3.4 PDCA Ciclo Miding
3.4.8 Plan de Seguridad Informática del GAD cantonal de Pastaza
1.- Antecedentes.
Este documento es la síntesis del estudio que se realizó previamente para determinar los parámetros básicos que se deben tomar en cuenta en la elaboración del Plan de seguridad Informática.
101 2.- Objetivo.
Elaborar un Plan de seguridad informática basado en el estándar ISO 27001 para el GAD Cantonal de Pastaza, y fomentar la cultura de la seguridad informática en los empleados del Gobierno Cantonal.
3.- Alcance
El Plan de Seguridad Informática debe mitigar y controlar los Riesgos de Seguridad y Privacidad de la Información como también proveer los mecanismos necesarios para identificar, analizar, evaluar y tratar de manera adecuada los riesgos asociados a los activos e información del GAD Cantonal de Pastaza.
Ámbito de aplicación
El presente plan de seguridad es aplicable en el GAD Cantonal de Pastaza Requisitos de calidad aplicable
Este Plan de Seguridad da cumplimiento a los lineamientos establecidos en la Norma ISO/IEC 27001-2013
Definiciones
Los siguientes términos y definiciones que se encuentran en el presente documento están Basados en la Norma ISO 27000.
Impacto. Cambio adverso en el nivel de los objetivos del negocio logrados.
Riesgo en la seguridad de la información. Potencial de que una amenaza determinada explote las vulnerabilidades de los activos o grupos de activos causando así daño a la organización.
NOTA Se mide en términos de una combinación de la probabilidad de que suceda un evento y sus consecuencias.
Evitación del riesgo. Decisión de no involucrarse en una situación de riesgo o tomar acción para retirarse de dicha situación.
102
Comunicación del riesgo. Intercambiar o compartir la información acerca del riesgo entre la persona que toma la decisión y otras partes interesadas.
Estimación del riesgo. Proceso para asignar valores a la probabilidad y las consecuencias de un riesgo.
NOTA 1 En el contexto de esta norma, el término "actividad" se utiliza en lugar del término "proceso" para la estimación del riesgo.
NOTA 2 En el contexto de esta norma, el término "posibilidad" se utiliza en lugar del término "probabilidad" para la estimación del riesgo.
Identificación del riesgo. Proceso para encontrar, enumerar y caracterizar los elementos de riesgo.
Reducción del riesgo. Acciones que se toman para disminuir la probabilidad las consecuencias negativas, o ambas, asociadas con un riesgo.
Retención del riesgo. Aceptación de la pérdida o ganancia proveniente de un riesgo particular.
NOTA En el contexto de los riesgos en la seguridad de la información, únicamente se consideran las consecuencias negativas (pérdidas) para la retención del riesgo.
Transferencia del riesgo. Compartir con otra de las partes la pérdida o la ganancia de un riesgo.
NOTA En el contexto de los riesgos en la seguridad de la información, únicamente se consideran las consecuencias negativas (pérdidas) para la transferencia del riesgo. Autenticidad: Propiedad de que una entidad es lo que afirma ser.
Confiabilidad de la Información: Garantiza que la fuente de la información generada sea adecuada para sustentar la toma de decisiones y la ejecución de las misiones y funciones.
103
Confidencialidad: Propiedad de la información de no ponerse a disposición o ser revelada a individuos, entidades o procesos no autorizados
Disponibilidad: Propiedad de la información de estar accesible y utilizable cuando lo requiera una entidad autorizada.
Declaración de aplicabilidad: Documento que enumera los controles aplicados por el SGSI de la organización tras el resultado de los procesos de evaluación y tratamiento de riesgos y su justificación, así como la justificación de las exclusiones de controles del anexo A de la norma técnica ISO 27001:2013.
Sistema de Gestión de la Seguridad de la Información SGSI: Conjunto de elementos interrelacionados o interactuantes (estructura organizativa, políticas, planificación de actividades, responsabilidades, procesos, procedimientos y recursos) que utiliza una organización para establecer una política y unos objetivos de seguridad de la información y alcanzar dichos objetivos, basándose en un enfoque de gestión del riesgo y de mejora continua.
