POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA

Transcripción

1 Código: POL-09 Versión:3 Página 1 de 36 POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA Código de documento: POL-09 Aprobado por Licda. Gabriela Espinoza Meza Fecha aprobación: Mayo de 2009 Cargo Directora General Fecha publicación: Mayo de 2009 U. Administrativa Dirección General de Versión: 3 Informática Referencia COBIT: Dominio: PO Proceso: 06 Firma: Referencia externa: POL-08

2 Código: POL-09 Versión:3 Página 2 de 36 INDICE INDICE 2 I. CLASIFICACIÓN DE LA INFORMACIÓN 6 II. OBJETIVO 6 III. ALCANCE 6 IV. GLOSARIO 7 V. DOCUMENTOS RELACIONADOS 7 VI. ROLES Y RESPONSABILIDADES CON RESPECTO A ESTE DOCUMENTO 7 VII. DOCUMENTO DE POLÍTICA DE SEGURIDAD 9 Política de Seguridad de TIC del Ministerio de Hacienda INTRODUCCIÓN ALCANCE DE LA POLÍTICA DE SEGURIDAD DE TIC POLÍTICA DE SEGURIDAD 12 Capítulo 1. Términos y definiciones 12 Capítulo 2. Roles y responsabilidades 17 Capítulo 3. Marco de seguridad de la información Protección de información Revisión de la política de seguridad de la información Coordinación de la seguridad de la información Acuerdos de confidencialidad Uso de información Manejo de información, acceso y uso Pérdida de datos y software no autorizado Excepciones a la política Incumplimiento de la política de seguridad Uso de la Política de Seguridad de Información y sus procedimientos Definición y comunicación de directrices para la gestión del riesgo en la seguridad de información Seguridad de información en el Plan Anual Operativo Divulgación 20

3 Código: POL-09 Versión:3 Página 3 de Identificación del propietario de cada tipo de información Identificación del custodio de la información Categorías y perfiles de acceso 21 Capítulo 4. Compromiso del personal con la seguridad de información Actualización de los derechos de acceso Cambios a la política de seguridad de información Contacto de seguridad de información Manual de prácticas de seguridad de información Tiempo de capacitación Consentimiento de la política Entrenamiento en el uso de sistemas en producción a usuarios finales Capacitación a usuarios técnicos 22 Capítulo 5. Seguridad física y ambiental Identificación de activos Devolución de activos Protección del equipo informático Acceso a áreas peligrosas Seguridad perimetral Controles a entradas físicas 24 Capítulo 6. Seguridad en las operaciones y comunicaciones Procedimientos de operación Actualizaciones de seguridad Comercio electrónico Transacciones en línea Administración de controles de acceso a la red Identificación del equipo en la red Protección del puerto de diagnóstico remoto Segregación en redes Control conexión en redes Computación móvil y comunicaciones Teletrabajo 25 Capítulo 7. Control de acceso Proceso de autorización para nuevos medios de almacenamiento de información 25

4 Código: POL-09 Versión:3 Página 4 de Control contra software malicioso Control de dispositivos móviles Procedimientos de manejo de la información Intercambio de información Información disponible de forma pública Revocación de privilegios de acceso Administración de accesos de los usuarios Registro de usuarios Gestión de privilegios Revisión de derechos de acceso del usuario Acceso al ambiente de producción Control de acceso a la administración de los sistemas operativos Administración de contraseñas Monitorización de accesos Acceso a los archivos y documentos físicos Limitación del tiempo de uso de aplicaciones Control al acceso remoto y de teletrabajo de usuarios Detección de acceso no autorizado Equipo de atención de problemas de seguridad de información 28 Capítulo 8. Seguridad en implementación y mantenimiento de software e infraestructura tecnológica Ambientes de prueba, desarrollo y producción Acceso a las librerías de software Especificación de requerimientos de seguridad Control de cambios de software y sistemas de información Prueba de aplicaciones y sistemas críticos, después de la realización de cambios a los sistemas operativos Control de software en producción Supervisión del desarrollo de software por terceros Control del inventario de software Control de versiones de software Desarrollo de software Correcciones de emergencia al software Responsabilidad de cambios al sistema 30

5 Código: POL-09 Versión:3 Página 5 de Planificación de sistemas o aplicaciones Aceptación de sistemas o aplicaciones Acceso del personal técnico a los sistemas en producción 30 Capítulo 9. Continuidad de los servicios de TI Incidentes de seguridad de información Planes de atención de contingencias informáticas Equipo de atención de emergencias informáticas Simulaciones de atención de emergencias informáticas Ataque a los sistemas Procedimientos de atención de incidentes de seguridad Avisos de vulnerabilidades Comunicación de incidentes de seguridad de información Inclusión de la seguridad de la información en el proceso de gestión de continuidad de negocio Esquema de clasificación de criticidad de aplicaciones, de cinco categorías Análisis de impacto Evaluación de la prioridad de recuperación de aplicaciones multiusuario Conocimiento de los roles y responsabilidades en la planificación de contingencias y recuperación de sistemas 33 Capítulo 10. Cumplimiento de la Política de Seguridad Cumpliendo con la Política de Seguridad de Información Uso de información y documentos relacionados a sistemas informáticos Registro de evidencias de incidentes (información de seguridad) 33 VIII. INFORMACIÓN DE CONTROL DEL DOCUMENTO 34 IX. HISTORIA DE LA REVISION DEL DOCUMENTO 34

