CUMPLIMIENTO DEL PLAN DE SEGURIDAD DE LA INFORMACIÓN. proteger el proceso más crítico del Servicio, se mantuvo el desarrollo del proceso,

Transcripción

1 INFORME FINAL-ANO 2012 CUMPLIMIENTO DEL PLAN DE SEGURIDAD DE LA INFORMACIÓN PREPARADO POR: Sonia Cañón, Encargada del PMG de Seguridad de la Información y PRESENTADO al Comité de Seguridad en sesión n93 del 10/12/12 ANTECEDENTES PREVIOS: Las Normas ISO se encuentran aprobadas para Chile en el Decreto Supremo N9 83. Luego de un inicio lento y poco coordinado por parte del equipo de trabajo del Comité de Seguridad y de la jefatura operativa del Servicio, A partir del 15 Octubre se planificó implemento y evaluó el proceso de Seguridad de la Información en el Servicio del Gobierno Regional de Arica y Parinacota. DESARROLLO DEL PROCESO 2012: 1.- REQUISITOS TÉCNICOS: LEVANTAMIENTO DEL INVENTARIO Se baso en el levantamiento que se hizo durante el año anterior. Como se busca proteger el proceso más crítico del Servicio, se mantuvo el desarrollo del proceso, subprocesos y etapas, tal como lo señala el Ordinario N9 959 del 31/10/12 de nuestro Servicio, en donde se garantizó que el ALCANCE del inventario de este año, no sufrió modificaciones respecto del inventario del año El inventario 2012 toma en consideración, los lineamientos estratégicos del Servicio, basándose en los 3 Objetivos y 3 Productos Estratégicos, contenidos en la Ficha Al vigente. A este inventario se le evalúo el nivel de criticidad de cada uno de los Activos de la Información contenidos en el proceso del FNDR, desde la planificación, ejecución, pago y registros. Los Activos de Información a los cuales se les evaluaron la criticidad son los siguientes: a) Documentos en papel y digital o electrónicos Informe final SSI

2 b) Personas que se relaciona de alguna forma con el Servicio( funcionarios y externos) c) Infraestructura física e informática d) Equipos y equipamiento El nivel de criticidad se midió basados en grado de INTEGRIDAD, CONFIDENCIALIDAD Y DISPONIBILIDAD que deben tener los cada Activo de a Información inventariado. ANÁLISIS NUMÉRICO DEL INVENTARIO Se inventariaron un total de 41 Activos de la Información. El 92%, de los 34 de los Activos presenta una criticidad ALTA. El 8%, de los 3 de los Activos presenta una criticidad MEDIA. El 100%, de los 37 Activos con criticidad Media o Alta se les aplicó Evaluación de Riesgos. 2.- REQUISITOS TÉCNICOS: EVALUACIÓN DE LOS RIESGOS: Esta evaluación determina para cada uno de los activos de la Información con criticidad Media y Alta, establecer el nivel de amenazas y riesgos a los cuales podría estar expuestos. Control preventivo. Para ello se definieron, con la ayuda de los funcionarios operativos pertinentes, el tipo de amenaza en el momento más crítico del proceso, cuando se debe presentar el ARI a aprobación del CORE, cuando se cierra el mes para la ejecución, y en la custodia de los respaldos originales al momento del pago y del registro contable. El análisis riesgo de cada activo, se determinó a través de la PROBABILIDAD de ocurrencia de la amenaza y del IMPACTO en caso que así ocurriera, ambas medidas permiten establecer la Severidad del Riesgo del activo, vale decir, cuan severo es el riesgo de ese activo, sin haber aplicado algún control. La Severidad del Riesgo tiene los siguientes rangos: a) Bajo b) Moderado c) Alto Informe final SSI