Vulnerabilidad: Debilidad de un activo o control que puede ser explotada por una o más amenazas.
4.- Políticas de Seguridad.
Generalidades
La seguridad informática ha tomado gran importancia, debido a las cambiantes condiciones y nuevas plataformas tecnológicas disponibles. La posibilidad de interconectarse a través de redes, ha abierto nuevos horizontes a las empresas para mejorar su productividad y poder explorar más allá de las fronteras nacionales, lo cual lógicamente ha traído consigo, la aparición de nuevas amenazas para los sistemas de información. Estos riesgos que se enfrentan han llevado a que se desarrolle un documento de directrices que orientan en el uso adecuado de las tecnológicas y brindar recomendaciones para obtener el mayor provecho, de esta forma evitar el uso indebido de las mismas, lo cual puede ocasionar serios problemas a los bienes, servicios y operaciones del GAD Cantonal de Pastaza.
104
En este sentido, las políticas de seguridad informática definidas partiendo desde el análisis de los riesgos a los que se encuentra el GAD Cantonal de Pastaza, surgen como una herramienta organizacional para concienciar a los colaboradores de la organización sobre la importancia y sensibilidad de la información y servicios críticos que permiten al gobierno local crecer y mantenerse competitivo. Ante esta situación, se proponen políticas de seguridad que requiere un alto compromiso con la organización, agudeza técnica para establecer fallas y debilidades en su aplicación, y constancia para renovar y actualizar dicha política en función del dinámico ambiente que rodea a la institución.
Objetivos
Desarrollar un Plan de seguridad informática para organizar, dirigir y controlar las actividades y garantizar la integridad física de los recursos informáticos, así como resguardar los activos de información del GAD Cantonal de Pastaza.
Comprometer al personal del Gobierno Local a cumplir con el proceso de seguridad, agilizando la aplicación de los controles con entusiasmo tomando en cuenta los parámetros establecidos en el documento.
Alcance de las políticas
Este documento de políticas de seguridad está elaborado de acuerdo al análisis de riesgos y de vulnerabilidades en las dependencias del GAD Cantonal de Pastaza, por consiguiente, el alcance de estas políticas, se encuentra sujeto a la institución.
1.- De equipos
Instalación de equipos de computación
1 Todo equipo de computación ya sean laptop, computador de escritorio o servidor que esté conectado a la red interna debe sujetarse a las normas y procedimientos de instalación que debe generar el departamento de infraestructura.
1.1 El Director de las TIC´s en coordinación con el departamento de Activo Fijo deberá tener un registro de todos los equipos de computación y de comunicación.
105
1.2 El equipo que sea de propósito específico y tenga una misión crítica asignada, requiere estar ubicado en un área que cumpla con todos los requerimientos de: seguridad física, condiciones ambientales, alimentación eléctrica, y acceso por el personal de TIC´s.
1.3 La protección física de los equipos corresponde a la persona asignada, y le corresponde notificar al departamento técnico cualquier anomalía o cambio de ubicación.
Mantenimiento de equipos de computación
1.4 Le corresponde al departamento técnico la realización del mantenimiento preventivo y correctivo de los equipos, la instalación, verificación de la seguridad física y el acondicionamiento requerido. Para tal fin se deben emitir normas y procedimientos respectivos.
1.5 Los responsables del departamento técnico de TIC´s no están autorizados a dar mantenimiento preventivo y correctivo a equipos que no pertenezcan a la institución.
1.6 El personal técnico tiene la obligatoriedad de acudir al llamado de algún departamento cuando se produzca un inconveniente sea este físico o lógico. Reubicación de equipos.
1.7 La reubicación de equipos informáticos se realizará de acuerdo a las normas y procedimientos que el departamento técnico de las TIC´s emita para ello.
Notificando de equipos inventariados.
