informe de cumplimiento del plan de seguridad de la ... · departamento de informÁtica ... 1....

DIVISIÓN DE ADMINISTRACIÓN Y FINANZAS

DEPARTAMENTO DE INFORMÁTICA

_______________________________________________________________________________________ Bandera 46 Santiago de Chile www.gobiernosantiago.cl

INFORME DE CUMPLIMIENTO DEL PLAN DE SEGURIDAD DE LA INFORMACIÓN

1. Productos Estratégicos Institucionales contenidos en el formulario A1.

Nº Producto Estratégico Procesos de provisión

1 Sistema de Información Territorial y Regional

Planificación Regional y Ordenamiento Territorial Planificación Presupuestaria

2 Instrumentos Planificación Estratégica Gestión Jurídica Planificación Institucional Coordinación de la Inversión Pública en la Región

3 Fortalecimiento, Formulación y Programación de Inversión Regional y Sectorial

Gestión Administrativa, Financiera y Física del Presupuesto De Inversión Regional Fondo Nacional De Desarrollo Regional

4 Sistema de Seguimiento y Supervisión de la Inversión

Gestión Administrativa, Financiera y Física del Presupuesto De Inversión Regional Fondo Nacional de Desarrollo Regional

Alcance: Se ha seleccionado como proceso de provisión la “Gestión Administrativa, Financiera y Física del Presupuesto de Inversión Regional Fondo Nacional de Desarrollo Regional” el cual abarca los productos estratégicos números 3 y 4 que corresponden a los con mayor cobertura del área de negocio de este Gobierno Regional, según la priorización de la misión Institucional y los ítems de financiamiento para el período.




2. El siguiente informe tiene como finalidad la justificación detallada de los

controles de la Nch-ISO27001.Of2013 que se declaran como NO cumplidos en el

Diagnostico y que figuran en el Plan General.

Producto Esperado

Control Nch-ISO27001.Of2013

Justificación Fecha de Inicio

Fecha de Termino

Norma de seguridad de la información para la gestión de proyecto. A.06.01.05

Seguridad de la información en la gestión de proyecto.

Se realizará en el año 2016 por prioridades Institucionales. Esto dado a que no se disponía de recurso humano suficiente para abordar todos los controles. 01-04-16 30-11-16

Política de dispositivos móviles. A.06.02.01

Política de dispositivos

móviles.

Dentro del desarrollo de la política se estipulara la protección de datos el cual cuenta con recursos de financiamiento del año siguiente 01-04-16 31-08-16

Norma Trabajo Remoto. A.06.02.02

Trabajo Remoto.

Actualmente no se permite trabajo remoto pero se proyecta para el 2016 su evaluación. 01-04-16 31-08-16

Inclusión de términos y condiciones de la relación laboral en contratos. A.07.01.02

Términos y condiciones

de la relación laboral.

Por razones de priorización de actividades del Depto. Jurídico se planifica elaborar estos términos en el 2017 de modo que entren en operación el año 2018 01-04-17 30-11-17

Difusión y capacitación acerca de concientización, educación y formación en seguridad de la información. A.07.02.02

Concientización, educación y formación

en seguridad de la

información.

Por prioridades del Jefe de servicio en términos de disponibilidad de recursos humanos se calendarizo para el año 2016 una serie de actividades de difusión y concientización que permitan formar a los funcionarios en temas de Seguridad de la Información 01-04-16 30-11-16

Reglamento disciplinario que regule infracciones a la seguridad de la información A.07.02.03

Proceso disciplinario

Dado a que esta en proceso la modificación del actual Reglamento de Calificaciones se incluyo como parte de esta tarea la regularización de medidas disciplinarias ante infracciones a la seguridad de la información 01-04-16 30-11-16

Modificación de contratos añadiendo cláusulas con responsabilidades en la desvinculación o cambio de empleo A.07.03.01

Responsabilidades en la

desvinculación o cambio de

empleo

Por razones de priorización de actividades del Depto. Jurídico se planifica elaborar estos términos en el 2017 de modo que entren en operación el año 2018. Esto a que se esta desarrollando una nueva Política de Contratación de Personal 01-04-17 30-11-17

Política de manejo de activos A.08.02.03

Manejo de activos

Se realizará en el año 2016 por prioridades Institucionales debido a falta de recursos humanos 01-04-16 30-11-16

Procedimiento para eliminación de los medios. A.08.03.02

Eliminación de los

medios.

