Servicios de emergencia, salud, bomberos, carabineros.

Contacto con grupos de interés especial

A.6.1.7 Se deberían mantener contactos apropiados con grupos de interés especial u otros foros de seguridad

• En especial el Comité de ámbito técnico y el Encargado de Seguridad deben estar provisto de boletines y contacto permanente con las entidades de seguridad vigentes, considerando:


40



especializados y asociaciones de profesionales.

o Mejorar el conocimiento acerca de las buenas prácticas y mantenerse al día en materias de seguridad de la información.

o Garantizar que la comprensión del ambiente de seguridad de la información es actual y completa.

o Recibir oportunamente las alertas, boletines y parches previniendo posibles ataques o vulnerabilidades.

o Tener acceso a asesoría especializada sobre seguridad de la información. o Compartir e intercambiar información sobre nuevas tecnologías, productos,

amenazas o vulnerabilidades. o Proveer puntos adecuados de enlace para el manejo de incidentes de

seguridad de la información. Revisión independiente de la seguridad de la información

A.6.1.8 Se debería revisar el enfoque de la organización en la gestión de la seguridad de la información y su implementación (es decir: objetivos de control, controles, políticas, procesos y procedimientos para la seguridad de la información) de manera independiente a intervalos planificados, o cuando ocurran cambios significativos en la implementación de la seguridad.

• Se debe coordinar con una entidad externa (auditor interno o consultor externo) para realizar una revisión de las actividades de implantación al menos 1 vez al año.

Identificación de los riesgos relacionados con los grupos externos

A.6.2.1 Se deberían identificar los riesgos asociados a la información del Servicio y sus medios de procesamiento a raíz de procesos de negocio que involucran a entidades externas y se deberían implementar controles apropiados antes de otorgarles acceso.

• Se deben identificar los riesgos relacionados con el acceso de terceros, teniendo en consideración: o Las instalaciones de procesamiento de información a los cuales requiere tener

acceso la entidad externa. o Qué tipo de acceso requiere el tercero (físico, lógico, conexión de red, on-site,

off-site, etc.). o El valor, sensibilidad y criticidad de la información involucrada. o Los controles necesarios para proteger la información que no deba ser

accesada por terceros. o Cómo se identifican y verifican los accesos. o Los medios y controles utilizados por los terceros para almacenar, transmitir,

procesar o intercambiar información. o Impacto del acceso denegado al tercero, o que el tercero ingrese o reciba

información inexacta o engañosa.


41



o Prácticas y procedimientos para manejar cualquier incidente de seguridad de la información, daños potenciales y términos y condiciones para la continuidad del acceso de la parte externa en el caso de un incidente de seguridad de la información.

o Requerimientos legales y regulatorios y otras obligaciones contractuales con el tercero que deban ser tenidos en cuenta.

o Los intereses de los clientes/usuarios/beneficiarios que puedan ser afectados por los acuerdos.

Tratamiento de la seguridad cuando se lidia con terceros

A.6.2.2 Se deberían tratar todos los requerimientos de seguridad identificados antes de proporcionar a clientes/usuarios/beneficiarios, acceso a la información o activos del Servicio.

• El tratamiento de la seguridad de los activos debe incluir: o Procedimientos para proteger los activos. o Procedimientos para determinar si se han comprometido los activos (pérdida,

modificaciones de datos, etc). o Protección de su integridad. o Restricciones para el copiado y la divulgación de información. o Descripción del producto o servicio a ser provisto. o Diferentes razones, requisitos y beneficios del acceso al

cliente/usuario/beneficiario. o Políticas de control de acceso. o Acuerdos para el informe, notificación e investigación de inexactitudes en la

información, incidentes de seguridad de la información y violaciones de seguridad.

o Una descripción de cada servicio que va a estar disponible. o El nivel a alcanzar por el servicio y los niveles inaceptables del servicio o El derecho al monitoreo o seguimiento y a revocar cualquier actividad

relacionada con los activos de información del Servicio. o Responsabilidades legales, contractuales y derechos de propiedad intelectual.

Tratamiento de la seguridad en acuerdos con terceros

A.6.2.3 Los acuerdos con terceros que involucran el acceso, procesamiento, comunicación o manejo de la información o medios de procesamiento de información del Servicio, o los contratos que impliquen agregar productos o servicios a los medios de procesamiento de información deberían abarcar todos los

• Dentro de los acuerdos o contratos, se debe considerar: o La política de seguridad de la información. o Los controles para asegurar la protección de los activos. o La capacitación y concientización de los usuarios y administradores en

materias de seguridad. o Disposición para la transferencia del personal, cuando corresponda. o Responsabilidades respecto a la instalación y mantenimiento del hardware y

software. o Una estructura de informes clara y formatos de informe convenidos. o Un proceso claro y especificado para la gestión de cambios.


42



requerimientos de seguridad relevantes.

o Políticas de control de accesos. o Acuerdos para el informe, notificación e investigación de inexactitudes en la

información, incidentes de seguridad de la información y violaciones de seguridad.

o Una descripción de cada servicio que va a ser provisto. o El nivel a alcanzar por el servicio y los niveles inaceptables del servicio. o La definición de criterios verificables de rendimiento, su seguimiento e

informe. o El derecho al monitoreo o seguimiento y a revocar cualquier actividad

relacionada con los activos de información del Servicio. o El derecho a auditar responsabilidades definidas en el acuerdo, a que dichas

auditorías sean efectuadas por terceros y a enumerar los derechos estatutarios de los auditores.

o Responsabilidades legales, contractuales y derechos de propiedad intelectual. o Acuerdos para el manejo de incidentes de seguridad. o Requerimientos de continuidad. o Condiciones para la negociación o términos de contratos.

Ges

tión

de

Act

ivos

Inventario de los activos

A.7.1.1 Se deben identificar los activos de información, elaborar un inventario de ellos y mantenerlo actualizado.

• Se deben identificar todos los activos de información incluyendo bases de datos y archivos de datos, manuales, material de entrenamiento, procedimientos de operación y soporte, planes de continuidad y contingencia, pistas de auditoría, información almacenada, aplicaciones, sistemas operativos, herramientas de desarrollo y utilitarios, computadores, equipos de telecomunicaciones, medios removibles, personas, especialistas y encargados.

• Se sugiere incorporar servicios de procesamiento y comunicaciones, servicios generales como luz, agua, HVAC, etc; además de intangibles, como la imagen de la institución y su reputación.

Propiedad de los activos

A.7.1.2 Toda la información y los activos asociados con los medios de procesamiento de información deben ser responsabilidad de una parte designada de la organización.

• El responsable tiene a su cargo lo siguiente: o Asegurar que los activos de información son debidamente clasificados,

considerando su criticidad y la Ley 20.285. o Definir y revisar periódicamente los accesos de acuerdo a la política

correspondiente. Uso aceptable de los activos

A.7.1.3 Se deben identificar, documentar e implementar reglas para el uso aceptable de la información y los activos asociados con los medios del procesamiento de la

• Se debe crear un procedimiento para el manejo y uso de los activos críticos identificados, incluyendo: o Reglas para el correo electrónico e Internet o Guías para el uso de dispositivos móviles, especialmente fuera de la

organización.


43



información. o Normas para el copiado, almacenamiento y destrucción. Lineamientos de clasificación

A.7.2.1 Se debe clasificar la información en términos de su valor, requerimientos legales, sensibilidad y grado crítico para la institución

• Una vez identificados los activos de información relevantes por cada proceso institucional, debe ser clasificada su información de acuerdo a las regulaciones legales de la institución y las definiciones del dueño del proceso. También se debe considerar las disposiciones de la ley 20.285.

Etiquetado y manejo de la información

A.7.2.2 Se debe desarrollar e implementar un conjunto apropiado de procedimientos para el etiquetado y manejo de la información en concordancia con el esquema de clasificación adoptado por la institución

• Se debe etiquetar los activos de información identificados, de acuerdo a su clasificación, cubriendo tanto activos físicos como electrónicos.

Segu

rida

d de

rec

urso

s hu

man

os

Roles y responsabilidades

A.8.1.1 Se deberían definir y documentar los roles y responsabilidades de la seguridad de los funcionarios, personal a honorarios y terceros en concordancia con la política de seguridad de la información de la organización.

• Los roles y responsabilidades deben incluir los requerimientos para: o Implementar y actuar de acuerdo a las políticas de seguridad de la

información. o Proteger los activos de información. o Ejecutar actividades específicas de seguridad. o Asegurar que la responsabilidad sea asignada al individuo por acciones

tomadas. o Reportar cualquier incidente de seguridad.

Investigación de antecedentes

A.8.1.2 La verificación de antecedentes de todos los candidatos para el cargo, contratistas y terceros deberían llevarse a cabo en concordancia con las leyes, regulaciones y ética relevantes; y deberían ser proporcionales a los requerimientos de la función, la clasificación de la información a la cual se va a tener acceso y los riesgos percibidos.

• Para cada candidato a empleo dentro de la institución, se debe investigar: o La disponibilidad de referencias satisfactorias tanto como trabajador como

personales. o Un chequeo completo de su CV en cuanto a integridad y exactitud. o Confirmación de sus antecedentes académicos y profesionales. o Comprobación de la identidad. o Solicitud de certificado de antecedentes personales.

Términos y condiciones del empleo

A.8.1.3 Como parte de su obligación contractual, los usuarios funcionarios, personal a honorarios y terceros deberían aceptar y

• Para todos los funcionarios, personal a honorarios y terceros, deberá firmarse un acuerdo de confidencialidad.

• Se deberán especificar sus derechos y deberes, considerando la propiedad intelectual y requerimientos legales.


44



firmar un contrato con los términos y condiciones de su función, el cual debería establecer sus responsabilidades y las de la institución para la seguridad de la información.

• Se debe especificar sus responsabilidades para la clasificación y manejo de activos de información.

• Se debe especificar las responsabilidades por la administración de información recibida de otros Servicios u organizaciones externas.

• Se debe especificar las responsabilidades del Servicio para el manejo de la información personal de sus funcionarios y personal a honorarios.

• Se deben especificar las responsabilidades que se extienden fuera de las instalaciones del Servicio y fuera del horario de oficina, por ejemplo, cuando se trabaja desde la casa.

• Se debe especificar las acciones contra los funcionarios, personal a honorarios, y terceros, a ser llevadas a cabo si se desatienden los requisitos de seguridad.

Responsabilidades de la dirección

A.8.2.1 La dirección debería requerir a los usuarios funcionarios, personal a honorarios y terceras personas que apliquen la seguridad en concordancia con políticas y procedimientos bien establecidos por la institución.

• La dirección debe establecer, que los funcionarios, personal a honorarios y terceros: o Están apropiadamente instruidos en materias de seguridad de la información,

antes de otorgarles accesos a los activos de información. o Están orientados sobre las expectativas de su rol sobre seguridad de la

información dentro del Servicio. o Sean motivados a cumplir con las políticas de seguridad del Servicio. o Logren un nivel de conciencia sobre seguridad de la información acorde a sus

roles y responsabilidades dentro del Servicio o Aceptan las normativas de seguridad de la información y métodos apropiados

de trabajo. o Continúen teniendo aptitudes y calificaciones apropiadas.

Conocimiento, educación y capacitación en seguridad de la información

A.8.2.2 Todos los funcionarios de la institución, personal a honorarios y, cuando sea relevante, los terceros deberían recibir una adecuada capacitación en seguridad y actualizaciones regulares sobre las políticas y procedimientos institucionales conforme sea relevante para su función laboral.

• Se deben realizar actividades de capacitación permanentes a todo el personal en materias de seguridad de la información.

• Para el personal nuevo, debe incluirse esta materia en las charlas de inducción. • Deben incluirse materias específicas para funciones específicas dentro de la

institución.

Proceso disciplinario

A.8.2.3 Debería existir un proceso disciplinario para los funcionarios que han cometido una violación a

• Se debe establecer dentro del nombramiento o del contrato para honorarios, una declaración sobre la obligación de tomar razón sobre las políticas y procedimientos relativos a la seguridad de la información, y que su incumplimiento derivará en las


45



la seguridad. sanciones correspondientes definidas en la Ley. Responsabilidades de término

A.8.3.1 Se deberían definir y asignar claramente las responsabilidades de realizar la desvinculación o cambio en las funciones

• Se debe incluir dentro de las resoluciones de nombramiento o de contratos a honorarios las responsabilidades de acuerdo al tipo de información manejada por el funcionario, y las contenidas dentro de un contrato de confidencialidad, aún por un tiempo luego de la desvinculación.

Devolución de los activos

A.8.3.2 Todos los usuarios funcionarios, personal a honorarios y terceras personas deberían devolver todos los activos de la institución que tengan en su posesión al término de su empleo, contrato o acuerdo.

• Se debe crear un procedimiento de devolución y reutilización de activos una vez que se desvinculen los funcionarios o se produzca el cese del contrato a honorarios o con terceros. Este debe incluir el borrado efectivo de los datos y la estandarización del sistema al nuevo usuario.

Retiro de los derechos de acceso

A.8.3.3 Los derechos de acceso de todos los usuarios funcionarios, personal a honorarios y terceras personas a la información y los medios de procesamiento de información deberían ser removidos como consecuencia de su desvinculación, o deberían ser ajustados si sus funciones cambian

• Se debe crear un procedimiento de baja de usuarios en los sistemas de información, que considere la revocación de sus cuentas de acceso y privilegios, dependiendo de los siguientes factores de riesgo: o Cuando el término o cambio de puesto es iniciado por el funcionario, personal

a honorarios o terceros, o por razones administrativas. o Las responsabilidades actuales del funcionario, personal a honorarios o

tercero. o El valor de los activos que actualmente maneja.