1.8 La reubicación de un equipo de computación se podrá realizar bajo la autorización del responsable del departamento técnico de las TIC´s, con los medios necesarios para la instalación del equipo y reportar inmediatamente para la actualización en el departamento de Activos.
106 2 Control de Acceso:
Acceso a Áreas Críticas
2.1 El acceso del personal se llevará a cabo de acuerdo a las normas y procedimientos que dicta la Dirección de las TIC´s.
2.2 En relación con la política de seguridad de la institución y debido a la naturaleza de estas áreas se llevará un registro permanente del acceso y salida de personal, sin excepción alguna.
2.3 El Director del departamento de las TIC´s, deberá gestionar los recursos necesarios para proveer de la infraestructura de seguridad requerida con base en los requerimientos específicos de cada área.
2.4 En situaciones de emergencia, el acceso a las áreas de servicio crítico estará sujeto a las que especifiquen las autoridades superiores de la institución.
Control de Acceso al equipo de computación
2.5 Todos y cada uno de los equipos son asignados a un responsable, por lo que es de su competencia preservarlos y hacer buen uso de los mismos.
2.6 En las áreas donde se tienen equipos de propósito general cuya misión es crítica estarán sujetas a los requerimientos que la Dirección emita.
2.7 Los accesos a las áreas críticas deberán ser clasificados de acuerdo a las normas que dicte la Dirección de común acuerdo con el Comité de Seguridad.
Control de acceso remoto
2.8 La Dirección es la responsable de proporcionar el servicio de acceso remoto y las normas de acceso a los recursos informáticos disponibles.
2.9 Para dar acceso a los servidores a terceros, la Dirección deberá dar a conocer el tiempo e indicar la finalidad del uso al analista correspondiente.
107
2.10 El usuario de los servicios de la red, deberá sujetarse al reglamento de uso y en concordancia con los lineamientos generales del uso de Internet.
Acceso a los Sistemas de la Institución.
2.11 Tendrán acceso a los sistemas de la institución, solo el personal autorizado y éste dependerá del perfil que tenga definido.
2.12 El manejo de información institucional que se considere de uso restringido deberá ser cifrada con el objeto de garantizar su integridad.
2.13 La instalación y uso de los sistemas de información se rigen por el reglamento de uso de la organización y por las normas y procedimientos establecidos por la Dirección del departamento de las TIC´s.
2.14 Los servidores de bases de datos son dedicados, porque lo que se prohíbe el acceso a personal no autorizado.
2.15 El control de acceso a cada sistema de información será determinado por la unidad responsable de generar y procesar los datos involucrados.
2.16 La Dirección determinará un procedimiento formal de alta y baja de usuarios con objeto de habilitar la asignación de derechos de acceso.
2.19. La asignación y uso de derechos de acceso con privilegios especiales debería ser restringido y monitoreado.
2.20 La asignación de información confidencial para la autenticación debería ser controlada mediante un proceso de gestión controlado.
2.21 Los propietarios de los activos deberían revisar con regularidad los derechos de acceso de los usuarios.
2.22 Se debe quitar los derechos de acceso para todos los empleados, contratistas o usuarios de terceros a la información y a las instalaciones del procesamiento de información a la finalización del empleo, contrato o acuerdo, o ser revisados en caso de cambio.
108
2.23 Los sistemas de gestión de contraseñas deberían ser interactivos y asegurar contraseñas de calidad combinando caracteres en mayúsculas, minúsculas numéricos y especiales permitidos.
La utilización de contraseñas complejas es un elemento fundamental del índice de defensa en profundidad. Las contraseñas complejas deben tener de 8 a 14 caracteres e incluir caracteres alfanuméricos y especiales. Debe establecer una longitud mínima, un historial, un límite a la duración y una caducidad para reforzar la defensa. Generalmente, la caducidad de las contraseñas debe configurarse de esta forma:
• Duración máxima de 90 días
• Las cuentas nuevas deben cambiar la contraseña al inicio de la sesión
• Un historial de 8 contraseñas (mínimo de 8 días)
Cuando se pongan en práctica controles de bloqueo de cuenta, siga las normas siguientes:
• Bloqueo después de entre 7 y 10 intentos de registro fallidos para las cuentas administrativas y de acceso remoto
• Bloqueo después de 10 intentos de registro fallidos para las cuentas de usuario estándar
• Requerir la intervención de un administrador para desbloquear las cuentas de acceso remoto y de administrador, y para reactivar automáticamente las cuentas de usuarios estándar al cabo de 5 minutos.