Se realizará en el año 2017 por requerimientos presupuestarios para el cumplimiento. 01-04-17 30-11-17

Política sobre el uso de controles criptográficos A.10.01.01

Política sobre el uso de controles

Se realizará en el año 2016 por requerimientos presupuestarios asociados a la modificación de controles existentes 01-04-16 30-11-16




criptográficos

Política de gestión de claves A.10.01.02

Gestión de claves

Se realizará en el año 2016 por requerimientos presupuestarios asociados a la modificación de controles existentes 01-04-16 31-08-16

Procedimiento gestión de la capacidad A.12.01.03

Gestión de la capacidad

Se realizará en el año 2016 por prioridades presupuestarias 01-04-16 31-08-16

Procedimiento de control de las vulnerabilidades técnicas A.12.06.01

Control de las vulnerabilidad

es técnicas

Se realizará en el año 2016, esto dado a que no se disponía de recurso humano suficiente para realizar el procedimiento 01-04-16 30-11-16

Procedimientos de control de auditoría de sistemas de información A.12.07.01

Controles de auditoría de sistemas de información

Dada la complejidad y requerimientos presupuestarios involucrados se planifica este control para el año 2017. 01-04-17 30-11-17

Plan de continuidad y recuperación ante desastres A.17.01.01

Planificación de la

continuidad de la

Seguridad de la

Información.

Por orden del Jefe de Servicio se debe realizar un análisis de impacto de negocios por un ente externo lo que compromete financiamiento para el año 2017 dado requerimientos presupuestarios 01-04-17 30-11-17


Implementación de la

continuidad de la

seguridad de la

información.



Verificación, revisión y

evaluación de la continuidad

de la seguridad de

la información.


Derechos de propiedad intelectual. A.18.01.02

Derechos de propiedad intelectual.


Política de datos de la organización para la privacidad y protección de información de identificación personal A.18.01.04

Privacidad y Protección de la información

de identificación

personal.


Norma para regulación de los controles criptográficos A.18.01.05

Regulación de los

controles criptográficos


Revisión independiente de la seguridad de la información A.18.02.01

Revisión independiente

de la seguridad de la información

Se realizará en el año 2017 por la necesidad de obtener compromisos presupuestarios para el cumplimiento. 01-04-17 30-11-17




Cumplimiento con las políticas y normas de seguridad A.18.02.02

Cumplimiento con las

políticas y normas de seguridad

Se realizará en el año 2016 por prioridades Institucionales. 01-04-16 30-11-16

Verificación del cumplimiento técnico A.18.02.03

Verificación del

cumplimiento técnico

Se realizará en el año 2016 por prioridades Institucionales debido a falta de recursos humanos 01-04-17 30-11-17

3. El siguiente es el detalle de justificaciones para cada uno de los controles que

quedan fuera de análisis y que por tanto no aplicaron para su implementación en

el año 2015.

Control Nch-ISO27001.Of2013

Justificación

A.06.01.05

Seguridad de la información en la gestión de proyecto.

En los diagnósticos realizados con anterioridad no se considero una amenaza a los activos de información el hecho de no establecer un procedimiento que asegurara los activos institucionales desde el desarrollo de proyectos. Si bien existen políticas y procedimientos actuales que contemplan las responsabilidades no profundizan en cuanto a los métodos de evaluación y control.

A.06.02.01

Política de dispositivos

móviles. Dado el análisis inicial no se priorizo el riesgo asociados a los dispositivos móviles. Debido a que institucionalmente solo se usaban con fines comunicacionales.

A.06.02.02 Trabajo Remoto.

En el diagnostico realizado con anterioridad se definió que la Institución no estaba preparada tecnológicamente para desarrollar trabajo remoto

A.07.01.02

Términos y condiciones

de la relación laboral.

Si bien en el diagnostico inicial se abordaron temas como el trato con empresas externas (normas de uso outsourcing) y se ha incorporado en el contrato de funcionarios detalles específicos con respecto al cuidado y tratamiento de los activos de información. Decidimos colocar no cumplido pues encontramos que no se ha desarrollado una política integral que contemple las acciones a seguir si el empleado o contratista desatiende los requisitos de seguridad. Debido a esto el equipo Jurídico a decidido realizar un estudio con respecto a las leyes que afectarían esta política.

A.07.02.02

Concientización, educación y formación

en seguridad de la

información.

