ANEXO 12: CORRESPONDENCIA DE ESTÁNDARES

Transcripción

1 ANEXO 12: CORRESPONDENCIA DE ESTÁNDARES - ESTRATEGIA DE GOBIERNO EN LÍNEA 2.0 Coordinación de Investigación, Políticas y Evaluación Programa Agenda de Conectividad Estrategia de Gobierno en línea República de Colombia - Derechos Reservados Bogotá, D.C., Diciembre de 2011

2 2.0 FORMATO PRELIMINAR AL DOCUMENTO Título: Fecha elaboración aaaa-mm-dd: Sumario: Palabras Claves: ANEXO 12: CORRESPONDENCIA DE ESTÁNDARES - MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Este documento presenta la correspondencia de estándares entre el Modelo de Seguridad de la Información para la Estrategia de Gobierno en línea y otros de amplia utilización. Correspondencia, estándares, dominios, políticas, Modelo de Seguridad de la Información, MECI, COBIT, ITIL, NTC GP 1000, ISO Formato: DOC Lenguaje: Español Dependencia: Ministerio de Tecnologías de la información y las Comunicaciones: Programa Agenda de Conectividad Estrategia Gobierno en línea Coordinación de Investigación, Políticas y Evaluación. Código: N/A Versión: Estado: Aprobado Categoría: Autor (es): Revisó: Aprobó: Información Adicional: Documento técnico Centro de Investigación de las Telecomunicaciones - CINTEL Julio Cesar Mancipe Caicedo Líder de Seguridad de la Información, Coordinación de Operaciones. Estrategia Gobierno en línea. Ana Carolina Rodríguez Rivero Coordinadora Coordinación de Investigación, Políticas y Evaluación Estrategia de Gobierno en línea Firmas: Ubicación: Página 2 de 47

3 2.0 CONTROL DE CAMBIOS VERSIÓN FECHA No. SOLICITUD RESPONSABLE DESCRIPCIÓN /12/2010 Extracción de documento de Modelo de Seguridad de la Información para la Estrategia de Gobierno en línea /11/2011 Equipo de trabajo Actualización del documento /12/2011 Equipo de trabajo Ajustes al documento /12/2011 Equipo de trabajo Versión aprobada Página 3 de 47

4 2.0 TABLA DE CONTENIDO 1. INTRODUCCIÓN PROPÓSITO CORRESPONDENCIA DE ESTÁNDARES POLÍTICA DEL SISTEMA DE GESTIÓN POLÍTICAS Y OBJETIVOS DE SEGURIDAD DE LA INFORMACIÓN POLÍTICAS DE SEGURIDAD OBJETIVOS DE SEGURIDAD CORRESPONDENCIA DE ESTÁNDARES POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN ASOCIADAS AL CONTROL DE ACCESO POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN ASOCIADAS A LA NO REPUDIACIÓN POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN ASOCIADAS A LA PRIVACIDAD Y CONFIDENCIALIDAD POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN ASOCIADAS A LA INTEGRIDAD POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN ASOCIADAS A LA DISPONIBILIDAD DEL SERVICIO POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN ASOCIADAS A LA DISPONIBILIDAD DE LA INFORMACIÓN POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN ASOCIADAS A LA PROTECCIÓN DEL SERVICIO POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN ASOCIADAS AL REGISTRO Y AUDITORIA Página 4 de 47

5 2.0 DERECHOS DE AUTOR Todas las referencias a los documentos del Modelo de Seguridad de la Información con derechos reservados por parte del Ministerio de Tecnologías de la Información y las Comunicaciones, por medio del Programa Gobierno en línea. Todas las referencias a las políticas, definiciones o contenido relacionado, publicadas en la norma técnica colombiana NTC ISO/IEC 27001, así como a los anexos con derechos reservados por parte de ISO/ICONTEC. Se puede consultar un cuadro exhaustivo que muestra la correspondencia entre los estándares directamente en Inglés COBIT,ITILV3,ISO27002-Bus-Benefit-12Nov08-Research.pdf y en Español en-beneficio-de-la-empresa-v2,7.pdf Página 5 de 47

6 INTRODUCCIÓN Existen muchos estándares a nivel internacional y algunos nacionales que abordan la problemática de seguridad de la información, en su mayoría plantean aproximaciones particulares al aseguramiento de la información y a las características que se deben cumplir para poder garantizar la misma. Este documento realiza un barrido de varios estándares de uso nacional con el fin de demostrar cómo los dominios planteados en el Modelo de Seguridad de la Información para la Estrategia de Gobierno en línea se ajustan a estos. Los estándares abarcados son: MECI NTC GP: 1000:2004 ISO27001 COBIT 4.1 ITIL v3 Página 6 de 47

7 PROPÓSITO El propósito de este documento es ofrecer una comparativa entre los dominios planteados en el modelo y varios estándares relacionados con seguridad de la información que son de amplio uso nacional, con el fin de brindar un marco informativo para las entidades que proveen servicios para la estrategia de Gobierno en línea. Página 7 de 47