3 d) Extremo Para el desarrollo de esta etapa era necesario tener la Política y el Manual de Seguridad de la Información actualizada y formalizada. Con el objeto de conocer los controles ISO desarrollados por este Servicio y que se encuentren efectivamente aplicados. La Política fue aprobada por la Resolución exenta N92163 del 11 de Diciembre del El Manual de procedimientos de la Política de Seguridad fue aprobada por al Resolución exenta N92214 del 18 de Diciembre del ANÁLISIS NUMÉRICO DE LA EVALUACIÓN DE RIESGOS De 41 activos de la Información con criticidad Alta y Media, arrojaron un total de 55 amenazas o riesgos. El 45% de las amenazas tienen Severidad del Riesgo extremo. El 43% de las amenazas tienen Severidad del Riesgo Alto. El 12% de las amenazas tienen Severidad del Riesgo Moderado. Ninguna amenaza obtuvo Severidad del Riesgo con rangos Bajo. El 100% las amenazas evaluadas fueron asociados a controles de la Norma ISO , contenidos en la Política de Seguridad. Se actualizó en la Política de Seguridad, el 100% de los 11 dominios contenidos en la Norma ISO REQUISITOS TÉCNICOS: PLAN DE TRABAJO Para el año 2012, se planificaron y se realizaron las siguientes actividades: ACTIVIDAD PLANIFICADA EVIDENCIA DE CUMPLIMIENTO Nuevo nombramiento de Encargado de Seguridad del Servicio Resolución exenta N21603 del 3/10/12 Nuevos nombramientos para el Comité de Seguridad Resolución exenta N?1604 del 3/10/12 Actualizar la Política de Seguridad, considerando la totalidad de los controles de la Norma ISO Resolución exenta N^2163 del 11 de Diciembre del 2012 Informe final SSI

4 Actualizar el Manual de Procedimientos de la Política de Seguridad, considerando aquellos controles de la Norma ISO que exigieran específicamente desarrollo como medio de verificación del requisito técnico Resolución exenta N92214 del Diciembre del de Inventario año sesiones del Comité de Seguridad 2 capacitaciones interna al Servicio Instrumentos SSI: Inventario con análisis de criticidad y evaluación de riesgos Actas del 29/10/12 Acta del 26/11/12 Acta del 10/12/12 Actas de asistencia del día 20/12/12 en dos jornadas para facilitar la asistencia del máximo de funcionario. 55% de asistencia a las capacitaciones: / Jornada de la mañana: 25 S funcionarios Jornada de la tarde: 27 funcionarios / Total Asistentes: 52 personas S Total de funcionarios del GORE: 94 personas entre planta, contrata y honorarios (subtitulo 21) Publicidad y Difusión de las nuevas Políticas y manual de Seguridad de la Información Se publico la Política de Seguridad en la página web del GORE el día 31/12/12 Se envió por correo institucional a los funcionarios del servicio la Política y Manual de Seguridad, el día 31/12/12. Revisiones, auditoría y monitoreos Se había planificado desde el año 2011 hacer una Auditoría interna, la cual fue codificada: AC-2/12, realizada en febrero del 2012 Como parte de las actividades de evaluación de la etapa 4 del PMG de Seguridad de la Información, se planificó hacer una encuesta para

5 evidencia el grado de aplicación de algunos controles básicos de Seguridad entregados en las capacitaciones. 50 personas contestaron las encuestas. Los resultados se mostrarán en el punto N^5 de este informe. 4.- REQUISITOS TÉCNICOS: MEDIDAS DE MITIGACIÓN (IMPLEMENTACIÓN DE CONTROLES) Para evidenciar el grado de cumplimiento y aplicación de la Política de seguridad, se midieron los siguientes indicadores: 1) Cobertura de la Política Seguridad 2) Desarrollo de procedimientos de la Política Seguridad 3) Efectividad de la planificación de las auditorías y monitoreos 4) Porcentaje de incidentes de seguridad que reciben tratamiento de acuerdo al plan de continuidad de negocio establecido en el Sistema de Seguridad de la Información en añot. 5) Porcentaje de riesgos de seguridad de la información a los que se les han aplicado los controles de seguridad en forma completa y satisfactoria. ANÁLISIS DE INDICADORES INDICADOR 1: "Cobertura de la Política" (Total de controles contenidos en la Política de Seguridad Institucional/total de controles contenidos en la norma ISO/IEC aplicables)*100 META: 90% Desarrollo: (131 controles contenidos en Política Seguridad lnstitucional/132 controles ISO/IEC aplicables)*100= 99% META: 90% < 99% Interpretación del Indicador 1:

