Tabla N°3: Actividades para la implementación de controles de S.I. – Etapa III
DOMINIO ÁMBITO REFERENCIA
CONTROL ISO
REQUISITO/CONTROL ACTIVIDADES A REALIZAR EN EL PMG/MEI SSI
Po
lít
ic
a de
S
eg
u
ri
d
ad
Difusión de la Política General de la InformaciónA.5.1.1 La política de seguridad de la información debería ser comunicada a todos los usuarios de la organización de manera pertinente, accesible y comprensible
Se debe realizar la difusión del documento Política General de Seguridad: o Publicación en sitios de acceso al personal
o Inducción a nuevos funcionarios
o Comunicaciones a través de charlas y reuniones o Oficios informativos
o Inducción a partes externas relevantes Revisión de la
política de seguridad de la información
A.5.1.2 La política de seguridad de la información debería ser revisada a intervalos planeados o si ocurren cambios significativos para asegurar su continua idoneidad, eficiencia y efectividad.
Someter a revisión la Política de Seguridad Institucional en Comité de Seguridad de la Información, considerando:
o Retroalimentación de partes interesadas.
o Resultados de las revisiones efectuadas por terceras partes. o Estado de acciones preventivas y correctivas
o Cambios en los procesos institucionales, directiva, nueva legislación, tecnología, etc.
o Alertas ante amenazas y vulnerabilidades. o Información relacionada a incidentes de seguridad. o Recomendaciones provistas por autoridades relevantes.
Org
an
iz
ac
ió
n
de
la
S
eg
u
ri
d
ad
de
la
In
fo
rmac
ió
n
Compromiso de la dirección con la seguridad de la informaciónA.6.1.1 La dirección debería apoyar activamente la seguridad dentro de la organización a través de una dirección clara, compromiso demostrado, asignación explícita de las responsabilidades de la seguridad de la información y su reconocimiento.
El Jefe de Servicio deberá:
o Asegurar que los objetivos de la seguridad de la información son identificados, cumplen con los requerimientos de la organización, y están integrados a los procesos relevantes.
o Revisar la efectividad en la implantación de la política.
o Proveer una dirección clara y el respaldo visible para llevar a cabo las iniciativas de seguridad.
o Proveer los recursos necesarios para la seguridad de la información o Aprobar planes de capacitación y sensibilización para los funcionarios.
o Asegurar que la implementación de los controles de seguridad se realicen a través de toda la organización.
Asignación de las responsabilidades de la seguridad de la información
A.6.1.3 Todas las responsabilidades de la seguridad de la información deberían estar claramente definidas.
La definición de responsabilidades debe considerar:
o La identificación de los procesos y activos de información relevantes.
o Formalizar a los responsables por cada proceso/activo de información identificado.
______________________________________________________________________
41
DOMINIO ÁMBITO REFERENCIA
CONTROL ISO
REQUISITO/CONTROL ACTIVIDADES A REALIZAR EN EL PMG/MEI SSI
identificados. Autorización de proceso para facilidades procesadoras de información.
A.6.1.4 Se debería definir e implantar un proceso de autorización por parte de la dirección para las nuevas instalaciones de procesamiento de información.
Se deben considerar los siguientes lineamientos:
o Las nuevas instalaciones deberán poseer un mecanismo apropiado de identificación de usuarios, la que debe ser otorgada por el responsable asignado, verificando el cumplimiento con las políticas de seguridad.
o Donde sea necesario, el hardware y el software deberá ser chequeado en su compatibilidad con la infraestructura actual.
o El uso de dispositivos de carácter personal como laptops o dispositivos de mano, que sean utilizados para procesar información de la institución, podrían introducir nuevas vulnerabilidades, por lo tanto deben considerarse controles adicionales.
Acuerdos de confidencialidad
A.6.1.5 Se deberían identificar y revisar
regularmente que los
requerimientos de confidencialidad o acuerdos de no-divulgación reflejan las necesidades de la organización para proteger la información.