6 Código: POL-09 Versión:3 Página 6 de 36 I. CLASIFICACIÓN DE LA INFORMACIÓN El lector de este documento acepta conocer que la información contenida en este documento y sus anexos es de USO RESTRINGIDO para funcionarios del Ministerio de Hacienda y sus proveedores, en el estricto cumplimiento de sus funciones de administración de la seguridad de los recursos de la TIC. El lector de este documento acepta su uso acorde con la norma ( NOR) Norma de Acceso Documental de la DGI, de tal forma que no podrá usarla, venderla, transferirla, copiarla, reproducirla, revelarla, reportarla, publicarla o presentarla a ninguna persona o entidad, sin el previo consentimiento escrito de la autoridad competente de la Dirección General de Informática (DGI). II. OBJETIVO Este documento contiene la política general para la seguridad de los recursos de TIC del Ministerio de Hacienda. Por lo cual, este documento se circunscribe específicamente a definir las reglas y directrices de seguridad generales que deben acatarse y no abarca los procedimientos necesarios que deben ser implementados para la aplicación adecuada de éstas. Esta labor le corresponderá realizarla a cada área responsable de la aplicación de esta política en el Ministerio de Hacienda. Corresponde a la DGI definir y establecer los procedimientos de seguimiento y control, que estime oportunos y necesarios. Este documento sustituye a partir de su oficialización a la Política de Seguridad vigente, código POL-08, Manual de Políticas para la Administración de la Seguridad de los Recursos de la TIC Institucional, oficializada mediante circular DGI del 21 de enero del III. ALCANCE Las reglas y directrices generales definidas en este documento son de cumplimiento obligatorio por parte de cada una de las áreas de tecnología (TIC) del Ministerio de Hacienda y de sus proveedores de servicios, como pueden ser las empresas encargadas del desarrollo, instalación, mantenimiento y actualización de los recursos de hardware y software correspondientes a los sistemas en ambiente de producción o en desarrollo. El enfoque del Ministerio de Hacienda para manejar la seguridad de la información y su implementación (es decir, objetivos de control, controles, políticas, procesos y procedimientos para la seguridad de la información) deben ser revisados, de manera independiente, en intervalos planeados, o cuando ocurran cambios significativos para la implementación de la seguridad de información.

7 Código: POL-09 Versión:3 Página 7 de 36 IV. GLOSARIO DGI Dirección General de Informática INSTITUCIÓN Se refiere en general al Ministerio de Hacienda o a cualquiera de sus dependencias, según el contexto. POLÍTICA DE SEGURIDAD Forma breve para referirse a la Política de Seguridad de TIC del Ministerio de Hacienda TIC Tecnologías de Información y Comunicaciones V. DOCUMENTOS RELACIONADOS o Ley General de Control Interno No y su Manual de Normas Generales, o o o o o o Objetivos de Control (Gobernabilidad, Control y Auditoria de Información y Tecnologías Relacionadas)- COBIT 3era. Edición- julio 2000, N CO-DFOE Normas técnicas para la gestión y el control de las Tecnologías de Información de la CGR, NOR Normas Generales para la Elaboración de Documentos, PRO Normas de Acceso Documental de la DGI Reglamento Autónomo de Servicios del Ministerio de Hacienda Ley General de la Administración Pública o INTE ISO 27001:2008 VI. ROLES Y RESPONSABILIDADES CON RESPECTO A ESTE DOCUMENTO Es competencia y responsabilidad del Área de Seguridad Informática mantener la vigencia de este documento a través de la actualización permanente conforme con lo establecido en el documento ( NOR) Normas Generales para la elaboración de documentos, para lo cual es preciso que dicha unidad defina y establezca los procedimientos y asigne los recursos mínimos necesarios que le permitan renovar y actualizar en forma organizada dicha política en función del ambiente dinámico en el que se interactúa. Por lo tanto, debe generarse un proceso continuo de revisión y

8 Código: POL-09 Versión:3 Página 8 de 36 mejoramiento de las políticas, con el propósito de dotar al Ministerio de Hacienda de una herramienta útil que garantice niveles de seguridad apropiados para la gestión de las tecnologías de información y comunicaciones.

9 Código: POL-09 Versión:3 Página 9 de 36 VII. DOCUMENTO DE POLÍTICA DE SEGURIDAD La implementación de la Política de Seguridad de TIC del Ministerio de Hacienda implica el establecimiento de controles, procedimientos, protocolos, estándares y otras acciones encaminadas al cumplimiento y seguimiento de cada uno de los apartados de ésta política. Corresponderá a cada área técnica de la DGI y del Ministerio de Hacienda, en lo que le corresponda, la definición e implementación de estos controles. La revisión y actualización del documento de la Política de Seguridad de TIC del Ministerio de Hacienda debe realizarse todos los años por parte del área que tenga a cargo la Administración de la Seguridad de TIC, para lo cual nombrará un equipo de trabajo que represente a las Áreas Técnicas de la DGI.