Segu

rida

d Fí

sica

y A

mbi

enta

l

Perímetro de seguridad física

A.9.1.1 Se deberían utilizar perímetros de seguridad (barreras tales como paredes, rejas de entrada controladas por tarjetas o recepcionistas) para proteger las áreas que contienen información y medios de procesamiento de información.

• Los perímetros de seguridad deben ser claramente definidos, y la fortaleza de cada uno de ellos dependerán de los niveles de seguridad que requieran los activos de información de acuerdo a su nivel de exposición al riesgo.

• Los perímetros deben tener solidez física y deben estar protegidos por alarmas sonoras, rejas, candados, etc. Las puertas y ventanas deben ser debidamente protegidas del acceso no autorizado.

• Se debe considerar un recepcionista de entrada. • Donde sea aplicable, se deben mantener barreras físicas para evistar el acceso no

autorizado. • Todas las puertas contra incendio deben tener alarmas, ser monitoreadas y

probadas para establecer su nivel de resistencia. Deben estar regularizadas acorde a los estándares locales.

• Deben existir sistemas de detección de intrusos acorde a estándares internacionales y deben cubrir todos los lugares que permitan el acceso. Las áreas no ocupadas deben estar siempre equipadas con sistemas de seguridad.

• Las instalaciones que sean manejadas por la institución deben estar físicamente


46



separadas de aquellas que son manejadas por terceros. • Los lineamientos anteriores deben, además, quedar establecidos dentro de una

política o procedimiento. Controles de ingreso físico

A.9.1.2 Las áreas seguras deberían protegerse mediante controles de ingreso apropiados para asegurar que sólo se le permita el acceso al personal autorizado.

• Los siguientes lineamientos deben ser considerados: o La fecha y la hora de la entrada y salida deben ser registrados y todos los

visitantes deben ser supervisados a menos que su acceso se haya aprobado previamente, el acceso debe ser concedidosólo para propósitos y áreas específicas y deben tomar conocimiento de las instrucciones y procedimientos de seguridad de dicha área.

o El acceso a la áreas donde se procesa o almacena información sensible debe ser controlado y restringido sólo a las personas autorizadas. Se deben utilizar controles de autenticación como tarjetas de acceso con PIN, para autorizar y validar todos los accesos y se debe dejar un registro auditable.

o Todos los funcionarios, personal a honorarios y terceros así como todos los visitantes deben utilizar una credencial visible, y se debe notificar inmediatamente al personal de seguridad si se encuentran vistitantes no acompañados y a cualquier persona que no lleve la identificación visible.

o Se debe conceder el aceso restringido del personal de soporte de terceras partes a las áreas seguras o sensibles sólo cuando sea requerido; este acceso debe ser autorizado y supervisado.

o Los derechos de acceso deben ser regularmente revisados, actualizados y revocados cuando sea necesario.

o Los lineamientos anteriores deben, además, quedar establecidos dentro de una política o procedimiento.

Asegurar las oficinas, habitaciones y medios

A.9.1.3 Se debería diseñar y aplicar la seguridad física para las oficinas, despachos e instalaciones.

• Deben considerarse los siguientes lineamientos: o Deben tomarse en cuenta las regulaciones y normativas referentes a higiene y

seguridad. o Debe existir un estándar para la elección de contraseñas robustas. o Las instalaciones críticas deben situarse evitando el acceso público. o Debe evitarse la señalética que evidencie demasiado un centro de

procesamiento. o Debe existir un directorio telefónico del personal clave, que esté fácilmente

disponible pero no al público en general. o Los lineamientos anteriores deben, además, quedar establecidos dentro de

una política o procedimiento.


47



Protección contra amenazas externas e internas

A.9.1.4 Se debería asignar y aplicar protección física contra daño por fuego, inundación, terremoto, explosión, revuelta civil y otras formas de desastres naturales o causados por el hombre.

• Deben considerarse los siguientes lineamientos: o Materiales peligrosos o inflamables deben ser almacenados a una distancia

prudente en un área segura. o Equipamiento de contingencia debe ser instalado a una distancia adecuada en

un área segura para evitar el daño frente a un desastre que afecte al sitio principal.

o Equipamiento de extinción de incendios debe ser provisto y de rápido acceso. o Los lineamientos anteriores deben, además, quedar establecidos dentro de

una política o procedimiento. Trabajo en áreas aseguradas

A.9.1.5 Se debería diseñar y aplicar la protección física y los lineamientos para trabajar en áreas aseguradas.

• Deben considerarse los siguientes lineamientos: o El personal sólo debe conocer la existencia de un área segura (o asegurada) si

por sus actividades lo requiere para desarrollar su trabajo. o El trabajo no supervisado en las áreas seguras, debe ser evitado tanto por

razones de seguridad como para prevenir actividades maliciosas. o Las áreas seguras desocupadas deben ser físicamente cerradas y chequeadas

periódicamente. o Cámaras fotográficas, de video, audio u otros dispositivos de reproducción, no

deben ser permitidos a menos que estén expresamente autorizados. o Los lineamientos anteriores deben, además, quedar establecidos dentro de

una política o procedimiento. Áreas de acceso público, entrega y carga

A.9.1.6 Se deberían controlar los puntos de acceso como las áreas de entrega y carga y otros puntos por donde personas no-autorizadas pudieran ingresar a las instalaciones y, si fuese posible, deberían aislarse de los medios de procesamiento de información para evitar el acceso no autorizado.

• Deben considerarse los siguientes lineamientos: o El acceso a la entrega y carga desde fuera del edificio debe ser restringido a

personal debidamente identificado y autorizado. o Las puertas externas deben ser aseguradas cuando se abran las puertas

internas. o El material que ingrese debe ser inspeccionado para evitar posibles amenazas

antes de que sea ingresado a su lugar de utilización. o Los envíos entrantes y salientes deben segregarse físicamente. o Los lineamientos anteriores deben, además, quedar establecidos dentro de

una política o procedimiento. Ubicación y protección del equipo

A.9.2.1 Se debería ubicar o proteger el equipo para reducir las amenazas y peligros ambientales y oportunidades de acceso no-autorizado

• Deben considerarse los siguientes lineamientos: o El equipamiento debe situarse de manera de minimizar el acceso innecesario a

las áreas de trabajo. o Las instalaciones de procesamiento de información y los equipos deben ser

ubicados de forma que su ángulo de visión quede restringido para reducir el riesgo de que la información sea vista por personas no autorizadas, y las


48



instalaciones aseguradas para evitar el acceso no autorizado. o Los activos de información que requieren protección especial se deben aislar. o Deben adoptarse controles que minimicen los riesgos de amenazas físicas,

ejemplo: robos, fuego, explosivos, humo, polvo, vibración, etc. o Procedimientos sobre no comer, beber o fumar cerca de los equipos de

procesamiento de información. o Se deben implementar las condiciones ambientales mínimas como

temperatura, humedad, y deben ser monitoreadas. o Se debe implementar protección ante fallas en el suministro eléctrico, y

proteger las líneas de alimentación. o Los lineamientos anteriores deben, además, quedar establecidos dentro de

una política o procedimiento. Servicios básicos de soporte

A.9.2.2 Se debería proteger el equipo de fallas de energía y otras interrupciones causadas por fallas en los servicios básicos de soporte.

• Todos los equipos y activos de información que formen parte de la infraestructura crítica de TICs (Servidores, Switches, Routers, Ventilación, etc.), deben ser alimentados con una red eléctrica independiente a la de alumbrado y protegida a través de equipos “UPS” que garanticen su funcionamiento ante cortes eléctricos.

• Los lineamientos anteriores deben, además, quedar establecidos dentro de una política o procedimiento.

Seguridad del cableado

A.9.2.3 El cableado de la energía y las telecomunicaciones que transporta datos o brinda soporte a los servicios de información debería protegerse contra la interceptación o daño.

• Se deben considerar los siguientes lineamientos: o Las líneas de energía y telecomunicaciones hacia las instalaciones de

procesamiento de información, dentro de lo posible deben ser subterráneas, o sujetas a una protección alternativa.

o El cableado de red debe ser protegido ante intercepción no autorizada o daño. o Los cables de poder deben estar separados de los de datos para evitar

interferencia. o Los cables deben rotularse adecuadamente para reducir al mínimo los errores

de manejo. o Se debe utilizar una lista documentada de las conexiones para reducir la

posibilidad de errores. o Se deben considerar controles adicionales para los sistemas críticos, como

instalación de conductos blindados en los terminales de inspección, uso de medios de transmisión alternativos que proporcionen una adecuada seguridad, utilizar cableado de fibra óptica, utilizar cubiertas contra campos electromagnéticos para proteger los cables.

o Se deben realizar barridos técnicos e inspecciones físicas contra dispositivos no autorizados conectados a los cables.


49



o Debe existir un mapa de los patch panels y un acceso controlado a la sala de cables.

o Los lineamientos anteriores deben, además, quedar establecidos dentro de una política o procedimiento.

Mantenimiento de equipo

A.9.2.4 Se debería mantener correctamente el equipo para asegurar su continua disponibilidad e integridad.

• Se deben considerar los siguientes lineamientos: o Los equipos deben mantenerse acorde a lo recomendado por el fabricante. o Sólo personal autorizado debe realizar las mantenciones. o Se deben registrar las mantenciones preventivas y correctivas y las fallas reales

o sospechosas. o Deben incorporarse controles específicos cuando el equipamiento sea

mantenido (ejemplo, respaldos de información, configuraciones, etc.). o Se deben considerar pólizas de seguros para el equipamiento y cumplir con sus

requisitos. o Los lineamientos anteriores deben, además, quedar establecidos dentro de

una política o procedimiento. Seguridad del equipo fuera de las instalaciones de la organización.

A.9.2.5 Se debería aplicar seguridad al equipo fuera de las dependencias del Servicio tomando en cuenta los diferentes riesgos de trabajar fuera de las instalaciones de la organización.

• Se deben considerar los siguientes lineamientos: o El equipamiento que es retirado de las áreas seguras no debe ser dejado

desatendido en áreas de acceso público. Si se debe viajar con el laptop, éste debe ser transportado como equipaje de mano.

o Se deben observar siempre las instrucciones del fabricante para proteger los equipos, por ejemplo, contra exposiciones a campos electromagnéticos intensos.

o Se deben considerar medidas de seguridad para el tele-trabajo o Las pólizas de seguros deben considerar el equipamiento fuera de las áreas

seguras. o Los lineamientos anteriores deben, además, quedar establecidos dentro de

una política o procedimiento. Seguridad en la eliminación o reutilización del equipo

A.9.2.6 Se deberían chequear los ítems del equipo que contiene medios de almacenaje para asegurar que se haya retirado o sobre-escrito cualquier data confidencial o licencia de software antes de su eliminación.

• Deben existir e implementarse procedimientos de borrado seguro de datos y de reutilización de equipos.

Retiro de bienes A.9.2.7 El equipamiento, la información o el software no debería retirarse sin

• Se deben considerar los siguientes lineamientos: o El equipamiento, la información o el software no deben retirarse de las


50



autorización previa. dependencias de la organización sin previa autorización. o Debe identificarse claramente al personal que tenga autorización para retirar

equipamiento fuera de las dependencias del Servicio. o Debe especificarse un tiempo máximo para el equipamiento retirado y

verificarse el cumplimiento de retorno. o Debe registrarse tanto la salida del equipamiento de las dependencias del

Servicio, como el retorno del mismo.

Ges

tión

de

las

com

unic

acio

nes

y op

erac

ione

s

Procedimientos de operación documentados

A.10.1.1 Los procedimientos de operación se deberían documentar, mantener y poner a disposición de todos los usuarios que los necesiten.

• Deben existir procedimientos para la operación de la infraestructura crítica de TICs incluyendo lo siguiente: o Manejo y procesamiento de la información. o Respaldos. o Requerimientos de tareas automatizadas, incluyendo las dependencias con

otros sistemas. Alerta sobre tareas ejecutadas correcta e incorrectamente. o Instrucciones para manejar errores o condiciones excepcionales. o Contactos de soporte ante la eventualidad de dificultades técnicas. o Procedimientos de manejo de medios y de retención de datos. o Reinicio de sistemas y procedimientos de recuperación ante fallas de los

sistemas. o Procedimientos de administración de logs de auditoría.

Gestión del cambio A.10.1.2 Se deberían controlar los cambios en los medios y sistemas de procesamiento de la información.

• Se deben considerar los siguientes ítems: o Identificación y registro de cambios significantes. o Planeamiento y chequeo de los cambios. o Evaluación de los potenciales impactos, incluyendo la seguridad de la

información. o Procedimiento formal de aprobación para los cambios propuestos. o Comunicación efectiva de los detalles del cambio a las personas relevantes. o Procedimientos de vuelta atrás, que incluyan responsabilidades de abortar y

recuperar ante cambios no satisfactorios. Segregación de los

deberes A.10.1.3 Los deberes y áreas de

responsabilidad deberían estar segregados para reducir las oportunidades de una modificación no-autorizada o mal uso no-intencional o mal uso de los activos de la institución

• Deben crearse perfiles de usuario que sean consecuentes con las descripciones del cargo que desempeñan, y que contengan los mínimos accesos a los sistemas de información para llevar a cabo sus funciones.