Para identificar los requerimientos de confidencialidad o acuerdos de no divulgación, se deberá considerar:
o La clasificación de la información (pública – secreta). o La duración del acuerdo, incluyendo la duración indefinida o Las acciones necesarias una vez que el acuerdo haya terminado.
o Las responsabilidades para evitar la divulgación no autorizada de la información.
o La propiedad de la información, la propiedad intelectual y cómo se relaciona con la información secreta.
o El uso permitido de la información secreta.
o El derecho de auditar y supervisar actividades que involucren información secreta.
o La notificación oportuna frente a una divulgación no autorizada o violaciones de la información secreta.
o Los términos de devolución o destrucción de la información, una vez que cesa un acuerdo.
o Las acciones necesarias en el caso de no cumplir con el acuerdo. Contacto con las
autoridades
A.6.1.6 Se deberían mantener los
contactos apropiados con las autoridades pertinentes.
Se deben mantener contactos con las siguientes autoridades relevantes:
o Responsables por el tipo de incidentes de seguridad, o de los procesos de continuidad de negocio y recuperación ante desastres (proveedores de internet u operadores de telecomunicaciones, etc.).
o Entidades reguladoras.
o Servicios de emergencia, salud, bomberos, carabineros.
______________________________________________________________________
42
DOMINIO ÁMBITO REFERENCIA
CONTROL ISO
REQUISITO/CONTROL ACTIVIDADES A REALIZAR EN EL PMG/MEI SSI
grupos de interés especial
apropiados con grupos de interés especial u otros foros de seguridad especializados y asociaciones de profesionales.
provisto de boletines y contacto permanente con las entidades de seguridad vigentes, considerando:
o Mejorar el conocimiento acerca de las buenas prácticas y mantenerse al día en materias de seguridad de la información.
o Garantizar que la comprensión del ambiente de seguridad de la información es actual y completa.
o Recibir oportunamente las alertas, boletines y parches previniendo posibles ataques o vulnerabilidades.
o Tener acceso a asesoría especializada sobre seguridad de la información. o Compartir e intercambiar información sobre nuevas tecnologías, productos,
amenazas o vulnerabilidades.
o Proveer puntos adecuados de enlace para el manejo de incidentes de seguridad de la información.
Revisión
independiente de la seguridad de la información
A.6.1.8 Se debería revisar el enfoque de la organización en la gestión de la seguridad de la información y su implementación (es decir: objetivos de control, controles, políticas, procesos y procedimientos para la seguridad de la información) de manera independiente a intervalos planificados, o cuando ocurran cambios significativos en la implementación de la seguridad.
Se debe coordinar con una entidad externa (auditor interno o consultor externo) para realizar una revisión de las actividades de implantación al menos 1 vez al año.
Identificación de los riesgos
relacionados con los grupos externos
A.6.2.1 Se deberían identificar los riesgos asociados a la información del Servicio y sus medios de procesamiento a raíz de procesos de negocio que involucran a entidades externas y se deberían implementar controles apropiados antes de otorgarles acceso.
Se deben identificar los riesgos relacionados con el acceso de terceros, teniendo en consideración:
o Las instalaciones de procesamiento de información a los cuales requiere tener acceso la entidad externa.
o Qué tipo de acceso requiere el tercero (físico, lógico, conexión de red, on-site, off-site, etc.).
o El valor, sensibilidad y criticidad de la información involucrada.
o Los controles necesarios para proteger la información que no deba ser accesada por terceros.
o Cómo se identifican y verifican los accesos.
o Los medios y controles utilizados por los terceros para almacenar, transmitir, procesar o intercambiar información.
______________________________________________________________________
43
DOMINIO ÁMBITO REFERENCIA
CONTROL ISO
REQUISITO/CONTROL ACTIVIDADES A REALIZAR EN EL PMG/MEI SSI
o Impacto del acceso denegado al tercero, o que el tercero ingrese o reciba información inexacta o engañosa.
o Prácticas y procedimientos para manejar cualquier incidente de seguridad de la información, daños potenciales y términos y condiciones para la continuidad del acceso de la parte externa en el caso de un incidente de seguridad de la información.
o Requerimientos legales y regulatorios y otras obligaciones contractuales con el tercero que deban ser tenidos en cuenta.
o Los intereses de los clientes/usuarios/beneficiarios que puedan ser afectados por los acuerdos.
Tratamiento de la seguridad cuando se lidia con terceros
A.6.2.2 Se deberían tratar todos los requerimientos de seguridad identificados antes de proporcionar a clientes/usuarios/beneficiarios, acceso a la información o activos del Servicio.