8 CORRESPONDENCIA DE ESTÁNDARES Es importante mantener una relación de las políticas de seguridad de la información aplicables al programa Gobierno en línea, que se han desarrollado a lo largo del presente documento, y todas aquellas políticas y buenas prácticas condensadas en otros estándares que se han aplicado en las entidades públicas, por tal motivo se presentan a continuación el conjunto de consideraciones y la interrelación de políticas adaptadas del capítulo 6 del documento MODELO DE SEGURIDAD DE LA INFORMACIÓN SISTEMA SANSI - SGSI -, la cual complementa las políticas planteadas Política del Sistema de Gestión La Estrategia de Gobierno en línea requiere que la información que se gestiona a través de los servicios y trámites disponibles para los ciudadanos, funcionarios públicos y entidades públicas y privadas esté adecuadamente asegurada con el fin de proteger los intereses públicos y nacionales y preservar la privacidad personal. Esta política se enfoca a la protección de la confidencialidad, integridad, disponibilidad y no repudiación de la información y servicios electrónicos que ofrecen las entidades públicas del orden nacional y territorial en cumplimiento del decreto 1151 de La máxima autoridad de las entidades públicas y privadas que participan en la cadena de prestación de servicios para la Estrategia de Gobierno en línea es responsable por implementar los requerimientos de seguridad que se plantean en la política con el fin proteger la información y activos públicos. El nivel de protección que cada entidad debe implementar para la información y los servicios de la Estrategia de Gobierno en línea, debe corresponder a un proceso de análisis y evaluación de riesgos. La gestión de riesgos es un requerimiento del sistema de gestión de seguridad de la información. Este proceso se ha fortalecido en las entidades públicas como resultado de la implantación del sistema integrado de gestión y control MECI y del sistema de gestión de la calidad NTC GP 1000:2004 para las entidades públicas. El sistema de gestión de seguridad de la información para la Estrategia de Gobierno en línea es complementario con los sistemas de calidad, control interno y desarrollo administrativo. Es posible, para una entidad, adaptar su(s) sistema(s) de gestión y control existente(s) para que cumplan con los requisitos de este sistema. En la implementación del sistema de gestión, se debe tener cuidado especial en la identificación de los elementos comunes, para evitar que se dupliquen esfuerzos Políticas y Objetivos de Seguridad de la Información Políticas de Seguridad Las políticas de seguridad que se plantean en este documento se basan en un análisis y evaluación de riesgos para cada una de las fases de la Estrategia de Gobierno en línea. Estas políticas representan directrices generales de alto nivel que deben ser adoptadas por todos los participantes en la cadena de prestación de servicios durante las fases de implementación de la Estrategia de Gobierno en línea. Página 8 de 47

9 2.0 Política de Control de Acceso Las entidades que provean servicios de Gobierno en línea que requieran mayor nivel de seguridad como resultado de un análisis y evaluación de riesgos, deben implementar mecanismos y controles que aseguren un efectivo registro, identificación y autenticación de los clientes y usuarios de dichos servicios. Así mismo, deben implementar mecanismos y controles que aseguren el acceso bajo el principio del mínimo privilegio necesario para realizar las labores de cada cliente o usuario de dichos servicios. Igualmente, se deben implementar controles para una efectiva administración de usuarios y derechos de acceso. Política de no repudiación Las entidades que provean servicios de transacciones electrónicas para Gobierno en línea, deben garantizar la no repudiación de las transacciones implementando mecanismos de seguridad que permitan crear un ambiente de confianza entre los clientes (ciudadanos, funcionarios públicos, empresas), los proveedores del servicio (entidades certificadoras) y la entidad estatal con relación a la autenticidad, trazabilidad y no repudiación de las transacciones electrónicas. Política de Privacidad y Confidencialidad Los datos personales de los clientes y demás información enviada a través de los servicios de Gobierno en línea deben ser protegidos y manejados de manera responsable y segura. Política de Integridad La información que se recibe o se envía a través de los servicios de Gobierno en línea debe conservar los atributos de correcta y completa durante la transmisión, el procesamiento y el almacenamiento. Política de Disponibilidad del Servicio Las entidades que provean servicios de Gobierno en línea deben asegurar la disponibilidad continua de los servicios bajo su control. Política de Disponibilidad de la Información Las entidades que provean servicios de Gobierno en línea deben asegurar que los datos de los usuarios y clientes se mantienen protegidos contra pérdida por actos accidentales o intencionales o por fallas de los equipos. Política de Protección del Servicio Las entidades que provean servicios de Gobierno en línea deben asegurar que los servicios y sus activos de información relacionados estén adecuadamente protegidos contra ataques externos o internos. Página 9 de 47

10 2.0 Política de Registro y Auditoría Las entidades que provean servicios de Gobierno en línea deben mantener y proteger los registros de las transacciones electrónicas como evidencia para los requerimientos de las auditorias (internas o externas) y como mecanismo para establecer responsabilidades de los clientes y usuarios Objetivos de Seguridad Para asegurar el cumplimiento de las políticas de seguridad para Gobierno en línea, se establecieron objetivos de control asociados a cada política. Por otra parte, considerando que las entidades públicas como parte del proceso de modernización de la gestión pública han implementado el sistema de gestión integrado de control interno, MECI y el sistema de gestión de calidad NTC GP 1000:2004, se hace necesario identificar donde sea aplicable, alineamiento de los requerimientos de seguridad de la información con estos sistemas con el fin de evitar duplicación de esfuerzos. Igualmente, es necesario tener presente las iniciativas de las entidades públicas y privadas encaminadas a implementar estándares y mejores prácticas tales como: Sistema de Gestión de Seguridad de la Información (ISO27001), Gobierno de tecnología de la información (COBIT), Prestación de Servicios de TI (ITIL) entre otros. En ese sentido, a continuación se identifica el alineamiento de los requerimientos de seguridad con éstas mejores prácticas. Página 10 de 47

11 3.3. Correspondencia de estándares Políticas de Seguridad de la Información asociadas al control de acceso Ambiente de control 4.1 Requisitos Generales, subnumeral g) Identificar y diseñar puntos de control sobre los riesgos CONTROL DE ACCESO PO2.3 Esquema de clasificación de datos OPERACIÓN DEL SERVICIO Direccionamiento estratégico 4.2 Gestión documental Requisito de la entidad para el control de acceso PO3.4 Estándares tecnológicos SO 4.5 Administración del acceso Administración del riesgo 5 Responsabilidad de la dirección Política de control de acceso PO6.2 Riesgo Corporativo y Marco de Referencia de Control Interno de TI SO Objetivo/Meta/Propósito 2.1 Actividades de Control Comunicación interna Gestión del acceso de usuarios AI1.2 Reporte de análisis de riesgos SO Alcance 2.2 Información Información para la revisión, subnumeral h) Riesgos actualizados e identificados para la entidad Registro de usuarios DS5.2 Plan de seguridad de TI SO Valor para el negocio 2.3 Comunicación pública 6.3 Infraestructura Gestión de privilegios DS5.3 Administración de identidad SO Políticas/principios/conceptos