• El Encargado de seguridad debe validar estos perfiles y auditarlos al menos 2 veces al año


51



Separación de los medios de desarrollo, prueba y operación

A.10.1.4 Los medios de desarrollo, prueba y operación deberían estar separados para reducir los riesgos de acceso no-autorizado o cambios en el sistema operacional.

• Los siguientes ítems deben ser considerados: o Políticas y procedimientos para la transferencia del software desde ambientes

de desarrollo a producción, y registro de actividad. o Las aplicaciones de desarrollo y producción deben correr en ambientes

física/lógicamente separados. o Los compiladores, editores y cualquier herramienta de desarrollo no debe

quedar disponible desde sistemas en producción. o Los sistemas de pruebas deben emular lo más cercano posible a los ambientes

productivos. o Los usuarios deberán utilizar distintos perfiles para sistemas productivos y de

prueba. o Los datos sensibles no deben ser copiados hacia ambientes de prueba.

Entrega del servicio A.10.2.1 Se debería asegurar que los controles de seguridad, definiciones del servicio y niveles de entrega incluidos en el acuerdo de entrega del servicio de terceros se implementen, operen y mantengan.

• Deben existir acuerdos de niveles de seguridad, definiciones de servicios y aspectos de la administración de los servicios.

• Deben existir acuerdos de servicio para la recuperación ante desastres o fallas.

Monitoreo y revisión de los servicios de terceros

A.10.2.2 Los servicios, reportes y registros provistos por terceros deberían ser monitoreados y revisados regularmente, y se deberían llevar a cabo auditorías regularmente.

• Debe existir una relación de administración de los servicios y procesos entre la institución y los terceros para: o Monitorear los niveles de servicio y chequear su adherencia a los acuerdos. o Revisar los reportes generados por los terceros y acordar reuniones. o Proveer información ante incidentes de seguridad de manera de dar

cumplimiento a la normativa de seguridad. o Revisar los registros de auditoría de los terceros, frente a problemas de

seguridad, operacionales, fallas, y discontinuidad de servicio. o Resolver y administrar los problemas identificados.

Manejo de cambios en los servicios de terceros

A.10.2.3 Se deberían manejar los cambios en la provisión de servicios, incluyendo el mantenimiento y mejoramiento de las políticas, procedimientos y controles de seguridad de la información existentes teniendo en cuenta el grado crítico de los sistemas y

• El proceso de administración de cambios, necesita manejar: o Los cambios realizados por la institución para implementar mejoras a los

servicios ofrecidos; desarrollo de cualquier nueva aplicación o sistema; modificaciones o actualizaciones de los procedimientos o políticas de la institución; nuevos controles que resuelvan incidentes de seguridad o mejoren el nivel.

o Los cambios realizados por los terceros para mejorar las redes; el uso de nuevas tecnologías; adopción de nuevos productos o nuevas versiones; nuevas


52



procesos del negocio involucrados y la re-evaluación de los riesgos.

herramientas de desarrollo y ambientes; cambios a las locaciones físicas o facilidades de servicio; cambios en los fabricantes.

Gestión de la capacidad

A.10.3.1 Se debería monitorear, afinar el uso de los recursos y se deberían realizar proyecciones de los requerimientos de capacidad futura para asegurar el desempeño requerido del sistema.

• Deben existir informes periódicos del uso de las capacidades de los sistemas productivos críticos, de manera de obtener un estimado de su rendimiento y capacidad máxima sin degradar los servicios.

Aceptación del sistema

A.10.3.2 Se debería establecer el criterio de aceptación de los sistemas de información nuevos, actualizaciones o versiones nuevas y se deberían realizar pruebas adecuadas del sistema(s) durante el desarrollo y antes de su aceptación.

• Deben establecerse plataformas de pruebas para la aplicación de parches y actualizaciones de seguridad antes de ser puestas en producción, así también como el procedimiento asociado.

• Los siguientes ítems deben ser considerados previo a una aceptación formal: o Requerimientos de capacidad y desempeño. o Procedimiento de recuperación ante errores y planes de contingencia. o Preparación y rutinas de pruebas. o Acuerdo de los controles de seguridad a implementar. o Procedimientos de operación manual. o Acuerdos de continuidad del negocio. o Evidencia de que la instalación del nuevo sistema, no afectará a los actuales en

producción, en particular en tiempos de utilización excesiva. o Evidencia de que la instalación del nuevo sistema, no afectará al nivel de

seguridad actual en producción. o Entrenamiento en la operación de los nuevos sistemas. o Facilidad del uso, cómo afectan al desempeño de los usuarios y como prevén

errores humanos. Controles contra

códigos maliciosos A.10.4.1 Controles de detección, prevención

y recuperación para proteger contra códigos maliciosos y se deberían implementar procedimientos para el apropiado conocimiento del usuario.

• Los siguientes lineamientos deben ser considerados: o Establecer una política formal que prohíba el uso no autorizado de software. o Establecer una política formal que proteja ante los riesgos asociados al obtener

software y archivos a través de redes externas, o cualquier otro medio, indicando que medidas preventivas deben ser tomadas.

o Efectuar revisiones periódicas del software y los contenidos de los datos de los sistemas que soportan procesos de negocio críticos, y se debe investigar ante la presencia de cualquier archivo no autorizado.

o Se debe instalar software que detecte código malicioso que sea enviado a través de cualquier medio y éste debe ser actualizado regularmente.

o Definir procedimientos y responsabilidades para tratar con código malicioso,


53



entrenamiento en el uso, reporte y recuperación ante ataques. o Preparar apropiados planes de continuidad del negocio para recuperarse ante

eventuales ataques. o Implementar procedimientos para recopilar regularmente información como

listas de correo o sitios informativos. Controles contra

códigos móviles A.10.4.2 Donde se autorice el uso del código

móvil, la configuración debería asegurar que el código móvil autorizado opera de acuerdo con una política de seguridad claramente definida, y se debería evitar la ejecución del código móvil no-autorizado.

• Las siguientes acciones deben ser consideradas: o Ejecutar código móvil en un ambiente aislado. o Bloquear cualquier uso de código móvil. o Bloquear la recepción de código móvil. o Activar medidas técnicas. o Controlar los recursos a los cuales un código móvil puede acceder. o Utilizar controles criptográficos para autenticar un código móvil.

Respaldo de información

A.10.5.1 Se deberían hacer copias de respaldo de la información y software y se deberían probar regularmente en concordancia con la política de copias de respaldo acordada

• Los siguientes lineamientos deben ser considerados: o Debe ser definido el nivel necesario de respaldo. o Se deben proveer registros completos y registros de la información que se

respalda, así también como los procedimientos de recuperación. o La frecuencia de los respaldos debe estar acorde a los requerimientos de la

institución. o Los respaldos deben ser almacenados en una ubicación remota. o Los medios de respaldo deben ser almacenados en un lugar con protección

física y medioambiental. o Los medios de recuperación deben ser probados regularmente para asegurar

que puedan ser utilizados. o Los procedimientos de restauración deben ser probados regularmente. o Para los datos confidenciales, se debe proveer con respaldos protegidos con

mecanismos de inscripción. Controles de redes A.10.6.1 Las redes deberían ser

adecuadamente manejadas y controladas para poder proteger la información en las redes, y mantener la seguridad de los sistemas y aplicaciones utilizando la red, incluyendo la información en tránsito.

• Los siguientes ítems deben ser considerados: o Las responsabilidades en la operación de las redes deben ser separadas de las

responsabilidades en el manejo de los servidores. o Deben establecerse responsabilidades y procedimientos de administración de

equipamiento remoto. o Deben establecerse controles especiales para resguardar la confidencialidad e

integridad de los datos que viajan sobre redes públicas o inalámbricas. o Deben establecerse los mecanismos apropiados de monitoreo y registro de las

acciones relevantes para la seguridad.


54



Seguridad de los servicios de la red

A.10.6.2 En todo contrato de redes se deberían identificar e incluir las características de seguridad, niveles de servicio y requerimientos de gestión de todos los servicios de red, ya sea que estos servicios sean provistos interna o externamente.

• Las características de seguridad para los servicios de red, deberían: o Aplicar tecnología para asegurar los servicios de red, tal como autenticación,

encripción y control de conexiones. o Se deben establecer conexiones seguras a través de reglas de acceso de

acuerdo a los requerimientos de la institución.

Gestión de medios removibles

A.10.7.1 Deberían existir procedimientos para la gestión de los medios removibles.

• Los siguientes lineamientos deben ser considerados: o Si no es necesario, los contenidos de cualquier medio reutilizable, deben ser

removidos de la institución, haciéndolos irrecuperables. o Deben establecerse registros de auditoría. o Todos los medios deben almacenarse en un ambiente seguro, de acuerdo a las

especificaciones del fabricante. o La información almacenada en medios removibles que requiera estar

disponible después del tiempo de vida del medio, debe ser almacenado en cualquier otro medio de manera de garantizar que no exista pérdida de información

o Deben ser autorizados los medios removibles de acuerdo a los requerimientos de la institución.

Procedimientos para el manejo de información

A.10.7.2 Se deberían establecer los procedimientos para el manejo y almacenaje de información para proteger esta información de una divulgación no-autorizada o mal uso.

• Los siguientes ítems deben ser considerados: o Se debe manejar y rotular todos los medios indicando su nivel de clasificación o Se debe restringir el acceso al personal autorizado. o Se debe mantener un registro formal. o El almacenamiento de los medios debe estar acorde a las especificaciones del

fabricante. o Mantener la cadena de custodia al mínimo.

Seguridad de la documentación del sistema

A.10.7.3 Se debería proteger la documentación del sistema con accesos no-autorizados.

• Se deben considerar los siguientes ítems: o La documentación del sistema debe ser almacenada en un área segura. o Las listas de acceso a la documentación deben mantenerse al mínimo y solo

para el dueño del aplicativo. o Si la documentación es provista en una red pública, debe ser asegurada.

Políticas y procedimientos de intercambio de información

A.10.8.1 Se deberían establecer políticas, procedimientos y controles de intercambio formales para proteger el intercambio de

• Se deben considerar los siguientes ítems: o Los procedimientos diseñados para proteger el intercambio de información de

la intercepción, copiado, modificación, routing equivocado y destrucción. o Los procedimientos para la detección y protección de contra códigos


55



información a través del uso de todos los tipos de medios de comunicación.

maliciosos que pueden ser transmitidos a través del uso de comunicaciones electrónicas.

o Los procedimientos para proteger la información electrónica confidencial o Comunicada que está en la forma de un adjunto. o Una política o lineamientos para el uso aceptable de los medios de

comunicación electrónicos. o Los procedimientos para el uso de comunicación inalámbrica, tomando en

cuenta los riesgos particulares involucrados. o Las responsabilidades del usuario empleado, contratista y cualquier otro para

que no comprometan a la organización; por ejemplo, a través de la difamación, hostigamiento, suplantación, reenvío de cadenas de cartas, compras no- autorizadas, etc.

o El uso de técnicas de codificación; por ejemplo, para proteger la confidencialidad, integridad y autenticidad de la información.

o Los lineamientos de retención y eliminación de toda la correspondencia del negocio, incluyendo mensajes, en concordancia con la legislación y regulaciones nacionales y locales relevantes;

o No dejar la información confidencial o crítica en medios impresos; por ejemplo, copiadoras, impresoras y máquinas de fax; ya que personal no-autorizado puede tener acceso a ellas;

o Los controles y restricciones asociados con el reenvío de los medios de comunicación; por ejemplo, reenvío automático de correo electrónico a direcciones externas.

o Instruir al personal que debería tomar las precauciones apropiadas; por ejemplo, no revelar información confidencial cuando realiza una llamada telefónica para evitar ser escuchado o interceptado.

o No dejar mensajes conteniendo información confidencial en máquinas contestadoras dado que estos pueden ser escuchados por personas no- autorizadas.

Acuerdos de intercambio

A.10.8.2 Se deberían establecer acuerdos para el intercambio de información y software entre la institución y entidades externas.

• Se deben considerar las siguientes condiciones de seguridad: o El manejo de las responsabilidades para el control y notificación de la

transmisión, despacho y recepción. o Los procedimientos para notificar al remitente de la transmisión, despacho y

recepción. o Los procedimientos para asegurar el rastreo y no-repudio. o Los estándares técnicos mínimos para el empaque y la transmisión.


56



o Los acuerdos de depósitos. o Los estándares de identificación del mensajero. o Las responsabilidades y obligaciones en el evento de incidentes de seguridad

de la información, como la pérdida de data. o El uso de un sistema de etiquetado acordado para la información confidencial

o crítica, asegurando que el significado de las etiquetas sea entendido inmediatamente y que la información sea adecuadamente protegida.

o La propiedad y responsabilidades de la protección de data, derechos de autor, licencias de software y consideraciones similares.

o Los estándares técnicos para grabar y leer la información y software. o Cualquier control especial que se pueda requerir para proteger los ítems

confidenciales, como claves criptográficas. Medios físicos en

tránsito A.10.8.3 Los medios que contienen

información deberían ser protegidos contra accesos no-autorizados, mal uso o corrupción durante el transporte más allá de los límites físicos de una institución

• Debe considerarse lo siguiente: o Se deberían utilizar transportes o mensajerías confiables. o Se deberían desarrollar procedimientos para chequear la identificación de los

mensajeros. o El empaque debería ser suficiente para proteger los contenidos de cualquier

daño que pudiera surgir durante el tránsito y en concordancia con las especificaciones de cualquier fabricante.

o Donde sea necesario, se deberían adoptar controles para proteger la información confidencial de la divulgación o modificación no-autorizada

Mensajes electrónicos

A.10.8.4 Se debería proteger adecuadamente la información involucrada en mensajes electrónicos.

