ÁREA: CALIDAD DE ATENCIÓN DE USUARIOS SISTEMA: SEGURIDAD DE LA INFORMACIÓN

Transcripción

1 ETAPA I OBJETIVOS REQUISITOS TÉCNICOS La institución, en conjunto con las áreas que la componen, realiza un Diagnóstico de la situación de seguridad de la información institucional, e identifica en éste todos aquellos dominios de seguridad de la información que establece el DS 83 y la NCh-ISO , determinando el nivel en que la institución se encuentra respecto de: Políticas de Seguridad, Seguridad Organizacional, Clasificación, Control y Etiquetado de Bienes, Seguridad Física y del Ambiente, Seguridad del Personal, Gestión de la Operaciones y de las Comunicaciones, Control de Acceso, Desarrollo y Mantenimiento de Sistemas, Gestión de Incidentes en la Seguridad de la Información, Gestión de la Continuidad del Negocio y Cumplimiento. 2. La institución compara los resultados del Diagnóstico con los dominios establecidos en el DS 83 y la NCH , y determina las brechas que deberán ser abordadas y cerradas a través de la implementación de un Plan de Seguridad de la Información Institucional. La Institución realiza o actualiza (aumento del alcance y/o mejoras al diagnóstico), si corresponde - un diagnóstico del estado actual de la seguridad de la información para sus activos de información críticos, el cual deberá considerar: La identificación de los activos de información de una selección de los procesos de provisión de bienes y servicios, asociados al o los productos estratégicos, seleccionados de aquellos establecidos en sus definiciones estratégicas (formulario A1), señalando su nivel de criticidad. La selección del (los) proceso(s)/producto(s) deberá realizarse considerando los siguientes criterios: Porcentaje de la dotación asociado al proceso / producto. Alcance geográfico del proceso / producto Frecuencia de aplicación del proceso / producto. Porcentaje del presupuesto asociado a al proceso / producto. Porcentaje de Ciudadanos/ Clientes/ usuarios/ Beneficiarios que reciben el producto. El análisis de riesgos de seguridad de los activos de información con criticidad media y alta. La Institución revisa los controles (requisitos normativos, buenas prácticas de seguridad de la información como alternativas de solución) de la Norma ISO NCH y del DS 83, contenidos en los dominios de seguridad de la información 1, para lo cual debe: 1 Los dominios de seguridad de la información son 11: 1) Política de Seguridad (declaración general de voluntad por parte del Jefe de Servicio); 2) Seguridad Organizacional (formalización de estructura y responsabilidades, ejemplo: Encargado y Comité de seguridad de la Información), Gestión de activos de información (procedimientos de manejo de la información de acuerdo a su clasificación), Seguridad Física y del Ambiente (medidas y procedimientos de acceso físico, protecciones en cuanto a temperatura, luz u otras variables ambientales), Seguridad del Personal (procedimientos de gestión de RRHH que incorporen medidas de protección para los conocimientos que tienen las personas, en la contratación, capacitación, etc.), Gestión de la Operaciones y de las Comunicaciones (procedimientos asociados a la gestión de antivirus, correo electrónico y respaldo, fundamentalmente), Control de Acceso (procedimientos de manejo de contraseñas para los sistemas, redes, etc.), Desarrollo y Mantenimiento de Sistemas (procedimientos para la creación de software, su actualización o la contratación de estos servicios a terceros), Gestión de Incidentes en la Seguridad de la Información (procedimientos de manejo de eventos que afectan la seguridad de la información, su registro y análisis posterior), Gestión de la Continuidad del Negocio (planes para proveer estabilidad a los procesos

2 ETAPA I OBJETIVOS REQUISITOS TÉCNICOS 2012 Identificar los controles que están cumplidos(o abordados) por dominio de seguridad, para mitigar riesgos que afectan a los activos de información. Identificar los controles o requisitos normativos de los dominios de seguridad, que falta implementar para mitigar los riesgos detectados en los activos de información, considerando al menos los siguientes aspectos: Las responsabilidades del personal y sus chequeos. La seguridad física y perimetral y las mantenciones requeridas. Los procedimientos de operaciones, comunicaciones. Los procedimientos de control de acceso lógico. Los procedimientos de mantención, desarrollo y/o adquisición de sistemas. La gestión de los incidentes de seguridad. Los planes de continuidad del negocio. La identificación de la legislación aplicable y los registros que se deben proteger de acuerdo a ella. Otros controles requeridos por el servicio para mitigar sus riesgos. críticos) y Cumplimiento (chequeo de que las medidas adoptadas satisfacen las leyes y normativas vigentes).

