GUA DE SEGURIDAD DE LA INFORMACIN

GUA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

Gua Seguridad de la Informacin

ndice

1. Razones para su emisin 2. Principales caractersticas 3. Introduccin 4. Consideraciones claves 5. Elementos bsicos

Gua Seguridad de la Informacin

1. Razones para su emisin

Una organizacin contiene una serie de activos imprescindibles que le permiten realizar sus actividades en forma eficiente y darle continuidad a sus negocios. La informacin es un activo que tiene un valor fundamental para la organizacin y debe ser protegida de un modo adecuado. Desde el punto de vista acadmico se llama seguridad de la informacin y no seguridad informtica, con el objetivo de globalizar el concepto de informacin, su uso y proteccin en todas las actividades de una empresa, y que no sea limitada solamente a conceptos relacionados con la informtica. Esta gua fue creada con el fin de que cada empresa vele por el mejor cuidado y proteccin de su informacin incorporando un programa seguridad de la informacin tras una adecuada evaluacin de riesgos y acorde a su realidad de cada empresa.

2. Principales caractersticas
Esta gua no es un estndar sin embargo su desarrollo toma como base diferentes estndares vigentes en el mercado. Su anlisis debe ser desde la perspectiva de riesgos de modo de abordar en primer lugar los de ms alto impacto. Las acciones frente a los riesgos de seguridad de la informacin se presentan en una escala de maduracin, desde la posicin totalmente reactiva hasta la ms proactiva. La evaluacin y gestin de riesgos de la informacin es el mecanismo a alcanzar en la madurez de la empresa en estas materias.

Gua Seguridad de la Informacin

3. Introduccin
La informacin puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo, contratos, planificaciones, reportes internos), puede almacenarse electrnicamente (servidores, PCs, memorias, pendrives), magnticamente (discos rgidos, tarjetas de acceso, disquetes) u pticamente (CD, DVD), enviarse por correo electrnico, visualizarse en pelculas o videos, y comunicarse oralmente en una conversacin de persona a persona. Sin importar la forma que posea la informacin siempre debe protegerse adecuadamente y debe ser un proceso que debe comprender la poltica, la estructura organizativa, los procedimientos, los procesos y los recursos necesarios para gestionar la seguridad de la informacin. La gestin de la seguridad consiste en la realizacin de las tareas necesarias para garantizar los niveles de seguridad exigibles en una organizacin.

4. Consideraciones claves

a. Compromiso del Directorio y de la Gerencia El compromiso del Directorio y de la Gerencia de la empresa es necesario para la ejecucin de la visin de seguridad de la informacin. Esto tambin incluye el involucramiento y una estructura de gobierno o manejo que revise regularmente el estado general del programa de seguridad de la informacin y provea direccionamiento cuando sea necesario.

b. Implementacin. Los productos por si solos no resuelven los problemas de seguridad de la informacin. La seguridad de la informacin es un proceso continuo, que involucra aspectos tecnolgicos adems de procesos y personas, para lo cual se requieren soluciones integrales. El proceso de seguridad de la informacin comprende bsicamente tres etapas: 3

Gua Seguridad de la Informacin

Diagnstico: A partir del anlisis de madurez que se realice en la empresa respecto de la visin de seguridad de la informacin que esta tenga, se entregan los lineamientos para el trabajo a realizar en la etapa siguiente. Planificacin: En esta etapa se definen los objetivos de la implementacin de soluciones o mejoras para resolver cada una de las brechas identificadas en la etapa de Diagnstico, diseando un programa de trabajo que permita alcanzar los objetivos definidos en los plazos establecidos. Implementacin: Para proteger adecuadamente la informacin relevante que sustenta los procesos de la empresa, se deben abarcar progresivamente todos los Activos de Informacin vinculados a esos procesos, valindose para ello del anlisis de madurez realizado en la primera etapa. Si bien el tiempo de implementacin va a depender del resultado del diagnstico, habitualmente es de ms o menos 2 aos.

