POLITICA DE SEGURIDAD DE LA INFORMACIÓN MUNICIPALIDAD DE COMODORO RIVADAVIA

Transcripción

1 POLITICA DE SEGURIDAD DE LA INFORMACIÓN MUNICIPALIDAD DE COMODORO RIVADAVIA

2 CONTENIDO: Capítulo 0. Prólogo...8 Capítulo 1. Introducción...9 Referencias...9 Capítulo 2. Términos y Definiciones...11 Capítulo 3. Estructura del documento...13 Referencias cruzadas...13 Capítulo 4. Cláusula: Administración de riesgos...19 Generalidades...19 Alcance...19 Directivas...19 Directiva 4.1. Análisis y tratamiento de riesgos...19 Control Análisis y evaluación de riesgos...19 Control Tratamiento de riesgos...20 Capítulo 5. Cláusula: Política de Seguridad de la Información...21 Generalidades...21 Alcance...21 Directivas...21 Directiva 5.1. Política de Seguridad de la Información...21 Control Documento Política de Seguridad de la Información...21 Control Revisión de la Política de Seguridad de la Información...22 Control Documentos subordinados...22 Capítulo 6. Cláusula: Organización de la Seguridad...25 Generalidades...25 Alcance...25 Directivas...25 Directiva 6.1. Organización Interna...25 Control Compromiso de las autoridades...25 Control Coordinación de actividades...26 Control Asignación de funciones y responsabilidades específicas Comité de Seguridad de la Información Responsable de Seguridad Informática...28 Control Autorización de instalaciones de procesamiento...28 Control Acuerdos de confidencialidad...28 Control Contacto con autoridades y otras organizaciones...29 Control Contacto con especialistas en seguridad...29 Municipalidad de Comodoro Rivadavia 2

3 Control Revisión independiente - Auditoría...30 Directiva 6.2. Relaciones con Terceros...30 Control Riesgos provenientes del acceso de terceras partes...30 Control Riesgos provenientes del acceso de los contribuyentes...31 Control Identificación de riesgos en acuerdos con terceros...31 Capítulo 7. Cláusula: Clasificación y Control de Activos...32 Generalidades...32 Alcance...32 Directivas...32 Directiva 7.1. Responsabilidad de los activos...32 Control Inventario de activos...32 Control Propietarios de los activos...33 Control Normas de uso de los activos...33 Directiva 7.2. Clasificación de la información...33 Control Clasificación y actualización Valores de Clasificación Nivel de Criticidad...34 Control Rotulado y manejo de la Información...35 Capítulo 8. Cláusula: Seguridad del Personal...36 Generalidades...36 Alcance...36 Directivas...36 Directiva 8.1. Consideraciones previas al empleo...36 Control Roles y responsabilidades previas al empleo...36 Control Criterio de idoneidad...37 Control Términos y condiciones de empleo...37 Directiva 8.2. Condiciones durante el empleo...37 Control Responsabilidad de los funcionarios durante el empleo...37 Control Concientización, educación y entrenamiento...38 Control Infracciones y violaciones a la Política...38 Directiva 8.3. Terminación o cambio de empleo...39 Control Responsabilidades en la terminación del empleo...39 Control Devolución de activos...39 Control Remoción de derechos de uso y acceso...40 Capítulo 9. Cláusula: Seguridad Física y Ambiental...41 Generalidades...41 Alcance...41 Directivas...41 Directiva 9.1. Áreas protegidas...41 Control Perímetros de seguridad física...41 Control Controles de acceso físico...42 Municipalidad de Comodoro Rivadavia 3

4 Control Protección de oficinas, recintos e instalaciones...42 Control Protección contra amenazas externas y ambientales...42 Control Desarrollo de tareas en Áreas protegidas...43 Control Áreas públicas, de carga y despacho...43 Directiva 9.2. Seguridad del equipamiento...44 Control Ubicación y protección de equipos...44 Control Suministro de energía...44 Control Seguridad del cableado...45 Control Mantenimiento de equipos...45 Control Seguridad de equipos fuera de las instalaciones...46 Control Desafectación y reutilización de equipos...46 Control Retiro de activos...46 Capítulo 10. Cláusula: Gestión de Comunicaciones y Operaciones...48 Generalidades...48 Alcance...48 Directivas...48 Directiva Procedimientos y responsabilidades operativas...48 Control Documentación de los procedimientos operativos...48 Control Gestión y control de cambios...49 Control Segregación de tareas...49 Control Segregación de ambientes...49 Directiva Gestión de servicios de terceros...50 Control Provisión de servicios...50 Control Monitoreo y revisión de los servicios provistos de terceros...50 Control Gestión de cambios en los servicios de terceros...50 Directiva Planificación y aceptación de sistemas...51 Control Manejo y previsión de capacidades...51 Control Aceptación de sistemas...51 Directiva Protección contra el malware...51 Control Controles contra el código malicioso...51 Control Controles contra el código móvil...52 Directiva Control Backup...52 Resguardo de la información...52 Directiva Gestión de seguridad de las redes...53 Control Gestión y control de redes...53 Control Seguridad de los servicios de red...53 Directiva Manipulación de medios...54 Control Manejo de medios removibles...54 Control Eliminación de medios de información...54 Control Procedimientos para el manejo de la información...55 Control Seguridad de la documentación de los sistemas...55 Municipalidad de Comodoro Rivadavia 4