2.24 El uso de utilitarios (software) que puedan ser capaces de anular o evitar controles en aplicaciones y sistemas deberán estar restringidos y estrechamente controlados.
2.25 Se debe restringir el acceso al código fuente de las aplicaciones software, permitiendo solo a personal autorizado para el efecto.
109 Web
2.26 La sección de Analista de Desarrollo de Software, es responsable de instalar y administrar los servidores web, es decir, sólo se permiten servidores de páginas autorizadas.
2.27 El departamento de TIC´s deberá emitir las normas y requerimientos para la instalación de servidores de páginas locales, base de datos, uso de la intranet institucional, así como las especificaciones para que el acceso a estos sea seguro. 2.28 Al personal responsable de los servidores web, corresponde la verificación de
respaldo, actualización y protección adecuada.
2.29 Toda la programación involucrada en la tecnología web deberá estar de acuerdo con las normas y procedimientos que la Dirección emita de conformidad a los estándares existentes.
2.30 La información que aparezca en la página web de la institución deberá ser aprobado por la Dirección, respetando la ley de propiedad intelectual y normativas existentes.
2.31 En cuanto a la seguridad, protección y diseño de las páginas web, deberá considerarse las especificaciones establecidas por la Dirección de las TIC´s.
2.32 La Dirección de TIC´s tiene la facultad de llevar a cabo la revisión periódica de los accesos a los servicios de información y conservar información del tráfico. 3 Software.
Adquisición del software
3.20 En concordancia con la política de la institución, el comité de seguridad y la Dirección de TIC´s, son los organismos oficiales para establecer los mecanismos de adquisición de los sistemas informáticos y los informes pasaran a las instancias correspondientes.
3.21 La Dirección promoverá y propiciará que la adquisición de software de dominio público provenga de sitios oficiales y seguros.
110
3.22 Corresponde a la Dirección emitir las normas para el tipo de licenciamiento, cobertura, transferibilidad, certificación y vigencia de software.
Instalación del software
3.23 El Comité de Seguridad Informática debe emitir las normas y procedimientos para la instalación y supervisión del software básico para cualquier tipo de equipo. 3.24 En los equipos informáticos y telecomunicaciones, únicamente se permitirá la
instalación de software con licenciamiento apropiada y acorde a la propiedad intelectual.
3.25 El departamento técnico es el responsable de brindar asesoría y supervisión para la instalación de software informático, así mismo el departamento de redes para el software de telecomunicaciones.
3.26 Cualquier software que la Dirección considere que pone en riesgo los activos informáticos de la institución no está permitido su utilización.
3.27 Para proteger la integridad, disponibilidad y confidencialidad de los sistemas informáticos, es necesario que todos los equipos involucrados dispongan de software de seguridad como son antivirus, vacunas, privilegios de acceso, parches de seguridad, y otros que se apliquen para proteger su vulnerabilidad.
Actualización del software
3.28 La obtención y actualización de software para equipo de computación se llevará a cabo de acuerdo al cronograma que anualmente sea propuesto por la Dirección de las TIC´s.
3.29 Concierne al departamento de TIC´s solicitar la adquisición y autorizar la actualización del software.
3.30 Las actualizaciones del software de uso común se llevarán a cabo de acuerdo al plan de actualización desarrollado por la Dirección.
111 Auditoría de software instalado
3.31 La Dirección encaminará la conformación de un grupo especializado en auditoría de sistemas de computación y sistemas de información.
3.32 Recaerá en al grupo especializado de auditoria, dictar las normas, procedimientos y calendarizar los procesos de control establecidos.