Dentro de la Institución se ha trabajado este ultimo periodo del año 2015 en relación al cuidado de la seguridad de los activos y el Jefe de Servicio a decidido realizar una campaña de concientización y difusión de uso, tratamiento y cuidado de los activos de información.

A.07.02.03 Proceso

disciplinario

Actualmente en el Servicio no se cuenta con políticas que integren un proceso disciplinario establecido por responsabilidades en el tratamiento de los activos de información. Debido a esto se espera integrar el año 2016 una evaluación dentro del proceso calificatorio específicamente acerca de la infracciones en la seguridad de la información.




A.07.03.01

Responsabilidades en la

desvinculación o cambio de

empleo

Si bien en el servicio se cuenta con contratos que informan acerca de la seguridad de la información, actualmente no se definen responsabilidades claras acerca de los deberes que aun sigan siendo validos después de la desvinculación del Servicio o cambio de responsabilidades dentro del mismo.

A.08.02.03 Manejo de

activos

Consideramos el no cumplimiento de este control debido a que no se manejan evidencias de registros y políticas claras de protección y almacenamiento de activos de información esto debido a que no se dispusieron recursos necesarios para el desarrollo de la tarea. Cabe señalar que tareas de etiquetado, protección y almacenamiento se desarrollan de manera natural en el Servicio.

A.08.03.02

Eliminación de los

medios.

Actualmente se utiliza una norma de eliminación, reutilización y devolución la que hace referencia a los equipos computacionales, sin embargo se declara el no cumplimiento dado que no se ha priorizado la realización política integral que contemple todos los activos de información así como la destrucción física y segura de los activos.

A.10.01.01

Política sobre el uso de controles

criptográficos

Se ha determinado el uso de cierto algoritmo de encriptación pero por prioridades presupuestarias en cuanto a la modificación de los sistemas en funcionamiento se ha declarado el no cumplimiento del control.

A.10.01.02 Gestión de

claves

Se ha determinado el uso de cierto algoritmo de encriptación pero por prioridades presupuestarias en cuanto a la modificación de los sistemas en funcionamiento se ha declarado el no cumplimiento del control.

A.12.01.03 Gestión de la

capacidad Dado el diagnóstico inicial realizado no se ha priorizado el desarrollo del requisito de control y monitoreo.

A.12.06.01

Control de las vulnerabilidad

es técnicas

Si bien existen números de versiones, control de versión y el software de despliegue de las aplicaciones, no existe para todos los sistemas externos debido a esto la organización no ha establecido un proceso de gestión para vulnerabilidades técnicas.

A.12.07.01

Controles de auditoría de sistemas de información

Actualmente no se cuenta con una planificación de auditoría para verificar los sistemas operacionales de los procesos del negocio.

A.17.01.01

Planificación de la

continuidad de la

Seguridad de la

Información.

Actualmente el Servicio no cuenta con financiamiento para realizar un análisis de impacto de negocio externo con el fin de transparentar la verdadera situación real de la Institución ante desastres.

A.17.01.02

Implementación de la

continuidad de la

seguridad de la

información. Como no se cuenta con una planificación de continuidad de la seguridad de la información no es posible realizar la implementación.

A.17.01.03

Verificación, revisión y

evaluación de la continuidad

de la seguridad de

la información.

Como no existe una implementación de la continuidad de la seguridad de la información no es posible realizar una verificación, revisión y evaluación de la continuidad de la seguridad de la información.

A.18.01.02

Derechos de propiedad intelectual.

Si bien se cuenta con una norma de uso, instalación legal de software el Servicio, esta no hace referencia al cumplimiento de los derechos de propiedad intelectual ni la ley de derechos de autor por lo que se considera incompleta para los requisitos de este control.




A.18.01.04

Privacidad y Protección de la información

de identificación

personal. En el Análisis inicial no se considero este control como prioritario. Por lo cual no se cuenta con un política para la privacidad y protección de información de identificación personal.

A.18.01.05

Regulación de los

controles criptográficos

Al no existir una política de controles criptográficos no se ha evaluado este control para mitigar el cumplimiento de acuerdos, leyes y regulaciones pertinentes.

A.18.02.01

Revisión independiente

de la seguridad de la información

El servicio no ha realizado una revisión del sistema de seguridad de la información por personas externas o con habilidades y experiencia adecuada.

A.18.02.02

Cumplimiento con las

políticas y normas de seguridad

El Servicio no cuenta con un procedimiento establecido para la revisión de de cumplimiento del sistema de seguridad de la información en sus departamentos. Ni con un sistema de reportabilidad de en caso de detección de deficiencia o debilidad.