5 Directiva Intercambio de información...56 Control Políticas y procedimientos para el intercambio de información...56 Control Seguridad en los acuerdos de intercambio con otras organizaciones...56 Control Seguridad de los medios físicos en tránsito...57 Control Seguridad de la mensajería electrónica...58 Directiva Seguridad del Gobierno electrónico...58 Control Seguridad en los servicios de Gobierno electrónico...59 Control Transacciones en línea...59 Control Información pública...60 Directiva Monitoreo...60 Control Registro de actividad...60 Control Monitoreo del uso de las instalaciones...61 Control Protección de sistemas y registros de monitoreo...61 Control Registro de actividad de administradores y operadores...62 Control Registro de fallas...62 Control Sincronización de relojes...63 Capítulo 11. Cláusula: Control de Accesos...64 Generalidades...64 Alcance...64 Directivas...64 Directiva Requerimientos de control de acceso...64 Control Normas de control de acceso...64 Directiva Gestión de Accesos...65 Control Registración de usuarios...65 Control Gestión de privilegios...66 Control Gestión de contraseñas...66 Control Revisión de derechos de acceso y privilegios...67 Directiva Responsabilidad de los usuarios...67 Control Uso de contraseñas...67 Control Equipos desatendidos...68 Control Cultura de escritorios y pantallas limpias...69 Directiva Control de acceso a la red...70 Control Normas de uso de servicios de red...70 Control Autenticación de usuarios en conexiones externas...70 Control Identificación de equipos de red...71 Control Protección del diagnóstico y la configuración remota...71 Control Segregación de redes...71 Control Control de conexiones de red...71 Control Control del enrutamiento de red...72 Control Acceso a Internet...72 Directiva Control de acceso al sistema operativo...72 Control Seguridad del acceso al sistema operativo...72 Control Identificación y autenticación de usuarios...73 Municipalidad de Comodoro Rivadavia 5

6 Control Sistema de administración de contraseñas...74 Control Uso de utilitarios del sistema...74 Control Desconexión por inactividad...75 Control Limitación de horarios de conexión...75 Directiva Control de acceso a la información y a las aplicaciones...76 Control Restricción de acceso a la información...76 Control Aislamiento de sistemas sensibles...76 Directiva Computación móvil y tele-trabajo...77 Control Seguridad en la computación móvil...77 Control Seguridad en el tele-trabajo...77 Capítulo 12. Cláusula: Adquisición, desarrollo y mantenimiento de Sistemas...79 Generalidades...79 Alcance...79 Directivas...79 Directiva Requerimientos de seguridad de los sistemas de información...79 Control Análisis y especificación de los requerimientos de seguridad...79 Directiva Procesamiento correcto de las aplicaciones...80 Control Validación de los datos de entrada...80 Control Control del procesamiento interno...80 Control Integridad de los mensajes...81 Control Validación de los datos de salida...81 Directiva Controles criptográficos...82 Control Normas de uso de sistemas criptográficos...82 Control Administración de claves...82 Directiva Seguridad de los sistemas de archivos...83 Control Control del software productivo...83 Control Protección de los datos de prueba del sistema...84 Control Control de acceso al código fuente...84 Directiva Seguridad en los procesos de desarrollo y soporte...85 Control Procedimientos de control de cambios...85 Control Revisión técnica de las aplicaciones por cambio del sistema operativo...86 Control Restricción de cambios en paquetes de software...87 Control Fugas de información...87 Control Desarrollo de software tercerizado...88 Directiva Gestión de vulnerabilidades técnicas...88 Control Control de vulnerabilidades técnicas...88 Capítulo 13. Cláusula: Manejo de incidentes de seguridad de la información...90 Generalidades...90 Alcance...90 Directivas...90 Municipalidad de Comodoro Rivadavia 6

7 Directiva Reporte de eventos y debilidades...90 Control Reporte de eventos de seguridad de la información...90 Control Reporte de debilidades de seguridad...91 Directiva Gestión de incidentes y mejoras...92 Control Responsabilidades y procedimientos...92 Control Aprendizaje de los incidentes...93 Control Recolección de evidencias...93 Capítulo 14. Cláusula: Continuidad de las Actividades...94 Generalidades...94 Alcance...94 Directivas...94 Directiva Proceso de gestión de la continuidad de las actividades...94 Control Seguridad de la información en el proceso de continuidad...94 Control Plan estratégico para la continuidad de las actividades...95 Control Desarrollo e implementación de planes de contingencia...95 Control Marco de trabajo para la planificación de la continuidad...96 Control Comprobación, mantenimiento y re-evaluación de planes de contingencia...97 Capítulo 15. Cláusula: Cumplimiento...99 Generalidades...99 Alcance...99 Directivas...99 Directiva Cumplimiento de los requerimientos legales...99 Control Identificación de la legislación aplicable...99 Control Derechos de propiedad intelectual Control Protección de los registros municipales Control Protección de datos y privacidad de la información personal Control Prevención del uso inadecuado de las instalaciones Control Regulación de los controles criptográficos Directiva Cumplimiento de seguridad de la infraestructura tecnológica Control Cumplimiento de las políticas y estándares de seguridad Control Comprobación del cumplimiento tecnológico Directiva Consideraciones de auditoría de sistemas de la información Control Controles de auditoría sobre sistemas en producción Control Protección de las herramientas de auditoría de sistemas Municipalidad de Comodoro Rivadavia 7

8 Capítulo 0. Prólogo La MCR ha elaborado y promueve la presente Política de Seguridad de la Información como respuesta a una situación de actualidad en la que la administración pública, y en general toda la sociedad, depende en forma creciente de las tecnologías de la información y las comunicaciones (TICs) para el logro de sus objetivos de servicio. La razón de ser de la Política de Seguridad de la Información está directamente relacionada con la generalización del uso de los medios electrónicos, informáticos y telemáticos, con beneficios tangibles para MCR y para los ciudadanos, pero la cual, inherentemente da lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que generen confianza en el uso de los recursos. Este emprendimiento no constituye una cruzada aislada de MCR, sino por el contrario, es un proyecto alineado con las iniciativas nacionales e internacionales en materia de seguridad de la información y cumplimiento de las normas relevantes de los organismos de estandarización de la Argentina y del mundo. Esta Política de Seguridad de la Información pretende brindar las respuestas apropiadas frente a un cambiante ambiente de nuevas amenazas, a través del cultivo y promoción de una cultura de seguridad, es decir tanto centrándose en la seguridad del desarrollo de sistemas y redes de información, como en la adopción de nuevas formas de pensamiento y comportamiento en el uso de las TICs. La compenetración de los conceptos, responsabilidades y hábitos de seguridad en todo el ámbito municipal es un requisito previo e indispensable para instaurar una cultura de seguridad en la MCR, para el cual se requiere liderazgo y amplia participación de todos los sectores, asegurando que se le otorgue debida importancia a la planificación y administración de la seguridad. La Política de Seguridad de la Información elaborada y adoptada por MCR es el plan maestro para proteger adecuada y racionalmente sus sistemas de información y comunicación, el cual está estrictamente alineado con su misión y objetivos, y satisface el marco de requisitos legales, normativos, reglamentarios y contractuales relevantes para el desarrollo de sus actividades. Municipalidad de Comodoro Rivadavia 8