• Debe considerarse lo siguiente: o Proteger los mensajes del acceso no-autorizado, modificación o negación del

servicio. o Asegurar la correcta dirección y transporte del mensaje. o La confiabilidad y disponibilidad general del servicio. o Las consideraciones legales. o Obtener la aprobación antes de utilizar los servicios públicos externos como un

mensaje instantáneo o intercambio de archivos. o Niveles mayores de autenticación controlando el acceso de las redes de acceso

público. Sistemas de

información negocio

A.10.8.5 Se deberían desarrollar e implementar políticas y procedimientos para proteger la información asociada con la interconexión de los sistemas de

• Debe considerarse lo siguiente: o Vulnerabilidades conocidas en los sistemas administrativos y contables donde

la información es compartida entre diferentes partes de la institución. o Las vulnerabilidades de la información en los sistemas de comunicación

comercial; por ejemplo, grabando llamadas o conferencias telefónicas, la


57



información de negocio. confidencialidad de las llamadas, almacenaje de faxes, apertura de correo, distribución del correo.

o Establecer una política y los controles apropiados para manejar el intercambio de información.

o Excluir las categorías de información confidencial y los documentos clasificados si el sistema no proporciona un nivel de protección apropiado.

o Restringir el acceso a la información diaria relacionada con personas seleccionadas; por ejemplo, el personal trabajando en proyectos confidenciales.

o La retención y respaldo de la información mantenida en el sistema. Comercio

electrónico A.10.9.1 La información involucrada en el

comercio electrónico que pasa a través de redes públicas debería protegerse de la actividad fraudulenta, disputas de contratos, divulgación no-autorizada y modificación.

• Se debe considerar lo siguiente (considerar su nivel de aplicabilidad): o El nivel de confianza que cada parte requiere de la identidad de la otra; por

ejemplo, a través de la autenticación. o Los procesos de autorización asociados con aquellos que pueden establecer

precios, emitir o firmar documentos de comercialización. o Asegurar que las contrapartes comerciales estén totalmente informados de sus

autorizaciones. o Determinar y cumplir con los requerimientos para la confidencialidad,

integridad, prueba de despacho y recepción de documentos claves, y el no-repudio de los contratos; por ejemplo, asociado con procesos de licitación y contratos.

o El nivel de confianza requerido para la integridad de las listas de precios publicitadas;

o La confidencialidad de cualquier data o información confidencial; o La confidencialidad e integridad de cualquier transacción, información de pago,

detalles de la dirección de entrega y la confirmación de la recepción; o El grado de verificación apropiado para chequear la información de pago

suministrada por un cliente; o Seleccionar la forma de liquidación más apropiada del pago para evitar el

fraude. o El nivel de protección requerido para mantener la confidencialidad e integridad

de la información de la orden. o Evitar la pérdida o duplicación de la información de la transacción. o La responsabilidad asociada con cualquier transacción fraudulenta.

Transacciones en-línea

A.10.9.2 Se debería proteger la información involucrada en las transacciones

• Se debe considerar lo siguiente: o El uso de firmas electrónicas por cada una de las partes involucradas en la


58



en-línea para evitar una transmisión incompleta, routing equivocado, alteración no-autorizada del mensaje, divulgación no-autorizada, duplicación o repetición no-autorizada del mensaje.

transacción. o Todos los aspectos de la transacción. o El camino de las comunicaciones entre las partes involucradas debería ser

codificado. o Los protocolos utilizados para comunicarse entre todas las partes involucradas

sean seguros. o Asegurar que el almacenaje de los detalle de la transacción se localice fuera de

cualquier ambiente público accesible; por ejemplo, en una plataforma de almacenaje existente en el Intranet institucional, y no se mantenga y exponga en un medio de almacenaje directamente accesible desde el Internet.

o Utilizar una autoridad confiable (por ejemplo, para propósitos de emitir y mantener firmas digitales y/o certificados digitales) la seguridad es integrada e introducida durante todo el proceso de gestión de firma/certificado de principio a fin.

Información públicamente disponible

A.10.9.3 Se debería proteger la integridad de la información puesta a disposición en un sistema públicamente disponible para evitar una modificación no-autorizada.

• Se deberían controlar cuidadosamente los sistemas de publicación electrónica, especialmente aquellos que permiten retroalimentación y el ingreso directo de información de manera que: o La información se obtenga cumpliendo con la legislación de protección de

data. o El input de información para, y procesado por, el sistema de publicación será

procesado completa y exactamente de una manera oportuna. o Se protegerá la información confidencial durante la recolección,

procesamiento y almacenaje. o Que el acceso al sistema de publicación no permita el acceso involuntario a las

redes con las cuales se conecta el sistema. Registro de

auditoría A.10.10.1 Se deberían producir y mantener

registros de auditoría de las actividades, excepciones y eventos de seguridad de la información durante un período acordado para ayudar en investigaciones futuras y monitorear el control de acceso.

• Los registros de auditoría deberían incluir, cuando sea relevante: o Utilizar IDs. o Fechas, horas y detalles de eventos claves; por ejemplo, ingreso y salida. o Identidad o ubicación de la identidad, si es posible. o Los registros de intentos de acceso fallidos y rechazados al sistema. o Registros de intentos de acceso fallidos y rechazados a la data y otros recursos. o Cambios en la configuración del sistema. o Uso de privilegios. o Uso de las utilidades y aplicaciones del sistema. o Archivos a los cuales se tuvo acceso y los tipos de acceso. o Direcciones y protocolos de la red.


59



o Alarmas activadas por el sistema de control de acceso. o Activación y desactivación de los sistemas de protección; como sistemas anti-

virus y sistemas de detección de intrusiones. Uso del sistema de

monitoreo A.10.10.2 Se deberían establecer

procedimientos para el monitoreo del uso de los medios de procesamiento de la información y se deberían revisar regularmente los resultados de las actividades de monitoreo.

• Cada sistema de registro implementado, debe ser monitoreado y protegido ante accesos no autorizados. Las áreas que deberían considerar incluyen: o Acceso autorizado. o Operaciones privilegiadas. o Intentos de acceso no autorizado. o Alertas o fallas del sistema.

Protección del registro de información

A.10.10.3 Se deberían proteger los medios de registro y la información del registro para evitar la alteración y el acceso no autorizado.

• Se debe considerar dentro del medio de registro, lo siguiente: o Las alteraciones registradas a los tipos de mensajes. o Los archivos de registro que se editan o borran. o La capacidad de almacenamiento del medio de archivos de registro que se está

excediendo, resultando en una falla en el registro de eventos o la escritura encima de los eventos registrados en el pasado.

Registros del administrador y operador

A.10.10.4 Se deberían registrar las actividades del administrador del sistema y el operador del sistema.

• Todas las cuentas con privilegio de administrador o súper usuario dentro de los activos críticos identificados, deben ser continuamente registrados y monitoreados.

Registro de fallas A.10.10.5 Se deberían registrar y analizar las fallas, y se deberían tomar las acciones necesarias

• Cada acción indebida realizada por una cuenta de acceso, debe ser oportunamente notificada al Encargado de Seguridad para tomar las acciones requeridas.

Sincronización de relojes

A.10.10.6 Los relojes de todos los sistemas de procesamiento de información relevantes dentro de una organización o dominio de seguridad se deberían sincronizar con una fuente que proporcione la hora exacta acordada.

• Se deben sincronizar los relojes de todos los sistemas críticos identificados, contra un reloj central y este a su vez estar sincronizado con un reloj atómico en Internet.


60



Cont

rol d

e ac

ceso

Política de control del acceso

A.11.1.1 Se debería establecer, documentar y revisar la política de control de acceso en base a los requerimientos de negocio y de seguridad para el acceso.

• La política debería tomar en cuenta lo siguiente: o Los requerimientos de seguridad de las aplicaciones. o Identificación de toda la información relacionada con las aplicaciones y los

riesgos que enfrenta la información. o Las políticas para la divulgación y autorización de la información; por ejemplo,

la necesidad de conocer el principio y los niveles de seguridad, y la clasificación de la información.

o La consistencia entre el control del acceso y las políticas de clasificación de la información de los diferentes sistemas y redes.

o La legislación relevante y cualquier obligación contractual relacionada con la protección del acceso a la data o los servicios.

o Los perfiles de acceso de usuario estándar para puestos de trabajo comunes en la organización.

o La gestión de los derechos de acceso en un ambiente distribuido y en red que reconoce todos los tipos de conexiones disponibles.

o La segregación de roles del control del acceso; por ejemplo, solicitud de acceso, autorización de acceso, administración del acceso.

o Los requerimientos para la autorización formal de las solicitudes de acceso. o Los requerimientos para la revisión periódica de los controles de acceso. o La revocación de los derechos de acceso.

Registro del usuario A.11.2.1 Debería existir un procedimiento formal para el registro y des-registro del usuario para otorgar y revocar el acceso a todos los sistemas y servicios de información.

• El procedimiento de control del acceso para el registro y des-registro del usuario debería incluir: o Utilizar IDs de usuarios únicos para permitir a los usuarios vincularse y ser

responsables de sus acciones; sólo se debería permitir el uso de IDs grupales cuando son necesarios por razones comerciales u operacionales, y deberían ser aprobados y documentados.

o Chequear que el usuario tenga la autorización dada por el propietario del sistema para el uso del sistema o servicio de información; también puede ser apropiado una aprobación separada de la gerencia para los derechos de acceso.

o Chequear que el nivel de acceso otorgado sea apropiado para el propósito institucional y que sea consistente con la política de seguridad de la organización.

o Proporcionar a los usuarios un enunciado escrito de sus derechos de acceso. o Requerir a los usuarios que firmen los enunciados indicando que entienden las

condiciones de acceso.


61



o Asegurar que los proveedores del servicio no proporcionen acceso hasta que se hayan completado los procedimientos de autorización.

o Mantener un registro formal de todas las personas registradas para usar el servicio.

o Eliminar o bloquear inmediatamente los derechos de acceso de los usuarios que han cambiado de puesto o trabajo o han dejado la organización.

o Chequeo periódico para eliminar o bloquear los IDs de usuario y cuentas redundantes.

Gestión de privilegios

A.11.2.2 Se debería restringir y controlar la asignación y uso de privilegios.

• Se debe considerar: o Los privilegios de acceso asociados con cada producto del sistema; por

ejemplo, sistema de operación, sistema de gestión de base de datos y cada aplicación, y se deberían identificar los usuarios a quienes se les necesita asignar privilegios.

o Los privilegios se deberían asignar a los usuarios sobre la base de “sólo lo que necesitan saber”; es decir, los requerimientos mínimos para su rol funcional, sólo cuando se necesitan.

o Se debería mantener un proceso de autorización y un registro de todos los privilegios asignados. No se deberían otorgar privilegios hasta que se complete el proceso de autorización.

o Se debería promover el desarrollo y uso de rutinas del sistema para evitar la necesidad de otorgar privilegios a los usuarios.

o Se debería promover el desarrollo y uso de los programas que evitan la necesidad de correr con privilegios.

o Los privilegios se deberían asignar a un ID de usuario diferente de aquellos utilizados para el uso normal de la institución.

Gestión de las contraseñas de los usuarios

A.11.2.3 La asignación de contraseñas se debería controlar a través de un proceso de gestión formal.

• Se debe considerar lo siguiente: o Se debería requerir que los usuarios firmen un enunciado para mantener

confidenciales las claves secretas y mantener las claves secretas grupales sólo dentro de los miembros el grupo; este enunciado firmado se puede incluir en los términos y condiciones de empleo.

o Cuando se requiere que los usuarios mantengan sus propias claves secretas, inicialmente se les debería proporcionar una clave secreta temporal segura, la cual están obligados a cambiar inmediatamente.

o Establecer procedimientos para verificar la identidad de un usuario antes de proporcionar una clave secreta nueva, sustituta o temporal.

o Las claves secretas temporales deberían ser proporcionadas a los usuarios de


62



una manera segura, se debería evitar el uso de mensajes de correo electrónico de terceros o no protegidos (sin texto).

o Las claves secretas temporales deberían ser únicas para la persona y no deberían ser fáciles de adivinar.

o Los usuarios deberían reconocer la recepción de las claves secretas. o Las claves secretas nunca deberían ser almacenadas en los sistemas de

información de una forma desprotegida. o Las claves secretas predeterminadas por el vendedor deberían ser cambiadas

después de la instalación de sistemas o software. Revisión de los

derechos de acceso del usuario

A.11.2.4 El encargado de seguridad debería revisar los derechos de acceso de los usuarios a intervalos regulares utilizando un proceso formal.

• Se deben considerar los siguientes lineamientos: • Los derechos de acceso de los usuarios deberían ser revisados a intervalos

regulares; por ejemplo, un período de 6 meses, y después de cualquier cambio, como un ascenso, democión o terminación del empleo.

• Los derechos de acceso del usuario se deberían revisar y re-asignar cuando se traslada de un empleo a otro dentro de la misma organización.

• Las autorizaciones para derechos de acceso privilegiados especiales se deberían revisar a intervalos más frecuentes; por ejemplo, un período de 3 meses.

• Se debería chequear la asignación de privilegios a intervalos regulares para asegurar que no se hayan obtenido privilegios no autorizados.

• Se deberían registrar los cambios en las cuentas privilegiadas para una revisión periódica.