12 básicos 5 Roles y responsabilidades 6.4 Ambiente de trabajo Gestión de contraseñas para usuarios DS5.4 Administración de cuentas del usuario SO Procesos, actividades, métodos y técnicas 7.1 Planificación de la realización del producto y/o prestación del servicio Revisión de los derechos de acceso de los usuarios DS5.7 Protección de la tecnología de seguridad SO4.5.6 Triggers, entradas, salidas, interfaces entre procesos 7.2 Procesos relacionados con el cliente Responsabilidades de los usuarios DS5.8 Administración de llaves criptográficas SO Administración de Información Comunicación con el cliente Uso de contraseñas DS5.10 Seguridad de la red SO Métricas 7.3 Diseño y desarrollo Equipo de usuario desatendido DS5.11 Intercambio de datos sensitivos SO Desafíos, factores críticos de éxito y riesgos Revisión del diseño y desarrollo Política de escritorio despejado y pantalla despejada SO 5.3 Administración de mainframe Verificación del diseño y desarrollo Control de acceso a las redes SO 5.4 Administración y soporte de servidores 7.4 Adquisición de bienes Política de uso de los SO 5.5 Administración de la Página 12 de 47

13 y servicios servicios de red red 7.5 Producción y prestación del servicio Autenticación de usuarios para conexiones externas. SO 5.7 Administración de bases de datos Control de la producción y de la prestación del servicio, subnumeral g) Los riesgos de mayor probabilidad Identificación de los equipos en las redes SO 5.8 Administración de servicios de directorio Identificación y trazabilidad Protección de los puertos de configuración y diagnóstico remoto SO 5.10 Administración del middleware 8.4 Análisis de datos Separación en las redes SO 5.11 Administración de Internet y servicios web Control de conexión a las redes Control de enrutamiento en la red Control de acceso al sistema operativo Procedimientos de ingresos seguros Página 13 de 47

14 Identificación y autenticación de usuarios Sistema de gestión de contraseñas Uso de las utilidades del sistema Tiempo de inactividad de la sesión Limitación del tiempo de conexión Control de acceso a las aplicaciones y a la información. Restricción de acceso a la información Aislamiento de sistemas sensibles Computación móvil y trabajo remoto Computación y Página 14 de 47

15 comunicaciones móviles Trabajo remoto Requisitos de seguridad de los sistemas de información Análisis y especificación de los requisitos de seguridad Controles criptográficos Política sobre el uso de los controles criptográficos Gestión de llaves Página 15 de 47

16 Políticas de Seguridad de la Información asociadas a la no repudiación Ambiente de control 4.1 Requisitos Generales, subnumeral g) Identificar y diseñar puntos de control sobre los riesgos Servicios de Comercio Electrónico AC4 Integridad y validez del procesamiento de datos SO 5.10 Administración del middleware Direccionamiento estratégico 4.2 Gestión documental Comercio electrónico AC6 Autenticidad e integridad de las transacciones SD Diseño de las soluciones del servicio Administración del riesgo 5 Responsabilidad de la dirección Transacciones en línea PO6.2 Riesgo Corporativo y Marco de Referencia de Control Interno de TI SD 5.2 Administración de información y datos Actividades de Control Comunicación interna Información disponible al público AI2.3 Control y auditabilidad de las aplicaciones Información Información para la revisión, subnumeral h) Riesgos actualizados e identificados para la entidad Requisitos de seguridad de los sistemas de información AI2.4 Seguridad y disponibilidad de las aplicaciones. Página 16 de 47

17 Comunicación pública 6.3 Infraestructura Análisis y especificación de los requisitos de seguridad DS5.8 Administración de llaves criptográficas 5 Roles y responsabilidades 6.4 Ambiente de trabajo Controles criptográficos DS5.11 Intercambio de datos sensitivos 7.1 Planificación de la realización del producto y/o prestación del servicio Política sobre el uso de los controles criptográficos DS11.6 Requerimientos de seguridad para administración de datos 7.2 Procesos relacionados con el cliente Gestión de llaves Comunicación con el cliente 7.3 Diseño y desarrollo Revisión del diseño y desarrollo Verificación del diseño y desarrollo 7.4 Adquisición de bienes y servicios 7.5 Producción y prestación del servicio Página 17 de 47

18 7.5.1 Control de la producción y de la prestación del servicio, subnumeral g) Los riesgos de mayor probabilidad Identificación y trazabilidad 8.4 Análisis de datos Página 18 de 47

19 Políticas de Seguridad de la Información asociadas a la privacidad y confidencialidad Ambiente de control riesgos Gestión de la prestación del servicio por terceras partes Direccionamiento estratégico 4.2 Gestión documental Prestación del servicio Administración del riesgo Actividades de Control Información 5. Responsabilidad de la dirección Comunicación interna Información para la revisión, subnumeral h) Riesgos actualizados e identificados para la entidad Monitoreo y revisión de los servicios por terceras partes Gestión de los cambios en los servicios por terceras partes Gestión de la seguridad de las redes Comunicación pública 6.3 Infraestructura Controles de las redes AC4 Integridad y validez del procesamiento de datos AC6 Autenticidad e integridad de las transacciones PO2.3 Esquema de clasificación de datos PO3.4 Estándares tecnológicos PO6.2 Riesgo Corporativo y Marco de Referencia de Control Interno de TI AI1.2 Reporte de análisis de riesgos SO 4.5 Administración del acceso SO Objetivo/Meta/Propósito SO Alcance SO Valor para el negocio SO Políticas/principios/conce ptos básicos SO Procesos, actividades, métodos y técnicas 5 Roles y responsabilidades 6.4 Ambiente de trabajo Seguridad de los servicios de la red AI2.3 Control y auditabilidad de las aplicaciones SO Triggers, entradas, salidas, interfaces entre procesos Página 19 de 47