9 Capítulo 1. Introducción La información es un recurso que, como el resto de los activos importantes, tiene valor para MCR y por consiguiente debe ser debidamente protegida. El objetivo del plan de seguridad de la información es proteger la información, las redes, los sistemas de procesamiento, las instalaciones, los equipos, los servicios, el software, el personal, y todo otro elemento relacionado con sus funciones, de una amplia gama de amenazas, a fin de garantizar la continuidad de las actividades, minimizar los daños y maximizar el retorno sobre las inversiones y el desarrollo de las oportunidades. La información puede existir en muchas formas. Puede estar impresa o escrita en papel, almacenada electrónicamente, transmitida por correo o utilizando medios electrónicos, presentada en imágenes, o expuesta en una conversación: cualquiera sea la forma que adquiere la información, o los medios por los cuales se distribuye o almacena, siempre debe ser protegida en forma adecuada. La seguridad de la información se define aquí, prioritariamente, como la preservación de las siguientes características elementales: 1) Confidencialidad: se garantiza que la información sea accesible sólo a aquellas personas y/o procesos autorizados a tener acceso a ella. 2) Integridad: se salvaguarda la exactitud y totalidad de la información y los métodos de tratamiento. 3) Disponibilidad: se garantiza que los usuarios autorizados y/o procesos tengan acceso a la información y a los recursos relacionados con ella toda vez que sea requerido. La seguridad de la información se logra implementando un conjunto adecuado de controles, que comprende políticas, normas, estándares, procedimientos, estructuras organizacionales, equipos, dispositivos, y funciones del software. Los controles han sido establecidos para satisfacer el logro de los objetivos específicos de seguridad de MCR. Referencias Para la definición y redacción de la presente Política de Seguridad de la Información se han considerado y analizado, principalmente y entre otros, los siguientes documentos: 1) Estándar internacional 17799:2005 Tecnologías de la Información Técnicas de Seguridad Código de Práctica para la Gestión de la Seguridad de la Información - Norma ISO/IEC JTC 1/SC27 N 4354 En inglés: ISO/IEC FDIS 17799: Information techniques Security techniques Code of practice for information security management (2nd edition). 2) Norma ISO/IRAM Código de Práctica para la Administración de la Seguridad de la Información ) Modelo de Política de Seguridad de la Información para Organismos de la Administración Pública Nacional. Oficina Nacional de Tecnologías de la Información (ONTI) de la Subsecretaría de Gestión Pública de la Jefatura de Gabinete de Ministros, en virtud de las facultades conferidas por la Decisión Administrativa Nº 669/2004 y por la Resolución SGP Nº 45/2005, con el objeto de facilitar a los Organismos de la Administración Pública Nacional la redacción o bien la adecuación de su propia Política de Seguridad de la Información. Versión 1 Municipalidad de Comodoro Rivadavia 9

10 Julio ) Directrices para la Seguridad de Sistemas y Redes de Información Organización para la Cooperación y el Desarrollo Económico (OCDE). 2002, OECD para la versión en español. Municipalidad de Comodoro Rivadavia 10

11 Capítulo 2. Términos y Definiciones Los siguientes términos y definiciones ayudan a comprender el propósito de la presente Política. CUADRO 2 GLOSARIO DE TÉRMINOS Y DEFINICIONES Término (español) Término (inglés) Definición Elementos del sistema de información o Activo Asset estrechamente relacionados necesarios para que MCR funcione correctamente y alcance los objetivos propuestos en su plan de gobierno. Actividades coordinadas para la dirección y control de Administración de Risk management una organización respecto del riesgo. Incluye la riesgos estimación, tratamiento, aceptación y comunicación. Amenaza Threat Causa potencial de incidentes no deseados que podrían resultar dañosos para los activos de MCR. Análisis de riesgos Risk analysis Uso sistemático de la información para identificar y estimar la magnitud de las fuentes de riesgos a los que está expuesto MCR. Cláusula Clause Cada una de las 12 áreas (incluyendo el Análisis de Riesgo) de aplicación de la Política de Seguridad de la Información. Código malicioso Malicious code Término aplicado a los virus, gusanos, troyanos y todo otro software no deseado, con capacidad de provocar disrupción, indisponibilidad y acciones no autorizadas. Código móvil Mobile code Software transmitido desde una fuente remota, a través de una red, hasta un sistema local donde es ejecutado, frecuentemente sin acción explícita por parte del usuario. Ejemplos son: controles ActiveX, applets Java, scripts (JavaScript, VBScript), animaciones Flash, películas Shockwave y Xtras, macros embebidas en documentos Office, y mail HTML. También es conocido como código descargable o contenido activo. Computación móvil Mobile computing Disponibilidad y acceso a funciones de computación utilizando notebooks, laptops, PDAs (Asistente Personal Digital), teléfonos celulares, y otros dispositivos portátiles que utilizan comunicaciones sobre tecnologías cableadas e inalámbricas. Control Control Medio de administrar un riesgo, incluyendo políticas, procedimientos, guías, prácticas o estructuras organizacionales de naturaleza administrativa, técnica, Directiva Directive, command guide line gestión o legal. Sinónimos: salvaguarda, contramedida. Orientación o dirección específica respecto a una política, a cuya la cual contribuyen uno o más controles. Estimación de riesgos Risk assessment Proceso global del análisis y evaluación de riesgo. Evaluación de riesgos Risk evaluation Proceso de comparación del riesgo estimado contra un criterio dado para determinar su importancia. Ocurrencia identificada del estado de un sistema, servicio o red, indicando una posible infracción a la Evento de seguridad Information política de seguridad de la información o falla en las de la información security event contramedidas, o una situación desconocida que puede ser relevante para la seguridad. Municipalidad de Comodoro Rivadavia 11