Uso de Contraseñas A.11.3.1 Se debería requerir a los usuarios que sigan buenas prácticas de seguridad en la selección y uso de contraseñas

• Cada sistema de autenticación de usuarios debe ser forzado a cumplir con el uso de contraseñas robustas considerando: o Mantener confidenciales las claves secretas. o Evitar mantener un registro (por ejemplo, papel, archivo en software o

dispositivo manual) de las claves secretas, a no ser que este se pueda mantener almacenado de manera segura y el método de almacenaje haya sido aprobado.

o Cambio de claves secretas cuando haya el menor indicio de un posible peligro en el sistema o la clave secreta.

o Seleccionar claves secretas de calidad con el largo mínimo suficiente o cambio de las claves secretas a intervalos regulares o en base al número de

accesos (las claves secretas para las cuentas privilegiadas se deberían cambiar con mayor frecuencia que las claves secretas normales), y evitar el re-uso de reciclaje de claves secretas antiguas.

o Cambiar la clave secreta temporal en el primer registro de ingreso.


63



o No incluir las claves secretas en ningún proceso de registro automatizado; por ejemplo, almacenado en un macro o función clave.

o No compartir las claves secretas individuales. o No usar la misma clave personal para propósitos laborales y no-laborales.

Equipo del usuario desatendido

A.11.3.2 Los usuarios deberían asegurar que el equipo desatendido tenga la protección apropiada.

• Se debe comunicar a los usuarios que deberían: • Cerrar las sesiones activas cuando se termina, a no ser que puedan asegurarse con

un mecanismo de cierre apropiado; por ejemplo, protector de pantalla asegurado mediante clave secreta.

• Salir de las computadoras mainframe, servidores y PCs de oficina cuando se termina la sesión (es decir, no sólo apagar la pantalla de la PC o Terminal).

• Asegurar las PCs o terminales contra un uso no autorizado mediante un seguro con clave o un control equivalente; por ejemplo, acceso con clave secreta, cuando no está en uso

Política de escritorio y pantalla limpios

A.11.3.3 Se debería adoptar una política de escritorio limpio para papeles y medios de almacenaje removibles y una política de pantalla limpia para los medios de procesamiento de la información.

• Se debe considerar lo siguiente: o La información comercial confidencial o crítica; por ejemplo, en papel o medios

de o Almacenamiento electrónicos; debería ser guardada bajo llave (idealmente en

una caja fuerte o archivador u otra forma de mueble seguro) cuando no está siendo utilizada, especialmente cuando la oficina está vacía.

o Cuando se dejan desatendidas, las computadoras y terminales deberían dejarse apagadas o protegidas con mecanismos para asegurar la pantalla y el teclado, controlados mediante una clave secreta, dispositivo o un mecanismo de autenticación de usuario similar y se deberían proteger con llave, claves secretas u otros controles cuando no están en uso.

o Se deberían proteger los puntos de ingreso y salida de correo y las máquinas de fax desatendidas;

o Se debería evitar el uso no autorizado de fotocopiadoras y otra tecnología de reproducción (por ejemplo, escáneres, cámaras digitales).

o Los documentos que contienen información confidencial o clasificada deberían sacarse inmediatamente de la impresora.

Política sobre el uso de los servicios de la red

A.11.4.1 Los usuarios sólo deberían tener acceso a los servicios para los cuales hayan sido específicamente autorizados.

• Esta política debería abarcar: o Las redes y servicios de la red a las cuales se tiene acceso. o Los procedimientos de autorización para determinar quién está autorizado a

tener acceso a cuáles redes y servicios en red. o Controles y procedimientos gerenciales para proteger el acceso a las

conexiones de la red y los servicios en red.


64



o Los medios utilizados para tener acceso a las redes y los servicios de la red (por ejemplo, las condiciones para permitir acceso a un proveedor del servicio de Internet o sistema remoto).

Autenticación del usuario para las conexiones externas

A.11.4.2 Se deberían utilizar métodos de autenticación apropiados para controlar el acceso de usuarios remotos.

• Deben implementarse medidas de encripción de datos para las comunicaciones remotas de usuarios, en conjunto con una autenticación robusta (ej: VPN, Token, etc.)

Identificación del equipo en las redes

A.11.4.3 La identificación automática del equipo se debería considerar como un medio para autenticar las conexiones de ubicaciones y equipos específicos.

• La identificación automática del equipo se debería considerar como un medio para autenticar las conexiones de ubicaciones y equipos específicos.

Protección del puerto de diagnóstico y configuración remoto

A.11.4.4 Se debería controlar el acceso físico y lógico a los puertos de diagnóstico y configuración.

• Los puertos, servicios y medios similares instalados en una computadora o red, que no son requeridos específicamente por funcionalidad comercial, deberían ser desactivados o removidos.

Segregación en redes

A.11.4.5 Los grupos de servicios de información, usuarios y sistemas de información deberían ser segregados en redes.

• Se deben crear “dominios de seguridad” en las redes de telecomunicaciones, que separen los tráficos de servicios productivos, usuarios, segmentos de desarrollo y desmilitarizados. Estos segmentos pueden ser lógicos o físicos dependiendo de la tecnología implementada

Control de conexión a la red

A.11.4.6 Para las redes compartidas, especialmente aquellas que se extienden a través de las fronteras de la institución, se debería restringir la capacidad de los usuarios para conectarse a la red, en línea con la política de control de acceso y los requerimientos de las aplicaciones de negocio

• Se puede restringir la capacidad de conexión de los usuarios a través de gateways de la red que filtran el tráfico por medio de tablas o reglas predefinidas. Los ejemplos de aplicaciones a las cuales se pueden aplicar las restricciones son: o Mensajes; por ejemplo, correo electrónico, o Transferencia de archivos, o Acceso interactivo, o Acceso a una aplicación.

Control de routing de la red

A.11.4.7 Se deberían implementar controles de routing en las redes para asegurar que las conexiones de la computadora y los flujos de información no violen la política de control de acceso de las

• Se deberían implementar controles de routing en las redes para asegurar que las conexiones de la computadora y los flujos de información no violen la política de control de acceso de las aplicaciones institucionales.


65



aplicaciones de negocio Procedimientos

para un registro seguro

A.11.5.1 El acceso a los sistemas operativos debería ser controlado mediante un procedimiento de registro seguro.

• Se debe considerar que el registro: o No debería mostrar identificadores del sistema o aplicación hasta que se haya

completado satisfactoriamente el proceso de registro. o Debería mostrar la advertencia general que a la computadora sólo pueden

tener acceso los usuarios autorizados. o No debería proporcionar mensajes de ayuda durante el procedimiento de

registro que ayuden al usuario no-autorizado. o Sólo debería validar la información del registro después de completar todo el

input de data. Si surge una condición de error, el sistema debería indicar qué parte de la data es correcta o incorrecta.

o Debería limitar el número de intentos de registro infructuosos permitidos; por ejemplo, tres intentos.

o Debería limitar el tiempo máximo y mínimo permitido para el procedimiento de registro. Si se excede este tiempo, el sistema debería terminar el registro.

o Debería mostrar información al termino de un registro satisfactorio o No debería mostrar la clave secreta que se está ingresando o considerar

esconder los caracteres de la clave secreta mediante símbolos. o No debería transmitir claves secretas en un texto abierto a través de la red.

Identificación y autenticación del usuario

A.11.5.2 Todos los usuarios tienen un identificador único (ID de usuario) para su uso personal, y se debería escoger una técnica de autenticación adecuada para sustanciar la identidad de un usuario.

• Sólo se debería permitir el uso de IDs genéricos para una persona cuando las funciones accesibles o acciones llevadas a cabo por el ID no necesitan ser rastreadas (por ejemplo, sólo acceso de lectura), o cuando existen otros controles establecidos (por ejemplo, la clave secreta para un ID genérico sólo es emitido para una persona a la vez y se registra dicha instancia).

Sistema de gestión de contraseñas

A.11.5.3 Los sistemas para el manejo de claves secretas deberían ser interactivos y deberían asegurar contraseñas adecuadas.

• Se debe tener en consideración: o Aplicar el uso de IDs de usuarios individuales y claves secretas para mantener

la responsabilidad. o Permitir a los usuarios seleccionar y cambiar sus propias claves secretas e

incluir un procedimiento de confirmación para permitir errores de input. o Aplicar la elección de claves secretas adecuadas. o Aplicar los cambios de claves secretas. o Obligar a los usuarios a cambiar las claves secretas temporales en su primer

ingreso o registro. o Mantener un registro de claves de usuario previas y evitar el re-uso.


66



o No mostrar las claves secretas en la pantalla en el momento de ingresarlas. o Almacenar los archivos de claves secretas separadamente de la data del

sistema de aplicación. o Almacenar y transmitir las claves secretas en un formato protegido (por

ejemplo, codificado o indexado). Uso de las

utilidades del sistema

A.11.5.4 Se debería restringir y controlar estrechamente el uso de los programas de utilidad que podrían ser capaces de superar los controles del sistema y la aplicación.

• Se debe tener en consideración: o El uso de los procedimientos de identificación, autenticación y autorización

para las utilidades del sistema. o La segregación de las utilidades del sistema del software de la aplicación. o Limitar el uso de las utilidades del sistema a un número práctico mínimo de

usuarios autorizados y confiables. o Autorización para el uso ad hoc de las utilidades del sistema. o Limitación de la disponibilidad de las utilidades del sistema; por ejemplo, por la

duración de un cambio autorizado. o Registro de todo uso de las utilidades del sistema. o Definir y documentar los niveles de autorización de las utilidades del sistema. o Eliminación o inutilizar todas las utilidades innecesarias basadas en software,

así como los software del sistema que sean innecesarios. o No poner las utilidades a disposición de los usuarios que tienen acceso a las

aplicaciones en los sistemas donde se requiere la segregación de los deberes. Cierre de una sesión

por inactividad A.11.5.5 Las sesiones inactivas deberían ser

cerradas después de un período de inactividad definido.

• Un dispositivo de cierre debería borrar la pantalla de la sesión y también, posiblemente más adelante, cerrar la aplicación y las sesiones en red después de un período de inactividad definido. El tiempo de espera antes del cierre debería reflejar los riesgos de seguridad del área, la clasificación de la información que está siendo manejada y la aplicación siendo utilizada, y los riesgos relacionados con los usuarios del equipo.

Limitación del tiempo de conexión

A.11.5.6 Se deberían utilizar restricciones sobre los tiempos de conexión para proporcionar seguridad adicional para las aplicaciones de alto riesgo.

• Se deberían considerar controles sobre el tiempo de conexión para las aplicaciones de cómputo sensibles, especialmente desde ubicaciones de alto riesgo; por ejemplo, áreas públicas o externas que están fuera de la gestión de seguridad de la organización. Los

ejemplos de tales restricciones incluyen: o Utilizar espacios de tiempo predeterminados; por ejemplo, para transmisiones

de archivos en lotes, o sesiones interactivas regulares de corta duración. o Restringir los tiempos de conexión a los horarios laborales normales, si no

existe ningún requerimiento para sobre-tiempo o una operación de horario extendido.


67



o Considerar la re-autenticación cada cierto intervalo de tiempo. Restricción del

acceso a la información

A.11.6.1 El acceso de los usuarios y el personal de soporte a la información y las funciones del sistema de la aplicación debería limitarse en concordancia con la política de control de acceso definida.

• Se debe considerar: o Proporcionar menús para controlar el acceso a las funciones del sistema de

aplicación. o Controlar los derechos de acceso de los usuarios; por ejemplo, lectura,

escritura, eliminar y ejecutar; o Controlar los derechos de acceso de otras aplicaciones. o Asegurar que los outputs de los sistemas de aplicación que manejan

información confidencial sólo contengan la información relevante para el uso del output y sólo sea enviada a las terminales y ubicaciones autorizadas; esto debería incluir revisiones periódicas de dichos outputs para asegurar que se descarte la información redundante.

Aislar el sistema confidencial

A.11.6.2 Los sistemas confidenciales deberían tener un ambiente de cómputo dedicado (aislado).

• Se debe considerar: o Que el propietario de la aplicación debería identificar y documentar

explícitamente la sensibilidad o confidencialidad del sistema de aplicación. o Cuando una aplicación confidencial va a correr en un ambiente compartido, el

propietario de la aplicación confidencial debería identificar y aceptar los sistemas de aplicación con los cuales va a compartir recursos y los riesgos correspondientes.

Computación y comunicaciones móviles

A.11.7.1 Se debería establecer una política y adoptar las medidas de seguridad apropiadas para proteger contra los riesgos de utilizar medios de computación y comunicación móvil.

• Cuando se utiliza medios de computación y comunicación móvil; por ejemplo, notebooks, dispositivos de mano, laptops, tarjetas inteligentes y teléfonos móviles; se debería tener especial cuidado en asegurar que no se comprometa la información institucional. La política de computación móvil debería tomar en cuenta los riesgos de trabajar con equipo de computación móvil en ambientes desprotegidos.

Tele-trabajo A.11.7.2 Se debería desarrollar e implementar una política, planes operacionales y procedimientos para las actividades de tele-trabajo.