El tratamiento de la seguridad de los activos debe incluir: o Procedimientos para proteger los activos.
o Procedimientos para determinar si se han comprometido los activos (pérdida, modificaciones de datos, etc).
o Protección de su integridad.
o Restricciones para el copiado y la divulgación de información. o Descripción del producto o servicio a ser provisto.
o Diferentes razones, requisitos y beneficios del acceso al cliente/usuario/beneficiario.
o Políticas de control de acceso.
o Acuerdos para el informe, notificación e investigación de inexactitudes en la información, incidentes de seguridad de la información y violaciones de seguridad.
o Una descripción de cada servicio que va a estar disponible.
o El nivel a alcanzar por el servicio y los niveles inaceptables del servicio
o El derecho al monitoreo o seguimiento y a revocar cualquier actividad relacionada con los activos de información del Servicio.
o Responsabilidades legales, contractuales y derechos de propiedad intelectual. Tratamiento de la
seguridad en acuerdos con terceros
A.6.2.3 Los acuerdos con terceros que
involucran el acceso,
procesamiento, comunicación o manejo de la información o medios de procesamiento de información del Servicio, o los contratos que impliquen agregar productos o servicios a los medios de
Dentro de los acuerdos o contratos, se debe considerar: o La política de seguridad de la información.
o Los controles para asegurar la protección de los activos.
o La capacitación y concientización de los usuarios y administradores en materias de seguridad.
o Disposición para la transferencia del personal, cuando corresponda.
o Responsabilidades respecto a la instalación y mantenimiento del hardware y software.
______________________________________________________________________
44
DOMINIO ÁMBITO REFERENCIA
CONTROL ISO
REQUISITO/CONTROL ACTIVIDADES A REALIZAR EN EL PMG/MEI SSI
procesamiento de información deberían abarcar todos los requerimientos de seguridad relevantes.
o Una estructura de informes clara y formatos de informe convenidos. o Un proceso claro y especificado para la gestión de cambios. o Políticas de control de accesos.
o Acuerdos para el informe, notificación e investigación de inexactitudes en la información, incidentes de seguridad de la información y violaciones de seguridad.
o Una descripción de cada servicio que va a ser provisto.
o El nivel a alcanzar por el servicio y los niveles inaceptables del servicio. o La definición de criterios verificables de rendimiento, su seguimiento e
informe.
o El derecho al monitoreo o seguimiento y a revocar cualquier actividad relacionada con los activos de información del Servicio.
o El derecho a auditar responsabilidades definidas en el acuerdo, a que dichas auditorías sean efectuadas por terceros y a enumerar los derechos estatutarios de los auditores.
o Responsabilidades legales, contractuales y derechos de propiedad intelectual. o Acuerdos para el manejo de incidentes de seguridad.
o Requerimientos de continuidad.
o Condiciones para la negociación o términos de contratos.
G
e
st
ió
n
de
Acti
vo
s
Inventario de los activosA.7.1.1 Se deben identificar los activos de información, elaborar un inventario de ellos y mantenerlo actualizado.
Se deben identificar todos los activos de información incluyendo bases de datos y archivos de datos, manuales, material de entrenamiento, procedimientos de operación y soporte, planes de continuidad y contingencia, pistas de auditoría, información almacenada, aplicaciones, sistemas operativos, herramientas de desarrollo y utilitarios, computadores, equipos de telecomunicaciones, medios removibles, personas, especialistas y encargados.
Se sugiere incorporar servicios de procesamiento y comunicaciones, servicios generales como luz, agua, HVAC, etc; además de intangibles, como la imagen de la institución y su reputación.
Propiedad de los activos
A.7.1.2 Toda la información y los activos asociados con los medios de procesamiento de información deben ser responsabilidad de una parte designada de la organización.
El responsable tiene a su cargo lo siguiente:
o Asegurar que los activos de información son debidamente clasificados, considerando su criticidad y la Ley 20.285.
o Definir y revisar periódicamente los accesos de acuerdo a la política correspondiente.
