Articles-51683 Intro Guia Metodologica062012

GUA METODOLGICA 2012
PROGRAMA DE MEJORAMIENTO DE LA GESTIN Y METAS DE EFICIENCIA INSTITUCIONAL SISTEMA DE SEGURIDAD DE LA INFORMACIN Etapa I Diagnstico Etapa II Planificacin Etapa III Implementacin Etapa IV Evaluacin
Junio 2012
Red de Expertos Secretara y Adm. General del Min. del Interior Divisin Informtica Direccin de Presupuestos del Min. de Hacienda Divisin Tecnologas de la Informacin
RED DE EXPERTOS PMG/MEI SSI 2012
______________________________________________________________________ Contenido Historial de revisiones ............................................................................................................ 3 Objetivo y Alcance de esta Gua Metodolgica ...................................................................... 4 Objetivo .............................................................................................................................. 4 Alcance de la Gua Metodolgica ....................................................................................... 4 Cmo usar esta Gua Metodolgica ................................................................................... 4 Sistema de Seguridad de la Informacin ............................................................................... 5 Antecedentes...................................................................................................................... 5 Objetivo del SSI ................................................................................................................... 5 Ventajas de contar con un SSI ............................................................................................ 5 Roles y responsabilidades en el SSI Institucional ............................................................... 6 Rol de la Red de Expertos ................................................................................................... 8 Factores crticos de xito .................................................................................................... 8 Descripcin general de las etapas del Sistema..................................................................... 10 ETAPA I: Diagnstico ............................................................................................................. 12 Acciones a realizar en la etapa I ....................................................................................... 12 Documentos a entregar .................................................................................................... 12 ETAPA II: Planificacin .......................................................................................................... 15 Acciones a realizar en la etapa II ...................................................................................... 15 Documentos a entregar .................................................................................................... 15 ETAPA III: Implementacin ................................................................................................... 19 Acciones a realizar en la etapa III ..................................................................................... 19 Documentos a entregar .................................................................................................... 19 ETAPA IV: Evaluacin ............................................................................................................ 21 Acciones a realizar en la etapa IV ..................................................................................... 21 Documentos a entregar .................................................................................................... 21 Plazos y Medios .................................................................................................................... 24 ANEXO I: Instrumentos 2012 ............................................................................................... 25 ANEXO II: Ejemplos de indicadores ..................................................................................... 36 ANEXO III: Actividades para la implementacin de controles............................................. 42 ANEXO IV: Plan de Auditoras ............................................................................................... 88 ANEXO V: Activos de Informacin y la Normativa NCh-ISO 27001 ...................................... 90 ANEXO VI Normativa vigente ............................................................................................... 97
______________________________________________________________________
Historial de revisiones
N Fecha Revisin Aprobacin 1 3-abril-2012 Pginas Modificadas Reformulacin de las etapas de Todas Diagnstico y Planificacin, e inclusin de etapa 4 de Evaluacin. Modificaciones anexos. 81 a la 87 Motivo de la revisin Autor
27-abril-2012
29-mayo2012 05-junio-2012
05-junio-2012
11-junio-2012
13-junio-2012
Equipo Red de Expertos PMG-SSI DIPRES. Equipo Red de Expertos PMG-SSI DIPRES. Modificacin etapas 3 y 4. Anexo 4. 25 a 30 y 83 en Carola Crdova Red adelante de Expertos PMGSSI DIPRES. Modificacin etapas 1, 2. 19 a 25 Felipe Morales Red de Expertos PMGSSI DIPRES. Redefinicin de la estructura del Todas a Carmen Contreras documento. excepcin de los Maria Teresa anexos Villarroel Red de Expertos PMG-SSI DIPRES. Incorporacin de contenidos faltantes. 5 a 15 Felipe Morales Red de Expertos PMGSSI DIPRES. Correccin de ortografa, redaccin y Todas Carola Crdova Red estilo. Incorporacin de contenidos de Expertos PMGfaltantes y diagramas en las etapas. SSI DIPRES.
______________________________________________________________________
Objetivo y Alcance de esta Gua Metodolgica

Objetivo
El objetivo de esta Gua es presentar de manera detallada el desarrollo de cada uno de los requisitos tcnicos asociados a las distintas etapas que componen el Sistema de Seguridad de la Informacin en el marco del Programa de Mejoramiento de la Gestin y las Metas de Eficiencia Institucional (PMG/MEI SSI) 1, facilitando a los servicios pblicos verificar el cumplimiento de los objetivos comprometidos.
Alcance de la Gua Metodolgica

Esta Gua entrega los lineamientos para la presentacin de los requisitos tcnicos del Sistema de Seguridad de la Informacin (SSI). El desarrollo de algunos requisitos pudiera requerir del uso de herramientas que no son descritas en profundidad en esta Gua y, en general, el empleo de conocimientos, capacidades y habilidades que se suponen existentes en cada uno de los servicios comprometidos en el Sistema. Sin embargo, a lo largo de la Gua se enfatizan ciertos aspectos en los que se considera conveniente profundizar.
Cmo usar esta Gua Metodolgica

El cuerpo central de la Gua se divide en tres partes: La primera de ellas describe el SSI, sus objetivos y elementos constitutivos. En una segunda parte, ms extensa, se detallan las cuatro etapas del Sistema, su relacin, las acciones necesarias y los medios para reportar su cumplimiento a la Red de Expertos del PMG/MEI. Y en la tercera se exponen los plazos y medios por los cuales se de debe remitir esta informacin. Adems, se incluyen documentos anexos que cada Encargado del SSI puede utilizar como referencia. Esto es, informacin a ser estudiada en funcin del marco legal 2, que incorpora los decretos supremos y leyes que rigen el manejo de informacin en las instituciones. Una vez estudiados tales antecedentes, en el anexo I de la Gua se entregan instrucciones sobre la forma en que se debe completar los formatos dispuestos por la Red de Expertos 3 para verificar el cumplimiento de los requisitos tcnicos en las diferentes etapas. Es recomendable ajustarse a tales instrucciones de modo que se pueda dar cuenta de manera completa y coherente de los requisitos.
Cuando este documento menciona el Sistema de Seguridad de la Informacin (SSI), se refiere al mismo en el marco del PMG y las MEI, indistintamente. 2 Ver seccin Sistema de Seguridad de la Informacin, apartado Legislacin y otros documentos de apoyo, en sitio Web www.DIPRES.gob.cl 3 Ver seccin Sistema de Seguridad de la Informacin, apartado Instrumentos 2012, en sitio Web www.DIPRES.gob.cl
______________________________________________________________________
Sistema de Seguridad de la Informacin

Antecedentes
A raz de la publicacin de la Ley N 19.799 Sobre Documentos Electrnicos, Firma Electrnica y servicios de certificacin de dicha firma, en el ao 2004 se publicaron una serie de decretos supremos a fin de reglamentar y operativizar distintos aspectos de la mencionada ley, en el marco del concepto de Gobierno Electrnico y del proceso de modernizacin del Estado. Uno de esos instrumentos, el Decreto Supremo N 83 / 2005 - SEGPRES, plante un cdigo de prcticas para la gestin de la seguridad de la informacin en los rganos del Estado. Hacia el ao 2007 el Ministerio del Interior, Coordinador del Subcomit de Gestin de Seguridad y Confidencialidad del Documento Electrnico, detect que en las instituciones del sector pblico persistan algunas falencias respecto de estos temas, entre las cuales se menciona: Aplicaciones y sistemas informticos con configuracin inadecuada, sitios web de gobierno implementados deficitariamente y con vulnerabilidades conocidas, redes informticas institucionales con debilidades en sus mecanismos de control de acceso y de regulacin del trfico de datos, problemas de continuidad operacional frente a incidentes de ndole recurrente, como los cortes de energa elctrica, e inexistencia de polticas de seguridad institucionales. A mediados del ao 2009 el Comit de Ministros que rige el desarrollo del Programa de Mejoramiento de la Gestin (PMG), en el marco de la ley N 19.553, toma la decisin de incluir en el PMG, a partir de 2010, al Sistema de Seguridad de la Informacin dentro del rea de Calidad de Atencin a Usuarios con el fin de enfrentar los problemas de seguridad detectados, y cuya asistencia tcnica queda a cargo de la Red de Expertos conformada por analistas de la Secretara y Administracin General del Ministerio del Interior y de la Direccin de Presupuestos del Ministerio de Hacienda, con el fin de darle el debido impulso a la implementacin de las normativas de gestin de seguridad. Igualmente, durante el ao 2011, en el contexto de la Ley 20.212 se realiza lo propio para las Metas de Eficiencia Institucional, para su ejecucin a partir de 2012. En este contexto se incluy la Norma Chilena ISO 27001 como referente normativo, cuya propuesta incorpora todo tipo de activos de informacin, complementando al DS 83.
Objetivo del SSI

El objetivo del Sistema de Seguridad de la Informacin es lograr niveles adecuados de integridad, confidencialidad y disponibilidad para toda la informacin institucional relevante, con el objeto de asegurar continuidad operacional de los procesos y servicios, a travs de un sistema de gestin de seguridad de la informacin 4.
Ventajas de contar con un SSI

El SSI es una herramienta de apoyo a la gestin de una institucin pblica. Dado que la informacin es uno de los activos ms importantes de toda organizacin moderna, requiere ser
4
Documento Tcnico Programa de Mejoramiento de la Gestin (PMG). Ao 2012. Programa Marco Bsico.
______________________________________________________________________
protegida convenientemente (junto a los procesos y sistemas que la manejan) frente a amenazas que puedan poner en peligro la continuidad de los niveles de servicio, rentabilidad social y conformidad legal, necesarios para alcanzar los objetivos institucionales. Actualmente, el conjunto de activos de informacin institucional (documentos en papel, bases de datos, sistemas y software de aplicacin, equipos informticos, redes de transmisin de datos, soportes de almacenamiento, y otros elementos de infraestructura) estn sujetos a diferentes tipos de riesgos e inseguridades tanto desde dentro de la propia organizacin como desde fuera de ella. El SSI da la posibilidad de disminuir en forma significativa el impacto de los riesgos a los que estn sometidos los activos de informacin. Para ello se hace necesario conocerlos y afrontarlos de manera ordenada, y a travs de la participacin proactiva de toda la institucin, contemplar los procedimientos adecuados y planificar e implantar controles de seguridad basados en una evaluacin de riesgos y en una medicin de la eficacia de los mismos. Por otra parte, el SSI permite ir conformando un marco de gobierno para la seguridad de la informacin institucional, al establecer polticas, procedimientos y controles en relacin a los objetivos estratgicos de la institucin, con objeto de mantener siempre el riesgo por debajo del nivel aceptable por la propia organizacin. Para ello se contempla la designacin del Encargado de Seguridad de la Informacin, la conformacin de un Comit de Seguridad y la aprobacin de una Poltica General de Seguridad Institucional, que exprese adecuadamente el compromiso del alto directivo pblico. A nivel estratgico, para los directivos de la institucin, el SSI es una herramienta que les ofrece una visin global sobre el estado de sus activos de informacin, las medidas de seguridad que se estn aplicando y los resultados que se estn obteniendo de dicha aplicacin. Todos estos datos permiten a la direccin una toma de decisiones sobre la estrategia a seguir. Mediante el SSI, la organizacin puede conocer los riesgos a los que est sometida su informacin y gestionarlos mediante una planificacin definida, documentada y conocida por todos, que se revisa y mejora constantemente, atendiendo a los controles y objetivos de control que propone la normativa NChISO 27001. Desde el punto de vista del desempeo institucional, facilita la entrega fluida de los bienes y servicios a los clientes/usuarios/beneficiarios, mediante la formulacin de un Plan de Continuidad de Negocio, que permite enfrentar de forma correcta la continuidad operacional para los procesos institucionales relevantes, la contingencia tecnolgica, especificando escenarios de catstrofe y fallas a enfrentar, y el manejo de crisis, estableciendo la estrategia de gestin en situaciones de contingencia.
Roles y responsabilidades en el SSI Institucional

Para el desarrollo del SSI, ser necesario aunar el trabajo de los profesionales y tcnicos de todas las reas, con el fin de implementar adecuadamente los proyectos de inters institucional. Este equipo multidisciplinario permitir establecer las responsabilidades, logrando la especializacin en cada uno de los dominios de la NCh-ISO 27001, obteniendo resultados de calidad satisfactoria.
______________________________________________________________________
Dentro del desarrollo del Sistema se deber tener presente al siguiente personal: 1. Directivos. Dada la magnitud y relevancia de la tarea, se requiere de la participacin activa de los ms altos directivos de la institucin, ya sea para entregar las orientaciones bsicas, como para tomar las decisiones que influirn en el modo de operar del servicio pblico. Adicionalmente, es importante contar con un fuerte liderazgo y compromiso de los directivos que soporten la intervencin de los procesos que se buscan mejorar. El rol que cumplen, no puede delegarse sin una significativa prdida de credibilidad respecto a la seriedad del esfuerzo. En el caso especfico del Jefe de Servicio, concretamente es quien aprueba las polticas de seguridad y valida el proceso de gestin de Seguridad de la Informacin, sanciona las estrategias y mecanismos de control para el tratamiento de riesgos que afecten a los activos de informacin institucionales, que se generen como resultado de los reportes o propuestas del Comit de Seguridad de la Informacin (CSI), as como los recursos necesarios para su ejecucin. 2. Comit de Seguridad de la Informacin (CSI). Tiene la responsabilidad de supervisar la implementacin de procedimientos y estndares que se desprenden de las polticas de seguridad de la informacin, proponer estrategias y soluciones especficas para la implantacin de los controles necesarios para implementar las polticas de seguridad establecidas y la debida solucin de las situaciones de riesgo detectadas, arbitrar conflictos en materia de seguridad de la informacin y los riesgos asociados, y proponer soluciones sobre ello, coordinarse con los Comits de Calidad y de Riesgos de la institucin, para mantener estrategias comunes de gestin y reportar a la Alta Direccin, respecto a oportunidades de mejora en el SGSI, as como de los incidentes relevantes y su gestin. Se recomienda que el CSI est integrado por los siguientes funcionarios: a) Jefe Operaciones o Tecnologas de Informacin. b) Jefe de Recursos Humanos. c) Encargado de Calidad. d) Encargado de Riesgos. e) Asesor Jurdico (Abogado de la Institucin). f) Jefes de reas Funcionales o encargados de procesos, si corresponde. g) Encargado de Seguridad de la Informacin (ESI). 3. Encargado de Seguridad de la Informacin (ESI). Es un funcionario nombrado por el Jefe de Servicio como su asesor directo en materia de seguridad de la informacin. Debe organizar las actividades del CSI, coordinar la debida respuesta y priorizacin al tratamiento de incidentes y riesgos vinculados a los activos de informacin de los procesos institucionales y sus objetivos de negocio, monitorear el avance general de la implementacin de las estrategias de control y tratamiento de riesgos, tener a su cargo el desarrollo inicial de las polticas de seguridad al interior de la institucin, controlar su implementacin y velar por su correcta aplicacin, as como mantener coordinacin con otras unidades del Servicio para apoyar los objetivos de seguridad y establecer puntos de enlace con
______________________________________________________________________
los Encargados de Seguridad de otros organismos pblicos y especialistas externos, que le permitan estar al tanto de las tendencias, normas y mtodos de seguridad pertinentes.
4. Profesionales y tcnicos. Un elemento importante en el equipo multidisciplinario que implementa y opera en el SSI es la activa participacin de profesionales y tcnicos seleccionados, que entienden y manejan el desarrollo de los procesos dentro de la institucin. Para lo anterior, es necesario que cumplan con los perfiles acordes a los cargos, dado que ellos entregarn los antecedentes y atendern los requerimientos en la prctica. 5. Otros funcionarios. Adems, ser necesario incluir al personal que pueda ser relevante para el correcto desarrollo del programa de implantacin del SSI, ya sea directa o indirectamente, entre otros: Personal a cargo de la gestin de calidad, dueos de procesos estratgicos de la institucin o de procesos de provisin de productos y servicios, abogados/as del rea jurdica, profesionales del rea de tecnologas de la Informacin, personal del rea de recursos humanos y de gestin de riesgo.
Rol de la Red de Expertos

La Red de Expertos del SSI, tiene como misin fundamental brindar asistencia tcnica a las instituciones que comprometen etapas del SSI. Para ello contempla las siguientes funciones: 1. Propones los Requisitos Tcnicos del Sistema al Comit de Ministros del PMG/MEI. 2. Disear la Gua Metodolgicas e instrumental para el desarrollo del Sistema. 3. Realizar labores de asistencia tcnica directa en el desarrollo del SSI, al personal encargado por parte de cada institucin 5. 4. Elaborar un cronograma de trabajo global para establecer hitos en la asistencia tcnica, que permitan conocer el avance de las instituciones participantes. 5. Evaluar el avance presentado por las instituciones durante la ejecucin del SSI. 6. Asesorar a la Secretara Tcnica del PMG/MEI, en materias relacionadas con la preparacin del proceso de validacin final del Sistema.
Factores crticos de xito

La experiencia ha demostrado que los siguientes factores con frecuencia son crticos para una exitosa implementacin de la seguridad de la informacin dentro de una organizacin: 1. Una poltica de seguridad, objetivos y actividades que reflejen la misin institucional. 2. Un enfoque para implementar, mantener, monitorear y mejorar la seguridad de la informacin que sea consistente con la cultura institucional. 3. El apoyo visible y compromiso de la alta direccin. 4. Comprensin de los requisitos de seguridad, de evaluacin del riesgo y de su gestin. 5. Comunicacin efectiva en la seguridad de la informacin con todos los directivos, jefes de divisin, funcionarios y otras partes interesadas.
5
Esta asistencia tcnica se brinda mediante la asignacin de un analista por parte de DIPRES y otro por parte de la Subsecretara del Interior. DIPRES entrega asistencia tcnica en los aspectos metodolgicos y de gestin del SSI, y la S. Interior lo hace en los aspectos tecnolgicos y de gestin de incidentes. Ver seccin Sistema de Seguridad de la Informacin, apartado Analistas PMG SSI, en sitio Web www.dipres.gob.cl
6. Distribucin de lineamientos sobre la poltica de seguridad de la informacin para todos los jefes de divisin, funcionarios y otras partes involucradas. 7. Provisin de recursos para las actividades de gestin de la seguridad de la informacin. 8. Provisin del conocimiento, capacitacin y educacin apropiados para lograr conciencia sobre el tema. 9. Un proceso de gestin de incidentes de seguridad de la informacin. 10.Implementacin de un sistema de medicin para evaluar el desempeo en la gestin de la seguridad de la informacin y adoptar las sugerencias de mejoramiento. Estos factores se tornan operativos a travs de los controles, procedimientos o estndares que se deben ir implementando progresivamente en el SSI.
______________________________________________________________________
______________________________________________________________________
Descripcin general de las etapas del Sistema

El SSI ha sido concebido con una estructura compuesta de cuatro etapas que son de carcter progresivo y acumulativo: Diagnstico, Planificacin, Implementacin y Evaluacin. Estas cuatro etapas reflejan el ciclo de mejora continua (PDCA: Plan Do Check - Act), como se observa en la figura 4, integrando en ellas los principales elementos constitutivos del SSI.
Figura N1: Ciclo de mejora continua en el SSI
Fuente: Elaboracin propia.
En la etapa de Diagnstico institucional, se identifican y priorizan los activos relevantes de informacin que sustentan los procesos de provisin institucionales. Asimismo, esta etapa exige la realizacin de un anlisis de los riesgos que afectan a tales activos, posibilitando identificar controles y objetivos de control, a partir de los elementos sealados en la NCh-ISO 27001. Como producto de esta etapa se obtiene un inventario de activos estructurado que debe ser objeto de actualizacin permanente, a lo largo del ciclo de vida del Sistema. En la etapa de Planificacin, se toman los controles identificados en la etapa anterior, y en base a ellos se formulan iniciativas para su adecuada implementacin, que deben ser volcadas en planes de trabajo de carcter anual. En esta etapa adems se deben establecer los elementos del marco de gobierno para la seguridad de la informacin institucional, y adicionalmente formular los indicadores de gestin que se usarn posteriormente para realizar mediciones sobre la efectividad del SSI.
10
______________________________________________________________________
En la etapa de Implementacin, se ejecutan las iniciativas detalladas en el programa de trabajo y se miden los indicadores formulados. En la etapa de Evaluacin, se debe analizar todo el proceso desarrollado y difundir sus resultados, hacer las recomendaciones necesarias y velar por su implementacin. Al mismo tiempo, se compromete un sistema de control y mejora continua, en el cual se establecen las revisiones de los resultados de los indicadores, la actualizacin del inventario y la gestin de los riesgos de SI. Para el reporte de cada una de las etapas los servicios deben presentar los documentos correspondientes que permitan dar cuenta del cumplimiento de los requisitos tcnicos. En la siguiente figura se especifican para cada una de ellas:
Figura N2: Documentos a presentar por etapas del SSI
Fuente: Elaboracin propia. (*) Esta corresponde a la planilla electrnica de Instrumentos 2012, que se explica en detalle en el ANEXO I de esta Gua Metodolgica.
11
______________________________________________________________________
ETAPA I: Diagnstico
Acciones a realizar en la etapa I
1. 2. Diagnosticar la situacin de SI institucional, poniendo nfasis en la adecuada identificacin de los activos de informacin vinculados a los procesos de provisin, para llegar a conformar un inventario de activos de informacin debidamente priorizado en trminos de criticidad. Para los activos con criticidad media y alta, especificar los riesgos ms relevantes y los correspondientes controles que permiten su mitigacin de aquellos que propone la NCh-ISO 27001 y el Decreto Supremo N83. Establecer el nivel en que la institucin se encuentra con respecto a tales controles. Determinar las brechas e iniciativas a ser abordadas en el Plan General de Seguridad de la Informacin institucional.
3. 4.
Documentos a entregar
Figura N 3: Documentacin para reportar la etapa I
1.
Alcance del SSI (oficio). El diagnstico se focaliza en la correcta identificacin de los activos de informacin de la institucin, que estn vinculados en especial a sus procesos de provisin. Ellos corresponden a los necesarios para la obtencin de los productos estratgicos (ver Ficha de Definiciones Estratgicas, formulario A1 de cada servicio, en el sitio www.dipres.gob.cl).
12
______________________________________________________________________
Para comenzar con las actividades requeridas en el diagnstico, es preciso establecer el alcance del Sistema, esto es decidir si se comenzar con una seleccin de los procesos de provisin de bienes y servicios o con la totalidad de ellos. Para tomar tal decisin se debe adoptar como referencia aquellos declarados por la institucin en sus definiciones estratgicas vigentes.
La seleccin del (los) proceso(s)/producto(s) debe realizarse considerando los siguientes criterios: Porcentaje de la dotacin asociado al proceso / producto. Alcance geogrfico del proceso / producto. Frecuencia de aplicacin del proceso / producto. Porcentaje del presupuesto asociado a al proceso / producto. Porcentaje de Ciudadanos/ Clientes/ Usuarios/ Beneficiarios que reciben el producto. Para efectos del desarrollo del SSI, se deber fundamentar debidamente la seleccin realizada, indicando las mtricas asociadas a cada uno de estos criterios. La decisin que tome el servicio deber comunicarla a la Red de Expertos DIPRES mediante un oficio, acompaando el anlisis antes sealado. Se recomienda que este documento sea trabajado previamente con la Red de Expertos DIPRES a travs del/la Analista correspondiente, a fin de que la fundamentacin sea la ms precisa y conduzca a la institucin hacia un trabajo acotado a sus capacidades y con el impacto necesario. 2. Inventario de Activos de Informacin (planilla). La realizacin de cada uno de los procesos estratgicos de provisin, involucra activos de informacin especficos que son generados / modificados / utilizados en cada una de las etapas relevantes de tales procesos. Es importante identificar y caracterizar adecuadamente los activos de informacin vinculados a los procesos de provisin considerados en el alcance, porque de esta forma se permite mostrar las condiciones en las cuales stos se encuentran, dadas las diferentes etapas de los procesos en los que participan. Indican bajo qu circunstancias est cada activo en la institucin, ya sea en cuanto a su tipificacin, condiciones fsicas, responsabilidades asociadas, procedimientos para su tratamiento y sus requerimientos en confidencialidad, integridad y disponibilidad, conducentes a definir la criticidad del activo. Es relevante tener en cuenta que la descripcin de tales condiciones, y la criticidad definida, orientan respecto de los riesgos que puede enfrentar un determinado activo. Es necesario que el encargado PMG/MEI-SSI, como tambin todos los funcionarios que tengan participacin en el llenado del Inventario de Activos, cumplan con la totalidad de los pasos necesarios, a fin de asegurar las consistencia requerida para pasar al anlisis de riesgos. 3. Anlisis de Riesgo (planilla): En el mismo documento donde se especifica el inventario de activos de informacin, en una hoja siguiente se detalla el anlisis de los riesgos, dado que una vez identificados los activos
13
______________________________________________________________________
se requiere caracterizar los riesgos que los amenazan, cuantificando el nivel de severidad y el tratamiento necesario, sobre la base de los controles de seguridad para su mitigacin, del conjunto que propone la NCh 27001. Al determinar el o los controles que se necesitan para cada riesgo, se debe sealar si los productos asociados a ellos existen en la institucin. En ese caso se define como un control cumplido; al contrario, si un control no se ha implementado, ste representa una brecha a superar y se debe sealar como no-cumplido. Dicho anlisis conduce a determinar el nivel de cumplimiento que tiene el servicio respecto del que debiese tener para mitigar sus riesgos de SI, reflejndose en la misma planilla, en la hoja correspondiente, de forma automtica. Cabe sealar que en los controles que se declare cumplimiento se debe explicitar el documento que permite evidenciarlo, de modo que la Red de Expertos, u otro ente interno o externo a la Institucin pueda solicitarlo de forma inequvoca. Se debe entender que los productos son las polticas, procedimientos, instrucciones u otros medios escritos que instauren un determinado control, creando la institucionalidad necesaria para su sustentabilidad en el tiempo. Este anlisis puede implicar que el servicio no incluya todos los controles de SI que propone la norma. No obstante, la Red de Expertos ha determinado un conjunto de controles prioritarios, los cuales deben ser parte de la definicin de aqullos que es necesario a desarrollar.
14
______________________________________________________________________
ETAPA II: Planificacin