3 ETAPA II OBJETIVOS REQUISITOS TÉCNICOS La institución establece una Política de Seguridad de la Información formalizada por el Jefe Superior del Servicio. 4. La institución, en el marco de la Política de Seguridad de la Información establecida, elabora un Plan General de Seguridad de la Información Institucional, para el año en curso y siguientes, de acuerdo a los resultados del diagnóstico y las brechas detectadas, que comprenda, al menos, la coordinación de todas las unidades de la institución vinculadas a los aspectos de seguridad de la información, a través del nombramiento de responsables de la implementación del Plan, y el establecimiento de los controles para cumplir los requisitos del DS 83 y la NCh-ISO La institución, en el marco de la Política de Seguridad de la Información establecida, elabora un Programa de Trabajo Anual para implementar el Plan de Seguridad de la Información definido, señalando al menos el porcentaje de cumplimiento que alcanzará para el año en cada uno de los dominios de seguridad, los principales hitos de su ejecución y un cronograma que identifique actividades, plazos y responsables, y lo difunde al resto de la organización, asegurándose que es conocido y comprendido por todos los funcionarios del servicio. La institución establece el marco para su Sistema de Seguridad de la Información, para lo cual deberá considerar: La formulación de una Política General de Seguridad de la información, aprobada por el Jefe Superior del Servicio, a través de una resolución,, y contenga, al menos: Una definición de seguridad de los activos de información, sus objetivos globales, alcance e importancia. Los medios de difusión de sus contenidos al interior de la organización La periodicidad de su reevaluación (que debe ser cada 3 años como máximo) y revisión de cumplimiento. El nombramiento del Encargado de Seguridad de la Información, mediante resolución. La constitución del Comité de Seguridad de la Información. La institución elabora, de acuerdo al Diagnóstico, el Plan General de Seguridad de la Información para el año en curso y siguientes, aprobado por el Jefe Superior del Servicio, el que debe considerar al menos: Acciones para el tratamiento y monitoreo para los riesgos de los activos con criticidades medias y altas, que incluyan los controles o requisitos normativos que se implementarán y que permitirán mitigar esos riesgos. Los indicadores de desempeño que permitan medir la efectividad de los controles o requisitos normativos a implementar, cuando corresponda. Acciones para ampliar el alcance a otros productos y/o procesos relevantes que no hayan sido identificados en el diagnóstico actualizado, si corresponde. La identificación de (el) o los responsables de la implementación del Plan. La institución elabora, de acuerdo al Plan General de Seguridad de la Información, un Programa de Trabajo Anual,, que incluye, al menos: Los principales hitos y actividades. Plazos y responsables por hito. Acciones concretas destinadas a la difusión/sensibilización/capacitación a todos los funcionarios (y a

4 ETAPA II OBJETIVOS REQUISITOS TÉCNICOS 2012 clientes/usuarios/beneficiarios, corresponda). cuando

5 ETAPA III OBJETIVOS REQUISITOS TÉCNICOS La institución implementa el Programa de Trabajo Anual definido en la etapa anterior, de acuerdo a lo establecido en el Plan General de Seguridad de la Información, registrando y controlando los resultados de las actividades desarrolladas, las dificultades y holguras encontradas y las modificaciones realizadas respecto a lo programado. La institución implementa el Programa de Trabajo Anual, registrando y controlando, al menos, lo siguiente: La ejecución de los hitos o actividades comprometidas. Los resultados de los indicadores de desempeño comprometidos. La medición del porcentaje de avance en la implementación de los controles de seguridad (o requisitos normativos) en los dominios de seguridad.

6 ETAPA IV OBJETIVOS NUEVA PROPUESTA REQUISITOS TÉCNICOS La institución evalúa y difunde los La institución evalúa los resultados de la resultados de la implementación implementación del Plan General de SI, y del Plan General de Seguridad de la Información Institucional y el Programa de Trabajo Anual, considerando el porcentaje de cumplimiento en los dominios de seguridad del DS 83 y la NCh-ISO logrado, respecto de las brechas detectadas en el diagnóstico, y formula recomendaciones de mejora. Programa de Trabajo Anual considerando, al 8. La institución diseña un Programa de Seguimiento a partir de las recomendaciones formuladas en la evaluación de los resultados de la ejecución del Plan General de Seguridad de la Información y Programa de Trabajo Anual, señalando los compromisos, plazos y responsables, que permitan superar las causas que originaron las brechas aún existentes y las debilidades detectadas. 9. La institución, en conjunto con las áreas que la componen, implementa los compromisos establecidos en el Programa de Seguimiento definido. 10. La institución mantiene el grado de desarrollo del sistema de acuerdo a cada una de las etapas tipificadas. menos, los siguientes aspectos: Revisión, por parte del Comité de Seguridad de la Información (CSI), del porcentaje de cumplimiento en los dominios de seguridad abordados. Revisión de los resultados de las actividades desarrolladas y la efectividad en la mitigación de riesgos. Identificación de riesgos persistentes y otras debilidades, y su análisis de causa Recomendaciones de mejora, que consideren medidas correctivas y preventivas. La institución difunde los resultados de la implementación del sistema de seguridad de la información a todos los funcionarios (y a clientes/usuarios/beneficiarios, cuando corresponda). La institución, en base a los resultados de la implementación realizada, diseña y controla un Programa de Seguimiento que incluya, al menos: Recomendaciones y medidas de mejoramiento identificadas en la etapa. Compromisos. Plazos y responsables. La institución deberá, al menos, mantener el grado de desarrollo del SSI alcanzado, incorporando un sistema de control y mejora continua, el cual deberá incluir, al menos, los siguientes aspectos: Revisiones regulares a la operación del SSI Resultado del cumplimiento de las metas e indicadores y definición de medidas para su mejoramiento sancionados por la Dirección o el Comité de Seguridad de la Información (CSI). Actualización del inventario de activos de información y los planes de acciones de tratamiento de riesgos de SI, incorporando éstos últimos al proceso de gestión institucional.