12 CUADRO 2 GLOSARIO DE TÉRMINOS Y DEFINICIONES Término (español) Término (inglés) Definición Guía Guideline Una descripción que clarifica lo que debería hacerse y como, para cumplir los objetivos establecidos en las políticas. Ocurrencia de eventos (aislados o seriales) no Incidente de seguridad Information deseados o no esperados, con significativas de la información security incident probabilidades de comprometer las operaciones o amenazar la seguridad. Instalaciones de procesamiento de la información Malware Medios removibles Mensajería instantánea Política de Seguridad de la Información Registro de actividad Riesgo Seguridad de la información Servicios de red Information processing facilities Malware Removible media Instant Messaging Information Security Policy Audit logging Risk Information security Network services Todo sistema de procesamiento de la información, servicio o infraestructura, o las instalaciones físicas que los albergan. Todo tipo de software diseñado para infiltrar o dañar un sistema. Como medios removibles se incluyen: cintas, discos, memorias flash, discos rígidos, CDs, DVDs, y medios impresos. Sistema de intercambio de mensajes escritos en tiempo real a través de la red, como.net Messenger Service, AOL Instant Messenger, Excite/Pal, Gadu-Gadu, Google Talk, ichat, ICQ, Jabber, Qnext, QQ, Skype, y Yahoo! Messenger Expresión formal, legal y completa de la intención y dirección de MCR en materia de seguridad. Proceso de registración detallada de eventos y actividades acaecidos en la red y en los sistemas. Estimación del grado de exposición proveniente de la materialización de una amenaza sobre uno o más activos, causando daños y/o perjuicios a MCR. Combinación de la probabilidad de ocurrencia y consecuencias derivadas de un evento. Preservación de la confidencialidad, integridad, y disponibilidad de la información; adicionalmente puede incluir otras propiedades como autenticidad, no repudio, auditabilidad y confiabilidad. Los servicios de red incluyen desde servicios sencillos de ancho de banda no gestionado hasta bundlings complejos de valor agregado, tales como la provisión de conexiones, servicios de red privada, redes de valor agregado, y soluciones gestionadas de seguridad de red. Terceras partes Third party Persona u organización reconocidamente independiente de las partes involucradas en un determinado asunto. Tratamiento de riesgo Risk Treatment Proceso de selección e implementación de medidas para modificar un riesgo. Trazabilidad Accountability Aseguramiento de que en todo momento se podrá determinar quién hizo qué y cuándo. Vulnerabilidad Vulnerability Debilidad de un activo o de un grupo de activos. Municipalidad de Comodoro Rivadavia 12

13 Capítulo 3. Estructura del documento El presente documento mantiene, dentro de lo posible, la estructura y numeración del estándar de seguridad ISO/IEC FDIS 17799:2005 Information techniques Security techniques Code of practice for information security management (2nd. edition). La razón principal para procurar dicha coincidencia ha sido facilitar el manejo, desarrollo y mantenimiento de esta Política, respecto de las referencias a sus cláusulas y controles que realizan otras normas, recomendaciones, listas de comprobación 1, futuras actualizaciones del mismo estándar 17799, y comunicaciones con otras organizaciones. Esta Política consta de 12 cláusulas de control (incluyendo la cláusula de Análisis y Tratamiento de Riesgos), las cuales contienen colectivamente 40 Directivas de seguridad y un total de 141 controles y sub-controles de seguridad. Todas las cláusulas han sido redactadas respetando la estructura que se define a continuación: 5) Se dedica un capítulo para cada cláusula. Las cláusulas comienzan con el capítulo 4 y finalizan con el capítulo 15 (es decir 12 cláusulas). a) Las cláusulas constituyen áreas de aplicación de la Política de Seguridad de la Información. b) Se han hecho coincidir los capítulos con los del estándar ISO 17799, con el objetivo de facilitar la búsqueda de referencias. 6) Cada una de las cláusulas queda caracterizada por los siguientes títulos: a) Generalidades: Breve descripción de la cláusula y de su contexto de aplicación. b) Alcance: Campo de aplicación de la cláusula c) Directivas: Una o más expresiones concretas de la Política de Seguridad de la Información en el contexto de la Cláusula o área de aplicación de la Política. 7) Cada cláusula contiene una o más Directivas de seguridad. Las Directivas de seguridad son los objetivos de control que conforman la Política de Seguridad propiamente dicha. a) El inciso a) es la definición de la Directiva. b) El inciso b) es el objetivo de la Directiva. 8) Cada Directiva contiene uno o más controles de seguridad que deben ser aplicados para lograr los objetivos de control expresados por la Directiva. Referencias cruzadas No obstante lo expresado respecto a mantener, dentro de lo posible, la estructura y numeración del estándar 17799, reconociendo que los requerimientos de seguridad de MCR podrían conducir al desarrollo de directivas y/o controles diferentes a los indicados en el código de práctica mencionado, se incluye el siguiente cuadro con referencias cruzadas entre las cláusulas de esta Política y las del estándar, para facilitar el control de cumplimiento. En la columna CONTROLES (Política MCR) se incluyen los controles de la presente Política. En la columna CONTROLES (ISO/IEC 17799:2005) se incluyen los controles del estándar. 1 Son de particular importancia los siguientes documentos: - ISO/IEC FDIS 27001:2005 Information technology Security techniques Information security management systems Requirements. - SAN Institute - BS ISO IEC Audit Checklist Municipalidad de Comodoro Rivadavia 13