Acciones a realizar en la etapa II
La etapa de planificacin entrega la organizacin de las actividades, uso de recursos y productos a generar en las etapas siguientes. Los productos y sus actividades asociadas incluidas en esta etapa adquieren la calidad de compromisos, a los cuales se les realizar un seguimiento que contina en la etapa de Evaluacin. Las acciones concretas son: 1. Formular o actualizar la Poltica General de Seguridad de la Informacin, formalizada por el Jefe Superior del Servicio. 2. Nombrar al Encargado de Seguridad de la Informacin. 3. Conformar al Comit de Seguridad de la Informacin. 4. Definir el Plan General de Seguridad de la Informacin institucional, para el ao en curso y siguientes. 5. Elaborar el Programa de Trabajo Anual para iniciar la implementacin del plan de seguridad de la informacin definido. 6. Establecer los indicadores que permitirn evaluar la eficacia del SSI.
En virtud de que las etapas son acumulativas, cuando se haya comprometido la etapa de planificacin tambin se debe reportar el diagnstico actualizado. Por lo tanto, a los documentos propios de la etapa se agregan los de la anterior.
Figura N 4: Documentacin para reportar la etapa II
15
______________________________________________________________________
1. Poltica de Seguridad (documento y/o resolucin). Se debe definir una Poltica General de Seguridad de la Informacin (PGSI), garantizando con ello que existe una declaracin institucional que enfatiza el compromiso de la direccin con los objetivos de gestin de seguridad de la informacin. La poltica debe contar con los siguientes contenidos: Una definicin de seguridad de los activos de informacin, sus objetivos globales, alcance e importancia. Los medios de difusin de sus contenidos al interior de la organizacin. Su re-evaluacin peridica, a lo menos cada tres aos. La periodicidad con que se evaluar su cumplimiento. Aprobacin del Jefe de Servicio. La Red de Expertos establece que la poltica debe ser realizada de acuerdo a los formatos que la institucin estime convenientes, debiendo contemplar estos contenidos mnimos de manera explcita. 2. Nombramiento del Encargado de Seguridad (resolucin). En el marco de Poltica General de SI, el Jefe de Servicio deber designar, como asesor directo en estas materias, a un Encargado de Seguridad de la Informacin, considerando las siguientes funciones en la Resolucin de nombramiento 6: Tener a su cargo el desarrollo inicial de las polticas de seguridad al interior de su organizacin y el control de su implementacin, y velar por su correcta aplicacin. Coordinar la respuesta a incidentes que afecten a los activos de informacin institucionales. Establecer puntos de enlace con encargados de seguridad de otros organismos pblicos y especialistas externos que le permitan estar al tanto de las tendencias, normas y mtodos de seguridad pertinentes. 3. Constitucin del Comit de Seguridad (resolucin o acta constitutiva firmada). Paralelamente se deber conformar un Comit de Seguridad de la Informacin, sealando sus funciones especficas 7. Se sugiere que dicho Comit est conformado por el Encargado de Seguridad, quien lo debera presidir, y por las personas que desempeen los roles que a continuacin se indican: Jefe Operaciones o Tecnologas de Informacin. Jefe de Recursos Humanos. Encargado de Calidad.
6
Para mayores detalles ver el captulo Sistema de Seguridad de la Informacin, apartado Roles y responsabilidades en el SSI Institucional de esta Gua Metodolgica. 7 dem.
16
______________________________________________________________________
Encargado de Riesgos. Asesor Jurdico (Abogado de la Institucin). Jefes de reas Funcionales o encargados de procesos, si corresponde.
La resolucin o el acta constitutiva del CSI debe contener sus integrantes y las funciones. Entre los integrantes no puede estar el Encargado de Auditora Interna del servicio, por cuanto no puede ser parte del Sistema que luego ha de ser objeto de las auditoras. 4. Plan General de Seguridad de la Informacin (planilla). Teniendo el marco institucional que implica la poltica general, el nombramiento del Encargado y la conformacin del CSI, se debe dar forma al Plan General de Seguridad de la Informacin, para el ao en curso y siguientes. Esta es la definicin clara y operativa de los productos que se busca alcanzar. Este plan se puede realizar en el mismo documento en el cual se ha trabajado el inventario de activos y el anlisis de riesgos, en la hoja correspondiente, dado que se deben considerar los resultados del diagnstico, riesgos y brechas detectados en la Etapa I. El Plan debe ser consistente con la identificacin de los productos necesarios definidos, especificar los responsables de su desarrollo y los plazos para su obtencin. En el caso de los controles priorizados por la Red de Expertos, deben incorporarse en la planificacin para realizarse durante la etapa 3 y/o el primer ao de ejecucin. 5. Programa de Trabajo Anual (planilla u opcin de carta Gantt aparte). Se debe elaborar un Programa de Trabajo Anual, para implementar las acciones del primer ao del plan de seguridad de la informacin definido, que incluya hitos, actividades, plazos y responsables, y las acciones orientadas a difusin/capacitacin/sensibilizacin a todos los funcionarios sobre el programa de trabajo y sus productos. Este se puede reportar en la misma hoja donde se presenta el plan general, pero se debe dar detalle de actividades para el primer ao. Tambin se puede remitir en una Carta Gantt en Project, resguardando que contenga todos los requisitos tcnicos especficos. 6. Definicin de indicadores (planilla): Con el objeto de evaluar de manera objetiva la efectividad de la implementacin del SSI para mitigar los riesgos definidos, se debe establecer indicadores de desempeo. Estos indicadores se deben planificar para ser medidos en la etapa de implementacin y analizar los resultados en la etapa de evaluacin. Es importante que la orientacin que se le d a estas mtricas se asocie a los resultados del SSI, es decir, evitar indicadores que apunten slo a los procesos o a la implementacin del Sistema.
17
______________________________________________________________________
Otro elemento a considerar al momento de formular los indicadores, es que una vez que el SSI egrese del marco PMG/MEI, stos sern una fuente de informacin importante respecto del desempeo del SSI, los cuales debern ser revisados y mejorar en forma sucesiva. En el contexto de un servicio que egresa, estos indicadores han de ser susceptibles de ser incorporados en el Formulario F, sobre indicadores de desempeo institucional. En esta lnea la Red de Expertos ha sugerido una serie de mtricas que pueden comenzar a ser medidas por el servicio 8. En el mismo documento donde se estn desarrollando todas las planillas (inventario, riesgos, plan), se puede presentar los indicadores.
Ver Anexo II: Ejemplos de Indicadores de esta Gua Metodolgica.
18
______________________________________________________________________
ETAPA III: Implementacin

Acciones a realizar en la etapa III
1. 2. 3. Implementar el programa de trabajo anual definido en la etapa anterior. Registrar y controlar los resultados de la implementacin del programa de trabajo verificando el avance en el nivel de cumplimiento de los controles que requiere el servicio. Comenzar a medir los indicadores definidos.
En virtud de que las etapas son acumulativas, cuando se haya comprometido la etapa de implementacin, tambin se debe reportar el diagnstico y la planificacin con las actualizaciones correspondientes. Por lo tanto, a los documentos propios de la etapa se agregan los de las anteriores.
Figura N 5: Documentacin para reportar la etapa III
1.
Ejecucin de actividades (planilla). En la misma planilla de trabajo del SSI, en la hoja correspondiente, se debe registrar el trmino real de las actividades cuantificando las desviaciones. Se debe prever que las desviaciones admisibles son aqullas que no implican el incumplimiento del compromiso en el ao de implementacin (enero a diciembre). Cualquier otro tipo de desviacin deber contar con una causa justificada, externa a la gestin del servicio, debiendo ser verificada y aceptada por la Red de Expertos.
19
______________________________________________________________________
El registro de la implementacin de un determinado producto, asociado a un control desde el diagnstico, se debe plasmar sealando la evidencia de ello. Dicha evidencia debe contener el control para el cual fue definida, de lo contrario no es vlida como tal.
2.
Avance en la implementacin (planilla). El avance en la implementacin se registra de forma automtica y verdica siempre y cuando la institucin realice lo sealado en el prrafo anterior. Esto es muy importante, porque la exposicin del nombre de la evidencia permitir dar cuenta de que el control est cumplido, por lo tanto incrementar el nivel de avance en la implementacin de los dominios. Medicin de indicadores (planilla). Se debe aplicar los indicadores diseados en la etapa II y mostrar los resultados efectivos, en la misma hoja en que fueron formulados. De tales resultados depender la formulacin de las metas para el siguiente perodo o si es necesario reformular indicadores. Es atendible que haya algunos indicadores con mayor data de medicin que otros, puesto que en la etapa de implementacin habr algunos productos que posibilitarn la medicin antes que otros.
3.
20
______________________________________________________________________
ETAPA IV: Evaluacin

Acciones a realizar en la etapa IV
La finalidad de esta etapa es llevar a cabo la verificacin y validacin del Sistema de Seguridad de la Informacin, tanto en su operacin como en los aspectos que an pudieran estar bajo implementacin (plan general de SI). sto permitir retroalimentar dicho Sistema facilitando la correccin de debilidades y su mejora continua efectiva. Las acciones concretas son: 1. Evaluar los resultados de la implementacin del Plan General de Seguridad de la Informacin y Programa de Trabajo Anual, y formular recomendaciones de mejora. 2. Difundir a los funcionarios los resultados de la evaluacin del Plan y Programa de Trabajo Anual. 3. Disear el Programa de Seguimiento a partir de las recomendaciones formuladas. 4. Mantener del grado de desarrollo del Sistema de acuerdo a cada una de las etapas.
En virtud de que las etapas son acumulativas, cuando se haya comprometido la etapa de evaluacin, tambin se debe reportar el diagnstico, la planificacin y la implementacin con las actualizaciones correspondientes. Por lo tanto, a los documentos propios de la etapa se agregan los de las anteriores.
Figura N 6: Documentacin para reportar la etapa IV
21
______________________________________________________________________
1. Evaluacin de los Resultados Plan General (planilla y evidencias). Corresponde a una o varias acciones en las cuales la institucin haya evaluado en detalle el proceso de implementacin. El nmero y magnitud de tales acciones depender de la estructura del SSI, del tamao de la institucin y el nivel de madurez que haya alcanzado. S es preciso que se d cuenta de manera explcita de que se consider la revisin del porcentaje de cumplimiento logrado y que esto lo realice el CSI, los resultados de las actividades desarrolladas y la efectividad en la mitigacin de riesgos en este punto es fundamental haber analizado el resultado de los indicadores-, identificar los riesgos persistentes y otras debilidades, y su anlisis de causa, y las recomendaciones de mejora, que consideren medidas correctivas y preventivas. La evaluacin del SSI debe ser conocida y valorada por el CSI. Las conclusiones y recomendaciones que del Comit emanen deben quedar reflejadas en la correspondiente acta de sesin y ser incluidas en el Programa de Seguimiento de esta etapa, siendo consistentes. La realizacin de las actividades evaluativas se deben demostrar con evidencias, que deben ser registradas en la planilla y entregada como medios de verificacin. Estas pueden ser actas de sesiones del CSI, informes de auditoras, registros revisiones por la direccin u otras. En ellas debe sealarse que tales acciones se realizaron, de manera inequvoca. 2. Difusin de los resultados de la implementacin (planilla y evidencias). Corresponde a una o varias acciones destinadas a dar a conocer a los funcionarios los resultados obtenidos en la implementacin. En algunos casos puede ser necesario mostrar algunos resultados a clientes, usuarios y beneficiarios. El nmero y magnitud de tales acciones depender de la estructura del SSI, del tamao de la institucin y el nivel de madurez logrado. La realizacin de tales actividades se debe demostrar con evidencia, que debe ser registrada en la planilla y entregada como medios de verificacin. En ellas debe sealarse que tales acciones se realizaron, de manera inequvoca, y deben ser consistentes con los resultados obtenidos. Se hace presente que estas actividades no son las mismas que se planificaron para difundir y capacitar en torno a polticas y procedimientos u otros requerimientos de la fase de implementacin, sino que estn destinadas a que los funcionarios conozcan los logros alcanzados. 3. Programa de Seguimiento de Recomendaciones (planilla). El proceso de evaluacin descrito en el punto I de este apartado debe dar origen a recomendaciones. stas se traducen en compromisos que las instituciones deben cumplir, a fin de corregir aspectos que hayan quedado con dficit en la implementacin y su registro es en la planilla, en la hoja correspondiente, sealando el plazo y el responsable. Estos compromisos deben ser planificados y ejecutados en el ms breve plazo posible. Hay algunas mejoras que requerirn ms tiempo y pueden ser cerradas el ao siguiente, pero aqullas de fcil realizacin no se pueden extender, puesto que dilatan situaciones de carencia que impiden el avance y maduracin del SSI, por ejemplo, correccin de aspectos puntuales en
22
______________________________________________________________________
los procedimientos, re-estructuracin acotada de equipos de trabajo, actualizaciones pendientes, entre otras.
4. Sistema de Control y Mejora Continua (planilla). Dado que esta es la ltima etapa del SSI en el marco del PMG/MEI, se debe establecer un conjunto de medidas articuladas que permitan sostener y mejorar el Sistema en el tiempo, ms all del proceso de implementacin. Para cubrir tal finalidad es que las instituciones deben proponer un sistema de control y mejora continua, que al menos establezca una planificacin que considere, a partir del perodo siguiente, las revisiones regulares del SSI, que pueden ser las que realiza el CSI, auditoras internas o externas, revisiones por la direccin, estudios u otras. Tambin se debe incluir la revisin de indicadores y metas, el establecimiento de medidas de mejora a partir de sus resultados y la aprobacin de tales medidas por parte del CSI o Direccin. Y un tercer aspecto, la actualizacin del inventario de activos y su incorporacin a la gestin de riesgos institucional. Este ltimo punto es fundamental, porque el inventario y la gestin de riesgos son elementos dinmicos en el SSI. La actualizacin del inventario permitir ir ampliando el alcance del Sistema y poner al da la caracterizacin de los activos, que puede cambiar en el tiempo a medida que se toman acciones de proteccin que mitigan sus riesgos. Por otra parte, los servicios cuentan con una metodologa institucional de gestin de riesgos, en la cual se debiera considerar el trabajo que se realiza en la misma lnea para el SSI. Es importante converger en un mismo proceso de gestin de riesgos, evitando duplicidades e ineficiencias.
23
______________________________________________________________________
Plazos y Medios
La documentacin requerida en el proceso de validacin del SSI debe ser reportada por los mecanismos, y de acuerdo a las instrucciones, que sern entregadas por la Secretara Tcnica del PMG/MEI. No obstante, la Red de Expertos, en el contexto de la asistencia tcnica, ha establecido para el ao 2012 tres hitos en los cuales las instituciones pueden remitir informacin para ser revisada, simulando un proceso de evaluacin, cuyo objetivo es verificar el cumplimiento de los requisitos, conocer los avances y sealar de forma explcita los puntos donde pueda haber errores u oportunidades de mejoras, de manera que los servicios puedan hacerlas oportunamente y as, incrementar sus posibilidades de cumplimiento al cierre del perodo. Las fechas de tales hitos son las siguientes: 31 de Mayo de 2012, 18 hrs. 16 de Agosto de 2012, 18 hrs. 31 de Octubre de 2012, 18 hrs. En cada hito los documentos deben ser enviados a la Red de Expertos aprobados por el Jefe de Servicio, en formato electrnico, a travs del aplicativo dispuesto para ello en la seccin de acceso restringido del sitio Web DIPRES: http://www.dipres.gob.cl Cada uno de estos hitos es de carcter voluntario, por lo tanto el hecho de que una institucin no reporte informacin slo implica que no tiene una visin por parte de la Red de Expertos de su situacin, pero esta omisin no es vinculante respecto de la evaluacin final. En acuerdo con la Red de Expertos y el o la Analista asignada, el servicio puede solicitar otras revisiones parciales, pero stas no necesariamente implican una revisin en profundidad como la realizada en estos tres hitos. Esto se explica porque la Red de Expertos debe organizar adecuadamente los recursos de que dispone para poder realizar tales revisiones con la seriedad y calidad requeridas. Se recomienda un monitoreo mensual a los encargados PMG/MEI, con nfasis en el primer semestre para que en base a esa informacin se pueda apoyar la formulacin presupuestaria con miras al siguiente periodo.
Este documento de origen electrnico, una vez impreso, pasa a ser copia no controlada y puede quedar obsoleto. Para obtener la versin vigente, ir a http://www.dipres.gob.cl
24
______________________________________________________________________
ANEXO I: Instrumentos 2012

Recomendaciones Generales
La planilla de instrumentos que ha sido confeccionada para su llenado contiene vnculos entre las hojas, as como tambin parmetros, por lo que se recomienda no alterarla para no afectar estas caractersticas. Fue creada de esta forma para dar cuenta del ciclo de mejora continua y la relacin entre las etapas de diagnstico-planificacin-implementacin-evaluacin, traspasando los datos que vinculan las etapas entre las hojas del archivo instrumentos.
Etapa 1: Diagnstico
1. Hoja Etapa 1 Inventario. Este instrumento tiene por objetivo recoger el conjunto de los activos de informacin asociados a los procesos de provisin de bienes y servicios de la institucin, cuyos productos estratgicos se encuentran en la Ficha A1. En l se deben considerar todos los activos de informacin de los procesos. Los campos de esta hoja son los siguientes: DESCRIPCIN DE PROCESOS Proceso: Corresponde al nombre del proceso de negocio (de provisin de productos/servicios estratgicos) al cual pertenecen los activos de informacin a incluir en el inventario. Subproceso: Son aquellos subprocesos en los que puede estar dividido el proceso transversal mencionado en la columna anterior, dependiendo de la complejidad del mismo. Etapa relevante: Detalle de las fases ms importantes que se deben desarrollar en cada subproceso para dar origen a los productos. IDENTIFICACIN DE ACTIVOS DE INFORMACIN Activo: Nombre del activo de informacin, en este campo debe incluirse todos los activos de informacin identificados para la etapa, independiente de su medio de soporte y sus caractersticas. Esta columna se encuentra destacada con azul pues es una de las que dan consistencia entre esta hoja y la siguiente. Identificador o cdigo: En este campo de debe incluir el cdigo dado por la institucin al activo, en caso de corresponder a un activo de informacin no inventariado, este campo se debe completar con un nmero correlativo, que permita identificar en forma nica al activo. Tipo: Clasificacin del activo, estos pueden ser: Persona: Funcionario o personal a honorarios que participa en un proceso de negocio. Documento: Corresponde a un escrito que refleja el resultado de una accin determinada y sustenta la toma de decisiones por parte de quien la administra y accede a ella. Base de Datos: Es la informacin sistematizada y organizada.
25
______________________________________________________________________
Formulario: Corresponde a documentos utilizados para recoger informacin. Software: Programa computacional empaquetado producido por una empresa que lo comercializa. Sistema: Programa computacional desarrollado por la institucin o por un externo a medida, cuyo objetivo es apoyar un proceso de negocio. Equipos: Objetos o dispositivos que realizan o apoyan la realizacin de una funcin. Infraestructura: Construccin que permite alojar algunas o todas las funcionalidades de la institucin. Expediente: Conjunto de documentos y formularios dispuestos en estricto orden de ocurrencia, de ingreso o egreso. Este puede ser fsico o electrnico, en cuyo caso la definicin est dada por el DS 81: Documento electrnico compuesto por una serie ordenada de actos y documentos representados en formato electrnico, dispuestos en estricto orden de ocurrencia, de ingreso o egreso en aqul, y que corresponde a un procedimiento administrativo o asunto determinado.
Ubicacin: Corresponde al lugar fsico donde se encuentra el activo mientras es utilizado en el proceso, esta descripcin debe ser lo suficientemente detallada como para determinar a partir de esta informacin las condiciones de seguridad fsica en las que se encuentra el activo. Responsable/dueo: Corresponde al rol o cargo de la persona propietaria del activo. 9 Soporte: Corresponde al medio en el cual se encuentra registrado el activo, este puede ser en papel o digital. Manipulacin: Identificacin de la(s) persona(s) que utiliza(n) el activo de informacin, ya sea modificndolo, actualizndolo, trasladndolo o limpindolo. Persona autorizada para copiar: Corresponde al rol o cargo de la(s) persona(s) autorizada para copiar el activo (aplicable al activo de informacin en papel y copias en medios magnticos). Medio de almacenamiento: Descripcin de la forma de guardar el activo cuando no est en uso dentro del proceso mismo. Tiempo de retencin: Corresponde al tiempo en el cual el activo de informacin debe ser mantenido por la Institucin en el medio de almacenamiento. Disposicin: Corresponde al destino que se le da al activo de informacin una vez transcurrido el tiempo de retencin. Recuperacin (criterio): Forma en la cual es posible buscar el activo de informacin. En lo especfico, es el criterio de bsqueda o los datos con los cuales se puede localizar el activo. Algunos de los elementos de esta caracterizacin no aplican a todos los activos. Ej.: la caracterstica Soporte no aplica al activo Persona.
9
Considerar la definicin establecida en la NCH-ISO 27002
26
______________________________________________________________________
ANLISIS DE CRITICIDAD Confidencialidad: Corresponde a la clasificacin Pblica o Reservada de acuerdo a lo establecido en la Ley 20.285, expresado en la tabla de Valores para Clculo de Criticidad. Integridad: Corresponde a la clasificacin de acuerdo a la tabla.
Disponibilidad: Corresponde a la clasificacin de acuerdo a la tabla.

Tabla N 1: Valores para Clculo de Criticidad Variables asociadas a Valores Categoras la criticidad CONFIDENCIALIDAD 1 Pblica
10
Significado Son los actos y resoluciones de los rganos de la Administracin del Estado, sus fundamentos, los documentos que les sirvan de sustento o complemento directo y esencial, y los procedimientos que se utilicen para su dictacin. Asimismo, es pblica la informacin elaborada con presupuesto pblico y toda otra informacin que obre en poder de los rganos de la Administracin, cualquiera sea su formato, soporte, fecha de creacin, origen, clasificacin o procesamiento. Condicin excepcional amparada en la Ley 20.285 (artculo 21) y en otras leyes de qurum calificado. Informacin cuya modificacin no autorizada puede corregirse aunque podra ocasionar riesgos leves para la institucin o terceros. Informacin cuya modificacin no autorizada es de difcil correccin y podra ocasionar riesgos significativos para la institucin, o terceros. Informacin cuya modificacin no autorizada no podra corregirse, ocasionando consecuencias graves a la institucin o a terceros. Informacin cuya inaccesibilidad permanente, durante una semana, podra ocasionar consecuencias significativas para la institucin, o terceros. Informacin cuya inaccesibilidad permanente durante, un da podra ocasionar consecuencias significativas a la Institucin, al sector pblico nacional o a terceros. Informacin cuya inaccesibilidad permanente durante una hora, podra ocasionar consecuencias significativas a la Institucin, al sector pblico nacional o a terceros.
3 INTEGRIDAD 1
Reservada Baja
Media
Alta
DISPONIBILIDAD
Baja
Media
Alta
Las consecuencias pueden ser cuantificables (monto monetario o entrega de servicio) y no