10 Código: POL-09 Versión:3 Página 10 de 36 Ministerio de Hacienda Dirección General de Informática Área de Seguridad Informática Política de Seguridad de TIC del Ministerio de Hacienda

11 Código: POL-09 Versión:3 Página 11 de INTRODUCCIÓN La Política de Seguridad de TIC del Ministerio de Hacienda se define en cumplimiento del Manual de Normas Técnicas para la Gestión y el Control de las Tecnologías de Información (N CO-DFOE) y, en general, de la Ley General de Control Interno No 8292 y tiene como propósito la protección de las TIC de Ministerio, lo cual comprende todos los activos de TIC como el hardware, software de aplicación, sistemas de información y bases de datos a fin de preservar la confidencialidad, integridad y disponibilidad de la información del Ministerio necesaria para el cumplimiento de sus objetivos. Los apartados de esta política se agrupan, según corresponda, en ocho capítulos a saber: marco de la seguridad de la información, compromiso del personal con la seguridad de información, seguridad física y ambiental, seguridad en las operaciones y comunicaciones, control de acceso, seguridad en implementación y mantenimiento del software e infraestructura tecnológica, continuidad de los servicios de TI y, finalmente, el cumplimiento de esta política de seguridad; con lo cual se cubren los aspectos indicados en el apartado de gestión de la seguridad de información del Manual de Normas Técnicas para la Gestión y el Control de las Tecnologías de Información (N CO-DFOE). 2. ALCANCE DE LA POLÍTICA DE SEGURIDAD DE TIC Esta Política de Seguridad de TIC para el Ministerio de Hacienda es de acatamiento obligatorio por parte de cada una de las áreas de TIC del Ministerio de Hacienda, los usuarios de TIC y los proveedores de servicios de TIC como son las empresas encargadas del desarrollo, instalación, mantenimiento y actualización de los recursos de hardware y software correspondientes tanto a los sistemas en ambiente de producción o en desarrollo.

12 Código: POL-09 Versión:3 Página 12 de POLÍTICA DE SEGURIDAD Capítulo 1. Términos y definiciones 1.1. Administración de la Seguridad de Información Es la función de organizar, dirigir, planificar y dar seguimiento a las actividades de la seguridad de Información Administrador de la Seguridad de Información Es la persona responsable de llevar a cabo la función de Administración de la Seguridad de Información (véase Capítulo 2: Roles y responsabilidades) Administrador de Operaciones de Cómputo Persona encargada de la coordinación de las operaciones en la sala de cómputo o centro de procesamiento de datos Administrador de Sistema de Información Ingeniero de sistemas que tiene a su cargo un sistema de información para la atención de requerimientos del propietario de la información (véase Capítulo 2: Roles y responsabilidades) 1.5. Ambiente de control de calidad Conocido también como ambiente de prueba; comprende el hardware y software necesarios para probar aplicaciones y sistemas de información de manera separada y segura sin que afecte la información real de la Institución Ambiente de desarrollo Conjunto de componentes de hardware y software donde se efectúan los procesos de construcción, mantenimiento (v. gr. ajustes, cambios y correcciones) y pruebas de sistemas de información Ambiente de producción Conjunto de componentes de hardware y software donde se efectúan las actividades de normales de procesamiento de datos, con sistemas e información reales, con el uso directo por parte de los usuarios finales Aplicación Cualquier software desarrollado o adquirido para un uso común y específico, por ejemplo el Microsoft Office, Auto CAD, programas utilitarios. 1 El término Institución se usa repetidamente en este documento y se refiere al Ministerio de Hacienda en general o a cualquiera de sus dependencias, según el contexto del apartado, bajo el alcance de esta Política. Véase Glosario.

13 Código: POL-09 Versión:3 Página 13 de Área de Seguridad Informática Se refiere a las personas designadas para la realización de tareas relativas a la seguridad de las TIC Autenticación Proceso mediante el cual un usuario es reconocido por una aplicación, sistema operativo o sistema de información, como usuario autorizado para tener acceso a la información que este administra Base de datos Colección de datos almacenados en un computador, los cuales pueden ser accedidos de diversas maneras para apoyar los sistemas de información de la institución Comité de Administración de la Seguridad de Información (Véase Capítulo 2: Roles y responsabilidades) Comprometido Un sistema ha sido comprometido cuando se determina que ha sido vulnerado y que puede verse afectada la integridad, disponibilidad y confidencialidad de su información Confidencialidad de la información Protección de información sensible contra divulgación no autorizada Contacto de Seguridad de Información (Véase Capítulo 2: Roles y responsabilidades) Control, Controles Conjunto de acciones e instrumentos establecidos y oficializados para la verificación y seguimiento del cumplimiento de cada uno de los puntos que contempla la Política de Seguridad Criticidad de la información Indica el grado de necesidad que se tiene de la información. Se define en términos del tiempo mínimo tolerable durante el cual la información podría no estar disponible sin que afecte los objetivos del negocio Custodio de la información (Véase Capítulo 2: Roles y responsabilidades) Dueño de la Información Propietario de la Información (Véase Capítulo 2: Roles y responsabilidades)

14 Código: POL-09 Versión:3 Página 14 de Estándar Manera oficialmente establecida para definir algo o para realizar un proceso Excepción Cualquier caso o situación que se dé y que no se encuentre contemplado específicamente dentro de los estándares, normativas, políticas o procedimientos Hardware Todos los componentes electrónicos, eléctricos y mecánicos que integran una computadora o cualquier dispositivo informático Incidente de seguridad Cualquier hecho o evento que se considere que podría afectar a la seguridad de las TIC de la institución La administración La administración activa Lineamiento Orden o directriz Manual de prácticas de seguridad de información Documento dirigido a los usuarios y administradores de las TIC del Ministerio que indica las mejores prácticas de seguridad de información de acuerdo con lo establecido por la Política de Seguridad y normativa existente Oficial de Seguridad de Información Administrador de la Seguridad de Información. (Véase Capítulo 2: Roles y responsabilidades) Perfil de acceso Definición particular de autorizaciones o restricciones que se asocia a un usuario de un sistema de información específico de acuerdo con las funciones que el usuario desempeña Procedimiento Conjunto de pasos, instrucciones y controles establecidos para llevar a cabo una tarea Programa fuente y ejecutable entregado Código fuente y ejecutable de las aplicaciones o sistemas de información que ha sido entregado por el desarrollador a la institución.