c. Principios Bsicos En el Programa de Seguridad de la Informacin se establecen controles tanto a nivel de gestin, como de tecnologas de informacin, con el fin de garantizar que los activos de informacin de la empresa cumplan con preservar los siguientes valores y/o condiciones: Integridad y Exactitud: Toda la informacin y todas las transacciones deben encontrarse libres de errores y/o irregularidad de cualquier ndole. Confidencialidad: Toda la informacin (fsica y electrnica) y sus medios de procesamiento y/o conservacin deben estar protegidos del uso no autorizado o revelaciones accidentales, errores, fraudes, sabotaje, espionaje industrial, violacin de la privacidad y otras acciones que pudieran perjudicarla. Disponibilidad: La informacin y la capacidad de su procesamiento debe ser resguardados y poder recuperarse en forma rpida y completa ante cualquier hecho contingente que interrumpa la operatoria o dae las instalaciones, medios de almacenamiento y/o equipamiento de procesamiento.

Gua Seguridad de la Informacin

5. Elementos bsicos
a. Poltica de Seguridad de la informacin Se necesita una poltica de seguridad de la informacin que refleje las expectativas de la organizacin en materias de seguridad de la informacin con el fin de proveer administracin, direccin y soporte a los valores establecidos. A travs de la alta direccin de la empresa se establece el enfoque de la poltica en concordancia con sus objetivos, formalizando su compromiso con la seguridad de la informacin, a travs de la generacin y mantenimiento de una Poltica General de Seguridad de la Informacin, de Normas y Procedimientos especficos como son Control de Acceso, Continuidad Operacional, Seguridad Fsica, etc. Todos estos elementos constituyen un Modelo de Seguridad de la Informacin.

b. Comit de Seguridad Responsables de definir y establecer los lineamientos generales de seguridad, publicar y aprobar las polticas, normas y dems definiciones en lo que respecta a seguridad de la informacin. Tambin son los responsables de evaluar tcnicamente las propuestas, participar en procesos de evaluacin de riesgos, recomendar planes de accin y atender contingencias. Est conformado por el ms alto nivel de Directores y Gerentes.

c. Oficial de Seguridad Es el encargado de velar por el marco normativo establecido y los requerimientos necesarios para garantizar la proteccin de la informacin y los recursos informticos de la Empresa. Las principales funciones del Oficial de Seguridad son: Es responsable de definir e implantar el plan anual de difusin y liderar su ejecucin. Velar por el cumplimiento de las normas, procedimientos y estndares de seguridad definidos. Reportar al Comit de Seguridad de incidentes, riesgos y problemas de seguridad relevantes. Velar que los usuarios mantengan actualizados y probados los planes de contingencia para la continuidad operacional. 5

Gua Seguridad de la Informacin

d. Administrador de Seguridad Son los encargados de implantar las definiciones establecidas por el Comit de Seguridad y de administrar los accesos y las medidas de seguridad definidas bajo su responsabilidad. (supervisores, contador general, gerentes, empleados, etc.).

e. Seguridad de los recursos humanos Se establece la necesidad de informar y educar a todos los empleados y terceros relacionados con la empresa sobre lo que se espera de ellos en materias de seguridad de la informacin. Se busca minimizar los riesgos ocasionados por los empleados de la empresa tales como manipulacin de la informacin, hurto, fraudes o mal uso de las plataformas tecnolgicas (sistemas, hardware). El objetivo es crear conciencia entre los usuarios de los riesgos que eventualmente amenazan la informacin con la que trabajan capacitndolos continuamente, estableciendo mecanismos de prevencin, identificacin y notificacin de incidentes de seguridad.

f. Seguridad fsica y ambiental Identificacin de los riesgos asociados al acceso fsico a las instalaciones y arquitectura tecnolgica de la empresa por parte de empleados y terceros (socios de negocio, proveedores, otros), con el objeto de prevenir el acceso no autorizado, dao e interferencia a las instalaciones de la empresa y a la informacin. Asegurar la proteccin fsica de los activos tecnolgicos y de informacin, que afectan los procesos, las comunicaciones y la conservacin de los datos de la empresa.

g. Gestin de las comunicaciones y las operaciones Generar y definir por una parte procedimientos y responsabilidades operacionales con el objeto de asegurar la correcta operacin de los medios de procesamiento de la informacin y por otra implementar polticas de respaldo y restauracin de los datos en forma oportuna. Si corresponde, se debe implementar una segregacin funcional para reducir el riesgo de negligencia o uso malicioso de los sistemas.