10
Se utiliza el concepto de acuerdo a la Ley 20.285.
27
______________________________________________________________________
cuantificables (imagen, valor estratgico de contractuales o pblicas, disposiciones legales, etc.). la informacin,
obligaciones
Criticidad: Esta columna se encuentra destacada con azul pues es una de las que dan consistencia entre esta hoja y la siguiente. Esta columna es calculada de acuerdo a los siguientes criterios: Criticidad Baja: Ninguno de los valores asignados superan el 1. Criticidad Media: Alguno de los valores asignados es 2. Criticidad Alta: Alguno de los valores asignados es 3. 2. Hoja Etapa 1- Riesgos. Este instrumento tiene por objetivo identificar los riesgos potenciales que amenazan los activos inventariados en la institucin. stos pueden ser identificados por haberse materializado y haber afectado la seguridad de los activos, independiente de que exista registro de dicho incidente. Esta hoja inicia con los activos identificados en la hoja Etapa 1 Inventario que han sido clasificados con criticidad media y alta. Los activos identificados con criticidad baja aparecern difuminados para indicar que para ellos no se requiere realizar el anlisis. Tal como se indic en las Recomendaciones Generales, en este anlisis es posible encontrar varios controles o varios productos asociados a un activo. En caso de darse esta situacin, se debe insertar una fila posicionndose en aqulla indicada (<Inserte fila para agregar controles>). Los campos de esta hoja son los siguientes: Proceso Activo Criticidad: Corresponden a campos del Inventario de Activos, que permiten dar continuidad al anlisis, por lo que se debe procurar no cambiar los nombres. IDENTIFICACIN Y ANLISIS DE RIESGOS DE SI Amenazas: Causa potencial de un incidente no deseado, que puede dar lugar a daos a un sistema o a una organizacin. (NCH-ISO 27002:2009), independiente de si se tiene registro de su materializacin en el pasado. Registro histrico de su frecuencia: Periodicidad con que se ha producido el evento/incidente descrito, que se encuentre registrado. En caso de no haber registro indicar No hay registro. Descripcin del Riesgo: Descripcin del riesgo que amenaza el activo de informacin, entendindose ste como las condiciones de debilidad en los activos que pueden ser afectadas por la existencia de una amenaza concreta, y las consecuencias que esto tiene. Probabilidad de ocurrencia: Posibilidad de que el riesgo se materialice, este punto debe ser consistente con el registro histrico, en caso de que haya. Los valores posibles son: Casi Certeza
28
______________________________________________________________________
Probable Moderado Improbable Muy Improbable
Impacto: Corresponde a los efectos que tiene en la institucin la materializacin del riesgo. Los valores posibles son: Catastrficas Mayores Moderadas Menores Insignificantes Severidad: Corresponde al nivel de gravedad del riesgo, este ser calculado por la planilla y corresponde a la probabilidad de ocurrencia por el impacto (Tabla I). Los resultados posibles son: Extremo Alto Moderado Bajo Control/es para mitigar el riesgo (NCH 27001 y DS 83): Corresponde a las medidas que propone la NCh 27001 y DS 83 cuya implementacin permitir mitigar el riesgo identificado. Se debe agregar filas en caso de requerirse ms de una. Tratamiento del riesgo: Nombre de los productos desarrollados o por desarrollar en el Servicio (evidencias), para los controles requeridos. Cumplimiento: Corresponde a la respuesta afirmativa o negativa respecto a la realizacin del producto citado en la columna precedente, y por tanto la verificacin de que el control en cuestin est logrado. Nombre del Archivo Evidencia: Nombre del archivo que se presenta como medio de verificacin de los controles que se declaren cumplidos, es decir, con un SI en la columna Cumplimiento.
29
______________________________________________________________________
Tabla N 2: Tabla de Niveles de severidad del riesgo NIVEL PROBABILIDAD (P) NIVEL IMPACTO (I) Casi Certeza (5) Catastrficas (5) Casi Certeza (5) Mayores (4) Casi Certeza (5) Moderadas (3) Casi Certeza (5) Menores (2) Casi Certeza (5) Insignificantes (1) Probable (4) Catastrficas (5) Probable (4) Mayores (4) Probable (4) Moderadas (3) Probable (4) Menores (2) Probable (4) Insignificantes (1) Moderado (3) Catastrficas (5) Moderado (3) Mayores (4) Moderado (3) Moderadas (3) Moderado (3) Menores (2) Moderado (3) Insignificantes (1) Improbable (2) Catastrficas (5) Improbable (2) Mayores (4) Improbable (2) Moderadas (3) Improbable (2) Menores (2) Improbable (2) Insignificantes (1) Muy improbable (1) Catastrficas (5) Muy improbable (1) Mayores (4) Muy improbable (1) Moderadas (3) Muy improbable (1) Menores (2) Muy improbable (1) Insignificantes (1) Fuente: Gua Tcnica N 53. CAIGG SEVERIDAD DEL RIESGO S = (P x I) EXTREMO ( 25) EXTREMO (20 ) EXTREMO (15 ) ALTO (10) ALTO (5) EXTREMO (20) EXTREMO (16 ) ALTO (12) ALTO (8) MODERADO (4) EXTREMO (15 ) EXTREMO (12 ) ALTO (9) MODERADO (6) BAJO (3) EXTREMO (10 ) ALTO (8) MODERADO (6) BAJO (4) BAJO (2) ALTO (5) ALTO (4) MODERADO (3) BAJO (2) BAJO (1)
Etapa 2: Planificacin
1. Hoja Etapa 2 Plan General. Este instrumento tiene por objetivo registrar la planificacin -en trminos generales que permitir la obtencin de los productos identificados en la etapa anterior en la hoja Riesgos a desarrollar durante el 2012 y los aos siguientes, si corresponde. Los campos de esta hoja son los siguientes: Producto esperado: Corresponde al producto definido en la hoja Riesgos. Es importante mantener la continuidad y consistencia entre la hoja Riesgos y Plan General. Se recomienda copiarlos y pegarlos. Responsable: Nombre y cargo del responsable de la implementacin del producto. Actividades: Secuencia de actividades que la Institucin debe realizar para la obtencin del producto. Se recomienda identificarlas en forma consecutiva de acuerdo al orden de ejecucin de las mismas.
30
______________________________________________________________________
Fecha de Inicio: Corresponde a la fecha de inicio de la actividad, se debe considerar formato dd-mm-yy Fecha de Trmino: Corresponde a la fecha de trmino de la actividad, se debe considerar formato dd-mm-yy. Responsable de la Actividad: Corresponde al nombre y cargo de la persona que ejecutar actividad. Difusin/Sensibilizacin: Corresponde a las instancias de difusin y/o sensibilizacin, planificadas para los productos esperados. Capacitacin: Corresponde a las instancias de capacitacin definidas para el ao. 2. Hoja Etapa 2 Indicadores 11. Este instrumento tiene por objetivo definir los indicadores que sern medidos una vez implementados los controles. Los campos de esta hoja son los siguientes: Nombre del indicador: Descripcin breve que da cuenta del aspecto a medir. Su estructura debe responder a los criterios de simpleza, claridad y comprensibilidad. Frmula de clculo: Es la expresin matemtica que permite cuantificar el nivel o magnitud que alcanza el indicador en un cierto perodo (anual, semestral, etc.), considerando variables que se relacionan adecuadamente para este efecto. Fecha de inicio de la medicin: Fecha en la cual se comienza a realizar las mediciones que requiere el indicador. Frecuencia de la medicin: Corresponde a la periodicidad establecida para la medicin de un indicador. Ejemplo: Bianual, anual, semestral, trimestral. Efectiva a Agosto de 2012: Se debe sealar, de acuerdo a la informacin disponible, los valores efectivos del numerador y denominador del indicador en Agosto del 2012. Este antecedente y las otras mediciones sirven de base para definir la meta que se comprometa para el ao 2013.
11
Adaptado de: "INSTRUCCIONES PARA LA FORMULACIN PRESUPUESTARIA. FORMULARIO H. INDICADORES DE DESEMPEO AO 2011". Disponible en http://www.dipres.gob.cl/572/articles-36282_doc_pdf3.pdf (30 de Marzo de 2012) e Indicadores de gestin en los servicios pblicos. Serie Gua Metodolgica. Santiago de Chile, junio de 1996. Direccin de Presupuestos, citado en "SISTEMA INTEGRAL DE INFORMACIN Y ATENCIN CIUDADANA, SIAC. GUA METODOLGICA 2010". Disponible en: http://siac.msgg.gob.cl/uploads/f15be81f87_guia_final[1].pdf (30 de Marzo de 2012)
31
______________________________________________________________________
Efectiva a Octubre de 2012: Se debe sealar, de acuerdo a la informacin disponible, los valores efectivos del numerador y denominador del indicador en Octubre del 2012. Este antecedente y las otras mediciones sirven de base para definir la meta que se comprometa para el ao 2013. Efectiva a Diciembre de 2012: Se debe sealar, de acuerdo a la informacin disponible, los valores efectivos del numerador y denominador del indicador en Diciembre del 2012. Este antecedente y las otras mediciones sirven de base para definir la meta que se comprometa para el ao 2013. Meta: Compromiso a alcanzar respecto al valor del indicador al trmino del ao siguiente. La meta no slo representa un compromiso en trminos del valor del indicador, sino tambin respecto de su numerador y denominador, los cuales deber ser adecuadamente estimados por la institucin.
Medios de verificacin: Son los mecanismos de sistematizacin de la informacin, tales como informes consolidados, reportes, agregacin de datos (subtotales por centro de responsabilidad, por regin, por mes, por producto, etc., cuadros resmenes u otros), que contienen el detalle requerido para la medicin de los indicadores y a su vez, permiten verificar los valores informados en cada cifra del indicador, no slo el valor final. stos son el resultado de la aplicacin de instrumentos de recoleccin de datos disponibles (encuestas, fichas u otros registros controlados). Supuestos: Condiciones sobre las cuales est formulada la meta, entendindose por tal a aquellos factores externos a la gestin de la institucin, respecto de los cuales el servicio no tiene control y que pueden afectar el cumplimiento de la meta. Notas: Se debe incorporar, cuando sea necesario, precisiones de alguna de las variables del indicador como por ejemplo conceptos tcnicos o descripciones de aspectos metodolgicos de la medicin.
Etapa 3: Implementacin
1. Hoja Etapa 3 Implementacin. El objetivo de esta hoja es plasmar la ejecucin de los hitos o actividades comprometidas en la etapa de planificacin. Los campos de esta hoja son los siguientes: Productos esperados: Corresponde al producto definido en la hoja Riesgos y Plan General. Actividades comprometidas: Son aquellas que a las Institucin se oblig a realizar para implementar los productos, en el Plan General. Trmino: Las dos columnas bajo este rtulo permiten comparar la fecha en la cual se haba definido el trmino de la actividad con la fecha en que sto realmente ocurri.
32
______________________________________________________________________
Estimado: Es la fecha en que se haba definido seran terminadas las actividades, segn el Plan General. Real: Es la fecha en que efectivamente finaliz la actividad, de modo que se genere el producto que da cumplimiento al control para el cual haba sido definido. Se debe considerar formato dd-mm-yy.
Desviaciones (das): Es la diferencia entre la fecha estimada y la real. Cuando una actividad se haya terminado antes de lo programado, este valor ser positivo. Si la actividad tuvo retrasos, ser negativo. Observaciones: Esta columna permite sealar causas de desviaciones significativas u otras notas que la Institucin considere relevantes. Cabe sealar que las desviaciones admisibles no pueden exceder el ao de ejecucin, salvo situaciones cuya causalidad sea externa a la Institucin y verificable. Nombre del archivo evidencia: Se debe sealar con precisin el nombre del archivo que constituye el medio de verificacin respecto del producto logrado. Es importante que el contenido del archivo sea exactamente lo que seala el nombre del producto, porque esta evidencia es la que permitira considerar que tal(es) control(es) est(n) cumplido(s), incrementando el porcentaje de logro del servicio en la etapa de implementacin.
Etapa 4: Evaluacin
1. Hoja Etapa 4 Evaluacin El objetivo de esta hoja es mostrar la evidencia de la realizacin de las actividades de evaluacin y difusin. Los campos de esta hoja son los siguientes: Evaluacin de los Resultados del Plan General / Medios de verificacin (adjuntar): En las filas se mencionan los cuatro requisitos tcnicos de los cuales debe dar cuenta la Institucin, y en el encabezado de la columna se solicita el medio de verificacin asociado a dicho requisito. Revisin del % de cumplimiento logrado, por parte del CSI: En este caso se debera adjuntar un acta de reunin del Comit, en la cual conste de manera explcita que se revis el porcentaje de cumplimiento. Revisin de los resultados de las actividades desarrolladas y la efectividad en la mitigacin de riesgos: En este requisito se puede aportar una revisin por parte del Comit (pudiendo estar de forma explcita en la misma acta que el punto anterior), un informe de auditora u otras revisiones internas o externas asociadas al cumplimiento de las actividades y la mitigacin de los riesgos, expresamente. Identificacin de riesgos persistentes y otras debilidades, y su anlisis de causa: Puede haber controles que no hayan sido efectivos para mitigar los riesgos y/o que existan otras debilidades acaecidas durante la fase de implementacin. En este caso se deben identificar tales situaciones y analizar sus causas, adjuntando l o los medios de verificacin que permitan reconocer dicha identificacin y anlisis, de forma explcita.
33
______________________________________________________________________
Recomendaciones de mejora, que consideren medidas correctivas y preventivas: De acuerdo a los resultados obtenidos de los puntos anteriores, se debe planificar las medidas correctivas y preventivas necesarias, a fin de corregir los problemas y sus causas. Dichas recomendaciones deben ser aprobadas por el CSI porque son parte de la evaluacin y deben constar en uno o varios medios de verificacin que lo sealen de modo inequvoco.
Difusin de los resultados de la implementacin / Medios de verificacin (adjuntar): Se debe sealar el o los medios de verificacin asociados a la difusin de los resultados en la organizacin. En este caso se pueden adjuntar publicaciones en la intranet institucional, el envo de correos electrnicos, campaas comunicacionales, entre otros. Se debe cuidar que expresen de forma clara que se estn difundiendo los resultados de la implementacin (porcentaje de logro, resultados de las actividades, debilidades y la forma de resolverlas). 2. Hoja Etapa 4 Programa Seguimiento El objetivo de esta hoja es mostrar de forma ordenada los compromisos asociados a las mejoras requeridas a la implementacin, producto de la evaluacin realizada. Los campos de esta hoja son los siguientes: Recomendaciones y medidas de mejoramiento: Son las sugerencias y decisiones tomadas por el CSI sobre qu es necesario realizar para enmendar o mejorar la implementacin. Compromisos: Son acciones concretas que permiten dar forma a las recomendaciones y medidas de mejoramiento. Plazo: Fecha en la cual se debe dar cumplimiento a cada compromiso. Se debe considerar formato dd-mm-yy. Responsable: Funcionario o funcionaria a cargo de que el compromiso se cumpla. 3. Hoja Etapa 4 Ctrl. y Mejora Cont. El objetivo de esta hoja es exponer de forma ordenada las instancias mnimas que tendr que continuar desarrollando la Institucin para mantener el grado de desarrollo alcanzado e incorporar, a partir de ste, medidas de control y mejora continua. Los campos de esta hoja son los siguientes: REVISIONES REGULARES DEL SSI Revisin 1, 2, 3, etc. / Fecha: Se debe precisar cundo se realizarn las revisiones del SSI. Puede tratarse de auditoras internas o externas, revisiones por parte del CSI, u otras actividades peridicas de esta naturaleza. Se debe considerar formato dd-mm-yy. INDICADORES Y METAS Revisin de indicadores y metas / Fecha: Se debe precisar cundo se realizarn las revisiones de los indicadores del SSI. Se debe considerar formato dd-mm-yy.
34
______________________________________________________________________
Establecimiento de medidas de mejora / Fecha: A partir de la revisin de los indicadores, cundo se definirn las medidas de mejora que se requiera. Se debe considerar formato ddmm-yy. Aprobacin CSI o Direccin / Fecha: Se debe sealar para cundo el CSI o la Direccin aprobar tales medidas de mejoramiento. Considerar formato dd-mm-yy. INVENTARIO DE ACTIVOS Y RIESGOS Actualizacin del inventario de activos / Fecha: Se debe sealar cundo se actualizar el inventario de activos de informacin. Dicha accin debe ser consistente con la poltica o procedimiento en el cual se haya definido la periodicidad de tal actualizacin, aunque puede haber otras actualizaciones que se requieran por cambios en los activos o sus atributos. Se debe considerar formato dd-mm-yy. Incorporacin a gestin de riesgos institucional / Fecha: Se debe precisar a partir de cundo el anlisis de riesgo que se ha realizado y actualizado en el SSI, se har parte de la gestin de riesgos institucional, incorporndolo en su planificacin. Se debe considerar formato dd-mmyy.
35
______________________________________________________________________
ANEXO II: Ejemplos de indicadores

Tabla N 3: Ejemplos de indicadores Dominio al Indicador que se vincula Poltica de Seguridad (5.1) Cobertura polticas. de las Mtricas asociadas Etapa desde la cual es factible medir 4
Grado de despliegue y adopcin de polticas en toda la organizacin. Organizacin de la SI (6.1 y 6.2) Alcance de la gestin de riesgos de SI.
Responsabilidad sobre la SI en la organizacin. Responsabilidad sobre la SI terceros. Responsabilidad sobre la SI terceros.
en
en
Gestin de activos (7.1 y 7.2)
Efectividad de la planificacin de la revisin por la direccin. Efectividad de la planificacin de las auditoras externas. Grado de despliegue del inventario de activos. Eficacia de los planes de tratamiento de riesgo.
Porcentaje de los controles de ISO/IEC 27001 aplicables, para los cuales se han escrito, aprobado y comunicado las polticas. Porcentaje de centros de responsabilidad que han adoptado las polticas respecto de toda la organizacin, medido por una auditora, revisin por la direccin o alguna autoevaluacin. Porcentaje de centros de responsabilidad asociados a procesos de negocio que han implementado una estrategia para mantener los riesgos de seguridad de la informacin dentro de los umbrales explcitamente aceptados por la direccin del servicio. Porcentaje de funcionarios a los que se les han asignado y han aceptado formalmente, responsabilidades de seguridad de informacin. Porcentaje de conexiones con terceras partes que han sido identificadas, evaluadas en cuanto a sus riesgos y consideradas seguras. Porcentaje de terceros relevantes u otros que han sido formalmente certificados, conforme a ISO/IEC 27001 u otros estndares de seguridad que sean apropiados. Nmero de revisiones por la direccin realizadas, respecto de las planificadas.
34
34
4 4 bis
Grado de criticidad
Nmero de auditoras internas / externas efectivamente realizadas, respecto de las planificadas. Porcentaje de los activos de informacin analizados en cada fase (inventariados / identificados / responsables nominados / riesgos evaluados / clasificados). Porcentaje de los activos de informacin crtica para los que se implement los planes de tratamiento de riesgos de seguridad de la informacin y se mantuvo estos riesgos dentro de lmites aceptables. Porcentaje de los activos de informacin en
4 bis
36
______________________________________________________________________
de los activos de informacin institucionales. Grado de despliegue y adopcin de polticas de RRHH. cada categora de clasificacin (incluyendo una categora especial: No clasificado an). Porcentaje del personal nuevo (funcionarios, contratistas, consultores, etc.) que han sido totalmente investigados y han aprobado, de acuerdo a las polticas de la institucin antes de comenzar a trabajar. Porcentaje de identificadores de usuario pertenecientes a personas que han dejado la organizacin, activos (o con desactivacin pendiente) e inactivos (archivo y eliminacin pendientes). Nmero de revisiones peridicas de seguridad fsica de las instalaciones, incluidas las actualizaciones del estado de avance de las acciones correctivas y preventivas identificadas en revisiones anteriores. Mantenimientos a los equipos efectuados en relacin a los planificados. 34
Seguridad de RRHH (8.1, 8.2 y 8.3)
Eficacia de procedimientos eliminacin.
los de
34
Seguridad fsica y ambiental (9.1 y 9.2)
Efectividad de revisiones seguridad fsica.
las de
Gestin de Operaciones y Comunicacion es (10.1 al 10.10)
Efectividad del procedimiento de mantencin de equipos. (10.1) % de implementacin actualizaciones sistemas. (10.1) % de implementacin de soluciones a vulnerabilidades de sistemas. (10.1) % de Solicitudes Atendidas de Cambios. (10.2) Cumplimiento y efectividad de los acuerdos de nivel de servicio (SLA) (10.2) Efectividad de de proveedores servicios y sus respectivas entregas de servicio. 10.3 % de proyectos Implementados 10.3 % de Controles ISO NCh 27002 Of.2009 Implementadas
34
(Total Mensual Actualizaciones implementadas)/(Total Anual Actualizaciones publicadas)* 100 (Total Mensual de soluciones a vulnerabilidades implementadas)/(Total Anual Vulnerabilidades detectadas)* 100
34
34
(Total Mensual Solicitudes de Cambios)/(Total Anual Formularios de Gestin de Cambios)* 100 Evaluacin de los costos del tiempo de inactividad debido al incumplimiento de los acuerdos de nivel de servicio. Evaluacin del rendimiento de proveedores incluyendo la calidad de servicio, entrega y costos
34
34
34
(Proyectos en Planificacin Implementados )/(Total Proyectos Planificados)*100 [Total de Controles ISO NCh 27002 Of.2009 Implementadas actuales /Total de Controles ISO NCh 27002 Of.2009]*100
34 34
37
______________________________________________________________________
10.5 % de respaldos exitosos de sistemas crticos e importantes 10.5 % de recuperaciones exitosas de sistemas crticos e importantes 10.6 Existencia y efectividad de estndares, directrices, procedimientos y herramientas de seguridad de redes 10.7 Existencia y efectividad de procedimientos para la gestin de medios removibles 10.8 Existencia y efectividad de polticas, procedimientos y controles para el intercambio seguro de informacin relevante 10.10 Existencia y efectividad de actividades de monitoreo, registro y supervisin 11.1 Existencia, revisin y adecuacin de polticas de control de accesos 11.2 Existencia de un administrador de usuarios, con responsabilidades operativas para asignar y restringir privilegios sobre los sistemas 11.3 Definicin documentada y aplicada de (Total de sistemas crticos e importantes respaldados exitosamente)/(Totalidad de sistemas crticos e importantes)*100 (Total de recuperaciones exitosas de sistemas crticos e importantes)/(Totalidad de sistemas crticos e importantes respaldados)*100 34
34
Evaluacin del N de incidentes de seguridad de red en el mes, categorizados por nivel de gravedad
34
Evaluacin de medidas de seguridad adoptadas para la gestin de medios removibles, en cuanto al almacenamiento, permanencia y eliminacin de informacin contenida en ellos Evaluacin de medidas de seguridad adoptadas en el intercambio de activos de informacin relevante, crtica o sensible
34
34
Tendencia en el nmero de eventos y/o incidentes de seguridad que han sido correctamente registrados, analizados y han conducido a actividades de seguimiento Evaluacin de consistencia entre lo establecido en la poltica y la clasificacin de criticidad de activos de informacin, y respecto a la legislacin y normativa existente Establecer el grado de centralizacin o dispersin de las solicitudes de cambios de privilegios cursados
34
Control de Accesos (11.1 al 11.5)
34
34
Porcentaje de usuarios/puestos de trabajo cuyas responsabilidades en seguridad de la informacin se encuentran formalmente
34
38
______________________________________________________________________
responsabilidades relativas a seguridad de la informacin en los puestos de trabajo 11.4 Existencia y efectividad de controles de seguridad perimetrales e internos, en cuanto a conexin, identificacin, autenticacin, routing, etc. 11.5 Existencia y efectividad de controles de acceso a los sistemas operativos de las plataformas informticas 12.2 Existencia y efectividad de validacin de datos de entrada y salida a/de los sistemas de informacin 12.4 Adopcin y aplicacin de controles de seguridad para los archivos de aplicativos y cdigo fuente 12.5 Existencia y adecuacin de procedimientos formales para el control de cambios Efectividad de los procedimientos de gestin de incidentes. aceptadas.
Evaluacin de logs y estadsticas de las tecnologas de software y hardware implementadas para tales efectos, identificando la relacin numrica entre vulnerabilidades aprovechadas e intentos de accesos o ataques bloqueados y repelidos
34
Nivel de existencia de registro seguro, ID de usuario nico, tcnicas de autenticacin, contraseas robustas, control de utilitarios del S.O., cierre de sesiones inactivas, etc. Y evaluacin de estadsticas de vulnerabilidad y su seguimiento, si existiesen. Porcentaje de sistemas para los cuales los controles de validacin de datos se han definido e implementado, y se han demostrado eficaces mediante pruebas
34
Adquisicin/D esarrollo y Mantencin de Sistemas (12.1 al 12.5)
34
Porcentaje de sistemas evaluados conformes en relacin a la normativa de seguridad existente en estas materias, respecto a aquellos que no han sido evaluados, o no han aprobado la normativa
34
Porcentaje de procesos de cambios que se han realizado conforme a la normativa existente al respecto, en relacin al total de cambios solicitados y realizados Anlisis estadstico de la cantidad y tipo de llamadas a la mesa de soporte TI, relativas a seguridad de la informacin (por ejemplo, los cambios de contrasea; consultas acerca de los riesgos de seguridad de la informacin y los controles, como un porcentaje de todas las consultas). De las estadsticas, crear y publicar un ranking de los centros de responsabilidad (ajustado por el nmero de funcionarios de cada uno),
34
Gestin de Incidentes de SI (13.1 y 13.2)
34
Grado de efectividad de la difusin acerca de los
4 4 bis
39
______________________________________________________________________
procedimientos de gestin de incidentes. Eficiencia y efectividad de las polticas y procedimientos de gestin de incidentes. Efectividad de los controles sobre activos crticos. Efectividad en la implementacin de los planes de continuidad del negocio. Grado de despliegue de los planes de continuidad del negocio. Efectividad de la poltica de cumplimiento. Efectividad del procedimiento de control de cumplimiento por parte de los terceros. Efectividad de las auditoras o revisiones normativas. Efectividad del SSI mostrando aquellos que son claramente conscientes de la seguridad frente a aquellos que no lo son. Nmero y gravedad de los incidentes de SI; evaluaciones de los costos asociados al anlisis, detencin y reparacin de los incidentes, as como las prdidas sufridas, tangibles e intangibles. Porcentaje de incidentes de seguridad que generaron costos por encima de los umbrales aceptables definidos por la direccin. Porcentaje de planes de continuidad del negocio en cada etapa del ciclo de vida (requerido / especificado / documentado / probado). Porcentaje de centros de responsabilidad con planes de continuidad del negocio que han sido adecuadamente documentados y probados con pruebas dentro de los ltimos 12 meses. Nmero de requerimientos legales agrupados y analizados por estado (cerrado, abierto, nuevo, atrasado) y nivel de significacin o riesgo (extremo, alto, medio o bajo). Porcentaje de requerimientos externos claves considerados cumplidos a travs de auditoria(s) u otros medios aceptables.
34
4 4 bis
Gestin de Continuidad del Negocio (14.1)
34
4 4 bis
Cumplimiento (15.1, 15.2 y 15.3)
34
Efectividad auditoras
de
las
Efectividad del control de acciones correctivas. Eficacia en el control de acciones correctivas.
Nmero de polticas internas y otros requerimientos o recomendaciones agrupados y analizados por estado (cerrado, abierto, nuevo, atrasado) y nivel de significacin o riesgo (extremo, alto, medio o bajo). Porcentaje revisiones de cumplimiento de SI sin registros de incumplimientos substanciales de los controles. Nmero de recomendaciones de auditora agrupadas y analizadas por estado (cerrado, abierto, nuevo, atrasado) y nivel de significacin o riesgo (alto, medio o bajo). Porcentaje de hallazgos de auditora de SI que se han resuelto y cerrado, respecto del total que se abri en el mismo perodo. Plazos reales en que se resolvieron o cerraron las recomendaciones, respecto de las fechas planificadas.
4 y 4 bis
4 y 4 bis
4 y 4 bis
4 y 4 bis
40
______________________________________________________________________
Porcentaje de riesgos identificados 1 considerados con severidad extrema, alta, moderada o baja, adems de los noevaluados Efectividad del SSI Tendencia en el nmero de riesgos 4 4 bis para controlar o relacionados con la seguridad de informacin mitigar los riesgos. para cada nivel de severidad. Eficiencia del SSI. Gastos de la seguridad de informacin como 1 porcentaje del presupuesto asignado. Grado de despliegue Porcentaje de riesgos de seguridad de la 4 o efectividad de los informacin a los que se les han aplicado los controles en forma completa y satisfactoria. controles aplicados. Fuente: Adaptado de ISO27k implementer's forum (www.ISO27001security.com). Est permitida la reproduccin, distribucin, uso y creacin de trabajos derivados de este, siempre y cuando (a) no sean vendidos ni incorporados en ningn producto comercial, (b) sean correctamente atribuidos al ISO27k implementers frum (www.ISO27001security.com), y (c) sean comprados bajo los mismos trminos de ste. Gestin de riesgos en general, no se asocia a un producto en especfico. Grado de despliegue del anlisis de riesgos.
41
ANEXO III: Actividades para la implementacin de controles