15 Código: POL-09 Versión:3 Página 15 de Propietario de la información También se define como dueño de la información. (Véase Capítulo 2: Roles y responsabilidades) Proveedor de servicios Persona física o jurídica contratada por el Ministerio para proveer servicios en el ámbito de TIC Responsable de la aplicación o sistema de información Analista de sistemas que realiza la función de administrador técnico de determinada aplicación o Sistema de Información Rol Función específica que alguien cumple Seguridad física Protección física del hardware, software, instalaciones y personal relacionado con los sistemas de información Seguridad lógica Conjunto de controles de TIC para promover la confidencialidad, integridad y disponibilidad de la información Sensibilidad de la información Privacidad de la información, véase Confidencialidad Sistema computacional Sistema informático Sistema de comunicaciones Conjunto de hardware y software destinado a la comunicación de datos Sistema en desarrollo Sistema en su etapa del ciclo de vida de construcción de su funcionalidad Sistema en producción Cualquier software que se encuentre en uso en un ambiente de producción, diseñado para el procesamiento de la información institucional como parte del cumplimiento de su misión y quehacer diario y el cual involucra procesos, gente y tecnología.

16 Código: POL-09 Versión:3 Página 16 de Sistema operativo Conjunto de programas que se instala en una computadora destinado a permitir una administración eficaz de sus recursos Sistemas de Información Sistema. Conjunto de recursos de hardware y software que interactúan entre sí con el fin de apoyar las actividades de la institución Software en desarrollo Software que se encuentra en la etapa de su ciclo de vida de construcción Software en operación Véase software en producción Software en producción Software que se encuentra en uso, después de haber sido desarrollado y probado o instalado para el quehacer normal de la gestión de la Institución Software Los programas y la documentación que los soporta y que permiten y facilitan el uso de la computadora Terceros, terceras partes, proveedores contratados Personas o empresas contratadas para desarrollar, implementar, instalar o dar mantenimiento al hardware y software del Ministerio de Hacienda TIC Tecnologías de Información y de Comunicación. Conjunto de tecnologías dedicado al manejo de la información institucional y de su transmisión. Incluye los recursos de hardware, software, infraestructura, comunicación y personas Tipo de información Clase o naturaleza de información incluyendo la manera en que se guarde o soporte Director de la Dirección General de Informática Es el titular a cargo de la Dirección General de Informática del Ministerio de Hacienda Titular responsable del área Jefe o coordinador de área de TI.

17 Código: POL-09 Versión:3 Página 17 de Valor de la información Importancia que tiene la información para la institución. Capítulo 2. Roles y responsabilidades 2.1. Responsabilidad del Director de la DGI El Director de la DGI es el responsable institucional de la emisión e implementación de la Política de Seguridad de TIC del Ministerio de Hacienda y le corresponde establecer y mantener suficientes medidas preventivas, de detección y correctivas de seguridad, para asegurar, en forma razonable, que la información contenida y procesada a través de los medios tecnológicos (sistemas informáticos y demás recursos de software y hardware), administrados por la DGI, esté libre de riesgos significativos de confidencialidad, integridad y disponibilidad. El Director de la DGI nombrará un comité denominado Comité de Administración de la Seguridad de Información, cuya responsabilidad se detalla en el apartado Responsabilidad de la seguridad de información La responsabilidad de la seguridad de información y el acatamiento de esta política, debe ser de todos los funcionarios, usuarios externos y terceros y no sólo del personal del Área de Seguridad Informática Capacitación en seguridad de información La administración debe procurarle la capacitación necesaria en aspectos relacionados con esta política, a todos los funcionarios que así lo requieran 2.4. Cumplimiento de esta política Los responsables de área, deben procurar que todos los procedimientos de seguridad dentro de su área, sean realizados correctamente en cumplimiento con esta política Área de Seguridad Informática Le corresponde al Área de Seguridad Informática la guía, dirección y autoridad normativa para las actividades de seguridad de información del Ministerio. También el Área de Seguridad Informática debe establecer y mantener a nivel institucional esta política, los estándares, lineamientos y procedimientos de seguridad de información. De igual forma es de su competencia y responsabilidad mantener la vigencia de este documento a través de la actualización permanente. Por lo tanto, debe generarse un proceso continuo de revisión y mejoramiento de esta política, con el propósito de dotar al Ministerio de Hacienda de una herramienta útil que garantice niveles de seguridad apropiados para la gestión de las tecnologías de información y comunicaciones. Igualmente, esta área está facultada para hacer las recomendaciones que estime pertinentes para que las diferentes áreas involucradas

18 Código: POL-09 Versión:3 Página 18 de 36 en la TIC, realicen periódicamente los ajustes necesarios a sus procedimientos de operación, según corresponda, en apego a las mejores prácticas de seguridad Administrador de la Seguridad de Información Coordinador del Área de Seguridad Informática Comité de Administración de Seguridad de Información Este comité debe revisar y aprobar los cambios a esta política y comunicarlos a la institución, para que los mismos surtan el efecto necesario Propietario de la información Área o unidad que dispone de la información. Tiene la autoridad para especificar y exigir las medidas de seguridad necesarias para cumplir con sus responsabilidades, pudiendo delegar los aspectos operacionales en responsables de seguridad. Este rol nunca debe delegarse en un tercero Custodio de la información Área o unidad designada por el Propietario de la Información para proteger y almacenar la información de los sistemas y redes de la institución, según las especificaciones dadas Contacto de Seguridad de Información Es la persona designada para actuar como enlace, en materia de seguridad de la información, entre el Ministerio de Hacienda y los terceros contratados (véase apartado 4.3). Capítulo 3. Marco de seguridad de la información 3.1. Protección de información La información debe ser clasificada y protegida de acuerdo con la sensibilidad, valor, criticidad y confidencialidad que tenga para la Institución Revisión de la política de seguridad de la información La política de seguridad de la información debe ser revisada regularmente en intervalos planificados o en razón de cambios significativos, para garantizar la continua conveniencia, suficiencia, adecuación y eficacia.