• Se debe considerar: o La seguridad física existente en el lugar del tele-trabajo, tomando en cuenta la

seguridad física del edificio y el ambiente del local. o El ambiente de tele-trabajo físico propuesto. o Los requerimientos de seguridad de las comunicaciones, tomando en cuenta la

necesidad de acceso remoto a los sistemas internos de la organización, la confidencialidad de la información a la cual se tendrá acceso y el vínculo de comunicación y confidencialidad del sistema interno.

o La amenaza de acceso no autorizado a la información o recursos por parte de otras personas que utilizan el medio; por ejemplo, familia y amigos.

o El uso de redes en casa y los requerimientos o restricciones en la configuración


68



de los servicios de la red inalámbrica. o Las políticas y procedimientos para evitar las disputas relacionadas con los

derechos de propiedad intelectual desarrollados en equipo de propiedad privada.

o El acceso a equipo de propiedad privada (para chequear la seguridad de la máquina o durante una investigación), el cual puede ser evitado por la legislación.

o h) contratos de licencias de software que hacen que las organizaciones sean responsables por las licencias del software del cliente en las estaciones de trabajo de propiedad de los funcionarios, personal a honorarios y terceros;

o Los requerimientos de protección anti-virus y firewall.

Adq

uisi

ción

, des

arro

llo y

m

ante

nim

ient

o de

los

sist

emas

de

info

rmac

ión

Análisis y especificación de los requerimientos de seguridad

A.12.1.1 Los enunciados de los requerimientos de negocio para los sistemas de información nuevos, o las mejoras a los sistemas de información existentes, deberían especificar los requerimientos de los controles de seguridad.

• Los requerimientos de seguridad para a seguridad de la información y los procesos para implementar la seguridad deberían ser integrados en las primeras etapas de los proyectos de sistemas de información. Los controles introducidos en la etapa de diseño son significativamente más baratos de implementar y mantener que aquellos incluidos durante o después de la implementación.

Validación de la data de entrada

A.12.2.1 Se debería validar la input data para las aplicaciones para asegurar que esta data sea correcta y apropiada.

• Se deben considerar los siguientes lineamientos: o Valores fuera de rango. o Caracteres inválidos en los campos de data. o Data incompleta o faltante. o Exceder los límites superiores e inferiores del volumen de data. o Data de control no autorizada o inconsistente. o revisión periódica del contenido de los campos claves o archivos de data para

confirmar su validez e integridad. o Inspeccionar los documentos de input de la copia impresa en caso de cambios

no autorizados (todos los cambios a los documentos de input deberían ser autorizados).

o Procedimientos para responder a los errores de validación. o Procedimientos para probar la plausibilidad de la input data.


69



o Definir las responsabilidades de todo el personal involucrado en el proceso de input de data.

o Crear un registro de las actividades involucradas en el proceso de input de data.

Control del procesamiento interno

A.12.2.2 Los chequeos de validación se deberían incorporar en las aplicaciones para detectar cualquier corrupción de la información a través de errores de procesamiento o actos deliberados.

• Se deben considerar los siguientes lineamientos: o El uso de funciones agregadas, modificadas y eliminadas para implementar

cambios en la data. o Los procedimientos para evitar que los programas corran en el orden

equivocado o corran después de una falla en el procesamiento previo. o El uso de programas apropiados para recuperarse de fallas para asegurar el

correcto procesamiento de la data. o Protección contra ataques utilizando excesos/desbordamientos de la memora

intermedia. Integridad del

mensaje A.12.2.3 Se debería identificar los

requerimientos para asegurar la autenticidad y proteger la integridad del mensaje en las aplicaciones, y se deberían identificar e implementar los controles apropiados.

• Se debería realizar una evaluación de los riesgos de seguridad para determinar si se requiera la integridad del mensaje y para identificar el método de implementación más apropiado

Validación de la data de salida

A.12.2.4 Se debería validar la output data de una aplicación para asegurar que el procesamiento de la información almacenada sea el correcto y el apropiado para las circunstancias.

• La validación del output puede incluir: o Chequeos de plausibilidad para comprobar si el output data es razonable. o Conteo de control de conciliación para asegurar el procesamiento de toda la

data. o Proporcionar la información suficiente para un lector o el sistema de

procesamiento subsiguiente para determinar la exactitud, integridad, precisión y clasificación de la información.

o Procedimientos para responder a las pruebas de validación de output. o Definir las responsabilidades de todo el personal involucrado en el proceso de

output de data. o Crear un registro de las actividades en el proceso de validación del output de

data. Política sobre el uso

de controles criptográficos

A.12.3.1 Se debería desarrollar e implementar una política sobre el uso de controles criptográficos para proteger la información.

• Se debe considerar lo siguiente: o El enfoque institucional sobre el uso de los controles criptográficos a través de

la organización, incluyendo los principios generales bajo los cuales se debería proteger la información.


70



o En base a la evaluación del riesgo, se debería identificar el nivel de protección requerido tomando en cuenta el tipo, fuerza y calidad del algoritmo criptográfico requerido.

o El uso de codificación para la protección de la información confidencial transportada por los medios y dispositivos móviles o removibles o a través de las líneas de comunicación.

o El enfoque de la gestión de claves, incluyendo los métodos para lidiar con la protección de las claves criptográficas y la recuperación de la información codificada en el caso de claves pérdidas, comprometidas o dañadas.

o Roles y responsabilidades. o Los estándares a adoptarse para la implementación efectiva en toda la

organización. o El impacto de utilizar información codificada sobre los controles que se basan

en la inspección del contenido (por ejemplo, detección de virus). Gestión de claves A.12.3.2 Se debería establecer la gestión de

claves para dar soporte al uso de técnicas criptográficas en la organización.

• El sistema de gestión de claves se debería basar en un conjunto de estándares, procedimientos y métodos seguros acordados para: o Generar claves para los diferentes sistemas criptográficos y las diversas

aplicaciones. o Generar y obtener certificados de claves públicas. o Distribuir claves a los usuarios planeados, incluyendo cómo se deberían activar

las claves una vez recibidas. o Almacenar claves, incluyendo cómo los usuarios autorizados obtienen acceso a

las claves. o Cambiar o actualizar las claves incluyendo las reglas sobre cuándo se deberían

cambiar las claves y cómo se realiza esto. o Lidiar con las claves comprometidas. o Revocar las claves incluyendo cómo se deberían retirar o desactivar las claves.

Por ejemplo, cuando las claves se han visto comprometidas o cuando el usuario deja la institución.

o Recuperar las claves cuando han sido perdidas o corrompidas como parte de la continuidad y gestión del negocio; por ejemplo, para recuperar la información codificada.

o Archivar las claves; por ejemplo, para la información archivada o respaldada. o Destruir las claves. o Registrar y auditar las actividades relacionadas con la gestión de claves. o


71



Control del software operacional

A.12.4.1 Se deberían establecer procedimientos para el control de la instalación del software en los sistemas operacionales.

• Se debe considerar lo siguiente, para el control de cambios: o La actualización del software operacional, aplicaciones y bibliotecas de

programas sólo debería ser realizada por administradores capacitados con la apropiada autorización.

o Los sistemas operacionales sólo deberían mantener códigos ejecutables aprobados, y no códigos de desarrollo o compiladores.

o El software de las aplicaciones y el sistema de operación sólo se debería implementar después de una prueba extensa y satisfactoria; las pruebas deberían incluir pruebas de utilidad, seguridad, efectos sobre los sistemas y facilidad para el usuario; y se deberían llevar a cabo en sistemas separados.

o Se debería asegurar que se hayan actualizado todas las bibliotecas fuente correspondientes del programa.

o Se debería utilizar un sistema de control de configuración para mantener el control de todo el software implementado, así como la documentación del sistema.

o Se debería establecer una estrategia de “regreso a la situación original” (rollback) antes de implementar los cambios.

o Se debería mantener un registro de auditoría de todas las actualizaciones a las bibliotecas del programa operacional.

o Se deberían mantener las versiones previas del software de aplicación como una medida de contingencia.

o Se deberían archivar las versiones antiguas del software, junto con toda la información requerida y los parámetros, procedimientos, detalles de configuración y software de soporte durante todo el tiempo que se mantengan la data en archivo.

Protección de la data del sistema

A.12.4.2 La data de prueba se debería seleccionar cuidadosamente, y se debería proteger y controlar.

• Cuando se utiliza la data operacional para propósitos de prueba se deberían aplicar los siguientes lineamientos para protegerla: o Procedimientos de control de acceso, los cuales se aplican a los sistemas de

aplicación operacional, y también se deberían aplicar a los sistemas de aplicación de prueba.

o Debería existir una autorización separada para cada vez que se copia información operacional en un sistema de aplicación de prueba.

o La información operacional debería ser borrada de los sistemas de aplicación de prueba inmediatamente después de haber completado la prueba.

o Se debería registrar el copiado y uso de la información operacional para proporcionar un rastro de auditoría.


72



Control de acceso al código fuente del programa

A.12.4.3 Se debería restringir el acceso al código fuente del programa.

• Se debe considerar que: o Cuando sea posible, no se deberían mantener las bibliotecas de fuentes del

programa en los sistemas operacionales. o El código fuente del programa y las bibliotecas de fuentes del programa

deberían ser manejadas de acuerdo con los procedimientos establecidos; o El personal de soporte no debería tener acceso irrestricto a las bibliotecas de

fuentes del programa. o La actualización de las bibliotecas de fuentes del programa y los ítems

asociados, y la emisión de las fuentes del programa para los programadores sólo se deberían realizar después de haber recibido la apropiada autorización.

o Los listados del programa se deberían mantener en un ambiente seguro. o Se debería mantener un registro de auditoría de todos los accesos a las

bibliotecas de fuentes del programa. o El mantenimiento y copiado de las bibliotecas fuentes del programa debería

estar sujeto a procedimientos estrictos de control de cambios. Procedimientos del

control del cambio A.12.5.1 Se debería controlar la

implementación de los cambios mediante el uso de procedimientos formales para el control del cambio.

• Se debe considerar: o Mantener un registro de los niveles de autorización acordados. o Asegurar que los cambios sean presentados por los usuarios autorizados. o Revisar los procedimientos de control e integridad para asegurar que no se

vean comprometidos por los cambios. o Identificar todo el software, información, entidades de base de datos y

hardware que requieran enmiendas. o Obtener la aprobación formal para propuestas detalladas antes de comenzar el

trabajo. o Asegurar que los usuarios autorizados acepten a los cambios antes de la

implementación. o Asegurar que el conjunto de documentación del sistema esté actualizado al

completar cada cambio y que la documentación antigua se archive o se elimine.

o Mantener un control de la versión para todas las actualizaciones del software. o Mantener un registro de auditoría para todas las solicitudes de cambio. o Asegurar que la documentación de operación y procedimientos de usuarios

sean cambiados conforme sean necesarios para seguir siendo apropiados. o Asegurar que la implementación de los cambios se realicen en el momento

adecuado y no disturbe los procesos institucionales involucrados.


73



Revisión técnica de la aplicación después de cambios en el sistema

A.12.5.2 Cuando se cambian los sistemas de operación, se deberían revisar y probar las aplicaciones de negocio críticas para asegurar que no exista un impacto adverso sobre las operaciones institucionales o en la seguridad.

• Se debe considerar: o Revisar los procedimientos de control e integridad de la aplicación para

asegurar que no se hayan visto comprometidos por los cambios en el sistema de operación.

o Asegurar que el plan y el presupuesto de soporte anual abarque las revisiones y pruebas del sistema resultantes de los cambios en el sistema de operación.

o Asegurar que la notificación de los cambios en el sistema de operación sea provista con tiempo para permitir realizar las pruebas y revisiones apropiadas antes de la implementación.

o Asegurar que se realicen los cambios apropiados en los planes de continuidad del negocio.

Restricciones sobre los cambios en los paquetes de software

A.12.5.3 No se deberían fomentar modificaciones a los paquetes de software, se deberían limitar a los cambios necesarios y todos los cambios deberían ser estrictamente controlados.

• Cuando se necesita modificar un paquete de software se deberían considerar los siguientes puntos: o El riesgo de comprometer los controles incorporados y los procesos de

integridad. o Si se debería obtener el consentimiento del vendedor. o La posibilidad de obtener del vendedor los cambios requeridos como

actualizaciones del programa estándar. o El impacto de si como resultado de los cambios, la organización se hace

responsable del mantenimiento futuro del software. Filtración de

información A.12.5.4 Se deberían evitar las

oportunidades para la filtración de información.

• Se deberían considerar los siguientes puntos para limitar la filtración de la información; por ejemplo, a través del uso y explotación de los canales encubiertos (covert channels): o Escanear el flujo de salida de los medios y las comunicaciones en busca de

información escondida. o Enmascarar y modular la conducta del sistema y las comunicaciones para

reducir la probabilidad de que una tercera persona pueda deducir la información a partir de dicha conducta.

o Hacer uso de los sistemas y el software considerados de la más alta integridad; por ejemplo, utilizando productos evaluados.

o Monitoreo regular de las actividades del personal y del sistema, cuando sea permitido bajo la legislación o regulación existente.

o Monitorear la utilización del recurso en los sistemas de cómputo. Desarrollo de

software abastecido externamente

A.12.5.5 El desarrollo del software abastecido externamente debería ser supervisado y monitoreado por

• Cuando el software es abastecido externamente, se deberían considerar los siguientes puntos: o Contratos de licencias, propiedad de códigos, derechos de propiedad


74



la organización. intelectual. o Certificación de la calidad y exactitud del trabajo llevado a cabo. o Contratos de depósito en custodia en el evento de la falla de una tercera

persona. o Derechos de acceso para a auditoría de la calidad y seguridad del trabajo

realizado. o Requerimientos contractuales para la funcionalidad de calidad y seguridad del

código; o Prueba antes de la instalación para detectar códigos maliciosos y Troyanos.

Control de las vulnerabilidades técnicas

A.12.6.1 Se debería obtener oportunamente la información sobre las vulnerabilidades técnicas de los sistemas de información que se están utilizando, la exposición de la organización a dichas vulnerabilidades evaluadas, y las medidas apropiadas tomadas para tratar los riesgos asociados.