Tabla N4: Actividades para la implementacin de controles de S.I. Etapa III
DOMINIO MBITO Difusin de la Poltica General de la Informacin REFERENCIA CONTROL ISO A.5.1.1 REQUISITO/CONTROL La poltica de seguridad de la informacin debera ser comunicada a todos los usuarios de la organizacin de manera pertinente, accesible y comprensible La poltica de seguridad de la informacin debera ser revisada a intervalos planeados o si ocurren cambios significativos para asegurar su continua idoneidad, eficiencia y efectividad. ACTIVIDADES A REALIZAR EN EL PMG/MEI SSI Se debe realizar la difusin del documento Poltica General de Seguridad: o Publicacin en sitios de acceso al personal o Induccin a nuevos funcionarios o Comunicaciones a travs de charlas y reuniones o Oficios informativos o Induccin a partes externas relevantes Someter a revisin la Poltica de Seguridad Institucional en Comit de Seguridad de la Informacin, considerando: o Retroalimentacin de partes interesadas. o Resultados de las revisiones efectuadas por terceras partes. o Estado de acciones preventivas y correctivas o Cambios en los procesos institucionales, directiva, nueva legislacin, tecnologa, etc. o Alertas ante amenazas y vulnerabilidades. o Informacin relacionada a incidentes de seguridad. o Recomendaciones provistas por autoridades relevantes. El Jefe de Servicio deber: o Asegurar que los objetivos de la seguridad de la informacin son identificados, cumplen con los requerimientos de la organizacin, y estn integrados a los procesos relevantes. o Revisar la efectividad en la implantacin de la poltica. o Proveer una direccin clara y el respaldo visible para llevar a cabo las iniciativas de seguridad. o Proveer los recursos necesarios para la seguridad de la informacin o Aprobar planes de capacitacin y sensibilizacin para los funcionarios. o Asegurar que la implementacin de los controles de seguridad se realicen a travs de toda la organizacin. La definicin de responsabilidades debe considerar: o La identificacin de los procesos y activos de informacin relevantes. o Formalizar a los responsables por cada proceso/activo de informacin identificado. o Los distintos niveles de autorizacin para los activos de informacin
Poltica de Seguridad
Revisin de la poltica de seguridad de la informacin
A.5.1.2
Organizacin de la Seguridad de la Informacin
Compromiso de la direccin con la seguridad de la informacin
A.6.1.1
La direccin debera apoyar activamente la seguridad dentro de la organizacin a travs de una direccin clara, compromiso demostrado, asignacin explcita de las responsabilidades de la seguridad de la informacin y su reconocimiento.
Asignacin de las responsabilidades de la seguridad de la informacin
A.6.1.3
Todas las responsabilidades de la seguridad de la informacin deberan estar claramente definidas.
______________________________________________________________________
DOMINIO MBITO REFERENCIA CONTROL ISO A.6.1.4 REQUISITO/CONTROL ACTIVIDADES A REALIZAR EN EL PMG/MEI SSI identificados. Se deben considerar los siguientes lineamientos: o Las nuevas instalaciones debern poseer un mecanismo apropiado de identificacin de usuarios, la que debe ser otorgada por el responsable asignado, verificando el cumplimiento con las polticas de seguridad. o Donde sea necesario, el hardware y el software deber ser chequeado en su compatibilidad con la infraestructura actual. o El uso de dispositivos de carcter personal como laptops o dispositivos de mano, que sean utilizados para procesar informacin de la institucin, podran introducir nuevas vulnerabilidades, por lo tanto deben considerarse controles adicionales. Para identificar los requerimientos de confidencialidad o acuerdos de no divulgacin, se deber considerar: o La clasificacin de la informacin (pblica secreta). o La duracin del acuerdo, incluyendo la duracin indefinida o Las acciones necesarias una vez que el acuerdo haya terminado. o Las responsabilidades para evitar la divulgacin no autorizada de la informacin. o La propiedad de la informacin, la propiedad intelectual y cmo se relaciona con la informacin secreta. o El uso permitido de la informacin secreta. o El derecho de auditar y supervisar actividades que involucren informacin secreta. o La notificacin oportuna frente a una divulgacin no autorizada o violaciones de la informacin secreta. o Los trminos de devolucin o destruccin de la informacin, una vez que cesa un acuerdo. o Las acciones necesarias en el caso de no cumplir con el acuerdo. Se deben mantener contactos con las siguientes autoridades relevantes: o Responsables por el tipo de incidentes de seguridad, o de los procesos de continuidad de negocio y recuperacin ante desastres (proveedores de internet u operadores de telecomunicaciones, etc.). o Entidades reguladoras. o Servicios de emergencia, salud, bomberos, carabineros. En especial el Comit de mbito tcnico y el Encargado de Seguridad deben estar
Autorizacin de proceso para facilidades procesadoras de informacin.
Se debera definir e implantar un proceso de autorizacin por parte de la direccin para las nuevas instalaciones de procesamiento de informacin.
Acuerdos de confidencialidad
A.6.1.5
Se deberan identificar y revisar regularmente que los requerimientos de confidencialidad o acuerdos de no-divulgacin reflejan las necesidades de la organizacin para proteger la informacin.
Contacto con las autoridades
A.6.1.6
Se deberan mantener contactos apropiados con autoridades pertinentes.
los las
Contacto con
A.6.1.7
Se deberan mantener contactos
43
______________________________________________________________________
DOMINIO MBITO grupos de inters especial REFERENCIA CONTROL ISO REQUISITO/CONTROL apropiados con grupos de inters especial u otros foros de seguridad especializados y asociaciones de profesionales. ACTIVIDADES A REALIZAR EN EL PMG/MEI SSI provisto de boletines y contacto permanente con las entidades de seguridad vigentes, considerando: o Mejorar el conocimiento acerca de las buenas prcticas y mantenerse al da en materias de seguridad de la informacin. o Garantizar que la comprensin del ambiente de seguridad de la informacin es actual y completa. o Recibir oportunamente las alertas, boletines y parches previniendo posibles ataques o vulnerabilidades. o Tener acceso a asesora especializada sobre seguridad de la informacin. o Compartir e intercambiar informacin sobre nuevas tecnologas, productos, amenazas o vulnerabilidades. o Proveer puntos adecuados de enlace para el manejo de incidentes de seguridad de la informacin. Se debe coordinar con una entidad externa (auditor interno o consultor externo) para realizar una revisin de las actividades de implantacin al menos 1 vez al ao.
Revisin independiente de la seguridad de la informacin
A.6.1.8
Identificacin de los riesgos relacionados con los grupos externos
A.6.2.1
Se debera revisar el enfoque de la organizacin en la gestin de la seguridad de la informacin y su implementacin (es decir: objetivos de control, controles, polticas, procesos y procedimientos para la seguridad de la informacin) de manera independiente a intervalos planificados, o cuando ocurran cambios significativos en la implementacin de la seguridad. Se deberan identificar los riesgos asociados a la informacin del Servicio y sus medios de procesamiento a raz de procesos de negocio que involucran a entidades externas y se deberan implementar controles apropiados antes de otorgarles acceso.
Se deben identificar los riesgos relacionados con el acceso de terceros, teniendo en consideracin: o Las instalaciones de procesamiento de informacin a los cuales requiere tener acceso la entidad externa. o Qu tipo de acceso requiere el tercero (fsico, lgico, conexin de red, on-site, off-site, etc.). o El valor, sensibilidad y criticidad de la informacin involucrada. o Los controles necesarios para proteger la informacin que no deba ser accesada por terceros. o Cmo se identifican y verifican los accesos. o Los medios y controles utilizados por los terceros para almacenar, transmitir, procesar o intercambiar informacin.
44
______________________________________________________________________
DOMINIO MBITO REFERENCIA CONTROL ISO REQUISITO/CONTROL ACTIVIDADES A REALIZAR EN EL PMG/MEI SSI o Impacto del acceso denegado al tercero, o que el tercero ingrese o reciba informacin inexacta o engaosa. o Prcticas y procedimientos para manejar cualquier incidente de seguridad de la informacin, daos potenciales y trminos y condiciones para la continuidad del acceso de la parte externa en el caso de un incidente de seguridad de la informacin. o Requerimientos legales y regulatorios y otras obligaciones contractuales con el tercero que deban ser tenidos en cuenta. o Los intereses de los clientes/usuarios/beneficiarios que puedan ser afectados por los acuerdos. El tratamiento de la seguridad de los activos debe incluir: o Procedimientos para proteger los activos. o Procedimientos para determinar si se han comprometido los activos (prdida, modificaciones de datos, etc). o Proteccin de su integridad. o Restricciones para el copiado y la divulgacin de informacin. o Descripcin del producto o servicio a ser provisto. o Diferentes razones, requisitos y beneficios del acceso al cliente/usuario/beneficiario. o Polticas de control de acceso. o Acuerdos para el informe, notificacin e investigacin de inexactitudes en la informacin, incidentes de seguridad de la informacin y violaciones de seguridad. o Una descripcin de cada servicio que va a estar disponible. o El nivel a alcanzar por el servicio y los niveles inaceptables del servicio o El derecho al monitoreo o seguimiento y a revocar cualquier actividad relacionada con los activos de informacin del Servicio. o Responsabilidades legales, contractuales y derechos de propiedad intelectual. Dentro de los acuerdos o contratos, se debe considerar: o La poltica de seguridad de la informacin. o Los controles para asegurar la proteccin de los activos. o La capacitacin y concientizacin de los usuarios y administradores en materias de seguridad. o Disposicin para la transferencia del personal, cuando corresponda. o Responsabilidades respecto a la instalacin y mantenimiento del hardware y software.
Tratamiento de la seguridad cuando se lidia con terceros
A.6.2.2
Se deberan tratar todos los requerimientos de seguridad identificados antes de proporcionar a clientes/usuarios/beneficiarios, acceso a la informacin o activos del Servicio.
Tratamiento de la seguridad en acuerdos con terceros
A.6.2.3
Los acuerdos con terceros que involucran el acceso, procesamiento, comunicacin o manejo de la informacin o medios de procesamiento de informacin del Servicio, o los contratos que impliquen agregar productos o servicios a los medios de
45
______________________________________________________________________
DOMINIO MBITO REFERENCIA CONTROL ISO REQUISITO/CONTROL procesamiento de informacin deberan abarcar todos los requerimientos de seguridad relevantes. o o o o ACTIVIDADES A REALIZAR EN EL PMG/MEI SSI Una estructura de informes clara y formatos de informe convenidos. Un proceso claro y especificado para la gestin de cambios. Polticas de control de accesos. Acuerdos para el informe, notificacin e investigacin de inexactitudes en la informacin, incidentes de seguridad de la informacin y violaciones de seguridad. o Una descripcin de cada servicio que va a ser provisto. o El nivel a alcanzar por el servicio y los niveles inaceptables del servicio. o La definicin de criterios verificables de rendimiento, su seguimiento e informe. o El derecho al monitoreo o seguimiento y a revocar cualquier actividad relacionada con los activos de informacin del Servicio. o El derecho a auditar responsabilidades definidas en el acuerdo, a que dichas auditoras sean efectuadas por terceros y a enumerar los derechos estatutarios de los auditores. o Responsabilidades legales, contractuales y derechos de propiedad intelectual. o Acuerdos para el manejo de incidentes de seguridad. o Requerimientos de continuidad. o Condiciones para la negociacin o trminos de contratos. Se deben identificar todos los activos de informacin incluyendo bases de datos y archivos de datos, manuales, material de entrenamiento, procedimientos de operacin y soporte, planes de continuidad y contingencia, pistas de auditora, informacin almacenada, aplicaciones, sistemas operativos, herramientas de desarrollo y utilitarios, computadores, equipos de telecomunicaciones, medios removibles, personas, especialistas y encargados. Se sugiere incorporar servicios de procesamiento y comunicaciones, servicios generales como luz, agua, HVAC, etc; adems de intangibles, como la imagen de la institucin y su reputacin. El responsable tiene a su cargo lo siguiente: o Asegurar que los activos de informacin son debidamente clasificados, considerando su criticidad y la Ley 20.285. o Definir y revisar peridicamente los accesos de acuerdo a la poltica correspondiente. Se debe crear un procedimiento para el manejo y uso de los activos crticos identificados, incluyendo: o Reglas para el correo electrnico e Internet
Inventario de los activos
A.7.1.1
Se deben identificar los activos de informacin, elaborar un inventario de ellos y mantenerlo actualizado.
Gestin de Activos
Propiedad de los activos
A.7.1.2
Uso aceptable de los activos
A.7.1.3
Toda la informacin y los activos asociados con los medios de procesamiento de informacin deben ser responsabilidad de una parte designada de la organizacin. Se deben identificar, documentar e implementar reglas para el uso aceptable de la informacin y los
46
______________________________________________________________________
DOMINIO MBITO REFERENCIA CONTROL ISO REQUISITO/CONTROL activos asociados con los medios del procesamiento de la informacin. Se debe clasificar la informacin en trminos de su valor, requerimientos legales, sensibilidad y grado crtico para la institucin Se debe desarrollar e implementar un conjunto apropiado de procedimientos para el etiquetado y manejo de la informacin en concordancia con el esquema de clasificacin adoptado por la institucin Se deberan definir y documentar los roles y responsabilidades de la seguridad de los funcionarios, personal a honorarios y terceros en concordancia con la poltica de seguridad de la informacin de la organizacin. La verificacin de antecedentes de todos los candidatos para el cargo, contratistas y terceros deberan llevarse a cabo en concordancia con las leyes, regulaciones y tica ser relevantes; y deberan proporcionales a los requerimientos de la funcin, la clasificacin de la informacin a la cual se va a tener acceso y los riesgos percibidos. Como parte de su obligacin los usuarios contractual, ACTIVIDADES A REALIZAR EN EL PMG/MEI SSI o Guas para el uso de dispositivos mviles, especialmente fuera de la organizacin. o Normas para el copiado, almacenamiento y destruccin. Una vez identificados los activos de informacin relevantes por cada proceso institucional, debe ser clasificada su informacin de acuerdo a las regulaciones legales de la institucin y las definiciones del dueo del proceso. Tambin se debe considerar las disposiciones de la ley 20.285. Se debe etiquetar los activos de informacin identificados, de acuerdo a su clasificacin, cubriendo tanto activos fsicos como electrnicos.
Lineamientos de clasificacin
A.7.2.1
Etiquetado y manejo de la informacin
A.7.2.2
Roles y responsabilidades
A.8.1.1
Seguridad de recursos humanos
Investigacin de antecedentes
A.8.1.2
Los roles y responsabilidades deben incluir los requerimientos para: o Implementar y actuar de acuerdo a las polticas de seguridad de la informacin. o Proteger los activos de informacin. o Ejecutar actividades especficas de seguridad. o Asegurar que la responsabilidad sea asignada al individuo por acciones tomadas. o Reportar cualquier incidente de seguridad. Para cada candidato a empleo dentro de la institucin, se debe investigar: o La disponibilidad de referencias satisfactorias tanto como trabajador como personales. o Un chequeo completo de su CV en cuanto a integridad y exactitud. o Confirmacin de sus antecedentes acadmicos y profesionales. o Comprobacin de la identidad. o Solicitud de certificado de antecedentes personales.
Trminos y condiciones del
A.8.1.3
Para todos los funcionarios, personal a honorarios y terceros, deber firmarse un acuerdo de confidencialidad.
47
______________________________________________________________________
DOMINIO MBITO empleo REFERENCIA CONTROL ISO REQUISITO/CONTROL funcionarios, personal a honorarios y terceros deberan aceptar y firmar un contrato con los trminos y condiciones de su funcin, el cual debera establecer sus responsabilidades y las de la institucin para la seguridad de la informacin. ACTIVIDADES A REALIZAR EN EL PMG/MEI SSI Se debern especificar sus derechos y deberes, considerando la propiedad intelectual y requerimientos legales. Se debe especificar sus responsabilidades para la clasificacin y manejo de activos de informacin. Se debe especificar las responsabilidades por la administracin de informacin recibida de otros Servicios u organizaciones externas. Se debe especificar las responsabilidades del Servicio para el manejo de la informacin personal de sus funcionarios y personal a honorarios. Se deben especificar las responsabilidades que se extienden fuera de las instalaciones del Servicio y fuera del horario de oficina, por ejemplo, cuando se trabaja desde la casa. Se debe especificar las acciones contra los funcionarios, personal a honorarios, y terceros, a ser llevadas a cabo si se desatienden los requisitos de seguridad. La direccin debe establecer, que los funcionarios, personal a honorarios y terceros: o Estn apropiadamente instruidos en materias de seguridad de la informacin, antes de otorgarles accesos a los activos de informacin. o Estn orientados sobre las expectativas de su rol sobre seguridad de la informacin dentro del Servicio. o Sean motivados a cumplir con las polticas de seguridad del Servicio. o Logren un nivel de conciencia sobre seguridad de la informacin acorde a sus roles y responsabilidades dentro del Servicio o Aceptan las normativas de seguridad de la informacin y mtodos apropiados de trabajo. o Continen teniendo aptitudes y calificaciones apropiadas. Se deben realizar actividades de capacitacin permanentes a todo el personal en materias de seguridad de la informacin. Para el personal nuevo, debe incluirse esta materia en las charlas de induccin. Deben incluirse materias especficas para funciones especficas dentro de la institucin.
Responsabilidades de la direccin
A.8.2.1
La direccin debera requerir a los usuarios funcionarios, personal a honorarios y terceras personas que apliquen la seguridad en concordancia con polticas y procedimientos bien establecidos por la institucin.
Conocimiento, educacin y capacitacin en seguridad de la informacin
A.8.2.2
Proceso
A.8.2.3
Todos los funcionarios de la institucin, personal a honorarios y, cuando sea relevante, los terceros deberan recibir una adecuada capacitacin en seguridad y actualizaciones regulares sobre las polticas y procedimientos institucionales conforme sea relevante para su funcin laboral. Debera existir un proceso
Se debe establecer dentro del nombramiento o del contrato para honorarios, una
48
______________________________________________________________________
DOMINIO MBITO disciplinario REFERENCIA CONTROL ISO REQUISITO/CONTROL disciplinario para los funcionarios que han cometido una violacin a la seguridad. Se deberan definir y asignar claramente las responsabilidades de realizar la desvinculacin o cambio en las funciones Todos los usuarios funcionarios, personal a honorarios y terceras personas deberan devolver todos los activos de la institucin que tengan en su posesin al trmino de su empleo, contrato o acuerdo. Los derechos de acceso de todos los usuarios funcionarios, personal a honorarios y terceras personas a la informacin y los medios de procesamiento de informacin deberan ser removidos como consecuencia de su desvinculacin, o deberan ser ajustados si sus funciones cambian Se deberan utilizar permetros de seguridad (barreras tales como paredes, rejas de entrada controladas por tarjetas o recepcionistas) para proteger las reas que contienen informacin y medios de procesamiento de informacin. ACTIVIDADES A REALIZAR EN EL PMG/MEI SSI declaracin sobre la obligacin de tomar razn sobre las polticas y procedimientos relativos a la seguridad de la informacin, y que su incumplimiento derivar en las sanciones correspondientes definidas en la Ley. Se debe incluir dentro de las resoluciones de nombramiento o de contratos a honorarios las responsabilidades de acuerdo al tipo de informacin manejada por el funcionario, y las contenidas dentro de un contrato de confidencialidad, an por un tiempo luego de la desvinculacin. Se debe crear un procedimiento de devolucin y reutilizacin de activos una vez que se desvinculen los funcionarios o se produzca el cese del contrato a honorarios o con terceros. Este debe incluir el borrado efectivo de los datos y la estandarizacin del sistema al nuevo usuario.
Responsabilidades de trmino
A.8.3.1
Devolucin de los activos
A.8.3.2
Retiro de los derechos de acceso
A.8.3.3
Se debe crear un procedimiento de baja de usuarios en los sistemas de informacin, que considere la revocacin de sus cuentas de acceso y privilegios, dependiendo de los siguientes factores de riesgo: o Cuando el trmino o cambio de puesto es iniciado por el funcionario, personal a honorarios o terceros, o por razones administrativas. o Las responsabilidades actuales del funcionario, personal a honorarios o tercero. o El valor de los activos que actualmente maneja. Los permetros de seguridad deben ser claramente definidos, y la fortaleza de cada uno de ellos dependern de los niveles de seguridad que requieran los activos de informacin de acuerdo a su nivel de exposicin al riesgo. Los permetros deben tener solidez fsica y deben estar protegidos por alarmas sonoras, rejas, candados, etc. Las puertas y ventanas deben ser debidamente protegidas del acceso no autorizado. Se debe considerar un recepcionista de entrada. Donde sea aplicable, se deben mantener barreras fsicas para evistar el acceso no autorizado. Todas las puertas contra incendio deben tener alarmas, ser monitoreadas y probadas para establecer su nivel de resistencia. Deben estar regularizadas acorde a los estndares locales. Deben existir sistemas de deteccin de intrusos acorde a estndares internacionales y deben cubrir todos los lugares que permitan el acceso. Las reas
Seguridad Fsica y Ambiental
Permetro de seguridad fsica
A.9.1.1
49
______________________________________________________________________
DOMINIO MBITO REFERENCIA CONTROL ISO REQUISITO/CONTROL ACTIVIDADES A REALIZAR EN EL PMG/MEI SSI no ocupadas deben estar siempre equipadas con sistemas de seguridad. Las instalaciones que sean manejadas por la institucin deben estar fsicamente separadas de aquellas que son manejadas por terceros. Los lineamientos anteriores deben, adems, quedar establecidos dentro de una poltica o procedimiento. Los siguientes lineamientos deben ser considerados: o La fecha y la hora de la entrada y salida deben ser registrados y todos los visitantes deben ser supervisados a menos que su acceso se haya aprobado previamente, el acceso debe ser concedido slo para propsitos y reas especficas y deben tomar conocimiento de las instrucciones y procedimientos de seguridad de dicha rea. o El acceso a la reas donde se procesa o almacena informacin sensible debe ser controlado y restringido slo a las personas autorizadas. Se deben utilizar controles de autenticacin como tarjetas de acceso con PIN, para autorizar y validar todos los accesos y se debe dejar un registro auditable. o Todos los funcionarios, personal a honorarios y terceros as como todos los visitantes deben utilizar una credencial visible, y se debe notificar inmediatamente al personal de seguridad si se encuentran visitantes no acompaados y a cualquier persona que no lleve la identificacin visible. o Se debe conceder el acceso restringido del personal de soporte de terceras partes a las reas seguras o sensibles slo cuando sea requerido; este acceso debe ser autorizado y supervisado. o Los derechos de acceso deben ser regularmente revisados, actualizados y revocados cuando sea necesario. o Los lineamientos anteriores deben, adems, quedar establecidos dentro de una poltica o procedimiento. Deben considerarse los siguientes lineamientos: o Deben tomarse en cuenta las regulaciones y normativas referentes a higiene y seguridad. o Debe existir un estndar para la eleccin de contraseas robustas. o Las instalaciones crticas deben situarse evitando el acceso pblico. o Debe evitarse la sealtica que evidencie demasiado un centro de procesamiento. o Debe existir un directorio telefnico del personal clave, que est fcilmente disponible pero no al pblico en general. o Los lineamientos anteriores deben, adems, quedar establecidos dentro de
Controles de ingreso fsico
A.9.1.2
Las reas seguras deberan protegerse mediante controles de ingreso apropiados para asegurar que slo se le permita el acceso al personal autorizado.
Asegurar las oficinas, habitaciones y medios
A.9.1.3
Se debera disear y aplicar la seguridad fsica para las oficinas, despachos e instalaciones.
50
______________________________________________________________________
DOMINIO MBITO REFERENCIA CONTROL ISO REQUISITO/CONTROL ACTIVIDADES A REALIZAR EN EL PMG/MEI SSI una poltica o procedimiento. Proteccin contra amenazas externas e internas A.9.1.4 Se debera asignar y aplicar proteccin fsica contra dao por fuego, inundacin, terremoto, explosin, revuelta civil y otras formas de desastres naturales o causados por el hombre. Deben considerarse los siguientes lineamientos: o Materiales peligrosos o inflamables deben ser almacenados a una distancia prudente en un rea segura. o Equipamiento de contingencia debe ser instalado a una distancia adecuada en un rea segura para evitar el dao frente a un desastre que afecte al sitio principal. o Equipamiento de extincin de incendios debe ser provisto y de rpido acceso. o Los lineamientos anteriores deben, adems, quedar establecidos dentro de una poltica o procedimiento. Deben considerarse los siguientes lineamientos: o El personal slo debe conocer la existencia de un rea segura (o asegurada) si por sus actividades lo requiere para desarrollar su trabajo. o El trabajo no supervisado en las reas seguras, debe ser evitado tanto por razones de seguridad como para prevenir actividades maliciosas. o Las reas seguras desocupadas deben ser fsicamente cerradas y chequeadas peridicamente. o Cmaras fotogrficas, de video, audio u otros dispositivos de reproduccin, no deben ser permitidos a menos que estn expresamente autorizados. o Los lineamientos anteriores deben, adems, quedar establecidos dentro de una poltica o procedimiento. Deben considerarse los siguientes lineamientos: o El acceso a la entrega y carga desde fuera del edificio debe ser restringido a personal debidamente identificado y autorizado. o Las puertas externas deben ser aseguradas cuando se abran las puertas internas. o El material que ingrese debe ser inspeccionado para evitar posibles amenazas antes de que sea ingresado a su lugar de utilizacin. o Los envos entrantes y salientes deben segregarse fsicamente. o Los lineamientos anteriores deben, adems, quedar establecidos dentro de una poltica o procedimiento. Deben considerarse los siguientes lineamientos: o El equipamiento debe situarse de manera de minimizar el acceso innecesario a las reas de trabajo. o Las instalaciones de procesamiento de informacin y los equipos deben ser
Trabajo en reas aseguradas
A.9.1.5
Se debera disear y aplicar la proteccin fsica y los lineamientos para trabajar en reas aseguradas.
reas de acceso pblico, entrega y carga
A.9.1.6
Se deberan controlar los puntos de acceso como las reas de entrega y carga y otros puntos por donde personas no-autorizadas pudieran ingresar a las instalaciones y, si fuese posible, deberan aislarse de los medios de procesamiento de informacin para evitar el acceso no autorizado. Se debera ubicar o proteger el equipo para reducir las amenazas y peligros ambientales y oportunidades de acceso no-
Ubicacin y proteccin del equipo
A.9.2.1
51
______________________________________________________________________
DOMINIO MBITO REFERENCIA CONTROL ISO REQUISITO/CONTROL autorizado ACTIVIDADES A REALIZAR EN EL PMG/MEI SSI ubicados de forma que su ngulo de visin quede restringido para reducir el riesgo de que la informacin sea vista por personas no autorizadas, y las instalaciones aseguradas para evitar el acceso no autorizado. o Los activos de informacin que requieren proteccin especial se deben aislar. o Deben adoptarse controles que minimicen los riesgos de amenazas fsicas, ejemplo: robos, fuego, explosivos, humo, polvo, vibracin, etc. o Procedimientos sobre no comer, beber o fumar cerca de los equipos de procesamiento de informacin. o Se deben implementar las condiciones ambientales mnimas como temperatura, humedad, y deben ser monitoreadas. o Se debe implementar proteccin ante fallas en el suministro elctrico, y proteger las lneas de alimentacin. o Los lineamientos anteriores deben, adems, quedar establecidos dentro de una poltica o procedimiento. Todos los equipos y activos de informacin que formen parte de la infraestructura crtica de TICs (Servidores, Switches, Routers, Ventilacin, etc.), deben ser alimentados con una red elctrica independiente a la de alumbrado y protegida a travs de equipos UPS que garanticen su funcionamiento ante cortes elctricos. Los lineamientos anteriores deben, adems, quedar establecidos dentro de una poltica o procedimiento. Se deben considerar los siguientes lineamientos: o Las lneas de energa y telecomunicaciones hacia las instalaciones de procesamiento de informacin, dentro de lo posible deben ser subterrneas, o sujetas a una proteccin alternativa. o El cableado de red debe ser protegido ante intercepcin no autorizada o dao. o Los cables de poder deben estar separados de los de datos para evitar interferencia. o Los cables deben rotularse adecuadamente para reducir al mnimo los errores de manejo. o Se debe utilizar una lista documentada de las conexiones para reducir la posibilidad de errores. o Se deben considerar controles adicionales para los sistemas crticos, como instalacin de conductos blindados en los terminales de inspeccin, uso de medios de transmisin alternativos que proporcionen una adecuada seguridad, utilizar cableado de fibra ptica, utilizar cubiertas contra campos electromagnticos para proteger los cables.
Servicios bsicos de soporte
A.9.2.2
Se debera proteger el equipo de fallas de energa y otras interrupciones causadas por fallas en los servicios bsicos de soporte.
Seguridad del cableado
A.9.2.3
El cableado de la energa y las telecomunicaciones que transporta datos o brinda soporte a los servicios de informacin debera protegerse contra la interceptacin o dao.
52
______________________________________________________________________
DOMINIO MBITO REFERENCIA CONTROL ISO REQUISITO/CONTROL ACTIVIDADES A REALIZAR EN EL PMG/MEI SSI o Se deben realizar barridos tcnicos e inspecciones fsicas contra dispositivos no autorizados conectados a los cables. o Debe existir un mapa de los patch panels y un acceso controlado a la sala de cables. o Los lineamientos anteriores deben, adems, quedar establecidos dentro de una poltica o procedimiento. Se deben considerar los siguientes lineamientos: o Los equipos deben mantenerse acorde a lo recomendado por el fabricante. o Slo personal autorizado debe realizar las mantenciones. o Se deben registrar las mantenciones preventivas y correctivas y las fallas reales o sospechosas. o Deben incorporarse controles especficos cuando el equipamiento sea mantenido (ejemplo, respaldos de informacin, configuraciones, etc.). o Se deben considerar plizas de seguros para el equipamiento y cumplir con sus requisitos. o Los lineamientos anteriores deben, adems, quedar establecidos dentro de una poltica o procedimiento. Se deben considerar los siguientes lineamientos: o El equipamiento que es retirado de las reas seguras no debe ser dejado desatendido en reas de acceso pblico. Si se debe viajar con el laptop, ste debe ser transportado como equipaje de mano. o Se deben observar siempre las instrucciones del fabricante para proteger los equipos, por ejemplo, contra exposiciones a campos electromagnticos intensos. o Se deben considerar medidas de seguridad para el tele-trabajo o Las plizas de seguros deben considerar el equipamiento fuera de las reas seguras. o Los lineamientos anteriores deben, adems, quedar establecidos dentro de una poltica o procedimiento. Deben existir e implementarse procedimientos de borrado seguro de datos y de reutilizacin de equipos.
Mantenimiento de equipo
A.9.2.4
Se debera mantener correctamente el equipo para asegurar su continua disponibilidad e integridad.
Seguridad del equipo fuera de las instalaciones de la organizacin.
A.9.2.5
Se debera aplicar seguridad al equipo fuera de las dependencias del Servicio tomando en cuenta los diferentes riesgos de trabajar fuera de las instalaciones de la organizacin.
Seguridad en la eliminacin o reutilizacin del equipo
A.9.2.6
Se deberan chequear los tems del equipo que contiene medios de almacenaje para asegurar que se haya retirado o sobre-escrito cualquier data confidencial o licencia de software antes de su eliminacin.
53
______________________________________________________________________
DOMINIO MBITO Retiro de bienes REFERENCIA CONTROL ISO A.9.2.7 REQUISITO/CONTROL El equipamiento, la informacin o el software no debera retirarse sin autorizacin previa. ACTIVIDADES A REALIZAR EN EL PMG/MEI SSI Se deben considerar los siguientes lineamientos: o El equipamiento, la informacin o el software no deben retirarse de las dependencias de la organizacin sin previa autorizacin. o Debe identificarse claramente al personal que tenga autorizacin para retirar equipamiento fuera de las dependencias del Servicio. o Debe especificarse un tiempo mximo para el equipamiento retirado y verificarse el cumplimiento de retorno. o Debe registrarse tanto la salida del equipamiento de las dependencias del Servicio, como el retorno del mismo. Deben existir procedimientos para la operacin de la infraestructura crtica de TICs incluyendo lo siguiente: o Manejo y procesamiento de la informacin. o Respaldos. o Requerimientos de tareas automatizadas, incluyendo las dependencias con otros sistemas. Alerta sobre tareas ejecutadas correcta e incorrectamente. o Instrucciones para manejar errores o condiciones excepcionales. o Contactos de soporte ante la eventualidad de dificultades tcnicas. o Procedimientos de manejo de medios y de retencin de datos. o Reinicio de sistemas y procedimientos de recuperacin ante fallas de los sistemas. o Procedimientos de administracin de logs de auditora. Se deben considerar los siguientes tems: o Identificacin y registro de cambios significantes. o Planeamiento y chequeo de los cambios. o Evaluacin de los potenciales impactos, incluyendo la seguridad de la informacin. o Procedimiento formal de aprobacin para los cambios propuestos. o Comunicacin efectiva de los detalles del cambio a las personas relevantes. o Procedimientos de vuelta atrs, que incluyan responsabilidades de abortar y recuperar ante cambios no satisfactorios. Deben crearse perfiles de usuario que sean consecuentes con las descripciones del cargo que desempean, y que contengan los mnimos accesos a los sistemas de informacin para llevar a cabo sus funciones. El Encargado de seguridad debe validar estos perfiles y auditarlos al menos 2 veces al ao
Procedimientos de operacin documentados
A.10.1.1
Los procedimientos de operacin se deberan documentar, mantener y poner a disposicin de todos los usuarios que los necesiten.
Gestin de las comunicaciones y operaciones