19 Código: POL-09 Versión:3 Página 19 de Coordinación de la seguridad de la información Las actividades de seguridad de la información, deben ser coordinadas entre el Área de Seguridad Informática de la DGI y los funcionarios representantes de las distintas áreas de la Institución correspondiente, con funciones y roles definidos por la jefatura respectiva Acuerdos de confidencialidad Se debe identificar y revisar regularmente los requisitos de confidencialidad o acuerdos de no divulgación que reflejen las necesidades de la Institución, para la protección de la información Uso de información La información debe ser usada sólo para propósitos expresamente autorizados por la administración Manejo de información, acceso y uso La información es un activo vital y todos los accesos, usos y procesamiento de ésta deben ser consistentes con esta Política Pérdida de datos y software no autorizado El Ministerio de Hacienda no se hace responsable por la pérdida o daño de los datos o software no autorizado ajeno al quehacer de la Institución, que se origine de los esfuerzos de proteger la confidencialidad, integridad y disponibilidad de la información manejada por los sistemas computacionales y de comunicaciones Excepciones a la política Las excepciones a las política de seguridad de información sólo serán aceptadas en casos extremos, donde las implicaciones de no cumplir han sido analizadas, donde un formulario de aceptación de riesgo ha sido presentada por el propietario de la información o la administración y aprobada por la administración de seguridad de información y con conocimiento de la Dirección General de la Auditoría Interna. Deberá quedar evidencia de estas excepciones. Todo procedimiento, política o estándar, que contemple la seguridad de información debe incluir el manejo de excepciones.

20 Código: POL-09 Versión:3 Página 20 de Incumplimiento de la política de seguridad El Área de Seguridad Informática de la DGI debe dar el seguimiento pertinente a todas las transgresiones a esta política de seguridad que se detecten, y comunicar al jerarca correspondiente de los hallazgos y tomar las medidas correctivas respecto a estas Uso de la Política de Seguridad de Información y sus procedimientos Toda la documentación de seguridad de información de la DGI, incluyendo, pero no limitado a esta política, los estándares, y procedimientos, debe ser clasificada como Sólo de uso interno, a menos que expresamente sea creada para procesos externos Definición y comunicación de directrices para la gestión del riesgo en la seguridad de información Debe existir un plan de gestión del riesgo de seguridad de información, en el cual, el titular responsable del área involucrada debe establecer y comunicar a quien corresponda resolver, las directrices para el manejo del riesgo involucrado Seguridad de información en el Plan Anual Operativo Trabajando conjuntamente con la administración responsable, el Área de Seguridad Informática debe incluir las mejoras relativas a la seguridad de información, dentro del Plan Anual Operativo Divulgación El Área de Seguridad Informática de la DGI debe preparar, mantener y distribuir uno o más documentos sobre el tema de seguridad de información, que en forma concisa describan las políticas, estándares y procedimientos de la seguridad de información en la DGI Identificación del propietario de cada tipo de información El Área de Seguridad Informática debe tener claramente identificado al propietario de cada tipo de información. Si la propiedad de un tipo específico de información residente en un sistema multiusuario no ha sido claramente definida o asignada a un administrador específico, ésta será temporalmente asignada al Director General de la DGI, quien realizará las acciones pertinentes para que se asigne la propiedad de la misma a quien corresponda.

21 Código: POL-09 Versión:3 Página 21 de Identificación del ccustodio de la información Cada tipo de información debe tener un custodio designado, quien protegerá en forma apropiada la información manteniendo el control de acceso, la sensibilidad de los datos y las instrucciones de criticidad de los datos, según lo haya determinado el propietario de la misma Categorías y perfiles de acceso El Propietario de la información es responsable de establecer y actualizar políticas escritas, en torno a las categorías de personas y sus perfiles de acceso, a quienes se les brindará permiso para acceder la información o partes de ésta, de la cual ellos son responsables. Capítulo 4. información Compromiso del personal con la seguridad de 4.1. Actualización de los derechos de acceso Cada cambio de estatus de los usuarios de los sistemas del Ministerio de Hacienda incluyendo, pero no limitado a, usuarios externos, consultores, contratistas, etc., debe ser inmediatamente reportado a los administradores de sistemas de información involucrados. En el caso, de los usuarios internos esta responsabilidad recae en el jefe inmediato y en el caso de los usuarios externos (instituciones, empresas, empresas consultoras) en el contacto de seguridad o contraparte designado por el jerarca de la empresa o institución que corresponda. Los derechos de acceso a la información, por parte de empleados, consultores, y terceros, deben ser eliminados a la conclusión de la relación laboral, contrato o acuerdo Cambios a la política de seguridad de información Todos los funcionarios deben recibir una pronta notificación de los cambios a la política de seguridad de información Contacto de seguridad de información de terceros El jerarca de cada empresa proveedora o su representante legal, que contrate el suministro de bienes o servicios de consultoría con el Ministerio de Hacienda, debe designar al menos un contacto de seguridad de información que sirva de enlace entre la empresa y el Ministerio para tratar todos los asuntos que tengan que ver con la seguridad de información relacionada con los bienes o servicios contratados, así