A.18.02.03

Verificación del

cumplimiento técnico

El Servicio no cuenta con recurso humano para la detección de vulnerabilidades y revisión de los sistemas de información.

Si bien existen controles que no se encuentran asociados a la hoja de Análisis de Riesgo se ha determinado la reevaluación de la planilla de inventario con el fin de actualizarla con los Controles de la Nch-ISO 27001.Of2013.

4. Fundamento de controles de seguridad implementados

CO

NTR

OL

ISO

2

70

01

-2

01

3

OBJETIVO DE CONTROL FUNDAMENTO

Cláusula 8.1 (*)

Entrega del Servicio Control y Planificación operacional.

Se han implementado normas y protocolos enfocados a los servicios de terceros tanto en el manejo de información como en los accesos a lugares críticos del Servicio.

A.05.01.01 Políticas de seguridad de la información

Existe una Política General de Seguridad de la Información implementada y aprobada por el Jefe de Servicio mediante Resolución.




A.05.01.02 Revisión de las políticas de seguridad de la información

El Comité de Seguridad de la Información revisa a lo menos una vez al año la Política General de Seguridad

A.06.01.01 Roles y responsabilidades de la seguridad de la información.

Se levantó un inventario de activos de los procesos seleccionados con el fin de identificar los responsables de cada uno de ellos. El Jefe del Servicio designó mediante resolución al Encargado de Seguridad de la Información como al Comité de Seguridad de la Información.

A.06.01.02 Segregación de funciones Se definió dentro de los objetivos de la Gestión de la Seguridad de la Información, la organización, clasificación y catastro de la información tomando en cuenta el análisis de riesgos, capacitación y difusión. Se estipula de manera clara que para tales eventos el inicio de cualquier proyecto esté separado su autorización para evitar posible colusión en el diseño de controles.

A.06.01.03 Contacto con autoridades Mediante el plan de emergencias Institucional se ha estipulado la forma y medios de comunicación con autoridades en caso de contingencia.

A.06.01.04 Contacto con grupos especiales de interés.

Se ha establecido en la resolución del Encargado de Seguridad de la Información el mantener puntos de enlace y comunicación con encargados de seguridad de otros organismos públicos y especialistas externos que le permitan estar al tanto de la tendencias normas y métodos de seguridad pertinentes. Para esto el Encargado de Seguridad forma parte de una comunidad de encargados de Seguridad de Gobiernos Regionales.




A.07.01.01 Selección El Servicio ha estipulado un formato de contratos de honorarios y declaraciones juradas con el fin de establecer un control al enrolamiento de funcionarios. Con el objeto de propiciar una transparente y eficiente gestión de los procesos de reclutamiento y selección en el Servicio, donde el mérito, la idoneidad y la no discriminación arbitraria sean los elementos centrales en su aplicación.

A.07.02.01 Responsabilidades de la dirección Mediante la política y proceso de selección de personal y la norma de uso outsorcing el Servicio asegura y estipula que tanto los empleados y contratistas estén informados de las políticas de seguridad de la información, procedimientos, controles y como proceder en el uso de los activos de información.

A.08.01.01 Inventario de activos El Servicio mediante resolución ha establecido una política de clasificación y manejo de activos de información de la cual se han levantado un inventario de activos del proceso seleccionado.

A.08.01.02 Propiedad de los activos Mediante resolución el Servicio ha establecido manuales de uso de activos de información para establecer responsabilidades y administración adecuada durante su ciclo de vida.

A.08.01.03 Uso aceptable de los activos Se han establecido políticas, normas y manuales de procedimiento para que tanto los empleados y los usuarios externos tengan conocimiento y responsabilidad de cualquier recurso de procesamiento de información y uso desarrollado bajo su responsabilidad.

A.08.01.04 Devolución de activos El Servicio ha establecido una norma




mediante resolución que estipula el proceso a seguir para la devolución de activos de información

A.08.02.01 Clasificación de la información. El Servicio ha establecido una Política mediante resolución que estipula el proceso a seguir para la clasificación de activos de información

A.08.02.02 Etiquetado de la información El Servicio ha establecido un manual mediante resolución que indica como debería realizarse la gestión de los activos de información incluyendo metodología de etiquetado de esta.

A.08.03.01 Gestión de los medios removibles El servicio cuenta con una norma de seguridad informática mediante resolución que estipula los procedimientos a seguir para la gestión de medios removibles.