Gestin del cambio
A.10.1.2
Se deberan controlar los cambios en los medios y sistemas de procesamiento de la informacin.
Segregacin de los deberes
A.10.1.3
Los deberes y reas de responsabilidad deberan estar segregados para reducir las oportunidades de una modificacin no-autorizada o mal uso nointencional o mal uso de los activos
54
______________________________________________________________________
DOMINIO MBITO REFERENCIA CONTROL ISO REQUISITO/CONTROL de la institucin Separacin de los medios de desarrollo, prueba y operacin A.10.1.4 Los medios de desarrollo, prueba y operacin deberan estar separados para reducir los riesgos de acceso no-autorizado o cambios en el sistema operacional. Los siguientes tems deben ser considerados: o Polticas y procedimientos para la transferencia del software desde ambientes de desarrollo a produccin, y registro de actividad. o Las aplicaciones de desarrollo y produccin deben correr en ambientes fsica/lgicamente separados. o Los compiladores, editores y cualquier herramienta de desarrollo no debe quedar disponible desde sistemas en produccin. o Los sistemas de pruebas deben emular lo ms cercano posible a los ambientes productivos. o Los usuarios debern utilizar distintos perfiles para sistemas productivos y de prueba. o Los datos sensibles no deben ser copiados hacia ambientes de prueba. Deben existir acuerdos de niveles de seguridad, definiciones de servicios y aspectos de la administracin de los servicios. Deben existir acuerdos de servicio para la recuperacin ante desastres o fallas. ACTIVIDADES A REALIZAR EN EL PMG/MEI SSI
Entrega del servicio
A.10.2.1
Monitoreo y revisin de los servicios de terceros
A.10.2.2
Se debera asegurar que los controles de seguridad, definiciones del servicio y niveles de entrega incluidos en el acuerdo de entrega del servicio de terceros se implementen, operen y mantengan. Los servicios, reportes y registros provistos por terceros deberan ser monitoreados y revisados regularmente, y se deberan llevar a cabo auditoras regularmente.
Manejo de cambios en los servicios de terceros
A.10.2.3
Se deberan manejar los cambios en la provisin de servicios, incluyendo el mantenimiento y mejoramiento de las polticas, procedimientos y controles de seguridad de la informacin
Debe existir una relacin de administracin de los servicios y procesos entre la institucin y los terceros para: o Monitorear los niveles de servicio y chequear su adherencia a los acuerdos. o Revisar los reportes generados por los terceros y acordar reuniones. o Proveer informacin ante incidentes de seguridad de manera de dar cumplimiento a la normativa de seguridad. o Revisar los registros de auditora de los terceros, frente a problemas de seguridad, operacionales, fallas, y discontinuidad de servicio. o Resolver y administrar los problemas identificados. El proceso de administracin de cambios, necesita manejar: o Los cambios realizados por la institucin para implementar mejoras a los servicios ofrecidos; desarrollo de cualquier nueva aplicacin o sistema; modificaciones o actualizaciones de los procedimientos o polticas de la institucin; nuevos controles que resuelvan incidentes de seguridad o mejoren el nivel.
55
______________________________________________________________________
DOMINIO MBITO REFERENCIA CONTROL ISO REQUISITO/CONTROL existentes teniendo en cuenta el grado crtico de los sistemas y procesos del negocio involucrados y la re-evaluacin de los riesgos. Se debera monitorear, afinar el uso de los recursos y se deberan realizar proyecciones de los requerimientos de capacidad futura para asegurar el desempeo requerido del sistema. Se debera establecer el criterio de aceptacin de los sistemas de informacin nuevos, actualizaciones o versiones nuevas y se deberan realizar pruebas adecuadas del sistema(s) durante el desarrollo y antes de su aceptacin. ACTIVIDADES A REALIZAR EN EL PMG/MEI SSI o Los cambios realizados por los terceros para mejorar las redes; el uso de nuevas tecnologas; adopcin de nuevos productos o nuevas versiones; nuevas herramientas de desarrollo y ambientes; cambios a las locaciones fsicas o facilidades de servicio; cambios en los fabricantes. Deben existir informes peridicos del uso de las capacidades de los sistemas productivos crticos, de manera de obtener un estimado de su rendimiento y capacidad mxima sin degradar los servicios.
Gestin de la capacidad
A.10.3.1
Aceptacin del sistema
A.10.3.2
Controles contra cdigos maliciosos
A.10.4.1
Controles de deteccin, prevencin y recuperacin para proteger contra cdigos maliciosos y se deberan implementar procedimientos para el apropiado conocimiento del usuario.
Deben establecerse plataformas de pruebas para la aplicacin de parches y actualizaciones de seguridad antes de ser puestas en produccin, as tambin como el procedimiento asociado. Los siguientes tems deben ser considerados previo a una aceptacin formal: o Requerimientos de capacidad y desempeo. o Procedimiento de recuperacin ante errores y planes de contingencia. o Preparacin y rutinas de pruebas. o Acuerdo de los controles de seguridad a implementar. o Procedimientos de operacin manual. o Acuerdos de continuidad del negocio. o Evidencia de que la instalacin del nuevo sistema, no afectar a los actuales en produccin, en particular en tiempos de utilizacin excesiva. o Evidencia de que la instalacin del nuevo sistema, no afectar al nivel de seguridad actual en produccin. o Entrenamiento en la operacin de los nuevos sistemas. o Facilidad del uso, cmo afectan al desempeo de los usuarios y como prevn errores humanos. Los siguientes lineamientos deben ser considerados: o Establecer una poltica formal que prohba el uso no autorizado de software. o Establecer una poltica formal que proteja ante los riesgos asociados al obtener software y archivos a travs de redes externas, o cualquier otro medio, indicando que medidas preventivas deben ser tomadas. o Efectuar revisiones peridicas del software y los contenidos de los datos de los sistemas que soportan procesos de negocio crticos, y se debe investigar ante la presencia de cualquier archivo no autorizado. o Se debe instalar software que detecte cdigo malicioso que sea enviado a
56
______________________________________________________________________
DOMINIO MBITO REFERENCIA CONTROL ISO REQUISITO/CONTROL ACTIVIDADES A REALIZAR EN EL PMG/MEI SSI travs de cualquier medio y ste debe ser actualizado regularmente. o Definir procedimientos y responsabilidades para tratar con cdigo malicioso, entrenamiento en el uso, reporte y recuperacin ante ataques. o Preparar apropiados planes de continuidad del negocio para recuperarse ante eventuales ataques. o Implementar procedimientos para recopilar regularmente informacin como listas de correo o sitios informativos. Las siguientes acciones deben ser consideradas: o Ejecutar cdigo mvil en un ambiente aislado. o Bloquear cualquier uso de cdigo mvil. o Bloquear la recepcin de cdigo mvil. o Activar medidas tcnicas. o Controlar los recursos a los cuales un cdigo mvil puede acceder. o Utilizar controles criptogrficos para autenticar un cdigo mvil. Los siguientes lineamientos deben ser considerados: o Debe ser definido el nivel necesario de respaldo. o Se deben proveer registros completos y registros de la informacin que se respalda, as tambin como los procedimientos de recuperacin. o La frecuencia de los respaldos debe estar acorde a los requerimientos de la institucin. o Los respaldos deben ser almacenados en una ubicacin remota. o Los medios de respaldo deben ser almacenados en un lugar con proteccin fsica y medioambiental. o Los medios de recuperacin deben ser probados regularmente para asegurar que puedan ser utilizados. o Los procedimientos de restauracin deben ser probados regularmente. o Para los datos confidenciales, se debe proveer con respaldos protegidos con mecanismos de inscripcin. Los siguientes tems deben ser considerados: o Las responsabilidades en la operacin de las redes deben ser separadas de las responsabilidades en el manejo de los servidores. o Deben establecerse responsabilidades y procedimientos de administracin de equipamiento remoto. o Deben establecerse controles especiales para resguardar la confidencialidad e integridad de los datos que viajan sobre redes pblicas o inalmbricas.
Controles contra cdigos mviles
A.10.4.2
Respaldo de informacin
A.10.5.1
Donde se autorice el uso del cdigo mvil, la configuracin debera asegurar que el cdigo mvil autorizado opera de acuerdo con una poltica de seguridad claramente definida, y se debera evitar la ejecucin del cdigo mvil no-autorizado. Se deberan hacer copias de respaldo de la informacin y software y se deberan probar regularmente en concordancia con la poltica de copias de respaldo acordada
Controles de redes
A.10.6.1
Las redes deberan ser adecuadamente manejadas y controladas para poder proteger la informacin en las redes, y mantener la seguridad de los sistemas y aplicaciones utilizando la red, incluyendo la informacin en
57
______________________________________________________________________
DOMINIO MBITO REFERENCIA CONTROL ISO REQUISITO/CONTROL trnsito. Seguridad de los servicios de la red A.10.6.2 En todo contrato de redes se deberan identificar e incluir las caractersticas de seguridad, niveles de servicio y requerimientos de gestin de todos los servicios de red, ya sea que estos servicios sean provistos interna o externamente. Deberan existir procedimientos para la gestin de los medios removibles. ACTIVIDADES A REALIZAR EN EL PMG/MEI SSI o Deben establecerse los mecanismos apropiados de monitoreo y registro de las acciones relevantes para la seguridad. Las caractersticas de seguridad para los servicios de red, deberan: o Aplicar tecnologa para asegurar los servicios de red, tal como autenticacin, encripcin y control de conexiones. o Se deben establecer conexiones seguras a travs de reglas de acceso de acuerdo a los requerimientos de la institucin.
Gestin de medios removibles
A.10.7.1
Procedimientos para el manejo de informacin
A.10.7.2
Se deberan establecer los procedimientos para el manejo y almacenaje de informacin para proteger esta informacin de una divulgacin no-autorizada o mal uso. Se debera proteger la documentacin del sistema con accesos no-autorizados.
Seguridad de la documentacin del sistema
A.10.7.3
Polticas y procedimientos de
A.10.8.1
Se deberan establecer polticas, procedimientos y controles de
Los siguientes lineamientos deben ser considerados: o Si no es necesario, los contenidos de cualquier medio reutilizable, deben ser removidos de la institucin, hacindolos irrecuperables. o Deben establecerse registros de auditora. o Todos los medios deben almacenarse en un ambiente seguro, de acuerdo a las especificaciones del fabricante. o La informacin almacenada en medios removibles que requiera estar disponible despus del tiempo de vida del medio, debe ser almacenado en cualquier otro medio de manera de garantizar que no exista prdida de informacin o Deben ser autorizados los medios removibles de acuerdo a los requerimientos de la institucin. Los siguientes tems deben ser considerados: o Se debe manejar y rotular todos los medios indicando su nivel de clasificacin o Se debe restringir el acceso al personal autorizado. o Se debe mantener un registro formal. o El almacenamiento de los medios debe estar acorde a las especificaciones del fabricante. o Mantener la cadena de custodia al mnimo. Se deben considerar los siguientes tems: o La documentacin del sistema debe ser almacenada en un rea segura. o Las listas de acceso a la documentacin deben mantenerse al mnimo y solo para el dueo del aplicativo. o Si la documentacin es provista en una red pblica, debe ser asegurada. Se deben considerar los siguientes tems: o Los procedimientos diseados para proteger el intercambio de informacin de
58
______________________________________________________________________
DOMINIO MBITO intercambio de informacin REFERENCIA CONTROL ISO REQUISITO/CONTROL intercambio formales para proteger el intercambio de informacin a travs del uso de todos los tipos de medios de comunicacin. ACTIVIDADES A REALIZAR EN EL PMG/MEI SSI la intercepcin, copiado, modificacin, routing equivocado y destruccin. o Los procedimientos para la deteccin y proteccin de contra cdigos maliciosos que pueden ser transmitidos a travs del uso de comunicaciones electrnicas. o Los procedimientos para proteger la informacin electrnica confidencial o Comunicada que est en la forma de un adjunto. o Una poltica o lineamientos para el uso aceptable de los medios de comunicacin electrnicos. o Los procedimientos para el uso de comunicacin inalmbrica, tomando en cuenta los riesgos particulares involucrados. o Las responsabilidades del usuario empleado, contratista y cualquier otro para que no comprometan a la organizacin; por ejemplo, a travs de la difamacin, hostigamiento, suplantacin, re-envo de cadenas de cartas, compras noautorizadas, etc. o El uso de tcnicas de codificacin; por ejemplo, para proteger la confidencialidad, integridad y autenticidad de la informacin. o Los lineamientos de retencin y eliminacin de toda la correspondencia del negocio, incluyendo mensajes, en concordancia con la legislacin y regulaciones nacionales y locales relevantes; o No dejar la informacin confidencial o crtica en medios impresos; por ejemplo, copiadoras, impresoras y mquinas de fax; ya que personal noautorizado puede tener acceso a ellas; o Los controles y restricciones asociados con el re-envo de los medios de comunicacin; por ejemplo, re-envo automtico de correo electrnico a direcciones externas. o Instruir al personal que debera tomar las precauciones apropiadas; por ejemplo, no revelar informacin confidencial cuando realiza una llamada telefnica para evitar ser escuchado o interceptado. o No dejar mensajes conteniendo informacin confidencial en mquinas contestadoras dado que estos pueden ser escuchados por personas noautorizadas. Se deben considerar las siguientes condiciones de seguridad: o El manejo de las responsabilidades para el control y notificacin de la transmisin, despacho y recepcin. o Los procedimientos para notificar al remitente de la transmisin, despacho y recepcin. o Los procedimientos para asegurar el rastreo y no-repudio.
Acuerdos de intercambio
A.10.8.2
Se deberan establecer acuerdos para el intercambio de informacin y software entre la institucin y entidades externas.
59
______________________________________________________________________
DOMINIO MBITO REFERENCIA CONTROL ISO REQUISITO/CONTROL o o o o ACTIVIDADES A REALIZAR EN EL PMG/MEI SSI Los estndares tcnicos mnimos para el empaque y la transmisin. Los acuerdos de depsitos. Los estndares de identificacin del mensajero. Las responsabilidades y obligaciones en el evento de incidentes de seguridad de la informacin, como la prdida de data. o El uso de un sistema de etiquetado acordado para la informacin confidencial o crtica, asegurando que el significado de las etiquetas sea entendido inmediatamente y que la informacin sea adecuadamente protegida. o La propiedad y responsabilidades de la proteccin de data, derechos de autor, licencias de software y consideraciones similares. o Los estndares tcnicos para grabar y leer la informacin y software. o Cualquier control especial que se pueda requerir para proteger los tems confidenciales, como claves criptogrficas. Debe considerarse lo siguiente: o Se deberan utilizar transportes o mensajeras confiables. o Se deberan desarrollar procedimientos para chequear la identificacin de los mensajeros. o El empaque debera ser suficiente para proteger los contenidos de cualquier dao que pudiera surgir durante el trnsito y en concordancia con las especificaciones de cualquier fabricante. o Donde sea necesario, se deberan adoptar controles para proteger la informacin confidencial de la divulgacin o modificacin no-autorizada Debe considerarse lo siguiente: o Proteger los mensajes del acceso no-autorizado, modificacin o negacin del servicio. o Asegurar la correcta direccin y transporte del mensaje. o La confiabilidad y disponibilidad general del servicio. o Las consideraciones legales. o Obtener la aprobacin antes de utilizar los servicios pblicos externos como un mensaje instantneo o intercambio de archivos. o Niveles mayores de autenticacin controlando el acceso de las redes de acceso pblico. Debe considerarse lo siguiente: o Vulnerabilidades conocidas en los sistemas administrativos y contables donde la informacin es compartida entre diferentes partes de la institucin. o Las vulnerabilidades de la informacin en los sistemas de comunicacin
Medios fsicos en trnsito
A.10.8.3
Los medios que contienen informacin deberan ser protegidos contra accesos noautorizados, mal uso o corrupcin durante el transporte ms all de los lmites fsicos de una institucin
Mensajes electrnicos
A.10.8.4
Se debera adecuadamente la involucrada en electrnicos.
proteger informacin mensajes
Sistemas de informacin negocio
A.10.8.5
Se deberan desarrollar implementar polticas procedimientos para proteger informacin asociada con
e y la la
60
______________________________________________________________________
DOMINIO MBITO REFERENCIA CONTROL ISO REQUISITO/CONTROL interconexin de los sistemas de informacin de negocio. ACTIVIDADES A REALIZAR EN EL PMG/MEI SSI comercial; por ejemplo, grabando llamadas o conferencias telefnicas, la confidencialidad de las llamadas, almacenaje de faxes, apertura de correo, distribucin del correo. o Establecer una poltica y los controles apropiados para manejar el intercambio de informacin. o Excluir las categoras de informacin confidencial y los documentos clasificados si el sistema no proporciona un nivel de proteccin apropiado. o Restringir el acceso a la informacin diaria relacionada con personas seleccionadas; por ejemplo, el personal trabajando en proyectos confidenciales. o La retencin y respaldo de la informacin mantenida en el sistema. Se debe considerar lo siguiente (considerar su nivel de aplicabilidad): o El nivel de confianza que cada parte requiere de la identidad de la otra; por ejemplo, a travs de la autenticacin. o Los procesos de autorizacin asociados con aquellos que pueden establecer precios, emitir o firmar documentos de comercializacin. o Asegurar que las contrapartes comerciales estn totalmente informados de sus autorizaciones. o Determinar y cumplir con los requerimientos para la confidencialidad, integridad, prueba de despacho y recepcin de documentos claves, y el norepudio de los contratos; por ejemplo, asociado con procesos de licitacin y contratos. o El nivel de confianza requerido para la integridad de las listas de precios publicitadas; o La confidencialidad de cualquier data o informacin confidencial; o La confidencialidad e integridad de cualquier transaccin, informacin de pago, detalles de la direccin de entrega y la confirmacin de la recepcin; o El grado de verificacin apropiado para chequear la informacin de pago suministrada por un cliente; o Seleccionar la forma de liquidacin ms apropiada del pago para evitar el fraude. o El nivel de proteccin requerido para mantener la confidencialidad e integridad de la informacin de la orden. o Evitar la prdida o duplicacin de la informacin de la transaccin. o La responsabilidad asociada con cualquier transaccin fraudulenta. Se debe considerar lo siguiente:
Comercio electrnico
A.10.9.1
La informacin involucrada en el comercio electrnico que pasa a travs de redes pblicas debera protegerse de la actividad fraudulenta, disputas de contratos, y divulgacin no-autorizada modificacin.
Transacciones en-
A.10.9.2
Se debera proteger la informacin
61
______________________________________________________________________
DOMINIO lnea MBITO REFERENCIA CONTROL ISO REQUISITO/CONTROL involucrada en las transacciones en-lnea para evitar una transmisin incompleta, routing equivocado, alteracin noautorizada del mensaje, divulgacin no-autorizada, duplicacin o repeticin no-autorizada del mensaje. ACTIVIDADES A REALIZAR EN EL PMG/MEI SSI o El uso de firmas electrnicas por cada una de las partes involucradas en la transaccin. o Todos los aspectos de la transaccin. o El camino de las comunicaciones entre las partes involucradas debera ser codificado. o Los protocolos utilizados para comunicarse entre todas las partes involucradas sean seguros. o Asegurar que el almacenaje de los detalle de la transaccin se localice fuera de cualquier ambiente pblico accesible; por ejemplo, en una plataforma de almacenaje existente en el Intranet institucional, y no se mantenga y exponga en un medio de almacenaje directamente accesible desde el Internet. o Utilizar una autoridad confiable (por ejemplo, para propsitos de emitir y mantener firmas digitales y/o certificados digitales) la seguridad es integrada e introducida durante todo el proceso de gestin de firma/certificado de principio a fin. Se deberan controlar cuidadosamente los sistemas de publicacin electrnica, especialmente aquellos que permiten retroalimentacin y el ingreso directo de informacin de manera que: o La informacin se obtenga cumpliendo con la legislacin de proteccin de data. o El input de informacin para, y procesado por, el sistema de publicacin ser procesado completa y exactamente de una manera oportuna. o Se proteger la informacin confidencial durante la recoleccin, procesamiento y almacenaje. o Que el acceso al sistema de publicacin no permita el acceso involuntario a las redes con las cuales se conecta el sistema. Los registros de auditora deberan incluir, cuando sea relevante: o Utilizar IDs. o Fechas, horas y detalles de eventos claves; por ejemplo, ingreso y salida. o Identidad o ubicacin de la identidad, si es posible. o Los registros de intentos de acceso fallidos y rechazados al sistema. o Registros de intentos de acceso fallidos y rechazados a la data y otros recursos. o Cambios en la configuracin del sistema. o Uso de privilegios. o Uso de las utilidades y aplicaciones del sistema. o Archivos a los cuales se tuvo acceso y los tipos de acceso.
Informacin pblicamente disponible
A.10.9.3
Se debera proteger la integridad de la informacin puesta a disposicin en un sistema pblicamente disponible para evitar una modificacin noautorizada.
Registro de auditora
A.10.10.1
Se deberan producir y mantener registros de auditora de las actividades, excepciones y eventos de seguridad de la informacin durante un perodo acordado para ayudar en investigaciones futuras y monitorear el control de acceso.
62
______________________________________________________________________
DOMINIO MBITO REFERENCIA CONTROL ISO REQUISITO/CONTROL ACTIVIDADES A REALIZAR EN EL PMG/MEI SSI o Direcciones y protocolos de la red. o Alarmas activadas por el sistema de control de acceso. o Activacin y desactivacin de los sistemas de proteccin; como sistemas antivirus y sistemas de deteccin de intrusiones. Cada sistema de registro implementado, debe ser monitoreado y protegido ante accesos no autorizados. Las reas que deberan considerar incluyen: o Acceso autorizado. o Operaciones privilegiadas. o Intentos de acceso no autorizado. o Alertas o fallas del sistema. Se debe considerar dentro del medio de registro, lo siguiente: o Las alteraciones registradas a los tipos de mensajes. o Los archivos de registro que se editan o borran. o La capacidad de almacenamiento del medio de archivos de registro que se est excediendo, resultando en una falla en el registro de eventos o la escritura encima de los eventos registrados en el pasado. Todas las cuentas con privilegio de administrador o sper usuario dentro de los activos crticos identificados, deben ser continuamente registrados y monitoreados. Cada accin indebida realizada por una cuenta de acceso, debe ser oportunamente notificada al Encargado de Seguridad para tomar las acciones requeridas. Se deben sincronizar los relojes de todos los sistemas crticos identificados, contra un reloj central y este a su vez estar sincronizado con un reloj atmico en Internet.
Uso del sistema de monitoreo
A.10.10.2
Proteccin del registro de informacin
A.10.10.3
Se deberan establecer procedimientos para el monitoreo del uso de los medios de procesamiento de la informacin y se deberan revisar regularmente los resultados de las actividades de monitoreo. Se deberan proteger los medios de registro y la informacin del registro para evitar la alteracin y el acceso no autorizado.
Registros del administrador y operador Registro de fallas
A.10.10.4
A.10.10.5
Sincronizacin de relojes
A.10.10.6
Se deberan registrar las actividades del administrador del sistema y el operador del sistema. Se deberan registrar y analizar las fallas, y se deberan tomar las acciones necesarias Los relojes de todos los sistemas de procesamiento de informacin relevantes dentro de una organizacin o dominio de seguridad se deberan sincronizar con una fuente que proporcione la hora exacta acordada.
63
______________________________________________________________________
DOMINIO MBITO Poltica de control del acceso REFERENCIA CONTROL ISO A.11.1.1 REQUISITO/CONTROL Se debera establecer, documentar y revisar la poltica de control de acceso en base a los requerimientos de negocio y de seguridad para el acceso. ACTIVIDADES A REALIZAR EN EL PMG/MEI SSI La poltica debera tomar en cuenta lo siguiente: o Los requerimientos de seguridad de las aplicaciones. o Identificacin de toda la informacin relacionada con las aplicaciones y los riesgos que enfrenta la informacin. o Las polticas para la divulgacin y autorizacin de la informacin; por ejemplo, la necesidad de conocer el principio y los niveles de seguridad, y la clasificacin de la informacin. o La consistencia entre el control del acceso y las polticas de clasificacin de la informacin de los diferentes sistemas y redes. o La legislacin relevante y cualquier obligacin contractual relacionada con la proteccin del acceso a la data o los servicios. o Los perfiles de acceso de usuario estndar para puestos de trabajo comunes en la organizacin. o La gestin de los derechos de acceso en un ambiente distribuido y en red que reconoce todos los tipos de conexiones disponibles. o La segregacin de roles del control del acceso; por ejemplo, solicitud de acceso, autorizacin de acceso, administracin del acceso. o Los requerimientos para la autorizacin formal de las solicitudes de acceso. o Los requerimientos para la revisin peridica de los controles de acceso. o La revocacin de los derechos de acceso. El procedimiento de control del acceso para el registro y des-registro del usuario debera incluir: o Utilizar IDs de usuarios nicos para permitir a los usuarios vincularse y ser responsables de sus acciones; slo se debera permitir el uso de IDs grupales cuando son necesarios por razones comerciales u operacionales, y deberan ser aprobados y documentados. o Chequear que el usuario tenga la autorizacin dada por el propietario del sistema para el uso del sistema o servicio de informacin; tambin puede ser apropiado una aprobacin separada de la gerencia para los derechos de acceso. o Chequear que el nivel de acceso otorgado sea apropiado para el propsito institucional y que sea consistente con la poltica de seguridad de la organizacin. o Proporcionar a los usuarios un enunciado escrito de sus derechos de acceso. o Requerir a los usuarios que firmen los enunciados indicando que entienden las condiciones de acceso.
Control de acceso
Registro del usuario
A.11.2.1
Debera existir un procedimiento formal para el registro y desregistro del usuario para otorgar y revocar el acceso a todos los sistemas y servicios de informacin.
64
______________________________________________________________________
DOMINIO MBITO REFERENCIA CONTROL ISO REQUISITO/CONTROL ACTIVIDADES A REALIZAR EN EL PMG/MEI SSI o Asegurar que los proveedores del servicio no proporcionen acceso hasta que se hayan completado los procedimientos de autorizacin. o Mantener un registro formal de todas las personas registradas para usar el servicio. o Eliminar o bloquear inmediatamente los derechos de acceso de los usuarios que han cambiado de puesto o trabajo o han dejado la organizacin. o Chequeo peridico para eliminar o bloquear los IDs de usuario y cuentas redundantes. Se debe considerar: o Los privilegios de acceso asociados con cada producto del sistema; por ejemplo, sistema de operacin, sistema de gestin de base de datos y cada aplicacin, y se deberan identificar los usuarios a quienes se les necesita asignar privilegios. o Los privilegios se deberan asignar a los usuarios sobre la base de slo lo que necesitan saber; es decir, los requerimientos mnimos para su rol funcional, slo cuando se necesitan. o Se debera mantener un proceso de autorizacin y un registro de todos los privilegios asignados. No se deberan otorgar privilegios hasta que se complete el proceso de autorizacin. o Se debera promover el desarrollo y uso de rutinas del sistema para evitar la necesidad de otorgar privilegios a los usuarios. o Se debera promover el desarrollo y uso de los programas que evitan la necesidad de correr con privilegios. o Los privilegios se deberan asignar a un ID de usuario diferente de aquellos utilizados para el uso normal de la institucin. Se debe considerar lo siguiente: o Se debera requerir que los usuarios firmen un enunciado para mantener confidenciales las claves secretas y mantener las claves secretas grupales slo dentro de los miembros el grupo; este enunciado firmado se puede incluir en los trminos y condiciones de empleo. o Cuando se requiere que los usuarios mantengan sus propias claves secretas, inicialmente se les debera proporcionar una clave secreta temporal segura, la cual estn obligados a cambiar inmediatamente. o Establecer procedimientos para verificar la identidad de un usuario antes de proporcionar una clave secreta nueva, sustituta o temporal. o Las claves secretas temporales deberan ser proporcionadas a los usuarios de
Gestin de privilegios
A.11.2.2
Se debera restringir y controlar la asignacin y uso de privilegios.
Gestin de las contraseas de los usuarios
A.11.2.3
La asignacin de contraseas se debera controlar a travs de un proceso de gestin formal.
65
______________________________________________________________________
DOMINIO MBITO REFERENCIA CONTROL ISO REQUISITO/CONTROL ACTIVIDADES A REALIZAR EN EL PMG/MEI SSI una manera segura, se debera evitar el uso de mensajes de correo electrnico de terceros o no protegidos (sin texto). o Las claves secretas temporales deberan ser nicas para la persona y no deberan ser fciles de adivinar. o Los usuarios deberan reconocer la recepcin de las claves secretas. o Las claves secretas nunca deberan ser almacenadas en los sistemas de informacin de una forma desprotegida. o Las claves secretas predeterminadas por el vendedor deberan ser cambiadas despus de la instalacin de sistemas o software. Se deben considerar los siguientes lineamientos: Los derechos de acceso de los usuarios deberan ser revisados a intervalos regulares; por ejemplo, un perodo de 6 meses, y despus de cualquier cambio, como un ascenso, democin o terminacin del empleo. Los derechos de acceso del usuario se deberan revisar y re-asignar cuando se traslada de un empleo a otro dentro de la misma organizacin. Las autorizaciones para derechos de acceso privilegiados especiales se deberan revisar a intervalos ms frecuentes; por ejemplo, un perodo de 3 meses. Se debera chequear la asignacin de privilegios a intervalos regulares para asegurar que no se hayan obtenido privilegios no autorizados. Se deberan registrar los cambios en las cuentas privilegiadas para una revisin peridica. Cada sistema de autenticacin de usuarios debe ser forzado a cumplir con el uso de contraseas robustas considerando: o Mantener confidenciales las claves secretas. o Evitar mantener un registro (por ejemplo, papel, archivo en software o dispositivo manual) de las claves secretas, a no ser que este se pueda mantener almacenado de manera segura y el mtodo de almacenaje haya sido aprobado. o Cambio de claves secretas cuando haya el menor indicio de un posible peligro en el sistema o la clave secreta. o Seleccionar claves secretas de calidad con el largo mnimo suficiente o cambio de las claves secretas a intervalos regulares o en base al nmero de accesos (las claves secretas para las cuentas privilegiadas se deberan cambiar con mayor frecuencia que las claves secretas normales), y evitar el re-uso de reciclaje de claves secretas antiguas. o Cambiar la clave secreta temporal en el primer registro de ingreso.
Revisin de los derechos de acceso del usuario
A.11.2.4
El encargado de seguridad debera revisar los derechos de acceso de los usuarios a intervalos regulares utilizando un proceso formal.
Uso de Contraseas
A.11.3.1
Se debera requerir a los usuarios que sigan buenas prcticas de seguridad en la seleccin y uso de contraseas
66
______________________________________________________________________
DOMINIO MBITO REFERENCIA CONTROL ISO REQUISITO/CONTROL ACTIVIDADES A REALIZAR EN EL PMG/MEI SSI o No incluir las claves secretas en ningn proceso de registro automatizado; por ejemplo, almacenado en un macro o funcin clave. o No compartir las claves secretas individuales. o No usar la misma clave personal para propsitos laborales y no-laborales. Se debe comunicar a los usuarios que deberan: Cerrar las sesiones activas cuando se termina, a no ser que puedan asegurarse con un mecanismo de cierre apropiado; por ejemplo, protector de pantalla asegurado mediante clave secreta. Salir de las computadoras mainframe, servidores y PCs de oficina cuando se termina la sesin (es decir, no slo apagar la pantalla de la PC o Terminal). Asegurar las PCs o terminales contra un uso no autorizado mediante un seguro con clave o un control equivalente; por ejemplo, acceso con clave secreta, cuando no est en uso Se debe considerar lo siguiente: o La informacin comercial confidencial o crtica; por ejemplo, en papel o medios de o Almacenamiento electrnicos; debera ser guardada bajo llave (idealmente en una caja fuerte o archivador u otra forma de mueble seguro) cuando no est siendo utilizada, especialmente cuando la oficina est vaca. o Cuando se dejan desatendidas, las computadoras y terminales deberan dejarse apagadas o protegidas con mecanismos para asegurar la pantalla y el teclado, controlados mediante una clave secreta, dispositivo o un mecanismo de autenticacin de usuario similar y se deberan proteger con llave, claves secretas u otros controles cuando no estn en uso. o Se deberan proteger los puntos de ingreso y salida de correo y las mquinas de fax desatendidas; o Se debera evitar el uso no autorizado de fotocopiadoras y otra tecnologa de reproduccin (por ejemplo, escneres, cmaras digitales). o Los documentos que contienen informacin confidencial o clasificada deberan sacarse inmediatamente de la impresora. Esta poltica debera abarcar: o Las redes y servicios de la red a las cuales se tiene acceso. o Los procedimientos de autorizacin para determinar quin est autorizado a tener acceso a cules redes y servicios en red. o Controles y procedimientos gerenciales para proteger el acceso a las conexiones de la red y los servicios en red.
Equipo del usuario desatendido
A.11.3.2
Los usuarios deberan asegurar que el equipo desatendido tenga la proteccin apropiada.
Poltica de escritorio y pantalla limpios
A.11.3.3
Se debera adoptar una poltica de escritorio limpio para papeles y medios de almacenaje removibles y una poltica de pantalla limpia para los medios de procesamiento de la informacin.
Poltica sobre el uso de los servicios de la red
A.11.4.1
Los usuarios slo deberan tener acceso a los servicios para los cuales hayan sido especficamente autorizados.
67
______________________________________________________________________
DOMINIO MBITO REFERENCIA CONTROL ISO REQUISITO/CONTROL ACTIVIDADES A REALIZAR EN EL PMG/MEI SSI o Los medios utilizados para tener acceso a las redes y los servicios de la red (por ejemplo, las condiciones para permitir acceso a un proveedor del servicio de Internet o sistema remoto). Deben implementarse medidas de encripcin de datos para las comunicaciones remotas de usuarios, en conjunto con una autenticacin robusta (ej: VPN, Token, etc.) La identificacin automtica del equipo se debera considerar como un medio para autenticar las conexiones de ubicaciones y equipos especficos.
Autenticacin del usuario para las conexiones externas Identificacin del equipo en las redes
A.11.4.2
A.11.4.3
Proteccin del puerto de diagnstico y configuracin remoto Segregacin en redes
A.11.4.4
Se deberan utilizar mtodos de autenticacin apropiados para controlar el acceso de usuarios remotos. La identificacin automtica del equipo se debera considerar como un medio para autenticar las conexiones de ubicaciones y equipos especficos. Se debera controlar el acceso fsico y lgico a los puertos de diagnstico y configuracin.
Los puertos, servicios y medios similares instalados en una computadora o red, que no son requeridos especficamente por funcionalidad comercial, deberan ser desactivados o removidos.
A.11.4.5
Control de conexin a la red
A.11.4.6
Control de routing de la red
A.11.4.7
Los grupos de servicios de informacin, usuarios y sistemas de ser informacin deberan segregados en redes. Para las redes compartidas, especialmente aquellas que se extienden a travs de las fronteras de la institucin, se debera restringir la capacidad de los usuarios para conectarse a la red, en lnea con la poltica de control de acceso y los requerimientos de las aplicaciones de negocio Se deberan implementar controles de routing en las redes para asegurar que las conexiones de la computadora y los flujos de informacin no violen la poltica de control de acceso de las
Se deben crear dominios de seguridad en las redes de telecomunicaciones, que separen los trficos de servicios productivos, usuarios, segmentos de desarrollo y desmilitarizados. Estos segmentos pueden ser lgicos o fsicos dependiendo de la tecnologa implementada Se puede restringir la capacidad de conexin de los usuarios a travs de gateways de la red que filtran el trfico por medio de tablas o reglas predefinidas. Los ejemplos de aplicaciones a las cuales se pueden aplicar las restricciones son: o Mensajes; por ejemplo, correo electrnico, o Transferencia de archivos, o Acceso interactivo, o Acceso a una aplicacin.
Se deberan implementar controles de routing en las redes para asegurar que las conexiones de la computadora y los flujos de informacin no violen la poltica de control de acceso de las aplicaciones institucionales.
68
______________________________________________________________________
DOMINIO MBITO REFERENCIA CONTROL ISO A.11.5.1 REQUISITO/CONTROL aplicaciones de negocio El acceso a los sistemas operativos debera ser controlado mediante un procedimiento de registro seguro. ACTIVIDADES A REALIZAR EN EL PMG/MEI SSI
Procedimientos para un registro seguro
Identificacin y autenticacin del usuario
A.11.5.2
Sistema de gestin de contraseas
A.11.5.3
Todos los usuarios tienen un identificador nico (ID de usuario) para su uso personal, y se debera escoger una tcnica de autenticacin adecuada para sustanciar la identidad de un usuario. Los sistemas para el manejo de claves secretas deberan ser interactivos y deberan asegurar contraseas adecuadas.
Se debe considerar que el registro: o No debera mostrar identificadores del sistema o aplicacin hasta que se haya completado satisfactoriamente el proceso de registro. o Debera mostrar la advertencia general que a la computadora slo pueden tener acceso los usuarios autorizados. o No debera proporcionar mensajes de ayuda durante el procedimiento de registro que ayuden al usuario no-autorizado. o Slo debera validar la informacin del registro despus de completar todo el input de data. Si surge una condicin de error, el sistema debera indicar qu parte de la data es correcta o incorrecta. o Debera limitar el nmero de intentos de registro infructuosos permitidos; por ejemplo, tres intentos. o Debera limitar el tiempo mximo y mnimo permitido para el procedimiento de registro. Si se excede este tiempo, el sistema debera terminar el registro. o Debera mostrar informacin al termino de un registro satisfactorio o No debera mostrar la clave secreta que se est ingresando o considerar esconder los caracteres de la clave secreta mediante smbolos. o No debera transmitir claves secretas en un texto abierto a travs de la red. Slo se debera permitir el uso de IDs genricos para una persona cuando las funciones accesibles o acciones llevadas a cabo por el ID no necesitan ser rastreadas (por ejemplo, slo acceso de lectura), o cuando existen otros controles establecidos (por ejemplo, la clave secreta para un ID genrico slo es emitido para una persona a la vez y se registra dicha instancia).
Se debe tener en consideracin: o Aplicar el uso de IDs de usuarios individuales y claves secretas para mantener la responsabilidad. o Permitir a los usuarios seleccionar y cambiar sus propias claves secretas e incluir un procedimiento de confirmacin para permitir errores de input. o Aplicar la eleccin de claves secretas adecuadas. o Aplicar los cambios de claves secretas. o Obligar a los usuarios a cambiar las claves secretas temporales en su primer ingreso o registro. o Mantener un registro de claves de usuario previas y evitar el re-uso.
69
______________________________________________________________________
DOMINIO MBITO REFERENCIA CONTROL ISO REQUISITO/CONTROL ACTIVIDADES A REALIZAR EN EL PMG/MEI SSI o No mostrar las claves secretas en la pantalla en el momento de ingresarlas. o Almacenar los archivos de claves secretas separadamente de la data del sistema de aplicacin. o Almacenar y transmitir las claves secretas en un formato protegido (por ejemplo, codificado o indexado). Se debe tener en consideracin: o El uso de los procedimientos de identificacin, autenticacin y autorizacin para las utilidades del sistema. o La segregacin de las utilidades del sistema del software de la aplicacin. o Limitar el uso de las utilidades del sistema a un nmero prctico mnimo de usuarios autorizados y confiables. o Autorizacin para el uso ad hoc de las utilidades del sistema. o Limitacin de la disponibilidad de las utilidades del sistema; por ejemplo, por la duracin de un cambio autorizado. o Registro de todo uso de las utilidades del sistema. o Definir y documentar los niveles de autorizacin de las utilidades del sistema. o Eliminacin o inutilizar todas las utilidades innecesarias basadas en software, as como los software del sistema que sean innecesarios. o No poner las utilidades a disposicin de los usuarios que tienen acceso a las aplicaciones en los sistemas donde se requiere la segregacin de los deberes. Un dispositivo de cierre debera borrar la pantalla de la sesin y tambin, posiblemente ms adelante, cerrar la aplicacin y las sesiones en red despus de un perodo de inactividad definido. El tiempo de espera antes del cierre debera reflejar los riesgos de seguridad del rea, la clasificacin de la informacin que est siendo manejada y la aplicacin siendo utilizada, y los riesgos relacionados con los usuarios del equipo. Se deberan considerar controles sobre el tiempo de conexin para las aplicaciones de cmputo sensibles, especialmente desde ubicaciones de alto riesgo; por ejemplo, reas pblicas o externas que estn fuera de la gestin de seguridad de la organizacin. Los ejemplos de tales restricciones incluyen: o Utilizar espacios de tiempo predeterminados; por ejemplo, para transmisiones de archivos en lotes, o sesiones interactivas regulares de corta duracin. o Restringir los tiempos de conexin a los horarios laborales normales, si no existe ningn requerimiento para sobre-tiempo o una operacin de horario extendido.
Uso de las utilidades del sistema
A.11.5.4
Se debera restringir y controlar estrechamente el uso de los programas de utilidad que podran ser capaces de superar los controles del sistema y la aplicacin.
Cierre de una sesin por inactividad
A.11.5.5
Las sesiones inactivas deberan ser cerradas despus de un perodo de inactividad definido.
Limitacin del tiempo de conexin
A.11.5.6
Se deberan utilizar restricciones sobre los tiempos de conexin para proporcionar seguridad adicional para las aplicaciones de alto riesgo.
70
______________________________________________________________________
DOMINIO MBITO REFERENCIA CONTROL ISO A.11.6.1 REQUISITO/CONTROL ACTIVIDADES A REALIZAR EN EL PMG/MEI SSI o Considerar la re-autenticacin cada cierto intervalo de tiempo. Se debe considerar: o Proporcionar mens para controlar el acceso a las funciones del sistema de aplicacin. o Controlar los derechos de acceso de los usuarios; por ejemplo, lectura, escritura, eliminar y ejecutar; o Controlar los derechos de acceso de otras aplicaciones. o Asegurar que los outputs de los sistemas de aplicacin que manejan informacin confidencial slo contengan la informacin relevante para el uso del output y slo sea enviada a las terminales y ubicaciones autorizadas; esto debera incluir revisiones peridicas de dichos outputs para asegurar que se descarte la informacin redundante. Se debe considerar: o Que el propietario de la aplicacin debera identificar y documentar explcitamente la sensibilidad o confidencialidad del sistema de aplicacin. o Cuando una aplicacin confidencial va a correr en un ambiente compartido, el propietario de la aplicacin confidencial debera identificar y aceptar los sistemas de aplicacin con los cuales va a compartir recursos y los riesgos correspondientes. Cuando se utiliza medios de computacin y comunicacin mvil; por ejemplo, notebooks, dispositivos de mano, laptops, tarjetas inteligentes y telfonos mviles; se debera tener especial cuidado en asegurar que no se comprometa la informacin institucional. La poltica de computacin mvil debera tomar en cuenta los riesgos de trabajar con equipo de computacin mvil en ambientes desprotegidos. Se debe considerar: o La seguridad fsica existente en el lugar de tele-trabajo, tomando en cuenta la seguridad fsica del edificio y el ambiente del local. o El ambiente de tele-trabajo fsico propuesto. o Los requerimientos de seguridad de las comunicaciones, tomando en cuenta la necesidad de acceso remoto a los sistemas internos de la organizacin, la confidencialidad de la informacin a la cual se tendr acceso y el vnculo de comunicacin y confidencialidad del sistema interno. o La amenaza de acceso no autorizado a la informacin o recursos por parte de otras personas que utilizan el medio; por ejemplo, familia y amigos. o El uso de redes en casa y los requerimientos o restricciones en la configuracin
Restriccin del acceso a la informacin
El acceso de los usuarios y el personal de soporte a la informacin y las funciones del sistema de la aplicacin debera limitarse en concordancia con la poltica de control de acceso definida.
Aislar el sistema confidencial
A.11.6.2
Los sistemas confidenciales deberan tener un ambiente de cmputo dedicado (aislado).
Computacin y comunicaciones mviles
A.11.7.1
Tele-trabajo
A.11.7.2
Se debera establecer una poltica y adoptar las medidas de seguridad apropiadas para proteger contra los riesgos de utilizar medios de computacin y comunicacin mvil. Se debera desarrollar e implementar una poltica, planes operacionales y procedimientos para las actividades de tele-trabajo.
71
______________________________________________________________________
DOMINIO MBITO REFERENCIA CONTROL ISO REQUISITO/CONTROL ACTIVIDADES A REALIZAR EN EL PMG/MEI SSI de los servicios de la red inalmbrica. o Las polticas y procedimientos para evitar las disputas relacionadas con los derechos de propiedad intelectual desarrollados en equipo de propiedad privada. o El acceso a equipo de propiedad privada (para chequear la seguridad de la mquina o durante una investigacin), el cual puede ser evitado por la legislacin. o h) contratos de licencias de software que hacen que las organizaciones sean responsables por las licencias del software del cliente en las estaciones de trabajo de propiedad de los funcionarios, personal a honorarios y terceros; o Los requerimientos de proteccin anti-virus y firewall. Los requerimientos de seguridad para a seguridad de la informacin y los procesos para implementar la seguridad deberan ser integrados en las primeras etapas de los proyectos de sistemas de informacin. Los controles introducidos en la etapa de diseo son significativamente ms baratos de implementar y mantener que aquellos incluidos durante o despus de la implementacin.
Adquisicin, desarrollo y mantenimiento de los sistemas de informacin
Anlisis y especificacin de los requerimientos de seguridad
A.12.1.1
Los enunciados de los requerimientos de negocio para los sistemas de informacin nuevos, o las mejoras a los sistemas de informacin existentes, deberan especificar los requerimientos de los controles de seguridad.
Validacin de la data de entrada
A.12.2.1
Se debera validar la input data para las aplicaciones para asegurar que esta data sea correcta y apropiada.
Se deben considerar los siguientes lineamientos: o Valores fuera de rango. o Caracteres invlidos en los campos de data. o Data incompleta o faltante. o Exceder los lmites superiores e inferiores del volumen de data. o Data de control no autorizada o inconsistente. o revisin peridica del contenido de los campos claves o archivos de data para confirmar su validez e integridad. o Inspeccionar los documentos de input de la copia impresa en caso de cambios no autorizados (todos los cambios a los documentos de input deberan ser autorizados). o Procedimientos para responder a los errores de validacin. o Procedimientos para probar la plausibilidad de la input data.
72
______________________________________________________________________
DOMINIO MBITO REFERENCIA CONTROL ISO REQUISITO/CONTROL ACTIVIDADES A REALIZAR EN EL PMG/MEI SSI o Definir las responsabilidades de todo el personal involucrado en el proceso de input de data. o Crear un registro de las actividades involucradas en el proceso de input de data. Se deben considerar los siguientes lineamientos: o El uso de funciones agregadas, modificadas y eliminadas para implementar cambios en la data. o Los procedimientos para evitar que los programas corran en el orden equivocado o corran despus de una falla en el procesamiento previo. o El uso de programas apropiados para recuperarse de fallas para asegurar el correcto procesamiento de la data. o Proteccin contra ataques utilizando excesos/desbordamientos de la memora intermedia. Se debera realizar una evaluacin de los riesgos de seguridad para determinar si se requiera la integridad del mensaje y para identificar el mtodo de implementacin ms apropiado
Control del procesamiento interno
A.12.2.2
Los chequeos de validacin se deberan incorporar en las aplicaciones para detectar cualquier corrupcin de la informacin a travs de errores de procesamiento o actos deliberados.
Integridad del mensaje
A.12.2.3
Validacin de la data de salida
A.12.2.4
Se debera identificar los requerimientos para asegurar la autenticidad y proteger la integridad del mensaje en las aplicaciones, y se deberan identificar e implementar los controles apropiados. Se debera validar la output data de una aplicacin para asegurar que el procesamiento de la informacin almacenada sea el correcto y el apropiado para las circunstancias.
Poltica sobre el uso de controles criptogrficos
A.12.3.1
Se debera desarrollar e implementar una poltica sobre el uso de controles criptogrficos para proteger la informacin.
La validacin del output puede incluir: o Chequeos de plausibilidad para comprobar si el output data es razonable. o Conteo de control de conciliacin para asegurar el procesamiento de toda la data. o Proporcionar la informacin suficiente para un lector o el sistema de procesamiento subsiguiente para determinar la exactitud, integridad, precisin y clasificacin de la informacin. o Procedimientos para responder a las pruebas de validacin de output. o Definir las responsabilidades de todo el personal involucrado en el proceso de output de data. o Crear un registro de las actividades en el proceso de validacin del output de data. Se debe considerar lo siguiente: o El enfoque institucional sobre el uso de los controles criptogrficos a travs de la organizacin, incluyendo los principios generales bajo los cuales se debera proteger la informacin.
73
______________________________________________________________________
DOMINIO MBITO REFERENCIA CONTROL ISO REQUISITO/CONTROL ACTIVIDADES A REALIZAR EN EL PMG/MEI SSI o En base a la evaluacin del riesgo, se debera identificar el nivel de proteccin requerido tomando en cuenta el tipo, fuerza y calidad del algoritmo criptogrfico requerido. o El uso de codificacin para la proteccin de la informacin confidencial transportada por los medios y dispositivos mviles o removibles o a travs de las lneas de comunicacin. o El enfoque de la gestin de claves, incluyendo los mtodos para lidiar con la proteccin de las claves criptogrficas y la recuperacin de la informacin codificada en el caso de claves prdidas, comprometidas o daadas. o Roles y responsabilidades. o Los estndares a adoptarse para la implementacin efectiva en toda la organizacin. o El impacto de utilizar informacin codificada sobre los controles que se basan en la inspeccin del contenido (por ejemplo, deteccin de virus). El sistema de gestin de claves se debera basar en un conjunto de estndares, procedimientos y mtodos seguros acordados para: o Generar claves para los diferentes sistemas criptogrficos y las diversas aplicaciones. o Generar y obtener certificados de claves pblicas. o Distribuir claves a los usuarios planeados, incluyendo cmo se deberan activar las claves una vez recibidas. o Almacenar claves, incluyendo cmo los usuarios autorizados obtienen acceso a las claves. o Cambiar o actualizar las claves incluyendo las reglas sobre cundo se deberan cambiar las claves y cmo se realiza esto. o Lidiar con las claves comprometidas. o Revocar las claves incluyendo cmo se deberan retirar o desactivar las claves. Por ejemplo, cuando las claves se han visto comprometidas o cuando el usuario deja la institucin. o Recuperar las claves cuando han sido perdidas o corrompidas como parte de la continuidad y gestin del negocio; por ejemplo, para recuperar la informacin codificada. o Archivar las claves; por ejemplo, para la informacin archivada o respaldada. o Destruir las claves. o Registrar y auditar las actividades relacionadas con la gestin de claves. o
Gestin de claves
A.12.3.2
Se debera establecer la gestin de claves para dar soporte al uso de tcnicas criptogrficas en la organizacin.
74
______________________________________________________________________
DOMINIO MBITO Control del software operacional REFERENCIA CONTROL ISO A.12.4.1 REQUISITO/CONTROL Se deberan establecer procedimientos para el control de la instalacin del software en los sistemas operacionales. ACTIVIDADES A REALIZAR EN EL PMG/MEI SSI Se debe considerar lo siguiente, para el control de cambios: o La actualizacin del software operacional, aplicaciones y bibliotecas de programas slo debera ser realizada por administradores capacitados con la apropiada autorizacin. o Los sistemas operacionales slo deberan mantener cdigos ejecutables aprobados, y no cdigos de desarrollo o compiladores. o El software de las aplicaciones y el sistema de operacin slo se debera implementar despus de una prueba extensa y satisfactoria; las pruebas deberan incluir pruebas de utilidad, seguridad, efectos sobre los sistemas y facilidad para el usuario; y se deberan llevar a cabo en sistemas separados. o Se debera asegurar que se hayan actualizado todas las bibliotecas-fuente correspondientes del programa. o Se debera utilizar un sistema de control de configuracin para mantener el control de todo el software implementado, as como la documentacin del sistema. o Se debera establecer una estrategia de regreso a la situacin original (rollback) antes de implementar los cambios. o Se debera mantener un registro de auditora de todas las actualizaciones a las bibliotecas del programa operacional. o Se deberan mantener las versiones previas del software de aplicacin como una medida de contingencia. o Se deberan archivar las versiones antiguas del software, junto con toda la informacin requerida y los parmetros, procedimientos, detalles de configuracin y software de soporte durante todo el tiempo que se mantengan la data en archivo. Cuando se utiliza la data operacional para propsitos de prueba se deberan aplicar los siguientes lineamientos para protegerla: o Procedimientos de control de acceso, los cuales se aplican a los sistemas de aplicacin operacional, y tambin se deberan aplicar a los sistemas de aplicacin de prueba. o Debera existir una autorizacin separada para cada vez que se copia informacin operacional en un sistema de aplicacin de prueba. o La informacin operacional debera ser borrada de los sistemas de aplicacin de prueba inmediatamente despus de haber completado la prueba. o Se debera registrar el copiado y uso de la informacin operacional para proporcionar un rastro de auditora.
Proteccin de la data del sistema
A.12.4.2
La data de prueba se debera seleccionar cuidadosamente, y se debera proteger y controlar.
75
______________________________________________________________________
DOMINIO MBITO Control de acceso al cdigo fuente del programa REFERENCIA CONTROL ISO A.12.4.3 REQUISITO/CONTROL Se debera restringir el acceso al cdigo fuente del programa. ACTIVIDADES A REALIZAR EN EL PMG/MEI SSI Se debe considerar que: o Cuando sea posible, no se deberan mantener las bibliotecas de fuentes del programa en los sistemas operacionales. o El cdigo fuente del programa y las bibliotecas de fuentes del programa deberan ser manejadas de acuerdo con los procedimientos establecidos; o El personal de soporte no debera tener acceso irrestricto a las bibliotecas de fuentes del programa. o La actualizacin de las bibliotecas de fuentes del programa y los tems asociados, y la emisin de las fuentes del programa para los programadores slo se deberan realizar despus de haber recibido la apropiada autorizacin. o Los listados del programa se deberan mantener en un ambiente seguro. o Se debera mantener un registro de auditora de todos los accesos a las bibliotecas de fuentes del programa. o El mantenimiento y copiado de las bibliotecas fuentes del programa debera estar sujeto a procedimientos estrictos de control de cambios. Se debe considerar: o Mantener un registro de los niveles de autorizacin acordados. o Asegurar que los cambios sean presentados por los usuarios autorizados. o Revisar los procedimientos de control e integridad para asegurar que no se vean comprometidos por los cambios. o Identificar todo el software, informacin, entidades de base de datos y hardware que requieran enmiendas. o Obtener la aprobacin formal para propuestas detalladas antes de comenzar el trabajo. o Asegurar que los usuarios autorizados acepten a los cambios antes de la implementacin. o Asegurar que el conjunto de documentacin del sistema est actualizado al completar cada cambio y que la documentacin antigua se archive o se elimine. o Mantener un control de la versin para todas las actualizaciones del software. o Mantener un registro de auditora para todas las solicitudes de cambio. o Asegurar que la documentacin de operacin y procedimientos de usuarios sean cambiados conforme sean necesarios para seguir siendo apropiados. o Asegurar que la implementacin de los cambios se realicen en el momento adecuado y no disturbe los procesos institucionales involucrados.
Procedimientos del control del cambio
A.12.5.1
Se debera controlar la implementacin de los cambios mediante el uso de procedimientos formales para el control del cambio.
76
______________________________________________________________________
DOMINIO MBITO Revisin tcnica de la aplicacin despus de cambios en el sistema REFERENCIA CONTROL ISO A.12.5.2 REQUISITO/CONTROL Cuando se cambian los sistemas de operacin, se deberan revisar y probar las aplicaciones de negocio crticas para asegurar que no exista un impacto adverso sobre las operaciones institucionales o en la seguridad. ACTIVIDADES A REALIZAR EN EL PMG/MEI SSI Se debe considerar: o Revisar los procedimientos de control e integridad de la aplicacin para asegurar que no se hayan visto comprometidos por los cambios en el sistema de operacin. o Asegurar que el plan y el presupuesto de soporte anual abarque las revisiones y pruebas del sistema resultantes de los cambios en el sistema de operacin. o Asegurar que la notificacin de los cambios en el sistema de operacin sea provista con tiempo para permitir realizar las pruebas y revisiones apropiadas antes de la implementacin. o Asegurar que se realicen los cambios apropiados en los planes de continuidad del negocio. Cuando se necesita modificar un paquete de software se deberan considerar los siguientes puntos: o El riesgo de comprometer los controles incorporados y los procesos de integridad. o Si se debera obtener el consentimiento del vendedor. o La posibilidad de obtener del vendedor los cambios requeridos como actualizaciones del programa estndar. o El impacto de si como resultado de los cambios, la organizacin se hace responsable del mantenimiento futuro del software. Se deberan considerar los siguientes puntos para limitar la filtracin de la informacin; por ejemplo, a travs del uso y explotacin de los canales encubiertos (covert channels): o Escanear el flujo de salida de los medios y las comunicaciones en busca de informacin escondida. o Enmascarar y modular la conducta del sistema y las comunicaciones para reducir la probabilidad de que una tercera persona pueda deducir la informacin a partir de dicha conducta. o Hacer uso de los sistemas y el software considerados de la ms alta integridad; por ejemplo, utilizando productos evaluados. o Monitoreo regular de las actividades del personal y del sistema, cuando sea permitido bajo la legislacin o regulacin existente. o Monitorear la utilizacin del recurso en los sistemas de cmputo. Cuando el software es abastecido externamente, se deberan considerar los siguientes puntos: o Contratos de licencias, propiedad de cdigos, derechos de propiedad
Restricciones sobre los cambios en los paquetes de software
A.12.5.3
No se deberan fomentar modificaciones a los paquetes de software, se deberan limitar a los cambios necesarios y todos los ser cambios deberan estrictamente controlados.
Filtracin de informacin
A.12.5.4
Se deberan evitar las oportunidades para la filtracin de informacin.
Desarrollo de software abastecido externamente
A.12.5.5
El desarrollo del software abastecido externamente debera ser supervisado y monitoreado por
77
______________________________________________________________________
DOMINIO MBITO REFERENCIA CONTROL ISO REQUISITO/CONTROL la organizacin. ACTIVIDADES A REALIZAR EN EL PMG/MEI SSI intelectual. o Certificacin de la calidad y exactitud del trabajo llevado a cabo. o Contratos de depsito en custodia en el evento de la falla de una tercera persona. o Derechos de acceso para a auditora de la calidad y seguridad del trabajo realizado. o Requerimientos contractuales para la funcionalidad de calidad y seguridad del cdigo; o Prueba antes de la instalacin para detectar cdigos maliciosos y Troyanos. Se deben seguir los siguientes lineamientos: o La organizacin debera definir y establecer los roles y responsabilidades asociadas con la gestin de la vulnerabilidad tcnica; incluyendo el monitoreo de la vulnerabilidad, evaluacin del riesgo de la vulnerabilidad, monitoreo de activos y cualquier responsabilidad de coordinacin requerida. o Se deberan identificar los recursos de informacin que se utilizarn para identificar las vulnerabilidades tcnicas relevantes y mantener la conciencia sobre ellas para el software y otras tecnologas. o Estos recursos de informacin deberan actualizarse en base a los cambios en el inventario, o cuando se encuentran recursos nuevo o tiles. o Se debera definir una lnea de tiempo para reaccionar a las notificaciones de vulnerabilidades tcnicas potencialmente relevantes. o Una vez que se identifica la vulnerabilidad tcnica potencial, la organizacin debera identificar los riesgos asociados y las acciones a tomarse; dicha accin podra involucrar el parchado de los sistemas vulnerables y/o la aplicacin de otros controles; o Dependiendo de la urgencia con que se necesita tratar la vulnerabilidad tcnica, la accin a tomarse debera realizarse de acuerdo a los controles relacionados con la gestin de cambios o siguiendo los procedimientos de respuesta ante incidentes de seguridad de la informacin. o Si es posible el parche, se deberan evaluar los riesgos asociados con instalar el parche (los riesgos impuestos por la vulnerabilidad se deberan comparar con el riesgo de instalar el parche). o Los parches de deberan probar y evaluar antes de instalarlos para asegurar que sean efectivos y no resulten efectos secundarios que no se puedan tolerar.
Control de las vulnerabilidades tcnicas
A.12.6.1
Se debera obtener oportunamente la informacin sobre las vulnerabilidades tcnicas de los sistemas de informacin que se estn utilizando, la exposicin de la organizacin a dichas vulnerabilidades evaluadas, y las medidas apropiadas tomadas para tratar los riesgos asociados.
78
______________________________________________________________________
DOMINIO MBITO Reporte de eventos en la seguridad de la informacin REFERENCIA CONTROL ISO A.13.1.1 REQUISITO/CONTROL Los eventos de seguridad de la informacin deberan ser reportados a travs de los canales apropiados lo ms rpidamente posible. ACTIVIDADES A REALIZAR EN EL PMG/MEI SSI Se debera establecer un procedimiento formal para el reporte de eventos en la seguridad de la informacin, junto con un procedimiento de respuesta y de notificacin de incidentes, estableciendo la accin a tomarse al recibir un reporte de un evento en la seguridad de la informacin. Se debera establecer un punto de contacto para el reporte de eventos en la seguridad de la informacin Se debera asegurar que este punto de contacto sea conocido a travs de toda la organizacin, que siempre est disponible y sea capaz de proporcionar una respuesta adecuada y oportuna.
Gestin de un incidente en la seguridad de la informacin
Reporte de las debilidades en la seguridad
A.13.1.2
Responsabilidades y procedimientos
A.13.2.1
Se debera requerir que todos los usuarios funcionarios, personal a honorarios y terceros de los sistemas y servicios de informacin tomen nota de y reporten cualquier debilidad de seguridad observada o sospechada en el sistema o los servicios. Se deberan establecer las responsabilidades y los procedimientos para asegurar una respuesta rpida, efectiva y metdica ante los incidentes de la seguridad de la informacin.
Todos los usuarios funcionarios, personal a honorarios y terceros deberan reportar estos temas ya sea a su jefe directo o directamente al proveedor de su servicio lo ms rpidamente posible para evitar incidentes en la seguridad de la informacin. El mecanismo de reporte debera ser fcil, accesible y estar disponible lo ms posible. Ellos deberan ser informados que no deberan, en ninguna circunstancia, tratar de probar una debilidad sospechada.
Se deben considerar los siguientes lineamientos: o Se deberan establecer procedimientos para manejar los diferentes tipos de incidentes en la seguridad de la informacin, incluyendo: o Fallas del sistema de informacin y prdida del servicio. o Cdigo malicioso. o Negacin del servicio. o Errores resultantes de data incompleta o inexacta. o Violaciones de la confidencialidad e integridad. o Mal uso de los sistemas de informacin. o Adems de los planes de contingencia normales, los procedimientos tambin deberan cubrir: o Anlisis e identificacin de la causa del incidente. o Contencin. o Planeacin e implementacin de la accin correctiva para evitar la recurrencia, si fuese necesario. o Comunicaciones con aquellos afectados por o involucrados con la recuperacin
79
______________________________________________________________________
DOMINIO MBITO REFERENCIA CONTROL ISO REQUISITO/CONTROL ACTIVIDADES A REALIZAR EN EL PMG/MEI SSI de un incidente. o Reportar la accin a la autoridad apropiada. o Se debera recolectar y asegurar rastros de auditora y evidencia similar, conforme sea apropiado para: o Anlisis interno del problema. o Uso como evidencia forense en relacin a una violacin potencial del contrato o el requerimiento regulador o en el caso de una accin legal civil o criminal; por ejemplo, bajo la legislacin sobre el mal uso de computadoras o proteccin de data. o Negociacin para la compensacin de los proveedores del software y servicio. o Se deberan controlar formal y cuidadosamente las acciones para la recuperacin de las violaciones de la seguridad y para corregir las fallas en el sistema; los procedimientos deberan asegurar que: o Slo el personal claramente identificado y autorizado tengan acceso a los sistemas vivos y la data. o Se documenten en detalle todas las acciones de emergencia realizadas. o La accin de emergencia sea reportada a la direccin y revisada de una manera adecuada; o La integridad de los sistemas y controles comerciales sea confirmada con una demora mnima. o Se deberan acordar con la direccin los objetivos para la gestin de incidentes en la seguridad de la informacin, y se deberan asegurar que aquellos responsables de la gestin de incidentes en la seguridad de la informacin entiendan las prioridades de la organizacin para el manejo de los incidentes en la seguridad de la informacin. Se debera utilizar la informacin obtenida de la evaluacin de los incidentes en la seguridad de la informacin para identificar los incidentes recurrentes o de alto impacto.
Aprender de los incidentes en la seguridad de la informacin Recoleccin de evidencia
A.13.2.2
A.13.2.3
Se deberan establecer mecanismos para permitir cuantificar y monitorear los tipos, volmenes y costos de los incidentes en la seguridad de la informacin. Cuando una accin de seguimiento contra una persona u organizacin despus de un incidente en la seguridad de la informacin involucra una accin legal (ya sea civil o criminal); se debera recolectar, mantener y presentar
Se deberan desarrollar y seguir los procedimientos internos cuando se recolecta y presenta evidencia para propsitos de una accin disciplinaria manejada dentro de una organizacin.
80
______________________________________________________________________
DOMINIO MBITO REFERENCIA CONTROL ISO REQUISITO/CONTROL evidencia para cumplir con las reglas de evidencia establecidas en la(s) jurisdiccin(es) relevante(s). Se debera desarrollar y mantener un proceso institucional para la continuidad del negocio en toda la organizacin el cual trate los requerimientos de seguridad de la informacin necesarios para la continuidad de la institucin. ACTIVIDADES A REALIZAR EN EL PMG/MEI SSI
Incluir la seguridad de la informacin en el proceso de gestin de continuidad del negocio
A.14.1.1
El proceso debe reunir los siguientes elementos claves de la gestin de continuidad del negocio: o Entender los riesgos que enfrenta la organizacin en trminos de la probabilidad y el impacto en el tiempo, incluyendo la identificacin y priorizacin de los procesos crticos. o Identificar todos los activos involucrados en los procesos crticos. o Entender el impacto que probablemente tendrn las interrupciones causadas por incidentes en la seguridad de la informacin (es importante encontrar las soluciones para manejar los incidentes que producen impactos menores, as como los incidentes graves que pueden amenazar la viabilidad de la organizacin), y establecer los objetivos institucionales de los medios de procesamiento de la informacin. o Considerar la adquisicin de una pliza de seguro adecuada que pueda formar parte de todo el proceso de continuidad del negocio, y de la gestin del riesgos operacionales. o Identificar y considerar la implementacin de controles preventivos y mitigantes adicionales. o Identificar los recursos financieros, organizacionales, tcnicos y ambientales suficientes para tratar los requerimientos de seguridad de la informacin identificados. o Garantizar la seguridad del personal y la proteccin de los medios de procesamiento de la informacin y la propiedad organizacional. o Formular y documentar los planes de continuidad del negocio que aborden los requerimientos de seguridad de la informacin en lnea con la estrategia acordada para la continuidad del negocio. o Pruebas y actualizaciones regulares de los planes y procesos establecidos. o Asegurar que la gestin de la continuidad del negocio est incorporada en los procesos y estructura de la organizacin; se debe asignar la responsabilidad del proceso de gestin de la continuidad del negocio en el nivel apropiado dentro de la organizacin.
Gestin de la continuidad del negocio
81
______________________________________________________________________
DOMINIO MBITO Continuidad del negocio y evaluacin del riesgo REFERENCIA CONTROL ISO A.14.1.2 REQUISITO/CONTROL Se deberan identificar los eventos que pueden causar interrupciones a los procesos Institucionales, junto con la probabilidad y el impacto de dichas interrupciones y sus consecuencias para la seguridad de la informacin. Se deberan desarrollar e implementar planes para mantener o restaurar las operaciones y asegurar la disponibilidad de la informacin en el nivel y en las escalas de tiempo requeridos despus de la interrupcin o falla de los procesos institucionales crticos. ACTIVIDADES A REALIZAR EN EL PMG/MEI SSI Los aspectos de la seguridad de la informacin en la continuidad del negocio se deben basar en la identificacin de los eventos (o secuencia de eventos) que pueden causar las interrupciones en los procesos crticos de la organizacin; por ejemplo, fallas en el equipo, errores humanos, robo, fuego, desastres naturales y actos de terrorismo. Esto debe ir seguido por una evaluacin del riesgo para determinar la probabilidad e impacto de dichas interrupciones, en trminos de tiempo, escala del dao y perodo de recuperacin. El proceso de planeacin de la continuidad del negocio debe considerar lo siguiente: o Identificar y acordar todas las responsabilidades y los procedimientos para la continuidad del negocio. o Identificar la prdida aceptable de la informacin y los servicios. o Implementacin de los procedimientos que permitan la recuperacin y restauracin de las operaciones institucionales y la disponibilidad de la informacin en las escalas de tiempo requeridas; se debe prestar particular atencin a la evaluacin de las dependencias internas y externas y de los contratos establecidos. o Los procedimientos operacionales que se han de seguir en espera de la culminacin de la recuperacin y restauracin. o Documentacin de los procesos y procedimientos acordados. o Educacin apropiada del personal en los procedimientos y procesos acordados, incluyendo el manejo de crisis. o Pruebas y actualizacin de los planes.
Desarrollar e implementar los planes de continuidad que incluyan la seguridad de la informacin
A.14.1.3
82
______________________________________________________________________
DOMINIO MBITO Marco Referencial de la planeacin de la continuidad del negocio REFERENCIA CONTROL ISO A.14.1.4 REQUISITO/CONTROL Se debera mantener un solo marco referencial de los planes de continuidad del negocio para asegurar que todos los planes sean consistentes, tratar consistentemente los requerimientos de seguridad de la informacin e identificar las prioridades para las pruebas y el mantenimiento. ACTIVIDADES A REALIZAR EN EL PMG/MEI SSI La estructura para la planificacin de la continuidad del negocio debe abordar los requisitos de seguridad de la informacin identificados y considerar los siguientes aspectos: o Las condiciones para la activacin de los planes que describen el proceso a seguir (por ejemplo, la forma de evaluar la situacin y quin se va a involucrar) antes de activar cada plan. o Los procedimientos de emergencia que describen las acciones por realizar tras un incidente que ponga en peligro las operaciones del Servicio. o Los procedimientos de respaldo que describen las acciones por realizar para desplazar las actividades esenciales de la institucin o los servicios de soporte a lugares temporales alternos y para devolver la operatividad de los procesos de la organizacin en los plazos requeridos. o Los procedimientos operacionales temporales a seguir mientras se terminan la recuperacin y la restauracin. o Los procedimientos de reanudacin que describen las acciones a realizar para que las operaciones del Servicio vuelvan a la normalidad. o Una programacin de mantenimiento que especifique cmo y cundo se realizarn pruebas al plan y el proceso para el mantenimiento del plan. o Actividades de concientizacin, educacin y formacin diseadas para comprender los procesos de continuidad del negocio y garantizar que los procesos siguen siendo eficaces. o Las responsabilidades de las personas, que describan quin es responsable de la ejecucin de cada componente del plan. Si se requiere, se deben nombrar suplentes. o Los activos y recursos crticos necesarios para ejecutar los procedimientos de emergencia, respaldo y reanudacin. Las pruebas del plan de continuidad del negocio deben asegurar que todos los miembros del equipo de recuperacin y otro personal relevante estn al tanto de los planes y su responsabilidad con la continuidad del negocio y la seguridad de la informacin, y que conozcan su papel cuando se ejecute el plan. Es conveniente utilizar una variedad de tcnicas para garantizar que los planes funcionarn en condiciones reales. stas deben incluir: o La prueba sobre varios escenarios de desastre (analizando las disposiciones de recuperacin con ayuda de ejemplos de interrupciones). o Las simulaciones (particularmente para la formacin del personal en sus funciones de gestin de crisis/post-incidentes).
Prueba, mantenimiento y re-evaluacin de los planes de continuidad del negocio
A.14.1.5
Los planes de continuidad del negocio deberan ser probados y actualizados regularmente para asegurar su actualizacin y su eficacia.
83
______________________________________________________________________
DOMINIO MBITO REFERENCIA CONTROL ISO REQUISITO/CONTROL ACTIVIDADES A REALIZAR EN EL PMG/MEI SSI o Las pruebas de recuperacin tcnica (garantizando que los sistemas de informacin se pueden restaurar eficazmente). o Las pruebas de recuperacin en un lugar alterno (ejecutando procesos institucionales en paralelo con las operaciones de recuperacin fuera de la sede principal. o Las pruebas de los recursos y servicios del proveedor (asegurando que los servicios y productos proporcionados externamente cumplirn el compromiso contrado). o Los ensayos completos (probando que la organizacin, el personal, el equipo, las instalaciones y los procesos pueden hacer frente a las interrupciones). Se deben definir y documentar los controles y responsabilidades individuales especficas para satisfacer estos requerimientos. En las instituciones del Estado, habitualmente estas responsabilidades estn instaladas en las divisiones/departamentos/unidades o encargados jurdicos. Por tal razn es importante que estn representados en el Comit de Seguridad de la Informacin y que participen en la validacin de las medidas que ste adopte.
Identificacin de la legislacin aplicable
A.15.1.1
Derechos de propiedad intelectual (IPR)
A.15.1.2
Se debe definir explcitamente, documentar y actualizar todos los requerimientos estatutarios, reguladores y contractuales relevantes, y el enfoque de la institucin para satisfacer esos requerimientos, para cada sistema de informacin y su organizacin. Se deben implementar los procedimientos apropiados para asegurar el cumplimiento de los requerimientos legislativos, reguladores y contractuales sobre el uso del material con respecto a los cuales puedan existir derechos de propiedad intelectual y sobre el uso de productos de software patentado.
Se debe considerar lo siguiente: o Una poltica de cumplimiento de los derechos de propiedad intelectual y publicacin que defina el uso legal de los productos de software e informacin. o Slo adquirir software a travs de fuentes conocidos y acreditados para asegurar que no sean violados los derechos de autor. o Mantener el conocimiento de las polticas para proteger los derechos de propiedad intelectual y las medidas disciplinarias aplicables a su transgresin. o Mantener un registro de los activos e identificar todos aquellos protegidos por el derecho de propiedad intelectual. o Mantener prueba y evidencia de la propiedad de las licencias, discos originales, manuales, etc. o Implementar controles para asegurar que no se exceda el nmero mximo de usuarios permitidos. o Chequear que slo se instalen softwares autorizados y productos con licencia. o Proporcionar una poltica para mantener las condiciones de licencias en forma adecuada. o Proporcionar una poltica para eliminar o transferir software a terceras partes. o Utilizar las herramientas de auditora apropiadas.
Cumplimiento
84
______________________________________________________________________
DOMINIO MBITO REFERENCIA CONTROL ISO REQUISITO/CONTROL ACTIVIDADES A REALIZAR EN EL PMG/MEI SSI o Cumplir con los trminos y condiciones del software e informacin obtenidos de redes pblicas. o No duplicar, convertir a otro formato o extraer de registros comerciales (audio, vdeo), aparte de los permitidos por el derecho de autor. o No copiar; completamente o en parte; libros, artculos, reportes u otros documentos; aparte de aquellos permitidos por el derecho de autor. Los registros deben ser clasificados segn su tipo, entregando directrices sobre su retencin, almacenamiento, tratamiento y eliminacin, contemplando un calendario de retenciones para cada tipo, un inventario de informacin clave y los controles para la proteccin de los registros y la informacin contra prdida, destruccin o falsificacin.
Proteccin de registros institucionales
A.15.1.3
Proteccin de la data y privacidad de la informacin personal Prevencin del mal uso de los medios de procesamiento de la informacin
A.15.1.4
A.15.1.5
Se deben proteger los registros importantes de prdida, destruccin, falsificacin en concordancia con los requerimientos estatutarios, reguladores, contractuales y de negocio. Se debe asegurar la proteccin y privacidad de los datos conforme lo requiere la legislacin, regulaciones y, si fuesen aplicables, las clusulas contractuales relevantes. Se debe disuadir a los usuarios de utilizar los medios de procesamiento de la informacin para propsitos no autorizados.
Regulacin de controles criptogrficos
A.15.1.6
Los controles criptogrficos se deben utilizar en cumplimiento con todos los acuerdos, leyes y regulaciones relevantes.
Se debe desarrollar e implementar una poltica de proteccin y privacidad de los datos. Esta poltica debe ser comunicada a todas las personas involucradas en el procesamiento de informacin personal. Se debe considerar la ley 19628 y 20285 y otras que se considere relevantes en la materia. La direccin debe aprobar la utilizacin de los medios de procesamiento de la informacin. Cualquier uso de estos medios para propsitos no-institucionales u otro no autorizado, ser visto como un uso inapropiado de los recursos, lo que debe ser informado a la jefatura a cargo para que considere la accin disciplinaria correspondiente en el marco legal. Los funcionarios deben conocer el alcance de su acceso permitido y de los lugares que son supervisados para detectar usos no autorizados. Para esto se sugieren prcticas como la entrega de una autorizacin escrita que debe firmar el funcionario, o que al conectarse ste al puesto de trabajo, un mensaje de advertencia le seale que se trata de un acceso restringido, por tanto se da por enterado y debe tomar los resguardos que corresponda, de acuerdo a las polticas definidas (control de acceso, pantalla limpia, etc.) Se deben tomar las siguientes consideraciones: o Las restricciones sobre la importacin y si corresponde, exportacin- de hardware y software para realizar funciones criptogrficas. o Las restricciones sobre la importacin y si corresponde, exportacin- de hardware y software diseado para agregarle funciones criptogrficas. o Restricciones sobre la utilizacin de la codificacin.
85
______________________________________________________________________
DOMINIO MBITO REFERENCIA CONTROL ISO REQUISITO/CONTROL ACTIVIDADES A REALIZAR EN EL PMG/MEI SSI o Mtodos obligatorios o discrecionales para que las autoridades de los pases tengan acceso a informacin codificada para garantizar su confidencialidad. Cuando una jefatura detecta algn incumplimiento debe determinar sus causas, evaluar la necesidad de acciones correctivas, implementarlas, revisar dicha accin mediante su registro e informarlo a las entidades auditoras independientes.
Cumplimiento con las polticas y estndares de seguridad
A.15.2.1
Chequeo del cumplimiento tcnico
A.15.2.2
Las jefaturas deben asegurar que se lleven a cabo correctamente todos los procedimientos de seguridad dentro de centro de responsabilidad para asegurar el cumplimiento de las polticas y estndares de seguridad. Los sistemas de informacin deben chequearse regularmente para ver el cumplimiento de los estndares de implementacin de la seguridad.
Controles de auditora de los sistemas de informacin
A.15.3.1
Las actividades y requerimientos de auditora que involucran chequeos de los sistemas operacionales deben ser planeados y acordados cuidadosamente para minimizar el riesgo de interrupciones en los procesos.
El chequeo del cumplimiento tcnico debe ser realizado manualmente (respaldado por las herramientas de software apropiadas, si fuese necesario) por un ingeniero de sistemas experimentado y/o con la asistencia de herramientas automatizadas que generen un reporte tcnico a ser interpretado por parte de un especialista. Las pruebas de intrusin o evaluaciones de vulnerabilidad (ethical hacking) deben ser planificadas, documentadas y repetibles, para cuidar la seguridad del sistema. Cualquier verificacin de cumplimiento tcnico debe ser realizada por personal competente y autorizado o bajo su supervisin. Se deben observar los siguientes lineamientos: o Acordar los requerimientos de auditora con la autoridad. o Acordar y controlar el alcance de los chequeos. o Los chequeos deben limitarse a un acceso de slo lectura al software y los datos. o Slo se debe permitir un acceso diferente al de slo lectura para copias aisladas de los archivos del sistema, los cuales se puedan borrar cuando termine la auditora, o se les pueda proteger apropiadamente si existe la obligacin de mantener dichos archivos como parte de los requisitos de la documentacin de auditora. o Identificar explcitamente y disponer los recursos para realizar los chequeos. o Identificar y acordar los requerimientos para procesos especiales o adicionales. o Monitorear y registrar todos los accesos para producir un histrico de referencia; considerar rastros de referencia con impresin horaria para los datos o sistemas crticos. o Documentar todos los procedimientos, requerimientos y responsabilidades. o La(s) personas(s) que llevan a cabo la auditora deben ser independientes a las actividades auditadas.
86
______________________________________________________________________
DOMINIO MBITO Proteccin de las herramientas de auditora de los sistemas de informacin REFERENCIA CONTROL ISO A.15.3.2 REQUISITO/CONTROL Se debe proteger el acceso a las herramientas de auditora de los sistemas de informacin para evitar cualquier mal uso o trasgresin posible. ACTIVIDADES A REALIZAR EN EL PMG/MEI SSI Las herramientas de auditora de los sistemas de informacin, por ejemplo, software o archivos de datos, deben estar separadas de los sistemas en produccin y de desarrollo y no mantenerse en las bibliotecas de cintas o reas de usuario, a no ser que se les proporcione un nivel apropiado de proteccin adicional.
Fuente: Adaptado de NCH-ISO 27002.Of2009
87
ANEXO IV: Plan de Auditoras