22 Código: POL-09 Versión:3 Página 22 de 36 como con las políticas, procedimientos y estándares de seguridad vigentes en el Ministerio Manual de prácticas de seguridad de información Todo funcionario nuevo debe recibir una copia de la Política de Seguridad, así como de las mejores prácticas de seguridad establecidas en el Ministerio y se le debe concienciar en el cumplimiento de esta política. El Ministerio debe facilitar el acceso electrónico a este documento. En general, a todos los funcionarios se les debe proveer de la suficiente capacitación y material de referencia, incluyendo el manual de prácticas de seguridad de información, que les permita proteger en forma adecuada la información, los equipos informáticos y cumplir con las respectivas normas de seguridad física Tiempo de capacitación La Administración deberá asignar el tiempo que se considere necesario, en horas laborales, a los funcionarios para que se capaciten en las políticas y procedimientos de seguridad de información Consentimiento de la política Cada colaborador, usuario externo y tercero debe entender y aceptar esta política y lo que de ésta se desprenda, y por escrito, establecer su consentimiento en cumplir con ésta. Todo proceso contractual debe llevar una indicación que comprometa al cumplimiento de esta política, los procedimientos, controles y estándares de seguridad; que incluya las condiciones requeridas de confidencialidad y que se indique quién es el contacto de seguridad Entrenamiento en el uso de sistemas en producción a usuarios finales Los usuarios no deben usar ningún sistema en producción a menos que hayan completado y aprobado el entrenamiento en el uso de éstos sistemas. La responsabilidad del cumplimiento de este apartado queda a cargo de la jefatura correspondiente Capacitación a usuarios técnicos El personal técnico relacionado con los sistemas de información debe tener suficiente entrenamiento inicial y capacitación en todos los aspectos críticos de la seguridad de acuerdo con las funciones que realice.

23 Código: POL-09 Versión:3 Página 23 de 36 Capítulo 5. Seguridad física y ambiental 5.1. Identificación de activos Todos los activos de TIC del Ministerio de Hacienda (tangibles e intangibles, como hardware, datos y software, deben estar claramente identificados y deben ser propiedad (2) de una parte designada del Ministerio de Hacienda Devolución de activos Todos los empleados, usuarios externos y terceros, deben devolver los activos asignados para cumplimento de sus labores, a la terminación de la relación laboral, contrato o acuerdo, o cuando se den cambios que lo ameriten Protección del equipo informático Todo equipo informático e información contenida en éste deben ser protegidos en forma apropiada; incluyendo aquellos que operen de manera desatendida. Para prevenir la pérdida, daño o compromiso del equipo, lo cual puede interrumpir las actividades de la organización, éste debe ser protegido contra accesos no autorizados, modificaciones a su configuración, fallas de alimentación eléctrica; así como pérdidas o daños a la información Acceso a áreas peligrosas El acceso físico a áreas peligrosas debe estar controlado por medios de restricción robustos. El personal autorizado a ingresar a tales áreas, debe ser provisto con la información de los riesgos potenciales que involucran estas áreas. Controles adicionales pueden ser requeridos para ampliar el control a las áreas restringidas. Esto incluye controles para los funcionarios de la institución o de terceras partes que trabajen en áreas restringidas Seguridad perimetral Toda información sensitiva o procesos críticos de la organización deben disponerse en lugares seguros, protegidos por controles de entrada adecuados. Los controles deben estar en concordancia con los riesgos identificados de la información a proteger, deben estar claramente establecidos y orientados a crear perímetros de seguridad alrededor de los lugares donde se guarda la información o tienen lugar los procesos de información sensitiva para la institución. Cada barrera en el perímetro incrementa los niveles de seguridad total alrededor de la información a proteger. 2 El término propiedad se refiere a una persona o entidad que tiene la responsabilidad asignada y aprobada por la Dirección General, para controlar la producción, desarrollo, mantenimiento, uso y seguridad del activo asignado.

24 Código: POL-09 Versión:3 Página 24 de Controles a entradas físicas Las entradas físicas deben estar protegidas por controles de entrada apropiados, para permitir el acceso sólo a personal autorizado asegurar la información y los activos de TIC. Capítulo 6. Seguridad en las operaciones y comunicaciones 6.1. Procedimientos de operación Se debe documentar y mantener actualizados los procedimientos de operación. Éstos se deben mantener en un lugar de fácil acceso para los funcionarios autorizados a su uso Actualizaciones de seguridad Todas las actualizaciones de seguridad provistas por fabricantes de software en operación, equipos de trabajo para la atención de emergencias informáticas de centros oficiales y otros terceros debidamente acreditados, deben ser evaluadas por los custodios de información, a fin de determinar su aplicación y establecer prioridades, con el fin de asegurar la información. Adicionalmente debe cumplirse con un procedimiento estricto de gestión de cambios Comercio electrónico Se debe proteger la información involucrada en comercio electrónico, que se transmite a través de redes públicas, de cualquier actividad fraudulenta, disputa contractual, divulgación, modificación, no autorizada Transacciones en línea Se debe proteger la información involucrada en transacciones en línea, para evitar la transmisión incompleta, rutas equivocadas, alteración, divulgación, duplicación Administración de controles de acceso a la red El acceso a los recursos de la red debe ser estrictamente controlado para prevenir accesos no autorizados, por parte de funcionarios internos, como externos. Los accesos a sistemas de información, computadores y periféricos serán restringidos a menos que se autoricen explícitamente excepciones. En todo caso, los equipos o periféricos a conectar deben cumplir con los controles de seguridad establecidos por las áreas respectivas, cuyo fin es verificar el cumplimiento de los requisitos mínimos de seguridad que debe cumplir todos los equipos que se conecten a la red institucional.