Software propiedad de la institución
3.33 Todos los programas desarrollados o comprados por la institución son propiedad de la institución y mantendrán los derechos que la ley de propiedad intelectual les confiera.
3.34 La Dirección en coordinación con el departamento técnico deberá tener un registro de todos los paquetes de programación propiedad de la institución.
3.35 Es necesidad prioritaria de todos los usuarios que manejen información masiva, mantener el respaldo correspondiente de la misma ya que se considera como un activo de la institución que debe preservarse.
3.36 La información, base de datos, datos generados por el personal y los recursos informáticos de la institución, deben ser resguardados con ética profesional.
3.37 Corresponde al departamento de TIC´s promover y difundir los mecanismos de respaldo y resguardo de los datos y de los sistemas.
3.38 El departamento técnico administrará los diferentes tipos de licencia de software y vigilará su vigencia en concordancia con la política informática.
Uso de Software en la Institución
3.39 Todo software que requiera ser instalado para trabajar sobre la red deberá ser evaluado por el departamento técnico.
112
3.40 Los softwares de propiedad de la institución, deberán ser usado exclusivamente para asuntos relacionados con las actividades para los que fueron adquiridos.
4 Supervisión y Evaluación
4.20 Las auditorías de las actividades donde se involucren aspectos de seguridad lógica y física deberán realizarse periódicamente y convendrá sujetarse al calendario que establezca la Dirección o el grupo especializado de seguridad. 4.21 Los sistemas considerados críticos, deberán estar bajo monitoreo permanente. Generales
1 Cada uno de los departamentos del GAD Cantonal, deberán emitir los planes de contingencia que correspondan a las actividades críticas que realicen.
2 Debido al carácter confidencial de la información, el personal del departamento de las TIC´s deberá conducirse de acuerdo a los códigos de ética profesional, normas y procedimientos establecidos.
Para la puesta en ejecución de esta planificación, es necesario contar con los recursos necesarios, para lo cual la Dirección Administrativa esta presta a colaborar, y asignar para el nuevo periodo fiscal los recursos necesarios y la reorganización del departamento de las TIC´s según el nuevo organigrama funcional realizado por el director del departamento asignando las tareas necesarias para el efecto.
3.5 Conclusiones parciales del capítulo.
Para poder cumplir con los requerimientos se ha contado con la norma ISO/IEC 27001:2013 que facilita controles que son implementados a nivel técnico, este estándar facilita el trabajo de la implementación del SGSI dentro de la organización. La propuesta puede servir como base para que la organización continúe en las tareas específicas de la seguridad informática, con el fin que, a mediano plazo se pueda acceder a la certificación ISO/IEC 27001:2013.
113 CONCLUSIONES GENERALES.
Las amenazas están latentes, todo sistema de información es vulnerable y la probabilidad de riesgo es inminente dependiendo de su contexto. Sin embargo, pueden presentarse situaciones no controladas o inesperadas; dejando en claro que el riesgo no puede ser mitigado en su totalidad, pero si puede ser controlado.
Las normas ISO influyen directamente en cada una de las etapas que contempla la metodología aplicada. Las ISO 27001 y 27002 comprenden las mejores prácticas para establecer un ciclo de gestión de seguridad de la información, mientras que el aporte indiscutible sobre la gestión de riesgos está dado por las normas ISO 27005, todos de la familia ISO 27000.
Ecuador aún no tiene la legislación clara en lo referente a la confidencialidad de la información, sin embargo, son aspectos importantes y que han sido considerados en la aplicación de esta metodología
RECOMENDACIONES
Implementar el Sistema de Seguridad Informática en el GAD Cantonal, en base a los objetivos y lineamientos de la institución, permitiendo de esta manera evaluar de forma correcta los riesgos de seguridad.
Revisar periódicamente las respectivas obligaciones contractuales entre los empleados y la institución con el objetivo de identificar los riesgos; de la misma forma debe evaluarse detenidamente cualquier cláusula estándar que abarque limitaciones