Uso aceptable de los activos
A.7.1.3 Se deben identificar, documentar e implementar reglas para el uso aceptable de la información y los
Se debe crear un procedimiento para el manejo y uso de los activos críticos identificados, incluyendo:
______________________________________________________________________
45
DOMINIO ÁMBITO REFERENCIA
CONTROL ISO
REQUISITO/CONTROL ACTIVIDADES A REALIZAR EN EL PMG/MEI SSI
activos asociados con los medios del procesamiento de la información.
o Guías para el uso de dispositivos móviles, especialmente fuera de la organización.
o Normas para el copiado, almacenamiento y destrucción. Lineamientos de
clasificación
A.7.2.1 Se debe clasificar la información en
términos de su valor,
requerimientos legales,
sensibilidad y grado crítico para la institución
Una vez identificados los activos de información relevantes por cada proceso institucional, debe ser clasificada su información de acuerdo a las regulaciones legales de la institución y las definiciones del dueño del proceso. También se debe considerar las disposiciones de la ley 20.285.
Etiquetado y manejo de la información
A.7.2.2 Se debe desarrollar e implementar un conjunto apropiado de procedimientos para el etiquetado y manejo de la información en concordancia con el esquema de clasificación adoptado por la institución
Se debe etiquetar los activos de información identificados, de acuerdo a su clasificación, cubriendo tanto activos físicos como electrónicos.
Se
gu
ri
d
ad
de
r
e
cu
rs
o
s hu
man
o
s
Roles y responsabilidadesA.8.1.1 Se deberían definir y documentar los roles y responsabilidades de la seguridad de los funcionarios, personal a honorarios y terceros en concordancia con la política de seguridad de la información de la organización.
Los roles y responsabilidades deben incluir los requerimientos para:
o Implementar y actuar de acuerdo a las políticas de seguridad de la información.
o Proteger los activos de información.
o Ejecutar actividades específicas de seguridad.
o Asegurar que la responsabilidad sea asignada al individuo por acciones tomadas.
o Reportar cualquier incidente de seguridad. Investigación de
antecedentes
A.8.1.2 La verificación de antecedentes de todos los candidatos para el cargo, contratistas y terceros deberían llevarse a cabo en concordancia con las leyes, regulaciones y ética relevantes; y deberían ser
proporcionales a los
requerimientos de la función, la clasificación de la información a la cual se va a tener acceso y los riesgos percibidos.
Para cada candidato a empleo dentro de la institución, se debe investigar:
o La disponibilidad de referencias satisfactorias tanto como trabajador como personales.
o Un chequeo completo de su CV en cuanto a integridad y exactitud. o Confirmación de sus antecedentes académicos y profesionales. o Comprobación de la identidad.
o Solicitud de certificado de antecedentes personales.
Términos y condiciones del
A.8.1.3 Como parte de su obligación contractual, los usuarios
Para todos los funcionarios, personal a honorarios y terceros, deberá firmarse un acuerdo de confidencialidad.
______________________________________________________________________
46
DOMINIO ÁMBITO REFERENCIA
CONTROL ISO
REQUISITO/CONTROL ACTIVIDADES A REALIZAR EN EL PMG/MEI SSI
empleo funcionarios, personal a honorarios
y terceros deberían aceptar y firmar un contrato con los términos y condiciones de su función, el cual
debería establecer sus
responsabilidades y las de la institución para la seguridad de la información.
Se deberán especificar sus derechos y deberes, considerando la propiedad intelectual y requerimientos legales.
Se debe especificar sus responsabilidades para la clasificación y manejo de activos de información.
Se debe especificar las responsabilidades por la administración de información recibida de otros Servicios u organizaciones externas.
Se debe especificar las responsabilidades del Servicio para el manejo de la información personal de sus funcionarios y personal a honorarios.
Se deben especificar las responsabilidades que se extienden fuera de las instalaciones del Servicio y fuera del horario de oficina, por ejemplo, cuando se trabaja desde la casa.
Se debe especificar las acciones contra los funcionarios, personal a honorarios, y terceros, a ser llevadas a cabo si se desatienden los requisitos de seguridad. Responsabilidades
de la dirección
A.8.2.1 La dirección debería requerir a los usuarios funcionarios, personal a honorarios y terceras personas que apliquen la seguridad en concordancia con políticas y procedimientos bien establecidos por la institución.