14 Cuando un control existente en la Política MCR no posee equivalencia en el estándar, se indica con N/D (No Disponible) en la columna CONTROLES (ISO/IEC 17799:2005). Se indica de la misma manera en la columna CONTROLES (Política MCR) si ocurre en sentido inverso, es decir cuando un control del estándar no ha sido incluido en la Política MCR. También se han introducido en la Política MCR subcontroles (por ejemplo y ) que están relacionados con un único control del estándar, y se hace constar de dicha manera. CUADRO 3 REFERENCIAS CRUZADAS DIRECTIVAS / CONTROLES CAPÍTULO CLÁUSULAS CONTROLES CONTROLES (Política MCR) (ISO/IEC 17799:2005) CAPÍTULO 4 CLAUSULA: ADMINISTRACIÓN DE RIESGOS DIRECTIVA 4.1 Análisis y tratamiento de Riesgos Análisis y Evaluación de Riesgos N/D Tratamiento de Riesgos N/D CAPÍTULO 5 CLAUSULA: POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DIRECTIVA 5.1 Política de Seguridad de la Información Documento Política de Seguridad Revisión de la Política Documentos subordinados N/D CAPÍTULO 6 CLAUSULA: ORGANIZACIÓN DE LA SEGURIDAD DIRECTIVA 6.1 Organización interna Compromiso de las autoridades Coordinación de actividades Asignación de funciones y responsabilidades específicas Comité de Seguridad de la Información (sub-control) Responsable de Seguridad Informática (sub-control) Responsable de Auditoria de Seguridad Informática (subcontrol) Autorización de instalaciones de procesamiento Acuerdos de confidencialidad Contacto con autoridades y otras organizaciones Contacto con especialistas en seguridad Revisión independiente Auditoria DIRECTIVA 6.2 Relaciones con terceros Riesgos provenientes del acceso de terceras partes Riesgos provenientes del acceso de los contribuyentes Identificación de riesgos en acuerdos con terceros CAPÍTULO 7 CLAUSULA: CLASIFICACIÓN Y CONTROL DE ACTIVOS DIRECTIVA 7.1 Responsabilidad de los activos Inventario de Activos Propietarios de los Activos Normas de uso de los Activos DIRECTIVA 7.2 Clasificación de la información Clasificación y Actualización Valores de Clasificación (sub-control) Nivel de Criticidad (sub-control) Rotulado y manejo de la Información CAPÍTULO 8 - CLAUSULA : SEGURIDAD DEL PERSONAL DIRECTIVA 8.1 Consideraciones previas al empleo Municipalidad de Comodoro Rivadavia 14

15 CUADRO 3 REFERENCIAS CRUZADAS DIRECTIVAS / CONTROLES CAPÍTULO CLÁUSULAS CONTROLES CONTROLES (Política MCR) (ISO/IEC 17799:2005) Roles y Responsabilidades previas al empleo Criterio e idoneidad Términos y condiciones de empleo DIRECTIVA 8.2 Condiciones durante el empleo Responsabilidad de los funcionarios durante el empleo Concientización, educación y entrenamiento durante el empleo Infracciones y violaciones a la Política DIRECTIVA 8.3 Terminación o cambio de empleo Responsabilidades en la terminación del empleo Devolución de activos Remoción de derechos de uso y acceso CAPÍTULO 9 - CLAUSULA : SEGURIDAD FÍSICA Y AMBIENTAL DIRECTIVA 9.1 Áreas protegidas Perímetros de seguridad física Controles de acceso físico Protección de oficinas, recintos e instalaciones Protección contra amenazas externas y ambientales Desarrollo de tareas en áreas protegidas Áreas públicas, de carga y despacho DIRECTIVA 9.2 Seguridad del equipamiento Ubicación y protección de equipos Suministro de energía Seguridad del cableado Mantenimiento de equipos Seguridad de equipos fuera de las instalaciones Desafectación y reutilización de equipos Retiro de activos CAPÍTULO 10 - CLAUSULA : GESTIÓN DE COMUNICACIONES Y OPERACIONES DIRECTIVA 10.1 Procedimientos y responsabilidades operativas Documentación de los procedimientos operativos Gestión y control de cambios Segregación de tareas Segregación de ambientes DIRECTIVA 10.2 Gestión de servicios de terceros Ubicación y protección de equipos Suministro de energía Seguridad del cableado DIRECTIVA 10.3 Planificación y aceptación de sistemas Mantenimiento de equipos Seguridad de equipos fuera de las instalaciones DIRECTIVA 10.4 Protección contra el malware Desafectación y reutilización de equipos Retiro de activos DIRECTIVA 10.5 Backup Resguardo de la información DIRECTIVA 10.6 Gestión de seguridad de las redes Gestión y control de redes Municipalidad de Comodoro Rivadavia 15