20 7.1 Planificación de la realización del producto y/o prestación del servicio 7.2 Procesos relacionados con el cliente Comunicación con el cliente 7.3 Diseño y desarrollo Revisión del diseño y desarrollo Verificación del diseño y desarrollo 7.4 Adquisición de bienes y servicios 7.5 Producción y prestación del servicio Respaldo Respaldo de la información. Intercambio de la información Políticas y procedimientos para el intercambio de información Acuerdos para el intercambio Medios físicos en tránsito Mensajería electrónica Sistemas de información de la entidad AI2.4 Seguridad y disponibilidad de las aplicaciones. DS11.1 Requerimientos de la entidad para administración de datos DS5.2 Plan de seguridad de TI DS5.3 Administración de identidad DS5.4 Administración de cuentas del usuario DS5.7 Protección de la tecnología de seguridad DS5.8 Administración de llaves criptográficas DS5.10 Seguridad de la red SO Administración de Información SO Métricas SO Desafíos, factores críticos de éxito y riesgos SO Copia de respaldo y restauración SO 5.3 Administración de mainframe SO 5.4 Administración y soporte de servidores SO 5.5 Administración de la red SO 5.6 Almacenamiento y archivo Control de la producción y de la prestación del servicio, subnumeral g) Los riesgos de mayor probabilidad Identificación y trazabilidad Servicios de Comercio Electrónico Comercio electrónico DS5.11 Intercambio de datos sensitivos DS11.1 Requerimientos de la entidad para administración de datos SO 5.7 Administración de bases de datos SO 5.8 Administración de servicios de directorio Página 20 de 47

21 8.4 Análisis de datos Transacciones en línea Información disponible al público DS11.2 Acuerdos de almacenamiento y conservación DS11.3 Sistema de administración de librerías de medios SO 5.10 Administración del middleware SO 5.11 Administración de Internet y servicios web Requisito de la entidad para el control de acceso Política de control de acceso Gestión del acceso de usuarios Registro de usuarios Gestión de privilegios Gestión de contraseñas para usuarios DS11.4 Eliminación DS11.5 Copias de seguridad y restauración DS11.6 Requerimientos de seguridad para administración de datos SD Diseño de las soluciones del servicio SD 5.2 Administración de información y datos Revisión de los derechos de acceso de los usuarios Responsabilidades de los usuarios Uso de contraseñas Equipo de usuario desatendido Política de escritorio despejado y pantalla despejada Control de acceso a las redes Página 21 de 47

22 Política de uso de los servicios de red Autenticación de usuarios para conexiones externas. Identificación de los equipos en las redes Protección de los puertos de configuración y diagnóstico remoto Separación en las redes Control de conexión a las redes Control de enrutamiento en la red Control de acceso al sistema operativo Procedimientos de ingresos seguros Identificación y autenticación de usuarios Sistema de gestión de contraseñas Uso de las utilidades del sistema Tiempo de inactividad de la sesión Limitación del tiempo de conexión Página 22 de 47

23 Control de acceso a las aplicaciones y a la información. Restricción de acceso a la información Aislamiento de sistemas sensibles Computación móvil y trabajo remoto Computación y comunicaciones móviles Trabajo remoto Requisitos de seguridad de los sistemas de información Análisis y especificación de los requisitos de seguridad Controles criptográficos Política sobre el uso de los controles criptográficos Gestión de llaves Página 23 de 47

24 Políticas de Seguridad de la Información asociadas a la integridad Ambiente de control 4.1 Requisitos Generales, subnumeral g) Identificar y diseñar puntos de control sobre los riesgos Respaldo AC4 Integridad y validez del procesamiento de datos SO 4.5 Administración del acceso Direccionamiento estratégico 4.2 Gestión documental Respaldo de la información. AC6 Autenticidad e integridad de las transacciones Administración del riesgo Actividades de Control Información 5 Responsabilidad de la dirección Comunicación interna Información para la revisión, subnumeral h) Riesgos actualizados e identificados para la entidad Gestión de la seguridad de las redes Controles de las redes Seguridad de los servicios de la red Comunicación pública 6.3 Infraestructura Requisito de la entidad para el control de acceso Página 24 de 47 PO2.3 Esquema de clasificación de datos PO3.4 Estándares tecnológicos PO6.2 Riesgo Corporativo y Marco de Referencia de Control Interno de TI AI1.2 Reporte de análisis de riesgos 5 Roles y responsabilidades 6.4 Ambiente de trabajo Política de control de acceso AI2.3 Control y auditabilidad de las aplicaciones 7.1 Planificación de la realización del producto y/o prestación del servicio 7.2 Procesos relacionados con el cliente Gestión del acceso de usuarios Registro de usuarios AI2.4 Seguridad y disponibilidad de las aplicaciones. DS11.1 Requerimientos de la entidad para administración de datos SO Objetivo/Meta/Propósito SO Alcance SO Valor para el negocio SO Políticas/principios/conce ptos básicos SO Procesos, actividades, métodos y técnicas SO Triggers, entradas, salidas, interfaces entre procesos SO Administración de Información SO Métricas

25 7.2.3 Comunicación con el cliente Gestión de privilegios DS5.2 Plan de seguridad de TI SO Desafíos, factores críticos de éxito y riesgos 7.3 Diseño y desarrollo Gestión de contraseñas para usuarios DS5.3 Administración de identidad SO Copia de respaldo y restauración Revisión del diseño y desarrollo Revisión de los derechos de acceso de los usuarios DS5.4 Administración de cuentas del usuario SO 5.3 Administración de mainframe Verificación del diseño y desarrollo Control de acceso a las redes DS5.7 Protección de la tecnología de seguridad SO 5.4 Administración y soporte de servidores 7.4 Adquisición de bienes y servicios Política de uso de los servicios de red DS5.8 Administración de llaves criptográficas SO 5.5 Administración de la red 7.5 Producción y Autenticación de usuarios DS5.10 Seguridad de la SO 5.6 Almacenamiento prestación del servicio Control de la producción y de la prestación del servicio, subnumeral g) Los riesgos de mayor probabilidad Identificación y trazabilidad para conexiones externas. Identificación de los equipos en las redes Protección de los puertos de configuración y diagnóstico remoto Página 25 de 47 red DS5.11 Intercambio de datos sensitivos DS11.1 Requerimientos de la entidad para administración de datos 8.4 Análisis de datos Separación en las redes DS11.2 Acuerdos de almacenamiento y conservación Control de conexión a las redes Control de enrutamiento en la red Computación móvil y trabajo remoto Computación y comunicaciones móviles Trabajo remoto DS11.3 Sistema de administración de librerías de medios DS11.4 Eliminación DS11.5 Copias de seguridad and restoration DS11.6 Requerimientos de seguridad para administración de datos y archivo SO 5.7 Administración de bases de datos SO 5.8 Administración de servicios de directorio SO 5.10 Administración del middleware SO 5.11 Administración de Internet y servicios web SD Diseño de las soluciones del servicio SD 5.2 Administración de información y datos