A.08.03.03 Transferencia Física de medios. El servicio cuenta con una norma de seguridad informática mediante resolución que estipula los procedimiento a seguir para la transferencia de medios removibles asi como un contrato con una empresa externa que cuenta con servicios detallados para la transferencia y seguridad de los medios de respaldo

A.09.01.01 Política de control del acceso El servicio cuenta con una Norma de acceso físico aprobada por resolución, que establece controles de acceso a las instalaciones.

A.09.01.02 Accesos a las Redes y a los servicios de la red

El servicio cuenta con una norma de seguridad informática mediante resolución que estipula el uso de redes y servicios de red

A.09.02.01 Registro y cancelación de registro de usuario.

El servicio cuenta con una norma de seguridad informática mediante resolución que estipula el uso de un ID único para cada usuario de manera que se hace responsable del uso de los servicios de red




A.09.02.02 Asignación de acceso de usuario. El servicio cuenta con una norma de uso identificación y autentificación por resolución en la cual se estipula de manera formal la asignación de acceso a usuarios en los distintos sistemas.

A.09.02.03 Gestión de derechos de acceso privilegiados.

El servicio cuenta con una norma de uso identificación y autentificación por resolución en la cual se estipula de manera formal la asignación de restringir y controlar la asignación de privilegios de acceso.

A.09.02.04 Gestión de información secreta de autenticación de usuarios.

El servicio cuenta con una norma de uso identificación y autentificación por resolución en la cual se estipula de manera formal la asignación de ID y contraseña para autenticación secreta a los usuarios

A.09.02.05 Revisión de los derechos de acceso de usuario

El servicio cuenta con una norma de seguridad informática mediante resolución que indica las responsabilidades de los usuarios ante los privilegios y derechos de accesos a sus activos

A.09.02.06 Eliminación o ajuste de los derechos de acceso

El servicio cuenta con una norma de seguridad informática mediante resolución que indica los procedimientos a seguir tras la desvinculación de un funcionario

A.09.03.01 Uso de información de autenticación secreta.

El servicio cuenta con una norma de uso identificación y autentificación por resolución en la cual se estipula las responsabilidades, procedimientos y usos de la información de autenticación secreta

A.09.04.01 Restricción del acceso a la información

Existe un Protocolo de Control y tratamiento de la seguridad de la información aprobado por resolución el cual contempla Controles y restricciones de acceso a sistemas.




A.09.04.02 Procedimientos de inicio de sesión seguro.

Existe un Protocolo de Control y tratamiento de la seguridad de la información aprobado por resolución el cual cuenta con procedimientos de inicio de sesión seguros para los usuarios que necesiten acceder a los sistemas de información

A.09.04.03 Sistema de gestión de contraseñas El servicio cuenta con una norma de uso identificación y autentificación y una norma de seguridad informática las cuales cuentan con procedimientos para la asignación de contraseñas seguras. Además de GPO apropiadas para la validación de contraseñas seguras.

A.09.04.04 Uso de programas utilitarios privilegiados.

Se ha restringido la posibilidad de instalación de software mediante una Norma de uso instalación legal de software por resolución y GPO de directivas de Grupo.

A.09.04.05 Control de acceso al código fuente de los programas

El desarrollo implementado en el servicio es un patrón de diseño llamado modelo vista y controlador donde el usuario solamente tiene acceso a la vista para la visualización de información. Esto ha sido estipulado mediante un Procedimiento de Actualización y validación de Data que se ha validado por resolución.

A.11.01.01 Perímetro de seguridad física Se han estipulado los perímetros de seguridad, zonas de recepción, cámaras de seguridad, sistema de acceso de puertas magnéticas para los activos de información mediante una Norma de acceso físico aprobada por resolución

A.11.01.02 Controles de ingreso físico El servicio cuenta con un instructivo de autorización y control para instalaciones aprobado por resolución que da indicaciones precisas de cómo




deben controlarse el ingreso de personas ajenas al servicio así como el uso de tarjetas de acceso a las diferentes zonas del edificio.

A.11.01.03 Asegurar Seguridad de oficinas, salas e instalaciones.

Se ha creado una norma de acceso físico aprobada por resolución la cual da indicaciones de seguridad para las distintas áreas del edificio

A.11.01.04 Protección contra amenazas externas y del ambiente.

Se ha creado un plan de emergencia aprobado por resolución con el fin de dar directrices con respecto a qué hacer ante posibles amenazas tanto humanas como naturales.