16 CUADRO 3 REFERENCIAS CRUZADAS DIRECTIVAS / CONTROLES CAPÍTULO CLÁUSULAS CONTROLES CONTROLES (Política MCR) (ISO/IEC 17799:2005) Seguridad de los servicios de red DIRECTIVA 10.7 Manipulación de medios Manejo de medios removibles Eliminación de medios de información Procedimientos para el manejo de la información Seguridad de la documentación de los sistemas DIRECTIVA 10.8 Intercambio de información Políticas y procedimientos para el intercambio de información Seguridad en los acuerdos de intercambio con otras organizaciones Seguridad de los medios físicos en tránsito Seguridad de la mensajería electrónica Sistemas de información de negocios N/D DIRECTIVA 10.9 Seguridad del Gobierno Electrónico Seguridad en los servicios de Gobierno Electrónico Transacciones en línea Información pública DIRECTIVA Monitoreo Registro de actividad Monitoreo del uso de los sistemas Protección de sistemas y registros de monitoreo Registro de actividad de administradores y operadores Registro de fallas Sincronización de relojes CAPÍTULO 11 - CLAUSULA : CONTROL DE ACCESOS DIRECTIVA 11.1 Procedimientos y responsabilidades operativas Normas de control de acceso DIRECTIVA 11.2 Gestión de accesos Registración de usuarios Gestión de privilegios Gestión de contraseñas Revisión de derechos de acceso y privilegios DIRECTIVA 11.3 Responsabilidad de los usuarios Uso de contraseñas Equipos desatendidos Cultura de escritorios y pantallas limpias DIRECTIVA 11.4 Control de acceso a la red Normas de uso de servicios de red Autenticación de usuarios en conexiones externas Identificación de equipos de red Protección del diagnóstico y la configuración remota Segregación de redes Control de conexiones de red Control de enrutamiento de red Acceso a Internet N/D DIRECTIVA 11.5 Control de acceso al sistema operativo Seguridad de acceso al sistema operativo Identificación y autenticación de usuarios Municipalidad de Comodoro Rivadavia 16

17 CUADRO 3 REFERENCIAS CRUZADAS DIRECTIVAS / CONTROLES CAPÍTULO CLÁUSULAS CONTROLES CONTROLES (Política MCR) (ISO/IEC 17799:2005) Sistema de administración de contraseñas Uso de utilitarios del sistema Desconexión por inactividad Limitación de horarios de conexión DIRECTIVA 11.6 Control de acceso a la información y a las aplicaciones Restricción de acceso a la información Aislamiento de sistemas sensibles DIRECTIVA 11.7 Computación móvil y tele-trabajo Seguridad en la computación móvil Seguridad en el tele-trabajo CAPÍTULO 12 - CLAUSULA : ADQUISICIÓN, DESARRLLO Y MANTENIMIENTO DE SISTEMAS DIRECTIVA 12.1 Requerimientos de seguridad de los sistemas de información Análisis y especificación de los requerimientos de seguridad DIRECTIVA 12.2 Procesamiento correcto de las aplicaciones Validación de los datos de entrada Control del procesamiento interno Integridad de los mensajes Validación de los datos de salida DIRECTIVA 12.3 Controles criptográficos Normas de uso de sistemas criptográficos Administración de claves DIRECTIVA 12.4 Seguridad de los sistemas de archivos Control del software productivo Protección de los datos de prueba del sistema Control de acceso al código fuente DIRECTIVA 12.5 Seguridad en los procesos de desarrollo y soporte Procedimientos de control de cambios Revisión de aplicaciones por cambio del sistema operativo Restricción de cambios en paquetes de software Fugas de información Desarrollo de software tercerizado DIRECTIVA 12.6 Gestión de vulnerabilidades técnicas Control de vulnerabilidades técnicas CAPÍTULO 13 - CLAUSULA : MANEJO DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN DIRECTIVA 13.1 Reporte de eventos y debilidades Reporte de eventos de seguridad de la información Reporte de debilidades de seguridad DIRECTIVA 13.2 Gestión de incidentes y mejoras Responsabilidades y procedimientos Aprendizaje de los incidentes Recolección de evidencias CAPÍTULO 14 - CLAUSULA : CONTINUIDAD DE LAS ACTIVIDADES DIRECTIVA 14.1 Proceso de gestión de la continuidad de las actividades Seguridad de la información en el proceso de continuidad Plan estratégico para la continuidad de las actividades Desarrollo e implementación de planes de contingencia Marco de trabajo para la planificación de la continuidad Comprobación, mantenimiento y re-evaluación de planes de Municipalidad de Comodoro Rivadavia 17

18 CUADRO 3 REFERENCIAS CRUZADAS DIRECTIVAS / CONTROLES CAPÍTULO CLÁUSULAS CONTROLES CONTROLES (Política MCR) (ISO/IEC 17799:2005) contingencia CAPÍTULO 15 - CLAUSULA : CUMPLIMIENTO DIRECTIVA 15.1 Cumplimiento de los requerimientos legales Identificación de la legislación aplicable Derechos de propiedad intelectual Protección de los registros municipales Protección de datos y privacidad de la información personal Prevención del uso inadecuado de las instalaciones Regulación de los controles criptográficos DIRECTIVA 15.2 Cumplimiento de seguridad de la infraestructura tecnológica Cumplimiento de las políticas y estándares de seguridad Comprobación del cumplimiento tecnológico DIRECTIVA 15.3 Consideraciones de auditoria de sistemas de la información Controles de auditoria sobre sistemas en producción Protección de las herramientas de auditoria de sistemas Municipalidad de Comodoro Rivadavia 18

19 Capítulo 4. Cláusula: Administración de riesgos Generalidades Dado que no existen dos sistemas de información iguales, la evaluación de seguridad de cada sistema específico requiere la consideración minuciosa de los elementos que lo constituyen. Las tareas de análisis y gestión de riesgos no son un fin en sí mismas, sino eslabones de una cadena continua de gestión de la seguridad. El análisis de riesgos permite determinar el valor, la situación de contexto, y el grado de protección de los activos respecto del criterio de aceptación de riesgos adoptado por MCR en función de un balance entre el valor que cada activo detenta para el cumplimiento de sus objetivos y el costo de las medidas para protegerlo. Alcance La presente cláusula aplica a todo el personal, instalaciones, redes y sistemas de información de MCR. Directivas Directiva 4.1. Análisis y tratamiento de riesgos a) Definición: MCR debe adoptar un criterio de aceptación de riesgos en función de sus objetivos relevantes, y una metodología sistemática para identificar, analizar y tratar los riesgos de seguridad de la información. b) Objetivo: Proteger adecuada y racionalmente los sistemas de información relevantes para el cumplimiento de la misión y los objetivos de MCR. Control Análisis y evaluación de riesgos MCR debe identificar, cuantificar y priorizar los riesgos de seguridad de la información respecto de su criterio de aceptación de riesgos. El Responsable de Seguridad Informática, debe adoptar una metodología de análisis y evaluación de riesgos de los sistemas de información que provea un enfoque sistemático adecuado para identificar, cuantificar y priorizar los riesgos de seguridad de la información. El Responsable de Seguridad Informática, con la colaboración de los Propietarios de la Información y el Responsable del Área Informática, debe aplicar la metodología adoptada para efectuar el análisis de riesgos en forma periódica y cada vez que se identifiquen cambios en los requerimientos o en la situación. El Comité de Seguridad de la Información debe aprobar la metodología y los resultados. Municipalidad de Comodoro Rivadavia 19