26 Controles criptográficos Política sobre el uso de los controles criptográficos Gestión de llaves Página 26 de 47

27 Políticas de Seguridad de la Información asociadas a la disponibilidad del servicio Ambiente de control 4.1 Requisitos Generales, subnumeral g) Identificar y diseñar puntos de control sobre los riesgos Planificación y aceptación del sistema DS3 Administrar el desempeño y la capacidad Direccionamiento estratégico Administración del riesgo Actividades de Control Información 4.2 Gestión documental Gestión de la capacidad DS3.1 Planeación del desempeño y la capacidad 5 Responsabilidad de la dirección Comunicación interna Información para la revisión, subnumeral h) Riesgos actualizados e identificados para la entidad Aspectos de seguridad de la información, de la gestión de la continuidad de la entidad. Inclusión de la seguridad de la información en el proceso de gestión de la continuidad de la entidad. Continuidad de la entidad y evaluación de riesgos Comunicación pública 6.3 Infraestructura Desarrollo e implementación de planes de continuidad que incluyen la seguridad de la información. 5 Roles y responsabilidades 6.4 Ambiente de trabajo Estructura para la planificación de la continuidad de la entidad Página 27 de 47 DS3.2 Capacidad y desempeño actual DS3.3 Capacidad y desempeño futuros DS3.4 Disponibilidad de recursos de TI DS3.5 Monitoreo y reporte DS4 Garantizar la continuidad del servicio SO 4.1 Administración de eventos SD 4.3 Administración de la capacidad SD 4.4 Administración de la disponibilidad SD Actividades de administración de la disponibilidad SD 4.5 Administración de la continuidad del servicio SD Etapa 1 - Inicio SD Etapa 2 Requerimientos y estrategia

28 7.1 Planificación de la realización del producto Pruebas, mantenimiento y reevaluación de los DS4.1 IT Marco de trabajo de continuidad SD Etapa 3 implementación y/o prestación del servicio planes de continuidad de la entidad 7.2 Procesos relacionados con el cliente DS4.2 Planes de continuidad de TI SD Etapa 4 - Operación continua Comunicación con DS4.3 Recursos críticos SO Copia de el cliente de TI 7.3 Diseño y desarrollo DS4.4 Mantenimiento del plan de continuidad de TI Revisión del diseño y desarrollo Verificación del diseño y desarrollo Control de los cambios del diseño y desarrollo 7.4 Adquisición de bienes y servicios 7.5 Producción y prestación del servicio Control de la producción y de la prestación del servicio, subnumeral g) Los riesgos de mayor probabilidad Identificación y trazabilidad DS4.5 Pruebas del plan de continuidad de TI DS4.6 Entrenamiento del plan de continuidad de TI DS4.7 Distribución del plan de continuidad de TI DS4.8 Recuperación y reanudación de los servicios de TI DS4.9 Almacenamiento de respaldos fuera de las instalaciones DS4.10 Revisión postreanudación respaldo y restauración SD Apéndice K Contenido de un plan de recuperación de desastres Página 28 de 47

29 8.4 Análisis de datos Página 29 de 47

30 Políticas de Seguridad de la Información asociadas a la disponibilidad de la información Ambiente de control 4.1 Requisitos Generales, subnumeral g) Identificar y diseñar puntos de control sobre los riesgos Respaldo DS4.9 Almacenamiento de respaldos fuera de las instalaciones Direccionamiento estratégico Administración del riesgo Actividades de Control Información Comunicación pública 5 Roles y responsabilidades 4.2 Gestión documental Respaldo de la información Control de documentos Control de los registros 5 Responsabilidades de la dirección Información para la revisión, subnumeral h) Riesgos actualizados e identificados para la entidad Control de la producción y de la prestación del servicio, subnumeral g) Los riesgos de mayor probabilidad DS11.2 Acuerdos de almacenamiento y conservación DS11.5 Respaldo y restauración DS11.6 Requerimientos de seguridad para la administración de datos SO Copia de respaldo y restauración SD 5.2 Administración de información y datos Página 30 de 47

31 Políticas de Seguridad de la Información asociadas a la protección del servicio Ambiente de control 4.1 Requisitos Generales, subnumeral g) Identificar y Gestión de la seguridad de las redes PO4.11 Segregación de funciones SD Diseñando soluciones y servicios diseñar puntos de control sobre los riesgos Direccionamiento estratégico 4.2 Gestión documental Controles de las redes PO3.4 Estándares tecnológicos SO 4.5 Administración del acceso Administración del 5 Responsabilidad de la Seguridad de los PO6.1 Ambiente de políticas SO riesgo dirección servicios de la red y de control Actividades de Control Comunicación interna Monitoreo PO6.2 Riesgo Corporativo y Marco de Referencia de Control Interno de TI Información Información para la revisión, subnumeral h) Riesgos actualizados e identificados para la entidad Registro de auditorias Comunicación pública 6.3 Infraestructura Monitoreo del uso del sistema 5 Roles y responsabilidades 6.4 Ambiente de trabajo Protección de la información del registro 7.1 Planificación de la realización del producto y/o prestación del servicio 7.2 Procesos relacionados con el cliente Registros del administrador y del operador Registro de fallas Página 31 de 47 PO8.3 Estándares de desarrollo y de adquisición AI1.2 Reporte de análisis de riesgos AI2.3 Control y auditabilidad de las aplicaciones AI2.4 Seguridad y disponibilidad de las aplicaciones. AI2.5 Configuración e implantación de software aplicativo adquirido Objetivo/Meta/Propósito SO Alcance SO Valor para el negocio SO Políticas/principios/conceptos básicos SO Procesos, actividades, métodos y técnicas SO Triggers, entradas, salidas, interfaces entre procesos SO Administración de Información