Gua Seguridad de la Informacin

Se debe asegurar la proteccin de la informacin transmitida a travs de correo electrnico y la infraestructura que lo soporta. Una buena gestin segura del correo electrnico, debe cuidar de la informacin que es transmitida, su confidencialidad, implicancias legales, monitoreo y proteccin.

h. Control de acceso Se debe asegurar que el acceso del usuario es debidamente autorizado y evitar el acceso no autorizado a los sistemas de informacin, estableciendo procedimientos formales de control en la asignacin de los derechos de acceso a los sistemas de informacin. Todas las etapas en el ciclo de vida del acceso del usuario deben estar contempladas en estos procedimientos, esto es, desde el registro inicial de nuevos usuarios hasta la baja de los mismos porque que ya no requieren acceso a los sistemas de informacin. Poner especial atencin en la asignacin de derechos de acceso con privilegios que puedan permitir a los usuarios superar los controles del sistema. Implementar una poltica de escritorio y pantalla limpios de manera que por una parte reducir el riesgo de acceso no autorizado y por otra, robo o dao a los papeles u otros medios de almacenamiento de la informacin.

i. Adquisicin, desarrollo y mantenimiento de los sistemas de informacin En los sistemas de informacin estn incluidos sistemas operativos, infraestructura, aplicaciones para el negocio, servicios y aplicaciones desarrolladas internamente por la empresa. El diseo e implementacin del sistema de informacin que soporta el proceso de negocio puede ser crucial para la seguridad. Se deben identificar y acordar todos los requerimientos de seguridad antes del desarrollo y/o implementacin de los sistemas de informacin en la fase de requerimientos de un proyecto; y deben ser justificados, acordados y documentados como parte de las formalidades para un sistema de informacin. Las empresas que desarrollan el software internamente o bien, contraten el desarrollo a una empresa externa, deben garantizar que la seguridad sea parte de los sistemas de informacin desarrollados e incluirlos en la etapa de las especificaciones del software.

Gua Seguridad de la Informacin

j. Gestin de incidentes en la seguridad de la informacin Se debe asegurar que las debilidades, problemas y eventos de seguridad de la informacin asociados a los sistemas de informacin sean comunicados en forma oportuna de modo de permitir tomar acciones correctivas a tiempo. Debe establecerse un procedimiento formal tanto para informar cualquier evento de seguridad de la informacin junto con la respuesta al incidente, como un procedimiento de escalamiento, comunicando la accin que se tomar al momento de recibir un informe de un evento de seguridad de la informacin. Procedimientos que deben ser debidamente difundidos de manera que sean de conocimiento de todos los empleados de la empresa.

k. Gestin de la continuidad del negocio Se deben considerar los aspectos de la seguridad de la informacin de la gestin de la continuidad operativa de manera de hacer frente a las interrupciones de las actividades institucionales y proteger los procesos crticos de los efectos de fallas importantes o desastres en los sistemas de informacin y asegurar su reanudacin oportuna. Se debe implementar el proceso de gestin de la continuidad del negocio para minimizar el impacto sobre la empresa y lograr recuperarse de la prdidas de activos de informacin (lo cual puede ser resultado de, por ejemplo, desastres naturales, accidentes, fallas del equipo y acciones deliberadas) hasta un nivel aceptable a travs de una combinacin de controles preventivos y de recuperacin.

l.

Cumplimiento

Se deben generar procedimientos rutinarios de auditora con el objeto de evitar los incumplimientos de cualquier ley, estatuto, regulacin u obligacin contractual legal y de cualquier requisito de seguridad a los cuales puede estar sujeto el diseo, operacin, uso y gestin de los sistemas de informacin.