20 Control Tratamiento de riesgos MCR debe adoptar decisiones de tratamiento por cada uno de los riesgos identificados en su análisis y evaluación de riesgos. El Responsable del Área Informática conjuntamente con el Responsable de Seguridad Informática deben determinar y definir los controles de seguridad necesarios para manejar los riesgos identificados y caracterizados en el control de Análisis y evaluación de riesgos (ver control 4.1.1) de acuerdo con el criterio de aceptación de riesgos de MCR. Dicho manejo puede incluir una o más de las siguientes opciones: a) Aplicar controles apropiados para reducir los riesgos a un nivel aceptable. b) Aceptar consciente y objetivamente los riesgos que claramente satisfacen la política y el criterio de aceptación de MCR. c) Evitar los riesgos eliminando las situaciones y/o las acciones que provocarían su ocurrencia. d) Transferir los riesgos a otras partes (por ejemplos compañías de seguros o proveedores). Municipalidad de Comodoro Rivadavia 20

21 Capítulo 5. Cláusula: Política de Seguridad de la Información Generalidades La información es un recurso crítico para MCR y por consiguiente debe ser debidamente protegida. El objetivo de la Política de Seguridad de la Información es planificar la protección de la información de una amplia gama de amenazas, a fin de garantizar la continuidad de los sistemas de información, minimizar los riesgos de daño y asegurar el eficiente cumplimiento de los objetivos de gobierno. Reconociendo que es importante que los principios de la Política de Seguridad sean parte de una cultura organizacional, a tal fin cuenta con el compromiso manifiesto de las Autoridades Municipales. Alcance La presente Política de Seguridad de la Información es de aplicación obligatoria en todo el ámbito de MCR; a sus recursos; a la totalidad de los procesos y a todo el personal, cualquiera sea su situación de revista, el área a la cual se encuentre asignado, y cualquiera sea el nivel de las tareas que desempeñe. También alcanza a terceros vinculados a MCR. Directivas Directiva 5.1. Información Política de Seguridad de la a) Definición: MCR debe dictar y mantener una política explícita para el soporte del proceso de seguridad de la información, alineado con sus objetivos de gobierno y las leyes y regulaciones relevantes. b) Objetivo: Demostrar un enfoque y acciones claras en materia de seguridad de la información, alineadas con los principios y objetivos de gobierno de MCR. Control Documento Política de Seguridad de la Información MCR debe aprobar, comunicar, publicar y mantener el presente documento de Política de Seguridad de la Información. El documento Política de Seguridad de la Información debe expresar directivas estratégicas, contar con el compromiso explícito de MCR y representar el enfoque de su postura respecto a la gestión de la seguridad del conocimiento y la información. La Política de Seguridad de la Información debe ser comunicada en forma efectiva y relevante a todo el personal de MCR, y a los terceros que se relacionen con MCR a través de los contratos y/o acuerdos que formalicen el vínculo. Municipalidad de Comodoro Rivadavia 21

22 Control Revisión de la Política de Seguridad de la Información La Política de Seguridad de la Información debe ser revisada para asegurar su aplicabilidad, suficiencia y efectividad. Las revisiones de la política deben incluir: a) El aforo de oportunidades de mejora, considerando la información del comportamiento del proceso de seguridad en marcha tales como datos históricos, estadísticas, acciones correctivas y preventivas realizadas, incumplimientos, incidentes de seguridad, recomendaciones de fuentes autorizadas-. b) El enfoque de gestión para responder adecuadamente a los cambios organizacionales, circunstancias políticas y sociales, condiciones legales y/o la evolución tecnológica y del conocimiento. Las revisiones de la política pueden resultar en decisiones y acciones tendientes a: a) Mejorar la forma en la que MCR administra el proceso de seguridad. b) Perfeccionar las Directivas de seguridad y los controles. c) Optimizar la asignación de recursos y/o responsabilidades. El Comité de Seguridad de la Información debe efectuar, como mínimo, una revisión por año, y toda vez que se identifique la ocurrencia de cambios significativos. Control Documentos subordinados La Política de Seguridad de la Información es un documento en el cual se declaran objetivos de control (Directivas) y controles de seguridad de alto nivel estratégico para MCR. Estas directivas indican qué debe hacerse, pero sin especificar cómo. Los siguientes documentos deben quedar subordinados y alineados con las directivas de la Política de Seguridad de la Información, con el objetivo de dar cumplimiento a los controles de seguridad: a) Estándar: b) Norma c) Procedimiento d) Informe de insuficiencias Estándar: Documento que especifica características, funcionalidad, capacidad, calidad y otros atributos/cualidades mínimas que deben satisfacer los productos y/o servicios utilizados por MCR para el procesamiento de la información, a los efectos de cumplir con los controles de seguridad de esta Política. Por ejemplo: Estándar de cableados, estándar de equipamiento de red, estándar de servicios de telecomunicaciones, etc. Los documentos con categoría de Estándar deberán ser elevados por el Comité de Seguridad para su aprobación mediante Resolución Municipal. Municipalidad de Comodoro Rivadavia 22