25 Código: POL-09 Versión:3 Página 25 de Identificación del equipo en la red Se debe considerar la identificación del equipo en red, como un medio para administrar e identificar las conexiones desde equipos y ubicaciones específicas Protección del puerto de diagnóstico remoto Se debe controlar el acceso físico y lógico a los puertos de diagnóstico y configuración Segregación en redes Los servicios de información, usuarios y sistemas de información deben segregarse redes Control conexión en redes Se debe restringir la capacidad de conexión de los usuarios en las redes compartidas, en especial, en aquellas que se extienden a través de los límites de la Institución, en concordancia con el control de acceso Computación móvil y comunicaciones. Se debe establecer las medidas de seguridad apropiadas, para proteger contra los riesgos de utilizar medios de computación y comunicación móviles. Estas medidas deben incluir también la utilización segura y eficiente de redes inalámbricas Teletrabajo En caso de hacerse uso del teletrabajo por parte de funcionarios del Ministerio de Hacienda o usuarios externos con acceso a los sistemas de información de éste, se debe implementar en coordinación con la DGI las medidas de seguridad necesarias, de previo a que se adopte esta modalidad de trabajo, que incluyan directrices, planes operacionales y procedimientos. Capítulo 7. Control de acceso 7.1. Proceso de autorización para nuevos medios de almacenamiento de información Se debe definir e implementar un proceso de autorización para el uso y manejo de nuevos dispositivos de almacenamiento de información Control contra software malicioso Se debe implementar controles de detección, prevención y recuperación, para protegerse de código malicioso.

26 Código: POL-09 Versión:3 Página 26 de Control de dispositivos móviles Cuando se autoriza el uso de dispositivos móviles, se deben implementar procedimientos que garanticen la operación del mismo y no comprometan la operación de la Institución. Documentos relacionados: 7.4. Procedimientos de manejo de la información Se debe establecer procedimientos para el manejo y almacenamiento de la información, y protegerla de manipulación no autorizada Intercambio de información Se debe establecer procedimientos, controles para el intercambio de información y software a través del uso de los distintos medios de intercambio de información. En particular, se deben establecer acuerdos para el intercambio de información y software, entre la Institución y entidades externas Información disponible de forma pública Se debe proteger la integridad de la información de sistemas accesibles públicamente para evitar modificaciones no autorizadas Revocación de privilegios de acceso La DGI se reserva el derecho de revocar en cualquier momento, amparada en una causa justificada de compromiso de la seguridad y con previa comunicación, los accesos a recursos de tecnologías de información. En casos de urgencia justificada, se puede prescindir de la comunicación previa Administración de accesos de los usuarios El acceso a todo sistema debe estar autorizado por el propietario correspondiente y estos accesos, incluyendo los derechos de acceso o privilegios deben ser registrados en una lista de control de accesos. Tales registros deben ser considerados como documentos de alta confidencialidad Registro de usuarios Deben existir procedimientos formales para la inscripción y revocación de usuarios, a fin de otorgar o denegar acceso a los diferentes sistemas y servicios de información del Ministerio.

27 Código: POL-09 Versión:3 Página 27 de Gestión de privilegios Se debe asignar los derechos de acceso a los usuarios basados en las políticas de la Institución, bajo el principio de necesidad de saber o menor privilegio Revisión de derechos de acceso del usuario Los derechos de acceso asignados a los usuarios deben ser revisados de manera periódica mediante un procedimiento formal, para verificar su actualidad Acceso al ambiente de producción El acceso al ambiente de producción será autorizado por los propietarios de la información, solo a los usuarios funcionales. Se debe restringir el acceso del personal de soporte técnico a los sistemas de información Control de acceso a la administración de los sistemas operativos El acceso a la administración de los sistemas operativos debe ser limitado a los funcionarios que están autorizados para ejecutar funciones de administración del sistema. En el caso de los sistemas operativos bajo la custodia de la DGI, tales accesos deben realizarse con la aprobación específica de los responsables de las áreas de Operaciones y de Seguridad Informática; en otros casos la aprobación debe darla la jefatura inmediata correspondiente Administración de contraseñas La selección de contraseñas, su uso y administración como medio de control de acceso primario a los sistemas, debe apegarse a las mejores prácticas. En particular las contraseñas no deben ser compartidas con otra persona por ninguna razón. Se debe requerir que los usuarios sigan buenas prácticas de seguridad en la selección y uso de claves Monitorización de accesos Los accesos a los sistemas de información deben ser registrados y monitorizados para identificar potenciales usos inapropiados de sistemas e información Acceso a los archivos y documentos físicos El acceso a la información y documentos físicos debe ser cuidadosamente controlado, asegurándose de que solamente el personal autorizado pueda tener acceso a información sensitiva 3 Necesidad de saber: Principio para la definición de perfiles de usuario, según el cual, se debe de asignar los permisos estrictamente necesarios para acceder la información que resulta imprescindible en la realización de las labores asignadas.