La dirección debe establecer, que los funcionarios, personal a honorarios y terceros:
o Están apropiadamente instruidos en materias de seguridad de la información, antes de otorgarles accesos a los activos de información.
o Están orientados sobre las expectativas de su rol sobre seguridad de la información dentro del Servicio.
o Sean motivados a cumplir con las políticas de seguridad del Servicio.
o Logren un nivel de conciencia sobre seguridad de la información acorde a sus roles y responsabilidades dentro del Servicio
o Aceptan las normativas de seguridad de la información y métodos apropiados de trabajo.
o Continúen teniendo aptitudes y calificaciones apropiadas. Conocimiento,
educación y capacitación en seguridad de la información
A.8.2.2 Todos los funcionarios de la institución, personal a honorarios y, cuando sea relevante, los terceros deberían recibir una adecuada capacitación en seguridad y actualizaciones regulares sobre las políticas y procedimientos institucionales conforme sea relevante para su función laboral.
Se deben realizar actividades de capacitación permanentes a todo el personal en materias de seguridad de la información.
Para el personal nuevo, debe incluirse esta materia en las charlas de inducción. Deben incluirse materias específicas para funciones específicas dentro de la institución.
______________________________________________________________________
47
DOMINIO ÁMBITO REFERENCIA
CONTROL ISO
REQUISITO/CONTROL ACTIVIDADES A REALIZAR EN EL PMG/MEI SSI
disciplinario disciplinario para los funcionarios
que han cometido una violación a la seguridad.
declaración sobre la obligación de tomar razón sobre las políticas y procedimientos relativos a la seguridad de la información, y que su incumplimiento derivará en las sanciones correspondientes definidas en la Ley.
Responsabilidades de término
A.8.3.1 Se deberían definir y asignar claramente las responsabilidades de realizar la desvinculación o cambio en las funciones
Se debe incluir dentro de las resoluciones de nombramiento o de contratos a honorarios las responsabilidades de acuerdo al tipo de información manejada por el funcionario, y las contenidas dentro de un contrato de confidencialidad, aún por un tiempo luego de la desvinculación.
Devolución de los activos
A.8.3.2 Todos los usuarios funcionarios, personal a honorarios y terceras personas deberían devolver todos los activos de la institución que tengan en su posesión al término de su empleo, contrato o acuerdo.
Se debe crear un procedimiento de devolución y reutilización de activos una vez que se desvinculen los funcionarios o se produzca el cese del contrato a honorarios o con terceros. Este debe incluir el borrado efectivo de los datos y la estandarización del sistema al nuevo usuario.
Retiro de los derechos de acceso
A.8.3.3 Los derechos de acceso de todos los usuarios funcionarios, personal a honorarios y terceras personas a la información y los medios de procesamiento de información deberían ser removidos como consecuencia de su desvinculación, o deberían ser ajustados si sus funciones cambian
Se debe crear un procedimiento de baja de usuarios en los sistemas de información, que considere la revocación de sus cuentas de acceso y privilegios, dependiendo de los siguientes factores de riesgo:
o Cuando el término o cambio de puesto es iniciado por el funcionario, personal a honorarios o terceros, o por razones administrativas.
o Las responsabilidades actuales del funcionario, personal a honorarios o tercero.
o El valor de los activos que actualmente maneja.
Se
gu
ri
d
ad
Fí
si
ca
y
Am
b
ie
n
ta
l
Perímetro de seguridad físicaA.9.1.1 Se deberían utilizar perímetros de seguridad (barreras tales como paredes, rejas de entrada controladas por tarjetas o recepcionistas) para proteger las áreas que contienen información y medios de procesamiento de información.
Los perímetros de seguridad deben ser claramente definidos, y la fortaleza de cada uno de ellos dependerán de los niveles de seguridad que requieran los activos de información de acuerdo a su nivel de exposición al riesgo.
Los perímetros deben tener solidez física y deben estar protegidos por alarmas sonoras, rejas, candados, etc. Las puertas y ventanas deben ser debidamente protegidas del acceso no autorizado.
Se debe considerar un recepcionista de entrada.
Donde sea aplicable, se deben mantener barreras físicas para evitar el acceso no autorizado.
Todas las puertas contra incendio deben tener alarmas, ser monitoreadas y probadas para establecer su nivel de resistencia. Deben estar regularizadas acorde a los estándares locales.
Deben existir sistemas de detección de intrusos acorde a estándares internacionales y deben cubrir todos los lugares que permitan el acceso. Las áreas
______________________________________________________________________
48
DOMINIO ÁMBITO REFERENCIA
CONTROL ISO
REQUISITO/CONTROL ACTIVIDADES A REALIZAR EN EL PMG/MEI SSI