32 7.2.3 Comunicación con el Sincronización de relojes AI2.6 Actualizaciones SO Métricas cliente importantes en sistemas existentes 7.3 Diseño y desarrollo Control de acceso a las redes AI2.7 Desarrollo de software aplicativo SO Desafíos, factores críticos de éxito y riesgos Revisión del diseño y Política de uso de los AI2.8 Aseguramiento de la SO Copia de respaldo y desarrollo Verificación del diseño y desarrollo 7.4 Adquisición de bienes y servicios 7.5 Producción y prestación del servicio Control de la producción y de la prestación del servicio, subnumeral g) Los riesgos de mayor probabilidad Identificación y trazabilidad servicios de red Autenticación de usuarios para conexiones externas. Identificación de los equipos en las redes Protección de los puertos de configuración y diagnóstico remoto Separación en las redes Control de conexión a las redes 8.4 Análisis de datos Control de enrutamiento en la red Control de acceso al sistema operativo Procedimientos de ingresos seguros Identificación y autenticación de usuarios Calidad del Software AI2.9 Administración de los requerimientos de aplicaciones AI2.10 Mantenimiento de software aplicativo AI3.2 Protección y disponibilidad del recurso de infraestructura AI3.3 Mantenimiento de la Infraestructura AI4.2 Transferencia de conocimiento a la gerencia de la entidad AI4.3 Transferencia de conocimiento a usuarios finales AI4.4 Transferencia de conocimiento al personal de operaciones y soporte AI5.2 Administración de contratos con proveedores AI6.1 Estándares y procedimientos para cambios restauración SO 5.3 Administración de mainframe SO 5.4 Administración y soporte de servidores SO 5.5 Administración de la red SO 5.6 Almacenamiento y archivo SO 5.7 Administración de bases de datos SO 5.8 Administración de servicios de directorio SO 5.10 Administración del middleware SO 5.11 Administración de Internet y servicios web SD Diseño de las soluciones del servicio Página 32 de 47

33 Sistema de gestión de contraseñas AI6.2 Evaluación de impacto, priorización y SD 5.2 Administración de información y datos autorización Uso de las utilidades del sistema AI6.3 Cambios de emergencia Tiempo de inactividad de la sesión AI6.4 Seguimiento y reporte del estatus de cambio Limitación del tiempo de AI6.5 Cierre y conexión Control de acceso a las aplicaciones y a la información Restricción de acceso a la información Aislamiento de sistemas sensibles Computación móvil y trabajo remoto Computación y comunicaciones móviles Trabajo remoto Requisitos de seguridad de los sistemas de información Análisis y especificación de los requisitos de seguridad Seguridad en los procesos de desarrollo y soporte Procedimientos de control de cambios Revisión técnica de las aplicaciones después de los cambios en el Página 33 de 47 documentación del cambio AI7.1 Entrenamiento AI7.2 Plan de prueba AI7.3 Plan de implantación AI7.4 Ambiente de prueba AI7.5 Conversión de sistema y datos AI7.6 Prueba de cambios AI7.7 Prueba final de aceptación AI7.8 Transferencia a producción AI7.9 Liberación de software AI7.10 Distribución del sistema AI7.11 Registro y rastreo de cambios

34 sistema operativo Restricción en los cambios a los paquetes de software Fuga de información Desarrollo de software contratado externamente Gestión de la vulnerabilidad técnica Control de vulnerabilidades técnicas Gestión de los incidentes y las mejoras en la seguridad de la información Responsabilidades y procedimientos. Aprendizaje debido a los incidentes de seguridad de la información Recolección de evidencia AI7.12 Revisión posterior a la implantación DS2.3 Administración de riesgos del proveedor DS2.4 Monitoreo del desempeño del proveedor DS 5.7 Protección de la tecnología de seguridad DS5.10 Seguridad de la red DS9 Administrar la configuración DS9.1 Repositorio de configuración y línea base DS9.2 Identificación y mantenimiento de elementos de configuración DS9.3 Revisión de integridad de la configuración ME1.2 Definición y recolección de datos de monitoreo ME2.2 Revisiones de Auditoría ME2.5 Aseguramiento del control interno ME4.7 Aseguramiento independiente. Página 34 de 47

35 DS5.1 Administración de la seguridad de TI DS5.2 Plan de seguridad de TI DS5.3 Administración de identidad DS5.4 Administración de cuentas del usuario DS5.5 Pruebas, vigilancia y monitoreo de la seguridad DS5.6 Definición de incidente de seguridad DS5.7 Protección de la tecnología de seguridad DS5.8 Administración de llaves criptográficas DS5.9 Prevención, detección y corrección de software malicioso DS5.10 Seguridad de la red DS8 Administrar la mesa de servicio y los incidentes DS8.1 Mesa de Servicios DS8.2 Registro de consultas de clientes DS8.3 Escalamiento de incidentes DS8.4 Cierre de incidentes DS8.5 Análisis de tendencias DS10 Administración de problemas DS10.1 Identificación y clasificación de problemas DS10.2 Rastreo y resolución de problemas Página 35 de 47

36 DS10.3 Cierre de problemas DS10.4 Integración de las administraciones de cambios, configuración y problemas Página 36 de 47

37 Políticas de Seguridad de la Información asociadas al registro y auditoria 3.1 Autoevaluación Revisión del diseño y Monitoreo AI2.3 Control y auditabilidad SO 5.1 Monitoreo y control desarrollo de las aplicaciones 3.2 Evaluación independiente Verificación del diseño y desarrollo Registro de auditorias DS5.5 Pruebas, vigilancia y monitoreo de la seguridad SD 8.5 Medición del diseño del servicio 3.3 Planes de mejoramiento Validación de los procesos de producción y de la prestación del servicio 7.6 Control de los dispositivos de seguimiento y de medición 8 Medición, análisis y mejora Auditoría interna del sistema de gestión de la calidad 8.2 Seguimiento y medición de los procesos Seguimiento y medición del producto y/o servicio 8.3 Control del producto y/o servicio no conforme Monitoreo del uso del sistema Protección de la información del registro Registros del administrador y del operador Registro de fallas Sincronización de relojes DS5.7 Protección de la tecnología de seguridad ME1.2 Definición y recolección de datos de monitoreo ME2.2 Revisiones de Auditoria ME2.5 Aseguramiento del control interno ME4.7 Aseguramiento independiente. CSI 4.1 Los siete pasos del proceso de mejoramiento del servicio CSI 5.3 Benchmarking CSI 4.1g Siete pasos para implementar acciones correctivas CSI 8 Implementar mejoramiento continuo del servicio Página 37 de 47