El objetivo de este captulo es entregar recomendaciones a las instituciones en el mbito de la auditora. En el marco de la etapa 4 del PMG/MEI SSI se solicitan revisiones al Sistema, estas no necesariamente deben ser auditoras, no obstante, para la mantencin del SSI es recomendable planificarlas en lo sucesivo. Un plan de auditoras en trminos bsicos, describe lo siguiente: La planificacin del programa de auditoras. La implementacin del programa. La seleccin de los equipos de auditora y actividades de auditora. El seguimiento y revisin. La mejora del programa. El siguiente grfico muestra las etapas para llevar a cabo el proceso de Gestin de Auditora.
Figura N 6: Etapas en el proceso de gestin de auditora
Fuente: Elaboracin propia en base a la NCh-ISO 19011 - 2003
Una forma de enfrentar una auditora corresponde al desarrollo de las siguientes actividades: Definicin (inicio) de la auditora. Revisin de la documentacin. Preparacin de actividades de auditora in situ. Realizacin de las actividades. Preparacin, aprobacin y distribucin de los resultados de la auditora. Finalizacin de la auditora. Realizacin del as actividades de seguimiento de la auditora.
______________________________________________________________________
El siguiente grfico muestra el ciclo de actividades en una auditora.
Figura N 7: Ciclo de actividades de auditora
Fuente: Elaboracin propia en base a la NCh-ISO 19011 - 2003
89
______________________________________________________________________
ANEXO V: Activos de Informacin y la Normativa NCh-ISO 27001