A.11.01.05 Trabajo en áreas seguras. Se han estipulado mediante una Norma de acceso físico aprobada por resolución zonas restringidas en las cuales solo podrá acceder personal autorizado

A.11.01.06 Áreas de entrega y carga. El servicio cuenta con zonas de carga y entrega de materiales para personal externo. Estas zonas cuentan con control de ingreso y monitoreo por cámaras de seguridad. Existe un instructivo de autorización y control para instalaciones aprobado por resolución que detalla el uso del área de carga y descarga

A.11.02.01 Ubicación y protección del equipamiento

El Servicio implementa 2 normas en relación a este control las que se difunden vía Intranet Institucional.

A.11.02.02 Elementos de soporte El Servicio implanta un instructivo correctivo que tiene por finalidad el mantenimiento del equipo electrógeno como el sistema de soporte UPS de Servidores y equipos sensibles de red.

A.11.02.03 Seguridad en el cableado. El Servicio implanta un instructivo correctivo que tiene por finalidad el mantenimiento del equipo electrógeno como el sistema de soporte UPS de Servidores y equipos sensibles de red.




Adicionalmente se instruye que los rack de comunicaciones y tableros eléctricos se mantienen con llave.

A.11.02.04 Mantenimiento del equipamiento El Servicio cuenta con una norma de seguridad informática la cual estipula un procedimiento para el mantenimiento preventivo de la plataforma tecnológica.

A.11.02.05 Retiro de Activos. Se ha estipulado una norma de uso para los equipos tecnológicos portátiles mediante resolución para evitar el retiro de equipamiento de la organización sin autorización previa.

A.11.02.06 Seguridad del equipamiento y los activos fuera de las instalaciones.

Se ha estipulado una norma de uso para los equipos tecnológicos portátiles dicta instrucciones de seguridad para los activos fuera de las instalaciones de la Institución.

A.11.02.07 Seguridad en la reutilización o descarte de equipos.

El Servicio cuenta con una norma de eliminación, reutilización y devolución de activos de información la cual estipula el procedimiento de los activos antes de reasignarlos a un nuevo responsable.

A.11.02.08 Equipo de usuario desatendido El Servicio dicta una norma de seguridad informática mediante resolución la cual estipula obligaciones para los usuarios en el momento en que quedan desatendidos la que se aplica vía controlador de dominio de red.

A.11.02.09 Política de escritorio y pantalla limpios

El Servicio cuenta con una norma de escritorio limpio la cual da directrices ante situaciones específicas para velar por la seguridad en los puestos de trabajo.

A.12.01.01 Procedimientos de operación documentados

El Servicio ha implementado normas aprobadas por resolución que documentan los procedimientos y




actividades operacionales asociadas al procedimiento y comunicación de información.

A.12.01.02 Clausula 8.1 (*)

Gestión de cambios Control y Planificación operacional.

Se han implementado procedimientos pertenecientes a la unidad de desarrollo de sistemas, validados por resolución que dictan el método de identificación, planificación, evaluación, verificación y registro para control de cambios.

A.12.01.04 Separación de los ambientes de desarrollo, prueba y operacionales

El Servicio cuenta con un procedimiento de pruebas funcionales apropiado para los sistemas e infraestructura que separa los ambientes de desarrollo, prueba y operacionales.

A.12.02.01 Controles contra código malicioso Se aprobaron normas establecidas por resolución sobre controles de prevención, detección y recuperación contra códigos maliciosos, así como la infraestructura apropiada para la detección de estos.

A.12.03.01 Respaldo de información El Servicio aprueba por resolución una norma de seguridad informática que cuenta con un procedimiento específico sobre backup de información.

A.12.04.01 Registro de Evento. El Servicio aprueba por resolución una norma de seguridad informática que establece la mantención de registros y auditoría de eventos en los sistemas de información.

A.12.04.01 Registro de Evento El Servicio aprueba por resolución una norma de seguridad informática que establece la mantención de registros y auditoría de eventos en los sistemas de información.

A.12.04.02 Protección de la información de registros.

El Servicio cuenta con una norma de acceso físico aprobado por resolución que estipula formalmente el acceso




restringido solo a personal autorizado al datacenter Institucional, así como también la infraestructura de tarjetas magnéticas.

A.12.04.03 Registros del administrador y operador

Se aprobó por resolución una norma de seguridad informática en la cual existe un procedimiento de registro de eventos tanto erróneos como aceptados a las unidades de procesamiento.