38 En la Tabla 1 y en la Tabla 2 se puede observar la relación existente entre varios estándares de seguridad de la información, las características comunes y los elementos en los que concuerdan o difieren. Este análisis permite tomar elementos de estándares ya implementados en las entidades del estado y alinearlos a las políticas de seguridad de la información planteadas. Tabla 1: Interrelación de estándares de seguridad de la información PROPÓSITO ISO ISM3 ISF-SOGP COBIT ITIL AS NZ 4360 NTC GP 1000 MECI Brindar un modelo para el establecimiento, implementación, operación, seguimiento, revisión, mantenimiento y mejora de un sistema de gestión de la seguridad de la información (SGSI). Prevenir y mitigar ataques, errores y accidentes que puedan comprometer la seguridad de los sistemas de información y los procesos organizacionales que los soportan. Optimizar el uso de los recursos (la información, las inversiones y gastos, las personas, el tiempo y la infraestructura). Promover buenas prácticas de seguridad de la información en las organizaciones. Ayudar a mejorar el nivel de seguridad para reducir los riesgos de información a un nivel aceptable. Conjunto de buenas prácticas para el gobierno, control y aseguramiento de TI cuyo propósito es asegurar efectividad en la implantación de TI de manera que minimice los riesgos tecnológicos y maximice los beneficios de las inversiones de TI. Promover un enfoque da calidad para lograr efectividad y eficiencia en la prestación de servicios de TI. Proporcionar guía para permitir que las empresas públicas, privadas o comunitarias, los grupos y los individuos logren entre otros: Una base más rigurosa, y confiable para la toma de decisiones y la planificación; mejor identificación de las oportunidades y las amenazas; Ganar valor a partir de la incertidumbre y la variabilidad; una gestión proactiva y no reactiva. Establecer los requisitos para la implementación de un sistema de gestión de la calidad aplicable a la rama ejecutiva del poder público y otras entidades prestadoras de servicios. Establecer las políticas, los métodos y mecanismos de prevención, control, evaluación y de mejoramiento permanente de la entidad pública, que le permiten el cumplimiento de sus objetivos institucionales y la finalidad social del estado en su conjunto. PRINCIPIOS

39 PRINCIPIOS ISO ISM3 ISF-SOGP COBIT ITIL AS NZ 4360 Adhesión a los principios de la OCDE para la seguridad de sistemas y redes: Toma de conciencia Responsabilidad Respuesta Valoración de riesgos Diseño e Implantación de seguridad Gestión de la seguridad Reevaluación Plantea los siguientes objetivos básicos de seguridad: El uso de servicios y el acceso a repositorios está restringido a usuarios autorizados; La disponibilidad de los repositorios, servicios y canales excede las expectativas de los clientes; La confiabilidad y el desempeño de los servicios y canales excede las expectativas de los clientes; La existencia de repositorios y servicios está asegurada tanto como las expectativas de los clientes; Los repositorios que terminen su ciclo de vida son destruidos; Se asegura la precisión, importancia y consistencia de los repositorios; La fecha y el tiempo exacto se refleja en todos los registros; Se propicia que los usuarios sean responsables por los repositorios y mensajes que ellos crean o modifican; Se propicia que los usuarios sean responsables por el uso de servicios y aceptación de contratos y acuerdos; Define como principios los controles de seguridad para cada una de las seis secciones que componen el documento. Los principios de más alto nivel se resumen así: Compromiso demostrado de la alta dirección con la seguridad de la información. Especificación de responsabilidades por la seguridad de la información en los contratos del personal. El Comité directivo o su equivalente debería tener el control sobre la seguridad de la información. El marco de referencia de Cobit se basa en el siguiente principio: Con el fin de proporcionar la información que la empresa necesita para alcanzar sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos de TI agrupados en forma natural". Administración integrada de servicios Orientación hacia los clientes y usuarios de la tecnología Los principios se pueden inferir como: Identificación de amenazas y oportunidades Conciencia y cultura Responsabilidad en la toma de decisiones Comunicación Relación de costo beneficio Página 39 de 47

40 PRINCIPIOS NTC GP 1000 MECI Enfoque hacia el cliente Liderazgo Participación activa Enfoque basado en los procesos Enfoque del sistema para la gestión Mejora continua Enfoque basado en hechos para la toma de decisiones Relaciones mutuamente beneficiosas con proveedores de bienes o servicios Coordinación, cooperación y articulación Transparencia Principios de la función administrativa: Responsabilidad, transparencia, moralidad, igualdad, imparcialidad, eficiencia, eficacia, economía, celeridad, publicidad, preservación del medio ambiente. Los fundamentos que lo enmarcan: Autocontrol, autogestión y autorregulación. MODELO PHVA ISO ISM3 ISF-SOGP COBIT ITIL AS NZ 4360 NTC GP 1000 MECI La norma adopta el modelo de procesos PHVA. Enfoque basado en procesos. Para cada proceso se identifica el nivel de la organización responsable del proceso, dueño del proceso, objetivo del proceso, métricas, entradas, salidas y actividades del proceso entre otros. Es aplicable el modelo PHVA. El enfoque está orientado a controles. Describe un conjunto de objetivos de control y controles para seguridad de información en 6 áreas claves. La estructura de procesos de TI definida en Cobit se enfoca en el modelo PHVA. Orientado a procesos y es aplicable el modelo PHVA. Enfoque orientado a procesos aplicando PHVA Enfoque orientado a procesos aplicando PHVA Enfoque de operación basado en procesos. NIVELES DE MADUREZ ISO No se especifican Página 40 de 47