• Se deben seguir los siguientes lineamientos: o La organización debería definir y establecer los roles y responsabilidades

asociadas con la gestión de la vulnerabilidad técnica; incluyendo el monitoreo de la vulnerabilidad, evaluación del riesgo de la vulnerabilidad, monitoreo de activos y cualquier responsabilidad de coordinación requerida.

o Se deberían identificar los recursos de información que se utilizarán para identificar las vulnerabilidades técnicas relevantes y mantener la conciencia sobre ellas para el software y otras tecnologías.

o Estos recursos de información deberían actualizarse en base a los cambios en el inventario, o cuando se encuentran recursos nuevo o útiles.

o Se debería definir una línea de tiempo para reaccionar a las notificaciones de vulnerabilidades técnicas potencialmente relevantes.

o Una vez que se identifica la vulnerabilidad técnica potencial, la organización debería identificar los riesgos asociados y las acciones a tomarse; dicha acción podría involucrar el parchado de los sistemas vulnerables y/o la aplicación de otros controles;

o Dependiendo de la urgencia con que se necesita tratar la vulnerabilidad técnica, la acción a tomarse debería realizarse de acuerdo a los controles relacionados con la gestión de cambios o siguiendo los procedimientos de respuesta ante incidentes de seguridad de la información.

o Si es posible el parche, se deberían evaluar los riesgos asociados con instalar el parche (los riesgos impuestos por la vulnerabilidad se deberían comparar con el riesgo de instalar el parche).

o Los parches de deberían probar y evaluar antes de instalarlos para asegurar que sean efectivos y no resulten efectos secundarios que no se puedan tolerar.


75



Ges

tión

de

un in

cide

nte

en la

seg

urid

ad d

e la

in

form

ació

n

Reporte de eventos en la seguridad de la información

A.13.1.1 Los eventos de seguridad de la información deberían ser reportados a través de los canales apropiados lo más rápidamente posible.

• Se debería establecer un procedimiento formal para el reporte de eventos en la seguridad de la información, junto con un procedimiento de respuesta y de notificación de incidentes, estableciendo la acción a tomarse al recibir un reporte de un evento en la seguridad de la información. Se debería establecer un punto de contacto para el reporte de eventos en la seguridad de la información Se debería asegurar que este punto de contacto sea conocido a través de toda la organización, que siempre esté disponible y sea capaz de proporcionar una respuesta adecuada y oportuna.

Reporte de las debilidades en la seguridad

A.13.1.2 Se debería requerir que todos los usuarios funcionarios, personal a honorarios y terceros de los sistemas y servicios de información tomen nota de y reporten cualquier debilidad de seguridad observada o sospechada en el sistema o los servicios.

• Todos los usuarios funcionarios, personal a honorarios y terceros deberían reportar estos temas ya sea a su jefe directo o directamente al proveedor de su servicio lo más rápidamente posible para evitar incidentes en la seguridad de la información. El mecanismo de reporte debería ser fácil, accesible y estar disponible lo más posible. Ellos deberían ser informados que no deberían, en ninguna circunstancia, tratar de probar una debilidad sospechada.

Responsabilidades y procedimientos

A.13.2.1 Se deberían establecer las responsabilidades y los procedimientos para asegurar una respuesta rápida, efectiva y metódica ante los incidentes de la seguridad de la información.

• Se deben considerar los siguientes lineamientos: o Se deberían establecer procedimientos para manejar los diferentes tipos de

incidentes en la seguridad de la información, incluyendo: o Fallas del sistema de información y pérdida del servicio. o Código malicioso. o Negación del servicio. o Errores resultantes de data incompleta o inexacta. o Violaciones de la confidencialidad e integridad. o Mal uso de los sistemas de información. o Además de los planes de contingencia normales, los procedimientos también

deberían cubrir: o Análisis e identificación de la causa del incidente. o Contención. o Planeación e implementación de la acción correctiva para evitar la recurrencia,

si fuese necesario. o Comunicaciones con aquellos afectados por o involucrados con la recuperación


76



de un incidente. o Reportar la acción a la autoridad apropiada. o Se debería recolectar y asegurar rastros de auditoría y evidencia similar,

conforme sea apropiado para: o Análisis interno del problema. o Uso como evidencia forense en relación a una violación potencial del contrato

o el requerimiento regulador o en el caso de una acción legal civil o criminal; por ejemplo, bajo la legislación sobre el mal uso de computadoras o protección de data.

o Negociación para la compensación de los proveedores del software y servicio. o Se deberían controlar formal y cuidadosamente las acciones para la

recuperación de las violaciones de la seguridad y para corregir las fallas en el sistema; los procedimientos deberían asegurar que:

o Sólo el personal claramente identificado y autorizado tengan acceso a los sistemas vivos y la data.

o Se documenten en detalle todas las acciones de emergencia realizadas. o La acción de emergencia sea reportada a la dirección y revisada de una manera

adecuada; o La integridad de los sistemas y controles comerciales sea confirmada con una

demora mínima. o Se deberían acordar con la dirección los objetivos para la gestión de incidentes

en la seguridad de la información, y se deberían asegurar que aquellos responsables de la gestión de incidentes en la seguridad de la información entiendan las prioridades de la organización para el manejo de los incidentes en la seguridad de la información.

Aprender de los incidentes en la seguridad de la información

A.13.2.2 Se deberían establecer mecanismos para permitir cuantificar y monitorear los tipos, volúmenes y costos de los incidentes en la seguridad de la información.

• Se debería utilizar la información obtenida de la evaluación de los incidentes en la seguridad de la información para identificar los incidentes recurrentes o de alto impacto.

Recolección de evidencia

A.13.2.3 Cuando una acción de seguimiento contra una persona u organización después de un incidente en la seguridad de la información involucra una acción legal (ya sea civil o criminal); se debería

• Se deberían desarrollar y seguir los procedimientos internos cuando se recolecta y presenta evidencia para propósitos de una acción disciplinaria manejada dentro de una organización.


77



recolectar, mantener y presentar evidencia para cumplir con las reglas de evidencia establecidas en la(s) jurisdicción(es) relevante(s).

Ges

tión

de

la c

onti

nuid

ad d

el n

egoc

io

Incluir la seguridad de la información en el proceso de gestión de continuidad del negocio

A.14.1.1 Se debería desarrollar y mantener un proceso institucional para la continuidad del negocio en toda la organización el cual trate los requerimientos de seguridad de la información necesarios para la continuidad de la institución.

• El proceso debe reunir los siguientes elementos claves de la gestión de continuidad del negocio: o Entender los riesgos que enfrenta la organización en términos de la

probabilidad y el impacto en el tiempo, incluyendo la identificación y priorización de los procesos críticos.

o Identificar todos los activos involucrados en los procesos críticos. o Entender el impacto que probablemente tendrán las interrupciones causadas

por incidentes en la seguridad de la información (es importante encontrar las soluciones para manejar los incidentes que producen impactos menores, así como los incidentes graves que pueden amenazar la viabilidad de la organización), y establecer los objetivos institucionales de los medios de procesamiento de la información.

o Considerar la adquisición de una póliza de seguro adecuada que pueda formar parte de todo el proceso de continuidad del negocio, y de la gestión del riesgos operacionales.

o Identificar y considerar la implementación de controles preventivos y mitigantes adicionales.

o Identificar los recursos financieros, organizacionales, técnicos y ambientales suficientes para tratar los requerimientos de seguridad de la información identificados.

o Garantizar la seguridad del personal y la protección de los medios de procesamiento de la información y la propiedad organizacional.

o Formular y documentar los planes de continuidad del negocio que aborden los requerimientos de seguridad de la información en línea con la estrategia acordada para la continuidad del negocio.

o Pruebas y actualizaciones regulares de los planes y procesos establecidos. o Asegurar que la gestión de la continuidad del negocio esté incorporada en los

procesos y estructura de la organización; se debe asignar la responsabilidad del proceso de gestión de la continuidad del negocio en el nivel apropiado dentro de la organización.


78



Continuidad del negocio y evaluación del riesgo

A.14.1.2 Se deberían identificar los eventos que pueden causar interrupciones a los procesos Institucionales, junto con la probabilidad y el impacto de dichas interrupciones y sus consecuencias para la seguridad de la información.

• Los aspectos de la seguridad de la información en la continuidad del negocio se deben basar en la identificación de los eventos (o secuencia de eventos) que pueden causar las interrupciones en los procesos críticos de la organización; por ejemplo, fallas en el equipo, errores humanos, robo, fuego, desastres naturales y actos de terrorismo. Esto debe ir seguido por una evaluación del riesgo para determinar la probabilidad e impacto de dichas interrupciones, en términos de tiempo, escala del daño y período de recuperación.

Desarrollar e implementar los planes de continuidad que incluyan la seguridad de la información

A.14.1.3 Se deberían desarrollar e implementar planes para mantener o restaurar las operaciones y asegurar la disponibilidad de la información en el nivel y en las escalas de tiempo requeridos después de la interrupción o falla de los procesos institucionales críticos.

• El proceso de planeación de la continuidad del negocio debe considerar lo siguiente: o Identificar y acordar todas las responsabilidades y los procedimientos para la

continuidad del negocio. o Identificar la pérdida aceptable de la información y los servicios. o Implementación de los procedimientos que permitan la recuperación y

restauración de las operaciones institucionales y la disponibilidad de la información en las escalas de tiempo requeridas; se debe prestar particular atención a la evaluación de las dependencias internas y externas y de los contratos establecidos.

o Los procedimientos operacionales que se han de seguir en espera de la culminación de la recuperación y restauración.

o Documentación de los procesos y procedimientos acordados. o Educación apropiada del personal en los procedimientos y procesos acordados,

incluyendo el manejo de crisis. o Pruebas y actualización de los planes.


79



Marco Referencial de la planeación de la continuidad del negocio

A.14.1.4 Se debería mantener un solo marco referencial de los planes de continuidad del negocio para asegurar que todos los planes sean consistentes, tratar consistentemente los requerimientos de seguridad de la información e identificar las prioridades para las pruebas y el mantenimiento.

• La estructura para la planificación de la continuidad del negocio debe abordar los requisitos de seguridad de la información identificados y considerar los siguientes aspectos: o Las condiciones para la activación de los planes que describen el proceso a

seguir (por ejemplo, la forma de evaluar la situación y quién se va a involucrar) antes de activar cada plan.

o Los procedimientos de emergencia que describen las acciones por realizar tras un incidente que ponga en peligro las operaciones del Servicio.

o Los procedimientos de respaldo que describen las acciones por realizar para desplazar las actividades esenciales de la institución o los servicios de soporte a lugares temporales alternos y para devolver la operatividad de los procesos de la organización en los plazos requeridos.

o Los procedimientos operacionales temporales a seguir mientras se terminan la recuperación y la restauración.

o Los procedimientos de reanudación que describen las acciones a realizar para que las operaciones del Servicio vuelvan a la normalidad.

o Una programación de mantenimiento que especifique cómo y cuándo se realizarán pruebas al plan y el proceso para el mantenimiento del plan.

o Actividades de concientización, educación y formación diseñadas para comprender los procesos de continuidad del negocio y grarantizar que los procesos siguen siendo eficaces.

o Las responsabilidades de las personas , que describan quién es responsable de la ejecución de cada componente del plan. Si se requiere, se deben nombrar suplentes.

o Los activos y recursos críticos necesarios para ejecutar los procedimientos de emergencia, respaldo y reanudación.

Prueba, mantenimiento y reevaluación de los planes de continuidad del negocio

A.14.1.5 Los planes de continuidad del negocio deberían ser probados y actualizados regularmente para asegurar su actualización y su eficacia.

• Las pruebas del plan de continuidad del negocio deben asegurar que todos los miembros del equipo de recuperación y otro personal relevante estén al tanto de los planes y su responsabilidad con la continuidad del negocio y la seguridad de la información, y que conozcan su papel cuando se ejecute el plan. Es conveniente utilizar una variedad de técnicas para garantizar que los planes funcionarán en condiciones reales. Éstas deben incluir: o La prueba sobre varios escenarios de desastre (analizando las disposiciones de

recuperación con ayuda de ejemplos de interrupciones). o Las simulaciones (particularmente para la formación del personal en sus

funciones de gestión de crisis/post-incidentes).


80



o Las pruebas de recuperación técnica (garantizando que los sistemas de información se pueden restaurar eficazmente).

o Las pruebas de recuperación en un lugar alterno (ejecutando procesos institucionales en paralelo con las operaciones de recuperación fuera de la sede principal.

o Las pruebas de los recursos y servicios del proveedor (asegurando que los servicios y productos proporcionados externamente cumplirán el compromiso contraído).

o Los ensayos comletos (probando que la organización, el personal, el equipo, las instalaciones y los procesos pueden hacer frente a las interrupciones).

Cum

plim

ient

o

Identificación de la legislación aplicable

A.15.1.1 Se debe definir explícitamente, documentar y actualizar todos los requerimientos estatutarios, reguladores y contractuales relevantes, y el enfoque de la institución para satisfacer esos requerimientos, para cada sistema de información y su organización.

• Se deben definir y documentar los controles y responsabilidades individuales específicas para satisfacer estos requerimientos. En las instituciones del Estado, habitualmente estas responsabilidades están instaladas en las divisiones/departamentos/unidades o encargados jurídicos. Por tal razón es importante que estén representados en el Comité de Seguridad de la Información y que participen en la validación de las medidas que éste adopte.