Los Activos de Informacin corresponden a todos aquellos elementos relevantes en la produccin, emisin, almacenamiento, comunicacin, visualizacin y recuperacin de informacin de valor para la institucin. De esta forma podemos distinguir 3 niveles bsicos de activos de informacin: La Informacin propiamente tal, en sus mltiples formatos (papel, digital, texto, imagen, audio, video, etc.) Los Equipos/Sistemas/infraestructura que soportan esta informacin Las Personas que utilizan la informacin, y que tienen el conocimiento de los procesos institucionales. Dado que los activos de informacin poseen valor para la organizacin, necesitan por tanto, ser protegidos adecuadamente para que la misin institucional (o negocio en trminos normativos) no se vea perjudicada. Esto implica identificar para cada activo sus riesgos asociados, detectar vulnerabilidades y establecer los controles de seguridad que sean necesarios para mitigarlos, tanto a nivel de gobierno institucional y de gestin de procesos, como a nivel de tecnologas de la informacin utilizadas. El Sistema de Seguridad de la Informacin (SSI) establece distintos controles tanto a nivel de gobierno y gestin, como de tecnologas de la informacin, con el objeto de garantizar que los activos de informacin cumplan con preservar las siguientes condiciones: La Integridad: La informacin est completa, actualizada y es veraz, sin modificaciones inapropiadas o corrupcin. La Confidencialidad: La informacin est protegida de personas/usuarios no autorizados. La Disponibilidad: Los usuarios autorizados pueden acceder a las aplicaciones y sistemas cuando lo requieran para utilizar la informacin apropiadamente al desempear sus funciones. Las nuevas tecnologas, el desarrollo del conocimiento, la liberacin de las comunicaciones y la posibilidad de acceso libre a diversos aplicativos, requieren de un sistema que permita gestionar la seguridad de la informacin, lo cual consiste en la realizacin de las tareas necesarias para garantizar los niveles exigibles en la organizacin, dentro del mbito de proteccin de las condiciones de integridad, confidencialidad y disponibilidad de la informacin, como principio clave. Segn el Decreto Supremo N 83 / 2004 del Ministerio Secretara General de la Presidencia (desde ahora en adelante DS-83), la Norma Chilena Oficial NCh-ISO 27001.Of2009, como tambin lo establecido en la Ley N 20.285, y otras normativas presentes en el SSI del PMG/MEI, las exigencias y recomendaciones que se proveen, presentan desafos en cuanto a la necesidad de garantizar estndares mnimos de seguridad en el uso, almacenamiento, acceso y distribucin de informacin, por lo que es necesario que cada uno de los rganos del Estado cumpla con estas normativas a travs de la implantacin de un Sistema de Seguridad de la Informacin.
90
El DS-83, provee de un marco regulatorio para incorporar mayores niveles de seguridad a la informacin de los servicios pblicos, sin embargo, su principal objetivo apunta al documento electrnico para facilitar la interoperabilidad en el Estado. Dado que el documento electrnico constituye slo una parte de la informacin relevante a proteger, es que el Sistema de Seguridad de la Informacin debe abarcar progresivamente a todos los Activos de Informacin asociados a los procesos de provisin de las instituciones pblicas, valindose de los dominios que establece la NCh-ISO 27001.
Tabla N5: Descripcin de objetivos generales por cada dominio de seguridad Dominio: Poltica de seguridad
______________________________________________________________________
Este dominio consiste en proporcionar a la institucin la direccin y soporte para la seguridad de la informacin en concordancia con los requerimientos institucionales y las leyes y regulaciones pertinentes. La alta direccin debe establecer claramente el enfoque de la poltica en lnea con los objetivos institucionales y demostrar su apoyo y su compromiso con la seguridad de la informacin, a travs de la emisin y mantenimiento de un documento de Poltica General de Seguridad de la Informacin en toda la organizacin.
Dominio: Organizacin de la seguridad de la informacin
La finalidad de este dominio es establecer un marco referencial a nivel directivo para iniciar y controlar la implementacin de la seguridad de la informacin dentro de la institucin. La direccin debe aprobar la poltica de seguridad de la informacin, asignar los roles de seguridad a los comits y designar al encargado de seguridad mediante una resolucin, el cual debe coordinar y revisar la implementacin de la seguridad en toda la institucin. Si fuese necesario, se debe establecer una fuente de consultora sobre seguridad de la informacin que est disponible dentro de la institucin. Se deben desarrollar contactos con los especialistas o grupos de seguridad externos, incluyendo las autoridades relevantes, para mantenerse actualizado con relacin a las tendencias mundiales, monitorear los estndares, evaluar los mtodos y proporcionar vnculos adecuados para el manejo de los incidentes de seguridad de la informacin. Se debe fomentar un enfoque multidisciplinario para la seguridad de la informacin.
91
______________________________________________________________________
Dominio: Gestin de activos
El objetivo de este dominio es implementar y mantener una apropiada proteccin de los activos institucionales. Todos los activos deben ser inventariados y contar con un propietario nombrado. Los propietarios deben identificar todos los activos y deben asignar la responsabilidad por el mantenimiento de los controles apropiados. La implementacin de controles especficos puede ser delegada por el propietario conforme sea apropiado, pero el propietario sigue siendo responsable por la proteccin de los activos. Adicionalmente se debe asegurar que la informacin reciba un nivel de proteccin adecuado. La informacin debe ser clasificada para indicar la necesidad, prioridades y grado de proteccin esperado en su manejo. La informacin puede ser pblica o secreta tambin se denomina reservada- (Ley 20.285), y contar con diferentes grados de importancia dentro de la institucin. Algunos activos pueden requerir un nivel de proteccin adicional o manejo especial dependiendo de su criticidad y riesgo. Se debe utilizar un esquema de clasificacin de informacin para definir un conjunto apropiado de niveles de proteccin y comunicar la necesidad de medidas de uso especiales.
Dominio: Seguridad de los recursos humanos
Lo que busca este dominio es que antes de la contratacin, se debe asegurar que los funcionarios, personal a honorarios y terceros entiendan sus responsabilidades, y sean idneos para los roles para los cuales son considerados; y reducir el riesgo de robo, fraude y mal uso de los medios. Las responsabilidades de seguridad deben ser definidas y claramente comunicadas a los candidatos antes de la contratacin en descripciones de trabajo adecuadas y en los trminos y condiciones del empleo. A su vez, se debe realizar la verificacin de los antecedentes de dichos candidatos, de acuerdo con las leyes, regulaciones y normas ticas pertinentes y en proporcin a los requisitos del cargo y de la informacin a la cual tendr acceso, y los riesgos que se emanen de la clasificacin de dicha informacin. Los funcionarios, personal a honorarios y terceros usuarios de los medios de procesamiento de la informacin deben firmar un acuerdo sobre sus roles y responsabilidades con relacin a la seguridad. Durante las labores se debe asegurar que los funcionarios usuarios, contratistas y terceras personas estn al tanto de las amenazas y de la pertinencia de la seguridad de la informacin, de sus responsabilidades y obligaciones, y estn equipados para apoyar la poltica de seguridad organizacional en el curso de su trabajo normal, para reducir el riesgo de error humano e incidentes de seguridad. Se debe proporcionar a todos los usuarios, funcionarios, personal a honorarios y terceras personas un nivel adecuado de conocimiento, educacin y capacitacin en procedimientos de seguridad y uso correcto de los medios de procesamiento, activos y servicios de informacin para minimizar los posibles riesgos de seguridad. Se debe establecer un proceso disciplinario normal para manejar las fallas en la seguridad.
92
______________________________________________________________________
Adems se debe asegurar que los funcionarios, contratistas o terceros que sean desvinculados o cambien su relacin laboral, lo hagan de una forma adecuada, implementando medidas para que todo equipamiento sea devuelto y se eliminen todos los derechos de acceso de dicho funcionario desvinculado.
Dominio: Seguridad fsica y del ambiente
Este dominio consiste en prevenir el acceso no autorizado, dao e interferencia a las instalaciones de la institucin y a la informacin. Los equipos de procesamiento de informacin crtica o sensible de la institucin se deben mantener en reas seguras, protegidos por un permetro de seguridad definido, con barreras apropiadas de seguridad y controles de entrada. stos deben estar fsicamente protegidos del acceso no autorizado, dao e interferencia. Es necesaria la proteccin de los equipos, incluyendo los porttiles usados fuera de las dependencias, para reducir el riesgo de acceso no autorizado a datos y para prevenir la prdida o dao. Se pueden necesitar controles especiales para protegerlos de riesgos o accesos no autorizados, y salvaguardar las instalaciones de apoyo, tales como el suministro elctrico y la infraestructura de cables.
Dominio: Gestin de las comunicaciones y operaciones
El objetivo de este dominio es crear procedimientos y responsabilidades operacionales de manera de asegurar la operacin correcta y segura de los medios de procesamiento de la informacin. Cuando sea pertinente, se debe implementar la segregacin de deberes para reducir el riesgo de negligencia o mal uso deliberado de los sistemas. Los sistemas operativos, los sistemas de aplicacin y los medios de procesamiento de la informacin son vulnerables a la introduccin de cdigos de software malicioso, como virus de cmputo, virus de red, cdigos troyanos y bombas lgicas. Los usuarios deben estar al tanto de los peligros de los cdigos maliciosos. Se deben introducir controles para evitar, detectar y eliminar los cdigos maliciosos y controlar los cdigos mviles a travs de antivirus, de manera de proteger la integridad del software y la integracin. Se deben establecer los procedimientos de rutina para implementar la poltica de respaldo acordada y la estrategia para tomar copias de respaldo de la data y practicar su restauracin oportuna. Se debe asegurar la proteccin de la informacin que viaja por correo electrnico y su infraestructura de soporte. La gestin segura del correo electrnico, requiere de la cuidadosa consideracin de la informacin que es transmitida, su confidencialidad, implicancias legales, monitoreo y proteccin. Tambin se pueden requerir controles adicionales para proteger la informacin confidencial que pasa a travs de redes pblicas.
93
______________________________________________________________________
Dominio: Control de Acceso
La finalidad de este dominio es asegurar que el acceso del usuario es debidamente autorizado y evitar el acceso no autorizado a los sistemas de informacin. Se deben establecer procedimientos formales para controlar la asignacin de los derechos de acceso a los sistemas y servicios de informacin. Los procedimientos deben abarcar todas las etapas en el ciclo de vida del acceso del usuario, desde el registro inicial de usuarios nuevos hasta la dada de baja de los usuarios que ya no requieren acceso a los sistemas y servicios de informacin. Cuando sea apropiado, se debe prestar atencin especial a la necesidad de controlar la asignacin de derechos de acceso privilegiados, lo que permite a los usuarios superar los controles del sistema. La cooperacin de los usuarios autorizados es esencial para una seguridad efectiva. Los usuarios deben estar al tanto de sus responsabilidades para mantener controles de acceso efectivos, particularmente con relacin al uso de claves secretas, su no divulgacin y la seguridad del equipo asignado a l. Se debe implementar una poltica de escritorio y pantalla limpios para reducir el riesgo de acceso no autorizado o dao a los papeles y medios de almacenamiento de la informacin. Deben implementarse controles efectivos de manera de evitar el acceso no autorizado a los servicios de la red. Se debe controlar el acceso a los servicios de redes internas y externas. El acceso del usuario a las redes no debe comprometer la seguridad de los servicios de la red. Se deben utilizar medios de seguridad para restringir el acceso a los sistemas operativos a los usuarios no autorizados. De igual forma debe ocurrir con la informacin contenida en los sistemas de aplicacin y al utilizar dispositivos mviles para trabajar de forma remota.
Dominio: Adquisicin, desarrollo y mantenimiento de los sistemas de informacin
Aquellas instituciones que desarrollen software internamente o, en su defecto, encarguen su elaboracin a un proveedor calificado, se debe garantizar que la seguridad sea una parte integral de los sistemas de informacin y se incluya en la etapa de formulacin del software. Los sistemas de informacin incluyen sistemas de operacin, infraestructura, aplicaciones de negocio, servicios y aplicaciones desarrolladas por el usuario. El diseo e implementacin del sistema de informacin que soporta el proceso de negocio puede ser crucial para la seguridad. Se deben identificar y acordar todos los requerimientos de seguridad antes del desarrollo y/o implementacin de los sistemas de informacin en la fase de requerimientos de un proyecto; y deben ser justificados, acordados y documentados como parte de las formalidades para un sistema de informacin.
94
______________________________________________________________________
Dominio: Gestin de incidentes en la seguridad de la informacin
El objetivo de este dominio es asegurar que las debilidades y eventos de seguridad de la informacin asociados a sistemas de informacin son comunicados de manera de permitir tomar acciones correctivas a tiempo. Se debe establecer un procedimiento formal para informar los eventos de seguridad de la informacin, junto con la respuesta al incidente y un procedimiento de escalamiento, precisando la accin que se tomar al momento de recibir un informe de un evento de seguridad de la informacin. Estos procedimientos deben ser de conocimiento de todos los funcionarios de la organizacin. A su vez, se debe asegurar la aplicacin de un enfoque constante y eficaz de gestin de incidentes de seguridad, estableciendo las responsabilidades y procedimientos para manejar los eventos y debilidades de seguridad de la informacin con eficacia, una vez que han sido informados. Se debe aplicar un proceso de mejora continua en la gestin general de incidentes de seguridad de la informacin. La evidencia requerida, cuando corresponda, debe ser recogida asegurando la conformidad con los requisitos legales.
Dominio: Gestin de la Continuidad del Negocio
El objetivo de este dominio es considerar los aspectos de la seguridad de la informacin de la gestin de la continuidad operativa de manera de hacer frente a las interrupciones de las actividades institucionales y proteger los procesos crticos de los efectos de fallas importantes o desastres en los sistemas de informacin y asegurar su reanudacin oportuna. Se debe implementar el proceso de gestin de la continuidad del negocio para minimizar el impacto sobre la institucin y lograr recuperarse de la prdidas de activos de informacin (lo cual puede ser resultado de, por ejemplo, desastres naturales, accidentes, fallas del equipo y acciones deliberadas) hasta un nivel aceptable a travs de una combinacin de controles preventivos y de recuperacin. Este proceso debe identificar los procesos institucionales crticos e integrar los requerimientos de gestin de la seguridad de la informacin de la continuidad del negocio con otros requerimientos de continuidad relacionados con aspectos como operaciones, personal, materiales, transporte y medios. Las consecuencias de los desastres, fallas en la seguridad, prdida del servicio y la disponibilidad del servicio deben estar sujetos a un anlisis del impacto en el negocio. Se deben desarrollar e implementar planes para la continuidad del negocio para asegurar la reanudacin oportuna de las operaciones esenciales. La seguridad de la informacin debe ser una parte integral del proceso general de continuidad del negocio, y otros procesos importantes dentro de la organizacin. La gestin de la continuidad del negocio debe incluir controles para identificar y reducir los riesgos, adems del proceso general de evaluacin de riesgos, debe limitar las consecuencias de incidentes dainos y asegurar que est disponible la informacin requerida para los procesos institucionales.
95
______________________________________________________________________
Dominio: Cumplimiento
El objetivo de este domino consiste en evitar los incumplimientos de cualquier ley, estatuto, regulacin u obligacin contractual legal y de cualquier requisito de seguridad a los cuales puede estar sujeto el diseo, operacin, uso y gestin de los sistemas de informacin. Se debe contar con asesora sobre los requisitos legales especficos en el departamento jurdico de la institucin, o a travs de profesionales del derecho calificados. De la misma, forma se debe asegurar que los sistemas cumplen con las normas y polticas de seguridad de la organizacin, a travs de revisiones regulares y auditoras que comprueben el cumplimiento de normas aplicables a la implementacin de la seguridad y controles documentados. Se deben establecer controles para salvaguardar los sistemas en produccin y la integridad de las herramientas de auditora durante las auditoras del sistema de informacin, y evitando el mal uso de ellas. Fuente: Elaboracin propia a partir del estudio de las normativas ISO 27000.
96
______________________________________________________________________
ANEXO VI: Normativa vigente