41 ISM3 ISF-SOGP COBIT ITIL AS NZ 4360 NTC GP 1000 MECI Niveles de madurez de capacidad: Indefinido; Definido; Administrado; Controlado; Optimizado. Niveles de madurez de cubrimiento: Nivel 1 inversión mínima con mínima reducción del riesgo; Nivel 2 inversión moderada con reducción adicional de riesgo; Nivel 3 inversión significativa con alta reducción del riesgo; Nivel 4 inversión alta con alta reducción del riesgo; Nivel 5 similar a la anterior más el uso obligatorio de métricas. No hay especificación. Para cada proceso de TI se define un modelo de madurez: 0 - Inexistente (No existe el proceso); 1 - Inicial (Proceso adhoc y desorganizado); 2 - Repetible (sigue un patrón regular); 3 - Definido (proceso documentado y comunicado); 4 - Administrado (proceso monitoreado y medido) ; 5 - Optimizado (las mejores prácticas seguidas y automatizadas); No se especifican No se especifican No se especifican No se especifican ESTABLECIMIENTO DEL SISTEMA DE GESTIÓN ISO Establecimiento y gestión del SGSI Establecimiento del SGSI Implementación y Operación del SGSI Seguimiento y revisión del SGSI Mantenimiento y mejora del SGSI ISM Establecer y mejorar el SGSI ISF-SOGP SM Administración de la seguridad COBIT La implementación de los procesos de TI de Cobit apoya el SGSI que se adopte. Los criterios de confidencialidad, integridad, disponibilidad y cumplimiento son impactados principalmente por los procesos: P02, P09, AI6, DS45, DS5, DS11, DS12 y ME3. ITIL Se direcciona en el libro Estrategia del Servicio AS NZ 4360 Se direcciona en el numeral 4 Establecimiento de una Gestión eficaz de riesgo. NTC GP , Sistema de Gestión de la calidad 4.1 Requisitos Generales Seguimiento y medición de los procesos Seguimiento y medición del producto MECI 1.Subsistema de Control Estratégico 2. Subsistema de Control de Gestión. 2.1 Componente actividades de control GESTIÓN DE RIESGOS Página 41 de 47

42 GESTIÓN DE RIESGOS ISO Establecimiento del SGSI, numerales c) al j) c) Definir enfoque organizacional para la valoración de riesgos d) Identificar los riesgos e) Analizar y evaluar los riesgos f) Identificar y evaluar las opciones de tratamiento de los riesgos g) Seleccionar objetivos de control y controles para el tratamiento de riesgos h) Obtener Aprobación de la dirección sobre los riesgos residuales propuestos i) Obtener aprobación de la dirección para implementar y operar el SGSI j) Elaborar declaración de aplicabilidad ISM3 GP-01G Política de administración de riesgos GP-3 Diseño y evolución ISF-SOGP SM3.3 Gestionar Análisis de riesgos de información SM3.4 Metodologías de Análisis de riesgos de información CB5.3 Análisis de Riesgos de Información CI5.4 Análisis de Riesgos de Información NW4.4 Análisis de Riesgos de Información SD3.5 Análisis de riesgos de información COBIT P09 Administrar y evaluar los riesgos de TI. Otros procesos con impacto primario en la gestión de riesgos: P04,P06, P09, DS2, DS4, DS5, DS11, DS12, ME2, ME3, ME4 ITIL Se menciona en los 5 libros a través del ciclo de vida del servicio. Se focaliza en los riesgos relacionados con la disponibilidad del servicio y con la efectividad y eficiencia en la prestación del servicio. AS NZ 4360 Es el fundamento de la norma. Las etapas del proceso son: a) Comunicación y consulta b) Establecimiento del contexto c) Identificación de los riesgos d) Análisis de los riesgos e) Evaluación de los riesgos f) Tratamiento de los riesgos g) Monitoreo y Revisión NTC GP Requisitos generales g) identificar y diseñarlos puntos de control sobre losriesgos de mayor probabilidad de ocurrencia en las materias y funciones que le competen a cada entidad Control de la producción y de la prestación del servicio g) los riesgos de mayor probabilidad Acción preventiva MECI 1.3 Componente Administración de Riesgos Contexto estratégico Identificación de riesgos Análisis de Riesgos Valoración del Riesgo Políticas de administración del riesgo Página 42 de 47

43 REQUISITOS DE DOCUMENTACIÓN ISO Requisitos de documentación Generalidades Control de documentos Control de Registros ISM3 GP-1 Administración de Documentos ISF-SOGP Se hace referencia a la documentación en las 6 secciones del documento. COBIT Cobit hace referencia a la documentación en los controles de los procesos, PC6 Políticas, Planes y Procedimientos, además de los procesos: AI4.4, AI6.5, AI7.9, DS13.1. ITIL Se menciona en varios lugares de los libros, como por ejemplo: SD Apéndice C Documentación de Procesos, SO 3.7 Documentación, ST 4.7 Administrar el conocimiento, SD Apéndice D Diseñando y planeando documentos y su contenido. AS NZ 4360 Es tratado en las siguientes secciones: 3.8 Registro del Proceso de Gestión del Riesgo Desarrollo y comunicación de la política de gestión de riesgo NTC GP Requisitos de la documentación Generalidades Manual de la calidad Control de los documentos Control de los registros MECI Manual de procedimientos RESPONSABILIDAD Y COMPROMISO DE LA DIRECCIÓN ISO Responsabilidad de la dirección 5.1 Compromiso de la dirección ISM3 Explícitamente no se mencionan aspectos de responsabilidad y compromiso de la dirección para establecer y mantener el modelo, no obstante, uno de los factores críticos de éxito de implementación del modelo es la alineación de los objetivos de seguridad con los objetivos y necesidades de la entidad, lo cual permite suponer acuerdos y consenso entre la administración y TI para la implementación del Modelo. Cada proceso de seguridad tiene un dueño identificado. Numerales relacionados: 4.3 Objetivos de seguridad y 5. Requerimientos de certificación. ISF-SOGP SM1 Direccionamiento de Alto Nivel COBIT Los procesos con impacto primario en alineamiento estratégico y que implican compromiso de la dirección son: PO1, PO2, PO6 - PO10, AI1, AI2, DS1, ME3, ME4 ITIL Se direcciona en el libro Estrategia del Servicio. Página 43 de 47