Derechos de propiedad intelectual (IPR)

A.15.1.2 Se deben implementar los procedimientos apropiados para asegurar el cumplimiento de los requerimientos legislativos, reguladores y contractuales sobre el uso del material con respecto a los cuales puedan existir derechos de propiedad intelectual y sobre el uso de productos de software patentado.

• Se debe considerar lo siguiente: o Una política de cumplimiento de los derechos de propiedad intelectual y

publicación que defina el uso legal de los productos de software e información. o Sólo adquirir software a través de fuentes conocidos y acreditados para

asegurar que no sean violados los derechos de autor. o Mantener el conocimiento de las políticas para proteger los derechos de

propiedad intelectual y las medidas disciplinarias aplicables a su transgresión. o Mantener un registro de los activos e identificar todos aquellos protegidos por

el derecho de propiedad intelectual. o Mantener prueba y evidencia de la propiedad de las licencias, discos originales,

manuales, etc. o Implementar controles para asegurar que no se exceda el número máximo de

usuarios permitidos. o Chequear que sólo se instalen softwares autorizados y productos con licencia. o Proporcionar una política para mantener las condiciones de licencias en forma

adecuada. o Proporcionar una política para eliminar o transferir software a terceras partes. o Utilizar las herramientas de auditoría apropiadas.


81



o Cumplir con los términos y condiciones del software e información obtenidos de redes públicas.

o No duplicar, convertir a otro formato o extraer de registros comerciales (audio, vídeo), aparte de los permitidos por el derecho de autor.

o No copiar; completamente o en parte; libros, artículos, reportes u otros documentos; aparte de aquellos permitidos por el derecho de autor.

Protección de registros institucionales

A.15.1.3 Se deben proteger los registros importantes de pérdida, destrucción, falsificación en concordancia con los requerimientos estatutarios, reguladores, contractuales y de negocio.

• Los registros deben ser clasificados según su tipo, entregando directrices sobre su retención, almacenamiento, tratamiento y eliminación, contemplando un calendario de retenciones para cada tipo, un inventario de información clave y los controles para la protección de los registros y la información contra pérdida, destrucción o falsificación.

Protección de la data y privacidad de la información personal

A.15.1.4 Se debe asegurar la protección y privacidad de los datos conforme lo requiere la legislación, regulaciones y, si fuesen aplicables, las cláusulas contractuales relevantes.

• Se debe desarrollar e implementar una política de protección y privacidad de los datos. Esta política debe ser comunicada a todas las personas involucradas en el procesamiento de información personal. Se debe considerar la ley 19628 y 20285 y otras que se considere relevantes en la materia.

Prevención del mal uso de los medios de procesamiento de la información

A.15.1.5 Se debe disuadir a los usuarios de utilizar los medios de procesamiento de la información para propósitos no autorizados.

• La dirección debe aprobar la utilización de los medios de procesamiento de la información. Cualquier uso de estos medios para propósitos no-institucionales u otro no autorizado, será visto como un uso inapropiado de los recursos, lo que debe ser informado a la jefatura a cargo para que considere la acción disciplinaria correspondiente en el marco legal. Los funcionarios deben conocer el alcance de su acceso permitido y de los lugares que son supervisados para detectar usos no autorizados. Para esto se sugieren prácticas como la entrega de una autorización escrita que debe firmar el funcionario, o que al conectarse éste al puesto de trabajo, un mensaje de advertencia le señale que se trata de un acceso restringido, por tanto se da por enterado y debe tomar los resguardos que corresponda, de acuerdo a las políticas definidas (control de acceso, pantalla limpia, etc.)

Regulación de controles criptográficos

A.15.1.6 Los controles criptográficos se deben utilizar en cumplimiento con todos los acuerdos, leyes y regulaciones relevantes.

• Se deben tomar las siguientes consideraciones: o Las restricciones sobre la importación –y si corresponde, exportación- de

hardware y software para realizar funciones criptográficas. o Las restricciones sobre la importación –y si corresponde, exportación- de

hardware y software diseñado para agregarle funciones criptográficas. o Restricciones sobre la utilización de la codificación.


82



o Métodos obligatorios o discrecionales para que las autoridades de los países tengan acceso a información codificada para garantizar su confidencialidad.

Cumplimiento con las políticas y estándares de seguridad

A.15.2.1 Las jefaturas deben asegurar que se lleven a cabo correctamente todos los procedimientos de seguridad dentro de centro de responsabilidad para asegurar el cumplimiento de las políticas y estándares de seguridad.

• Cuando una jefatura detecta algún incumplimiento debe determinar sus causas, evaluar la necesidad de acciones correctivas, implementarlas, revisar dicha acción mediante su registro e informarlo a las entidades auditoras independientes.

Chequeo del cumplimiento técnico

A.15.2.2 Los sistemas de información deben chequearse regularmente para ver el cumplimiento de los estándares de implementación de la seguridad.

• El chequeo del cumplimiento técnico debe ser realizado manualmente (respaldado por las herramientas de software apropiadas, si fuese necesario) por un ingeniero de sistemas experimentado y/o con la asistencia de herramientas automatizadas que generen un reporte técnico a ser interpretado por parte de un especialista.

• Las pruebas de intrusión o evaluaciones de vulnerabilidad (ethical hacking) deben ser planificadas, documentadas y repetibles, para cuidar la seguridad del sistema.

• Cualquier verificación de cumplimiento técnico debe ser realizada por personal competente y autorizado o bajo su supervisión.

Controles de auditoría de los sistemas de información

A.15.3.1 Las actividades y requerimientos de auditoría que involucran chequeos de los sistemas operacionales deben ser planeados y acordados cuidadosamente para minimizar el riesgo de interrupciones en los procesos.

• Se deben observar los siguientes lineamientos: o Acordar los requerimientos de auditoría con la autoridad. o Acordar y controlar el alcance de los chequeos. o Los chequeos deben limitarse a un acceso de “sólo lectura” al software y los

datos. o Sólo se debe permitir un acceso diferente al de “sólo lectura” para copias

aisladas de los archivos del sistema, los cuales se puedan borrar cuando termine la auditoría, o se les pueda proteger apropiadamente si existe la obligación de mantener dichos archivos como parte de los requisitos de la documentación de auditoría.

o Identificar explícitamente y disponer los recursos para realizar los chequeos. o Identificar y acordar los requerimientos para procesos especiales o adicionales. o Monitorear y registrar todos los accesos para producir un histórico de

referencia; considerar rastros de referencia con impresión horaria para los datos o sistemas críticos.

o Documentar todos los procedimientos, requerimientos y responsabilidades. o La(s) personas(s) que llevan a cabo la auditoría deben ser independientes a las

actividades auditadas.


83



Protección de las herramientas de auditoría de los sistemas de información

A.15.3.2 Se debe proteger el acceso a las herramientas de auditoría de los sistemas de información para evitar cualquier mal uso o trasgresión posible.

• Las herramientas de auditoría de los sistemas de información, por ejemplo, software o archivos de datos, deben estar separadas de los sistemas en producción y de desarrollo y no mantenerse en las bibliotecas de cintas o áreas de usuario, a no ser que se les proporcione un nivel apropiado de protección adicional.

Fuente: Adaptado de NCH-ISO 27002.Of2009

Plazos y Medios Los informes y documentación de respaldo deben ser enviados en formato electrónico, a través de un aplicativo que estará disponible vía acceso a sitio Web DIPRES, y que será informado oportunamente. Se deben entregar los medios de verificación de acuerdo al Cronograma de trabajo (disponible en sitio Web de DIPRES, sección “Sistema Seguridad de la Información”) y el reporte final para validación, de acuerdo a las instrucciones dadas por la Secretaría Técnica del PMG. Se recomienda un monitoreo mensual a los encargados PMG, con énfasis en el primer semestre para que en base a esa información se pueda apoyar la formulación presupuestaria con miras al siguiente periodo administrativo. Para que un servicio se exima de alguna etapa o solicite cualquier modificación a los objetivos de gestión comprometidos, debe hacerlo directamente ante la Dirección de Presupuestos en los plazos y formas establecidos para ello. Para mayor información sobre el particular, se debe visitar el sitio www.dipres.cl.

Este documento será publicado en los sitios Web: Subsecretaría del Interior: http://ssi.pmg.gov.cl/ DIPRES: http://www.dipres.gob.cl/572/propertyvalue-16887.html

Este documento de origen electrónico, una vez impreso, pasa a ser copia no controlada y puede quedar obsoleto. Para la versión vigente, ir a los sitios señalados previamente.

http://ssi.pmg.gov.cl/�

http://www.dipres.gob.cl/572/propertyvalue-16887.html�


85

Historial de revisiones Nº Revisión

Fecha Aprobación

Motivo de la revisión Páginas Modificadas

Autor

1 04/02/2010 Elaboración inicial Todas Pablo Morán (S. Interior) Hernán Espinoza (S. Interior) Jorge Sánchez (S. Interior)

2 15/02/2010 Correcciones de contenido, estilo, lenguaje, ordenamiento y presentación de temas.

Todas Waldo Gómez (DIPRES) Jimena Zenteno (DIPRES)

3 15/02/2010 Correcciones ortográficas y reemplazo de palabras

10, 13, 22, 23 Pablo Morán

4 19/02/2010 Correcciones de puntuación, ortografía, inserción dominio 6.

Todas excepto portada

Jimena Zenteno

5 04/03/2010 Correcciones de contenido, ordenamiento y presentación de temas.

Todas Carola Córdova (DIPRES)

6 08/03/2010 Reordenamiento y presentación de los contenidos; incorporación de requisitos técnicos a las etapas I y II.

Todas Carola Córdova

7 09/03/2010 Incorporación ítems de gestión de riesgos 22 y 26 Waldo Gómez

8 11/03/2010 Cambio de Logo Nuevo Gobierno Compaginación – Índice - Anexos

Todas Jimena Zenteno

9 15/03/2010 Títulos, referencias, revisión completa 1,12,32 Felipe Morales (DIPRES)

10 19/03/2010 Ajustes de formato y diagramas de cada etapa Todas Carola Córdova

11 23/03/2010 Ajustes de formato, redacción y diagrama etapa II.

Todas Carola Córdova

12 20/04/2010 Ajuste Formato Tabla 3 16 Felipe Morales

13 04/05/2010 Corrección de redacción general, redacción de dominios, precisión respecto a Ley 20.285, mejoramiento de diagramas etapas I y II y corrección tabla 9 y su explicación.

De la página 6 a la 10; 17; 18; 21, 25; 27; 28 y 29

Carola Córdova Felipe Morales

14 10/05/2010 Inclusión de capítulo sobre el alcance del SSI; re numeración de figuras; aclaración respecto de procesos críticos en la matriz de diagnóstico; precisiones respecto de la cartera preliminar de proyectos, informe de diagnóstico y documentos referidos; y corrección de texto y direcciones de sitios web de DIPRES y PMG SSI.

14, 15, 18, 19, 22, 24, 25 y 35

Carola Córdova

15 11/06/2010 Corrección de redacción general, precisión respecto a que se abarca a todos los Activos de Información y no sólo a los documentos electrónicos, cambio de orden de los dominios 4 y 5 para dejarlos en el mismo orden en que aparecen en DS-83, negrillas en aspectos más relevantes de los dominios, para ayudar a la comprensión, mejoramiento de matriz de diagnóstico, cartera de proyectos y su

5, 6, 7, 8, 9, 10, 13, 18, 19, 20, 21, 22, 23, 25, 27, 28, 29, 36

Jimena Zenteno Carola Córdova


86

explicación. Actualización de plazos y de link de publicación de Guía Metodológica.

16 24/03/2010 Revisión general, Etapas 1 y 2 e incorporación de Etapa3.

Todas JZ, CC, WG, FM.

17 18/03/2011 Revisión, mejoramiento, adaptación a NCh-ISO 27000 de las secciones: Introducción, Objetivo y alcance de esta guía metodológica, Alcances de la guía metodológica, Cómo usar esta guía metodológica, El sistema de seguridad de la información, Logros a alcanzar con el nuevo sistema de seguridad de la información, Objetivos del SSI en el PMG, Ámbitos de interacción del SSI, Alcance del SSI, ¿Quiénes deben estar involucrados en este PMG?, Etapas del SSI, ETAPA I: Diagnóstico.

1 a 27 JZ

18 18/03/2011 Corrección de redacción ortografía y estilo. Incorporación de requisitos técnicos referidos a metas e indicadores en la etapa 2.

Todas CC

19 25/03/2011 Revisión Etapa 3, Homologación de Tablas 35 a 37 WG, FM.

20 04/04/2011 Corrección de tabla 16 en las filas correspondientes a los dominios de: Política de Seguridad, Seguridad Organizacional, Seguridad de Recursos Humanos, Seguridad Física y Ambiental, Gestión de la Continuidad del Negocio para mejor comprensión a adopción en los servicios públicos.

38 a 50 y 78 a 81 JZ

21 05/04/2011 Incorporación de requisitos técnicos en etapa 3. Corrección de tabla 16 en cuanto a formato y encabezados. Corrección en las filas correspondientes a los dominios de Gestión de Activos y Cumplimiento para mejor comprensión a adopción en los servicios públicos. Precisiones en redacción del apartado “Plazos y Medios”.

De la 35 a la 38; 42 y 43; de la 81 a la 85

CC

22 08/04/2011 Revisón final Etapa 2 y 3, Ajustes en tabla 16 28 a 37, 50 a 83 FM

Articles-51683 Guia a Pmgssi 2011

Documents

Transcript of Articles-51683 Guia a Pmgssi 2011