6 Una vez actualizada la POLÍTICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN , se demostró contiene el 99% de los controles contenidos en la Norma ISO Los controles no contenidos en la Política de Seguridad corresponden principalmente, a aquellos, del Dominio N^ll sobre adquisición, desarrollo y mantenimiento e Sistemas, el cual, ha tenido bajo implementación hasta el año 2012, debido que los sistemas en uso para los procesos del FNDR, están soportados en sistemas de propiedad y administración de la SUBDERE para el caso de CHILEINDICA, y DIPRES para el SIGFE. ///// INDICADOR 2: "Desarrollo de procedimientos de la Política Seguridad" (Total de controles contenidos en el Manual Seguridad por dominios/total de controles de las Políticas de Seguridad por dominios)*100= META: 90% Desarrollo: (131 controles contenidos en el Manual Seguridad por dominios /116 controles de las f\ Políticas de Seguridad por dominios)*100 = 86%. META: 90% > 86% Interpretación del Indicador 2: El 86% de logro, en lugar de la meta de 90%, se debe a que ambos documentos (Política y Manual) se complementan entre sí, de modo que no se requiere aún, que todos los controles contenidos en la Política de Seguridad estén desarrollados en procedimientos en el Manual de Seguridad de la Información. Esto se evidencia por ejemplo en el dominio N95 donde los controles son dos A y A.5.1.2, los cuales la evidencia de aplicación es la propia Política General de Seguridad, y no requiere que el Manual desarrolle un procedimiento de cómo debe hacerse una formalización del, ya que es un proceso habitual en el Servicio. Es posible que en tiempo futuro se desarrolle este procedimiento con el objeto de completar el Manual.

7 //// INDICADOR 3: "Efectividad de la planificación de las auditorías y monitoreos" (N auditorías y monitoreos realizados/total de auditorías y monitoreos planificados)*100= META: 100% Desarrollo: (2 auditorías y monitoreos realizados/2 auditorías y monitoreos planificados)*100 = 100%. META: 100% = 100% Interpretación del Indicador 3: 100% de cumplimiento en las revisiones programadas. Se planificaron 2 actividades de revisión en el año 2012 y ambas se llevaron a cabo: 1 auditoría codificada AC-2/12 realizada durante el 15 semestre la cual estaba contenida en el Plan Anual de Auditoría Interna que cubrió todos los dominios de la política de seguridad y 1 monitoreo 7 programado como parte del PMG SSI, realizado el 27 de Diciembre 2012 //// INDICADOR 4: "Efectividad de la planificación de las auditorías y monitoreos" (Total de mantenimientos a los equipos efectuados en el año / total de mantenimiento planificado para el año)*100 = META: 100% Desarrollo: (2 mantenimientos a los equipos efectuados en el año / 2 de mantenimientos planificados para el año)*100 =100%. META: 100% = 100%

8 Interpretación del Indicador 4: De acuerdo a la resolución N de septiembre del 2011, la cantidad de revisiones a los equipos del servicio debían ser 2 en al año, cumpliendo con el 100% de ella, realizado la 1^ en el primer semestre y la segunda en el segundo semestre del año //// INDICADOR 5: "Porcentaje de incidentes de seguridad que reciben tratamiento de acuerdo al plan de continuidad de negocio establecido en el Sistema de Seguridad de la Información en año t" (N de incidentes tratados según Plan de continuidad en el año t/total de incidentes que deben ser tratados de acuerdo al plan en el año t)*100= META: 95% Desarrollo: (0 incidentes tratados según Plan de continuidad en el año t/0 incidentes que deben ser tratados de acuerdo al plan en el año t)*100= 0%. META: 95% >0% g Interpretación del Indicador 5: 0% de incidentes reportados y gestionados. Estos e debió a que no se presentaron reportes de incidentes debido que no existía el procedimiento, sólo a partir de la capacitación de este año se difundió la nueva política de seguridad y sus procedimientos, entre ellos el de incidentes. //// INDICADOR 6: "Porcentaje de riesgos de seguridad de la información a los que se les han aplicado los controles de seguridad en forma completa y satisfactoria" (N riesgos deseguridad de la información a los que se les han aplicado los controles de seguridad, los cuales están implementados, operativos, comunicado y auditables / total de riesgos de seguridad de información identificados)*100 =

9 META: 90% Desarrollo: (55 riesgos de seguridad de la información a los que se les han aplicado los controles de seguridad, los cuales están implementados, operativos, comunicado y auditables /55 riesgos de seguridad de información identificados)*100= 100% META: 90% > 100% Interpretación del Indicador 6: El 100% de los riesgos declarados en el Inventario evaluados con riesgo han sido tratados con los controles disponibles de la Política de Seguridad de la Información. 5.- REQUISITOS TÉCNICOS: RFVISIONFS AUDITORIAS YMONITOREOS: Como ya había señalado en el punto 3 de este informe, se planificaron 2 actividades de revisión: 1) Se había planificado desde el año 2011 hacer una Auditoría interna sobre aplicación de seguridad de los sistemas de información del Servicio, la cual fue codificada: AC-2/12, realizada en febrero del El informe tipo encuentra consta en los medios de verificación del PMG SSI Los Hallazgos contenidos en la Auditoría, han sido subsanados en su totalidad con la actualización de la Política y el Manual de Seguridad de la Información, así como con la capacitación y la contratación de la Auditoría Informática la cual se encuentra en proceso, como parte de las líneas de acción del Plan de Mejora continua. 2) La 2^ revisión se consideró como parte de las actividades de evaluación de la etapa 4 del PMG de Seguridad de la Información, se programó hacer una encuesta para evidencia el grado de aplicación de algunos controles básicos de Seguridad entregados en las capacitaciones de este año. Los resultados son los siguientes: El 51% (48) funcionarios de planta, contrata y honorario (Subt.21) contestaron las encuestas de monitoreo. 16 de ellos eran funcionarios de la DIPLAN, 17 de la DAF y 15 de la DACOG. 67% de los funcionarios encuestados conoce yaplica los controles de seguridad consultados.