23 Norma: Documento que proporciona directivas, reglas y características de aplicación obligatoria en todo el ámbito de MCR, con el fin de procurar el cumplimiento de los controles de seguridad expresados en esta Política. Por ejemplo: Normas de uso de los sistemas, norma de uso del correo electrónico, norma de uso de Internet, etc. Los documentos con categoría de Norma deberán ser elevados por el Comité de Seguridad para su aprobación mediante Resolución Municipal. Procedimiento: Documento que proporciona una secuencia de acciones concatenadas y ordenadas, de aplicación obligatoria en sistemas y/o ámbitos específicos de MCR, tendientes al cumplimiento de determinados controles de seguridad expresados en la presente Política. Por ejemplo: Procedimientos de backup, procedimientos de control de acceso a áreas protegidas, procedimientos de configuración de equipos, etc. Los documentos con categoría de Procedimiento deberán ser aprobados por el Responsable del Área Informática y el Director del Área pertinente, con el visado del Responsable de Seguridad Informática. Informe de Insuficiencias: Documento que identifica, describe y aprueba la ausencia o debilidad de los controles indicados para reducir los riesgos de seguridad. El Responsable de Seguridad Informática y el Responsable de Auditoria de Seguridad Informática deben confeccionar Informes de Insuficiencia cada vez que identifiquen incoherencias entre los controles que se necesitan; y los que existen y las divergencias entre la magnitud del riesgo y la eficacia actual de los controles. Los Propietarios de la Información deberán informar al Responsable de Seguridad Informática, en forma inmediata, de toda situación (permanente o transitoria) en la que o sea posible implementar los controles en la forma y/o con el alcance indicados en la Política de Seguridad y sus documentos subordinados. Un Informe de Insuficiencias debe contener: a) Descripción detallada de la insuficiencia. b) Sistema de información, aplicación, red ó proceso afectado. c) Cláusula de la Política de Seguridad en la que se encuadra o debería encuadrarse la insuficiencia. d) Control de la Política de Seguridad afectado por la insuficiencia. e) Documento subordinado afectado por la insuficiencia. f) Emisor del Informe de Insuficiencias (Responsable de Seguridad Informática o Responsable de Auditoria de Seguridad Informática). g) Medidas recomendadas (por el Responsable de Seguridad Informática o el Responsable de Auditoria de Seguridad Informática) para resolver o minimizar la insuficiencia. h) Plan de respuesta de la insuficiencia determinado por el Comité de Seguridad, incluyendo responsables, plazos, contrataciones, partidas presupuestarias y todo otro elemento que permita su implementación y seguimiento. i) Aprobación del Informe de Insuficiencias por parte del Comité de Seguridad El Comité de Seguridad debe aceptar la responsabilidad de las insuficiencias. La decisión no es exclusivamente técnica, puede ser una decisión política o gerencial o puede estar determinada por las leyes o por compromisos contractuales con proveedores o usuarios. Estos niveles de aceptación se pueden establecer por activo o por agregación de activos (en un determinado departamento, en un determinado servicio, en una determinada dimensión, etc.) Cualquier nivel de impacto y/o riesgo es aceptable si lo conoce y acepta formalmente el Comité de Seguridad a través del Informe de Insuficiencias. Municipalidad de Comodoro Rivadavia 23

24 CUADRO Documentos de soporte para la Seguridad de la Información Indicador Documento Objetivo Aplicación Nivel Aprobación Manifestar el compromiso Comité de explícito, el enfoque de la política y las directivas estraté- Todo el Seguridad n/a Política ámbito de Estratégico gicas respecto del manejo de MCR Ordenanza ó la seguridad del conocimiento Resolución y la información de MCR. Especificar características, E N P I Estándar Norma Procedimiento Informe de Insuficiencias funcionalidad, capacidad, calidad y otros atributos/ cualidades mínimas que deben satisfacer los productos y/o servicios utilizados por MCR para el procesamiento de la información, al efecto de cumplir con los controles de seguridad de la Política. Brindar directivas, reglas y características de aplicación obligatoria con el fin de procurar el cumplimiento de los controles de seguridad expresados en la Política. Describir maneras probadas y metódicas de realizar operaciones repetitivas tendientes al cumplimiento de controles de seguridad específicos ex presados en la Política. Identificar, describir y aprobar la ausencia o debilidad de las salvaguardas que aparecen como oportunas para reducir los riesgos de seguridad. Todo el ámbito de MCR Todo el ámbito de MCR Área y/o sistema específico Todo el ámbito de MCR Táctico Táctico Operativo Estratégico/ táctico/ operativo El Responsable de Seguridad Informática debe participar en todos los casos en los que deba redactarse un documento subordinado, quién debe definir la nomenclatura de identificación y la estructura de cada uno los documentos. Asimismo debe aplicar un método efectivo para el control de las versiones, el mantenimiento los documentos, su historial de actualizaciones y las versiones vigentes. Los documentos (E, N, P e I) se deben clasificar en función de la sensibilidad de la información que contienen. La clasificación de confidencialidad de los Informes de Insuficiencias (Documentos I) debe ser, en todos los casos: RESERVADO. Solamente el Comité de Seguridad de la Información, el Director General de Gestión Informática, el Responsable de Área Informática, el Responsable de Seguridad Informática y el Responsable de Auditoria de Seguridad Informática pueden acceder al repositorio total de los documentos. Los responsables de cada área tendrán acceso sólo a los Informes de Insuficiencias relativos a su propia área. El documento de Política de Seguridad de la Información debe ser clasificado como USO INTERNO. Comité de Seguridad Resolución Municipal Comité de Seguridad Resolución Municipal Responsable del Área Informática Comité de Seguridad Municipalidad de Comodoro Rivadavia 24