El siguiente corresponde al listado de la normativa vigente relacionada con el SSI: Ley N19.553, febrero 1998. Concede asignacin de modernizacin y otros beneficios que indica. Ministerio de Hacienda. Decreto N475. Reglamento Ley 19.553 para la aplicacin del incremento por Desempeo institucional del artculo 6 de la Ley y sus modificaciones. Ley N20.212, agosto de 2007. Modifica las leyes N 19.553, N 19.882, y otros cuerpos legales, con el objeto de incentivar el desempeo de los funcionarios pblicos. Ministerio de Hacienda. Ley N19.799, abril de 2002. Sobre documentos electrnicos, firma electrnica y los servicios de certificacin de dicha firma. Ministerio de Economa. DS N181. Reglamento Ley 19.799 sobre documentos electrnicos, firma electrnica y la certificacin de dicha firma. Instructivo Presidencial N 05, mayo de 2001: Define el concepto de Gobierno Electrnico. Contiene la mayor parte de las instrucciones referidas al desarrollo de Gobierno Electrnico en Chile. Instructivo Presidencial N 06, junio de 2004: Imparte instrucciones sobre la implementacin de la firma electrnica en los actos, contratos y cualquier tipo de documento en la administracin del Estado, para dotar as de un mayor grado de seguridad a las actuaciones gubernamentales que tienen lugar por medio de documentos electrnicos y dar un mayor grado de certeza respecto de las personas que suscriben tales documentos. DS N77. Norma tcnica sobre eficiencia de las comunicaciones electrnicas entre rganos de la Administracin del Estado y entre stos y los ciudadanos. DS N81. Norma tcnica para los rganos de la Administracin del Estado sobre interoperabilidad de documentos electrnicos. DS N158. Modifica D.S. N 81 sobre norma tcnica para la interoperabilidad de los documentos electrnicos. DS N83. Norma tcnica para los rganos de la Administracin del Estado sobre seguridad y confidencialidad de los documentos electrnicos. DS N93. Norma tcnica para minimizar la recepcin de mensajes electrnicos masivos no deseados en las casillas electrnicas de los rganos de la Administracin del Estado y de sus funcionarios. DS N100. Norma tcnica para el desarrollo de sitios web de los rganos de la Administracin del Estado. Ley N 20.285, agosto de 2008. Regula el principio de transparencia de la funcin pblica y el derecho de acceso a la informacin de los rganos de la administracin del Estado. Ministerio Secretara General de la Presidencia. Instruccin General N2, mayo de 2009, del Consejo para la Transparencia: Designacin de Enlaces con el Consejo para la Transparencia. Instruccin General N3, mayo de 2009, del Consejo para la Transparencia: ndice de Actos o Documentos calificados como secretos o reservados. Instructivo Presidencial N08, diciembre de 2006: Imparte instrucciones sobre Transparencia Activa y Publicidad de la Informacin de la Administracin del Estado.
97
______________________________________________________________________
Circular N3, enero de 2007: Detalla las medidas especficas que deben adoptar los servicios y dispone los materiales necesarios para facilitar la implementacin del instructivo presidencial sobre transparencia activa y publicidad de la informacin de la Administracin del Estado. Ley N 19.880, mayo de 2003: Establece bases de los procedimientos administrativos que rigen los actos de los rganos de la administracin del Estado. Ministerio Secretara General de la Presidencia. Instructivo Presidencial N4, junio de 2003: Imparte instrucciones sobre aplicacin de la Ley de Bases de Procedimientos Administrativos. Ley N 19.628, agosto de 1999. Sobre proteccin de la vida privada y datos personales. Ministerio Secretara General de la Presidencia. Ley N 17.336, octubre de 1970: Sobre propiedad intelectual. Ministerio de Educacin Pblica. Ley N 19.223, junio de 1993: Sobre delitos informticos. Ministerio de Justicia. Ley N 19.927, enero de 2004: Sobre delitos de pornografa infantil. Ministerio de Justicia. Gua Metodolgica del Sistema Gobierno Electrnico. Gua Metodolgica del Sistema Seguridad de la Informacin.
Para comprender en detalle el alcance de la legislacin, revisar documentacin en sitio Web: http://www.dipres.gob.cl, seccin Sistema Seguridad de la Informacin.
98

Articles-51683 Intro Guia Metodologica062012

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Articles-51683 Intro Guia Metodologica062012

Încărcat de

Drepturi de autor:

Formate disponibile

GUA METODOLGICA 2012

RED DE EXPERTOS PMG/MEI SSI 2012

RED DE EXPERTOS PMG/MEI SSI 2012

RED DE EXPERTOS PMG/MEI SSI 2012

Objetivo y Alcance de esta Gua Metodolgica

Alcance de la Gua Metodolgica

Cmo usar esta Gua Metodolgica

RED DE EXPERTOS PMG/MEI SSI 2012

Sistema de Seguridad de la Informacin

Objetivo del SSI

Ventajas de contar con un SSI

RED DE EXPERTOS PMG/MEI SSI 2012

Roles y responsabilidades en el SSI Institucional

RED DE EXPERTOS PMG/MEI SSI 2012

RED DE EXPERTOS PMG/MEI SSI 2012

Rol de la Red de Expertos

Factores crticos de xito

RED DE EXPERTOS PMG/MEI SSI 2012

RED DE EXPERTOS PMG/MEI SSI 2012

Descripcin general de las etapas del Sistema

Fuente: Elaboracin propia.

RED DE EXPERTOS PMG/MEI SSI 2012

RED DE EXPERTOS PMG/MEI SSI 2012

RED DE EXPERTOS PMG/MEI SSI 2012

RED DE EXPERTOS PMG/MEI SSI 2012

RED DE EXPERTOS PMG/MEI SSI 2012

ETAPA II: Planificacin

RED DE EXPERTOS PMG/MEI SSI 2012

RED DE EXPERTOS PMG/MEI SSI 2012

RED DE EXPERTOS PMG/MEI SSI 2012

Ver Anexo II: Ejemplos de Indicadores de esta Gua Metodolgica.

RED DE EXPERTOS PMG/MEI SSI 2012

ETAPA III: Implementacin

RED DE EXPERTOS PMG/MEI SSI 2012

RED DE EXPERTOS PMG/MEI SSI 2012

ETAPA IV: Evaluacin

RED DE EXPERTOS PMG/MEI SSI 2012

RED DE EXPERTOS PMG/MEI SSI 2012

RED DE EXPERTOS PMG/MEI SSI 2012

RED DE EXPERTOS PMG/MEI SSI 2012

ANEXO I: Instrumentos 2012

RED DE EXPERTOS PMG/MEI SSI 2012

Considerar la definicin establecida en la NCH-ISO 27002

RED DE EXPERTOS PMG/MEI SSI 2012

Disponibilidad: Corresponde a la clasificacin de acuerdo a la tabla.

Las consecuencias pueden ser cuantificables (monto monetario o entrega de servicio) y no

Se utiliza el concepto de acuerdo a la Ley 20.285.

RED DE EXPERTOS PMG/MEI SSI 2012

RED DE EXPERTOS PMG/MEI SSI 2012

RED DE EXPERTOS PMG/MEI SSI 2012

RED DE EXPERTOS PMG/MEI SSI 2012

RED DE EXPERTOS PMG/MEI SSI 2012

RED DE EXPERTOS PMG/MEI SSI 2012

RED DE EXPERTOS PMG/MEI SSI 2012

RED DE EXPERTOS PMG/MEI SSI 2012

RED DE EXPERTOS PMG/MEI SSI 2012

ANEXO II: Ejemplos de indicadores

Responsabilidad sobre la SI en la organizacin. Responsabilidad sobre la SI terceros. Responsabilidad sobre la SI terceros.

Gestin de activos (7.1 y 7.2)

RED DE EXPERTOS PMG/MEI SSI 2012

Seguridad de RRHH (8.1, 8.2 y 8.3)

Eficacia de procedimientos eliminacin.

Seguridad fsica y ambiental (9.1 y 9.2)

Efectividad de revisiones seguridad fsica.