10 El 60% de la DIPLAN declara conocer y aplicar los controles asociados a Seguridad de la Información, el 73% de la DAF y el 53% de la DACOG. Del análisis por controles consultados en la encuesta, de un total de 15 preguntas, realizado a 48 personas, las respuestas con mayor debilidad persistentes son las siguientes: o Sólo el 31% de los encuestados conoce al Encargado de Seguridad. Sólo el 10% puede identificar al FNDR como el proceso de mayor riesgo para el Servicio, losdemás lo desconocen o señalan procesos asociados a sus funciones. El 31% conoce el procedimiento de Incidentes. El 33% aplica el mensaje de confidencialidad a los correos institucionales que envía. Sólo el 23% sabe que existe un Plan de continuidad o Plan B en caso de emergencias identificadas para el FNDR. ANÁLISIS DE CAUSA DE LAS DEBILIDADES PERSISTENTES DEBILIDAD PERSISTENTE CAUSA PLAN DE MITIGACIÓN PROPUESTA Sólo el 31% de los encuestados conoce al Encargado de Seguridad o Falta de difusión interna o Falta empoderamiento del Encargado de Seguridad. o Falta de apoyo de la jefatura para señalarlo por la función y no por el nombre de pila. Hacer difusión interna de la política de seguridad con capacitaciones durante el Contratar capacitación para el Comité de seguridad. 10 Sólo el 10% puede identificar al FNDR como el proceso de mayor riesgo para el Servicio, los demás lo desconocen o señalan procesos asociados a Desconocimiento del giro principal del Servicio: Inversión regional con FNDR. Difundir ficha Al al persona por correo institucional sus funciones. El 31% conoce el procedimiento de Incidentes Desconocimiento del Manual de Seguridad Hacer una síntesis de controles explicado en forma breve y simple y, enviarlo por correo institucional

11 El 33% aplica el mensaje de confidencialidad a los correos institucionales que envía Sólo el 23% sabe que existe un Plan de continuidad o Plan B en caso de emergencias identificadas para el FNDR. Desconocimiento del Manual y la Política de Seguridad Desconocimiento del Manual de Seguridad Hacer en mensaje tipo y enviarlo para que sea instalado en los pie de firma de los correos institucionales de cada funcionario Hacer una síntesis de controles explicado en forma breve y simple en donde se indique cuales son los PLAN By, enviarlo por correo institucional ACTIVIDADES A CONSIDERAR PARA EL 2013: 1) Hacer difusión interna de la Política ymanual de Seguridad con capacitaciones durante el ) Contratar capacitación externa para el Comité de Segundad de modo de empoderarlos através del conocimiento de la norma ysu espíritu. Esta capacitación podría ser extensiva al resto del personal 3) Difundir ficha Al al personal por correo institucional en forma anual o semestral. 4) Hacer una síntesis de controles explicado en forma breve ysimple y, enviarlo por correo institucional 5) Hacer en mensaje tipo yenviarlo para que sea instalado en los pie de firma de los correos institucionales de cada funcionario 6) Considerar como parte de la planificación del próximo año la siguiente propuesta: 11 Requisitos Técnicos avance Revisiones regulares del SSI Revisión 1 Revisión Revisión Revisión de indicadores y metas Indicadores y metas Establecimiento de medidas de mejora Aprobación CSI o Dirección

12 Inventario de activos y riesgos Actualización del inventario de activos Incorporación a gestión de riesgos institucional Comité de SSI sesiones de comité sesiones de comité sesiones de comité Es cuanto puedo informar: SONIA CAÑÓN CONCHA ENCARGADA PMG SSI 2012 GOBIERNO REGIONAL DE ARICA Y PARINACOTA 12