28 Código: POL-09 Versión:3 Página 28 de Limitación del tiempo de uso de aplicaciones Se debe establecer restricciones sobre los tiempos de uso para proporcionar seguridad a las aplicaciones de alto riesgo Control al acceso remoto y de teletrabajo de usuarios Los procedimientos de control de acceso remoto y de teletrabajo deben proveer protecciones adecuadas a través de medios de identificación robusta, autenticación y técnicas de cifrado Detección de acceso no autorizado Cuando se detecta que hay acceso no autorizado a los sistemas de TIC, el personal del área Seguridad de Información de la DGI en coordinación con los responsables del sistema o áreas afectadas, deben tomar acciones inmediatas para interrumpir el acceso, e iniciar la recolección de evidencias de la situación detectada y presentar el informe al director de la dependencia correspondiente en el plazo de tres días hábiles Equipo de atención de problemas de seguridad de información Todos los problemas de seguridad de información deben ser manejados con la participación del personal interno de seguridad de información ó por consultores externos, equipos de atención de seguridad informática, u otros externos que han sido debidamente aprobados por el área de seguridad de información. Capítulo 8. Seguridad en implementación y mantenimiento de software e infraestructura tecnológica 8.1. Ambientes de prueba, desarrollo y producción Se debe separar los ambientes de prueba, desarrollo y producción, para reducir el riesgo de acceso o cambios no autorizados Acceso a las librerías de software Solamente funcionarios técnicos especializados y autorizados pueden acceder las librerías de programas fuentes y ejecutables entregados. Las actualizaciones necesarias solo podrán realizarlas el personal asignado, siguiendo una combinación de controles de acceso técnico y de procedimientos de operación robusta Especificación de requerimientos de seguridad Para cualquier sistema nuevo o mejora a sistemas existentes, deben incluirse requerimientos de seguridad.

29 Código: POL-09 Versión:3 Página 29 de Control de cambios de software y sistemas de información Debe establecerse un procedimiento de control formal para realizar cambios al software y a los sistemas de información. Todos los cambios realizados deben ser únicamente autorizados por el propietario de la información y probados antes de pasar al ambiente de producción. El procedimiento de control de cambios debe ser utilizado para cualquier modificación al software o sistema de información. Todos los cambios a estos últimos, así como configuraciones que afecten la seguridad y aplicación de actualizaciones, deben ser propiamente autorizados y probados antes de pasar al ambiente de producción Prueba de aplicaciones y sistemas críticos, después de la realización de cambios a los sistemas operativos Cuando se realizan cambios en los sistemas operativos, el responsable de la aplicación o sistema de información debe realizar las pruebas necesarias dar por escrito la aprobación de éstos, para que no exista un impacto adverso en la operatividad y seguridad de los datos Control de software en producción Se debe contar con procedimientos para controlar la instalación de software en los ambientes en producción Supervisión del desarrollo de software por terceros El desarrollo de software por parte de terceros debe ser supervisado y se le debe dar seguimiento por parte del Ministerio, para asegurarse del uso correcto de la metodología del desarrollo del software, del cumplimiento con los requisitos de seguridad y del cumplimiento de la relación contractual Control del inventario de software El inventario de software debe mantenerse actualizado a la fecha, de manera que se pueda identificar, entre otras cosas, la cantidad en existencia, ubicación física y el responsable del uso Control de versiones de software Debe utilizarse un procedimiento formal para controlar en forma comprensiva las versiones de los programas y sistemas operativos Desarrollo de software El software desarrollado por o para el Ministerio con recursos internos o mediante contratación externa debe seguir siempre un procedimiento formal de desarrollo, el cual es administrado desde el proyecto mismo. La integridad del código del software operacional de la institución debe ser protegida utilizando una combinación de

30 Código: POL-09 Versión:3 Página 30 de 36 controles de acceso técnico y de privilegios restrictivos. Adicionalmente, en el caso de contratación de servicios de consultaría externa, la administración debe garantizarse mediante la firma de un contrato de confidencialidad, la propiedad del código y protección de la información, así como protegerse del manejo y uso inadecuado que pueda dársele a ésta por parte de terceras personas no autorizadas Correcciones de emergencia al software El propietario de la información en conjunto con la administración de TI debe definir cuando una corrección es crítica y de aplicación urgente. Cualquier cambio o corrección al software debe seguir estrictamente el procedimiento de control de cambios Responsabilidad de cambios al sistema Todos los cambios propuestos al software deben ser convenidos y autorizados por el propietario de la información. Cualquier cambio es responsabilidad de éste Planificación del desarrollo de nuevos sistemas o aplicaciones Para el desarrollo de nuevos sistemas o aplicaciones se debe supervisar y adaptar el uso de recursos, así como tener proyecciones de los futuros requisitos para mejorar su capacidad de operación y su optimización Aceptación de sistemas o aplicaciones Se debe establecer criterios de aceptación, que incluyan los requisitos de seguridad, para sistemas de información nuevos, actualizaciones o nuevas versiones, y se deben llevar a cabo las pruebas adecuadas, durante el desarrollo y antes de su aceptación Acceso del personal técnico a los sistemas en producción El acceso a la funcionalidad de los sistemas en producción así como a sus bases de datos, a través de las aplicaciones propias de éstos u otro medio o herramienta informática, debe estar restringido y solamente ser autorizado por escrito por el dueño de la información. No se permite este tipo de acceso al personal técnico, entendiendo éste como desarrolladores, analistas de sistemas, programadores, personal de soporte, contrapartes, administradores del sistema, administradores de bases de datos, y en general a cualquiera cuya función no sea propiamente la de usuario funcional autorizado de los sistemas, aplicaciones y bases de datos en producción.