A.12.04.04 Sincronización de relojes Se aprobó por resolución una norma de seguridad informática en la cual existe una directiva de grupo a nivel de controlador de dominio que sincroniza todos los relojes de los sistemas y unidades de procesamiento de información.

A.12.05.01 Control del software operacional Se aprobó por resolución una norma de seguridad informática que establece la actualización periódica de software operacional y aplicaciones mediante el uso de un servidor de actualizaciones.

A.13.01.01 Controles de red La Institución cuenta con una norma de seguridad informática que establece la gestión y el control para poder proteger la información en los sistemas y aplicaciones.

A.13.01.02 Seguridad de los servicios de la red La Institución cuenta con una norma de seguridad informática que establece al Departamento de Informática como responsable de los mecanismos de seguridad así como la realización y medición de niveles de servicio y los requisitos de gestión.

A.13.01.03 Separacion en las redes El Servicio cuenta con segregación por subredes tanto para usuarios como para servidores. Los usuarios quedan protegidos detrás de un firewall al igual que los servidores pero en distintas zonas.




A.13.02.01 Políticas y procedimientos de Transferencia de información

Existe un protocolo de tratamiento y seguridad de la información que establece lineamientos claros con respecto a la transferencia de información.

A.13.02.02 Acuerdos sobre la transferencia de información.

El Servicio cuenta con una norma de uso outsorcing que establece acuerdos de confidencialidad para el uso y trasferencia de información.

A.13.02.03 Mensajería electrónica. El Servicio cuenta con una norma de seguridad informática y una norma de uso de correo electrónico ambas dirigidas a la protección de la mensajería electrónica.

A.13.02.04 Acuerdos de confidencialidad o no divulgacion

El Servicio cuenta con una norma de uso outsorcing que establece acuerdos de confidencialidad para el uso y trasferencia de información.

A.14.01.01 Análisis y especificación de requisitos de seguridad de la información.

El servicio cuenta con procedimientos aprobados por resolución los cuales establecen requisitos relacionados a la seguridad de la información para los sistemas de información nuevos o de desarrollo internos.

A.14.01.02 Aseguramiento de servicios de aplicación en redes públicas.

El Servicio utiliza un túnel encriptado SSL para el envío de los datos en formularios de Cliente- Servidor y está normado bajo resolución que aprueba el procedimiento de actualización de seguridad y validación de la data.

A.14.01.03 Protección de las transacciones de servicios de aplicación.

El Servicio mediante resolución que aprueba el procedimiento de actualización de seguridad y validación de la data establece el trabajo mediante la implementación de gestor de base de datos relacionales que cumplan con el acrónimo ACID para asegurar la atomicidad de los datos.

A.14.02.01 Política de desarrollo seguro. El Servicio mediante resolución que aprueba el procedimiento de




actualización de seguridad y validación de la data establece procedimientos para el desarrollo seguro de sistemas de información.

A.14.02.02 Clausula 8.1 (*)

Procedimientos del control del cambios del sistema. Control y Planificacion operacional.

El Servicio mediante resolución que aprueba el procedimiento de actualización de seguridad y validación de la data autoriza el uso de un repositorio central manejado con subversión con usuario y contraseña solo para los desarrolladores del proyecto, a este podrán acceder a distintos artefactos que componen el proyecto, tales como: fuentes, imágenes, diagramas, etc.

A.14.02.03 Clausula 8.1 (*)

Revisión técnica de las aplicaciones después de cambios en la plataforma de operación. Control y Planificacion operacional.

El Servicio cuenta con un procedimiento de pruebas funcionales apropiado para los sistemas e infraestructura para evitar que el impacto adverso en la seguridad u operaciones de pruebas funcionales.

A.14.02.04 Clausula 8.1 (*)

Restricciones sobre los cambios en los paquetes de software. Control y Planificacion operacional.

El Servicio cuenta con un procedimiento de pruebas funcionales apropiado para los sistemas e infraestructura para evitar que el impacto adverso en la seguridad u operaciones por los cambios en los paquetes de software.

A.14.02.05 Principios de Ingeniería de Sistema Seguro.

El Servicio mediante resolución que aprueba el procedimiento de actualización de seguridad y validación de la data la que establece las especificaciones detalladas en los requerimientos relacionados con la seguridad de la información.

A.14.02.06 Entorno de desarrollo seguro El Servicio mediante resolución que aprueba el procedimiento de actualización de seguridad y validación de la data la que establece las especificaciones detalladas en los




requerimientos relacionados con la seguridad de la información.

A.14.02.07 Clausula 8.1 (*)

Desarrollo tercerizado. Control y Planificación operacional.

El Servicio mediante resolución que aprueba el procedimiento de actualización de seguridad y validación de la data cuenta con un procedimiento formal para el diseño y desarrollo de sistemas a través de terceros.

A.14.02.08 Prueba de seguridad del sistema. El Servicio mediante resolución que aprueba el procedimiento de pruebas funcionales que dicta el procedimiento para la realización de pruebas seguras.

A.14.02.09 Prueba de aceptación del sistema El Servicio mediante resolución que aprueba el procedimiento de pruebas funcionales que dicta el procedimiento para la realización de pruebas de aceptación de los sistemas.

A.14.03.01 Protección de datos de prueba. El Servicio mediante resolución que aprueba el procedimiento de pruebas funcionales que dicta el procedimiento para la protección de datos de prueba.

A.15.01.01 Abordar la seguridad dentro de los acuerdos del Proveedor.

El Servicio aprueba por resolución normas de outsourcing para establecer y documentar acuerdos con los proveedores y asegurar el cumplimiento de requisitos relevantes de seguridad de la información.

A.15.01.02 Abordar la seguridad dentro de los acuerdos del Proveedor.

El Servicio aprueba por resolución normas de outsourcing para establecer y documentar acuerdos con los proveedores y asegurar el cumplimiento de requisitos relevantes de seguridad de la información.

A.15.01.03 Cadena de suministro de tecnologías de la información y comunicaciones

El Servicio aprueba por resolución normas de outsourcing y un protocolo de control y tratamiento de la información los cuales establecen acuerdos sobre la seguridad de la




información en la cadena de suministros.

A.15.02.01 Clausula 8.1 (*)

Supervisión y revisión de los servicios del proveedor. Control y Planificacion operacional.

El Servicio cuenta con una norma de outsoucing aprobada por resolución que establece las responsabilidades del Servicio en el monitoreo y supervisión de personal externo.

A.15.02.02 Clausula 8.1 (*)

Gestión de cambios a los servicios del proveedor. Control y Planificacion operacional.

El Servicio establece mediante resolución un instructivo correctivo y preventivo con el fin de establecer mejoras en los suministros de servicios mediante procedimientos y controles de procesos críticos.

A.16.01.01 Responsabilidades y procedimientos

Se ha generado una política de gestión de incidentes de seguridad acompañada de un plan de emergencia los cuales definen los procedimientos y responsabilidades para el manejo de un incidente de seguridad.

A.16.01.02 Informe de eventos en la seguridad de la información

El Servicio cuenta con una política de gestión de incidentes de seguridad la que instruye la manera de reportar los eventos de seguridad de la información.

A.16.01.03 Reporte de las debilidades en la seguridad

El Servicio cuenta con una política de gestión de incidentes de seguridad la que instruye la manera de reportar las debilidades en materia de seguridad de la información.

A.16.01.04 Evaluación y decisión sobre los eventos de seguridad de la información.

El Servicio cuenta con una política de gestión de incidentes de seguridad de la información la que instruye el método de evaluación y respuesta ante eventos de seguridad.

A.16.01.05 Respuesta ante incidentes de seguridad de la información.

El Servicio cuenta con una política de gestión de incidentes de seguridad de la información la que instruye el método de evaluación y respuesta ante eventos de seguridad.




A.16.01.06 Aprendizaje de los incidentes de seguridad de la información

El Servicio cuenta con una política de gestión de incidentes de seguridad de la información la que indica como registrar las actividades en las incidencias.

A.16.01.07 Recolección de evidencia El Servicio cuenta con una política de gestión de incidentes de seguridad de la información que contempla un procedimiento para análisis de pruebas forenses.

A.18.01.01 Identificación de la legislación vigente y los requisitos contractuales.

El Servicio cuenta con una política general de seguridad que incluye definiciones de la legislación vigente y requisitos contractuales.

A.18.01.03 Protección de los registros. El Servicio cuenta con un manual de gestión de archivos así como una política de clasificación de activos de información los cuales determinan la protección correspondiente según su clasificación.

5. Indicador Transversal de Seguridad de la Información

ITS = (91/114) * 100 = 79,8%

informe de cumplimiento del plan de seguridad de la ... · departamento de informÁtica ... 1....

Documents