asi metodología de administración de seguridad de la...
TRANSCRIPT
Instituto Nacional de Rehabilitación
Subdirección de Tecnologías de Información y Comunicaciones
Noviembre‐2012
MAAGTICSIASI-Administración de Seguridad de la Información
OPEC- Operación de los controles de seguridad de la información y del ERISC
MASIMetodologíadeAdministracióndeSeguridaddelaInformación
Documento Integral de los procesos involucrados en la Administración de Seguridad de la Información:
Administración de la Seguridad de la Información
Operación de los controles de seguridad de la información y del ERISC
Anexo 8, Formato 2
Administración de la Seguridad de la Información MAAGTICSIProcesos
1
[ASI ‐ OPEC] INR‐STIC_[Proy_MAAGTICSI]MASI_DescripcionProceso(OSGP‐A8‐F2)_VB3
1. Objetivo del Documento Detallar los procesos involucrados en el abordaje de los proyectos en la Subdirección de Informática y Comunicaciones en el INR, en donde se integran los procesos MAAGTICSI: ASI –Administración de la Seguridad de la Información, OPEC ‐ Operación del sistema de gestión y mejora de los procesos de la STIC.
2. Abreviaturas y definiciones
Abreviación o definición Descripción
INR Instituto Nacional de Rehabilitación
MAAGTICSI Manual Administrativo de Aplicación General de Tecnologías de Información y Comunicaciones y Seguridad de la Información
ASI Desarrollo de Soluciones Tecnológicas, uno de los procesos del MAAGTICSI.
OPEC Operación del sistema de gestión y mejora de los procesos de la STIC.
[e] Entrada, Producto que es utilizado como entrada a la tarea
[s] Salida, Producto que resulta de la tarea
[e/s] Entrada/Salida
[R] Responsable
[A] Aprueba
[C] Consultado
[I] Informado
3. Referencias
Descripción del documento Nombre del archivo
Diagrama de relación entre procesos de MASI y MAAGTICSI
Diagrama de flujos de actividades de MASI
Organigrama de equipo de trabajo
Administración de la Seguridad de la Información MAAGTICSIProcesos
2
[ASI ‐ OPEC] INR‐STIC_[Proy_MAAGTICSI]MASI_DescripcionProceso(OSGP‐A8‐F2)_VB3
4. Objetivo General de los procesos MAAGTICSI que conforman MASI En las áreas de TIC el tema de seguridad es un factor de criticidad para la operación óptima de las áreas vinculadas. La información de salida como de entrada debe ser vigilada bajo estrictos controles de seguridad. El Objetivo principal que se persigue es lograr establecer los grupos que involucrados en establecer y preservar los controles que envuelven el entorno de la seguridad de la información dentro de la Institución. 4.1. ASI‐Administración de Seguridad de la Información Establecer y vigilar los mecanismos que permitan la administración de la Seguridad de la información de la Institución, así como disminuir el impacto de eventos adversos, que potencialmente podrían afectar el logro de los objetivos del Instituto o constituir una amenaza para la Seguridad Nacional. 4.2. OPEC‐Operación de los Controles de Seguridad de la Información y del ERISC Implantar y operar los controles de seguridad de la información de acuerdo al Programa de implantación del SGSI, así como los correspondientes a la capacidad de respuesta a incidentes.
Administración de la Seguridad de la Información MAAGTICSIProcesos
3
[ASI ‐ OPEC] INR‐STIC_[Proy_MAAGTICSI]MASI_DescripcionProceso(OSGP‐A8‐F2)_VB3
5. Objetivos Específicos de los procesos MAAGTICSI involucrados en la Metodología MASI 5.1. ASI‐Administración de Seguridad de la Información
a. Establecer, operar y mantener un Sistema de Gestión de Seguridad de la Información, con la
finalidad de preservar su confidencialidad, integridad y disponibilidad. b. Establecer los mecanismos de análisis y administración de riesgos que permitan identificar,
analizar, evaluar, atender, monitorear los riesgos y las infraestructuras afectadas, así como el impacto producido al Instituto.
c. Establecer mecanismos para la respuesta inmediata a Incidentes a la seguridad de la información.
d. Vigilar los mecanismos establecidos para el desempeño del SGSI, a fin de prever desviaciones y mantener una mejora continua en el Instituto.
e. Fomentar una cultura de Seguridad de la información en el Instituto.
5.2. OPEC‐Operación de los Controles de Seguridad de la Información y del ERISC a. Establecer, implantar y mantener controles de seguridad de la información en el Instituto. b. Definir e implementar un plan de tratamiento de riesgos. c. Implantar las mejoras recibidas del proceso ASI‐ Administración de la seguridad de la
información, para el fortalecimiento y mejora continua del SGSI.
6. Metas de los procesos MAAGTICSI involucrados en la Metodología MASI
6.1. ASI‐Administración de Seguridad de la Información Pendiente por establecer a partir de los indicadores del primer trimestre.
6.2. OPEC‐Operación de los Controles de Seguridad de la Información y del ERISC
Pendiente por establecer a partir de los indicadores del primer trimestre.
Administración de la Seguridad de la Información MAAGTICSIProcesos
4
[ASI ‐ OPEC] INR‐STIC_[Proy_MAAGTICSI]MASI_DescripcionProceso(OSGP‐A8‐F2)_VB3
7. Diagrama Genérico de la Metodología y su relación con el resto de los procesos del MAAGTICSI A continuación se anexa el diagrama de relación entre procesos del MAAGTICSI, en base a la
agrupación propuesta en el INR.
MAE: Metodología de Administración Estratégica: PE, APT, APP y AE.
MAP1: Metodología de Administración de Proveedores: ADTI, APBS y ATC.
MAP2: Metodología de Administración de procesos: OSGP, EMG, ACNC y APC.
MADIS: Metodología de Administración, Desarrollo e Implementación de Soluciones de TIC: APTI, DST, CST, LE y THO.
MAS: Metodología de Administración de Servicios: APS, DSTI, OMS y ANS.
MAT: Metodología de Administración de la Arquitectura Tecnológica: DDT, ADT, ACMB y ACNF.
MAI: Metodología de Administración de la Infraestructura: MI, AAF y AO.
MASI: Metodología de Administración de Seguridad de la Información: ASI y OPEC.
Administración de la Seguridad de la Información MAAGTICSIProcesos
5
[ASI ‐ OPEC] INR‐STIC_[Proy_MAAGTICSI]MASI_DescripcionProceso(OSGP‐A8‐F2)_VB3
8. Diagrama de Flujo de los Procesos involucrados en la Metodología El diagrama que a continuación se anexa, muestra la integración de los procesos MAAGTICSI, ASI y OPEC en una Metodología integral que incorpora actividades de Ingeniería con actividades de Administración, optimizando los esfuerzos, evitando duplicidades y disminuyendo la generación de documentación innecesaria para fines del INR.
Administración de la Seguridad de la Información MAAGTICSIProcesos
6
[ASI ‐ OPEC] INR‐STIC_[Proy_MAAGTICSI]MASI_DescripcionProceso(OSGP‐A8‐F2)_VB3
Administración de la Seguridad de la Información MAAGTICSIProcesos
7
[ASI ‐ OPEC] INR‐STIC_[Proy_MAAGTICSI]MASI_DescripcionProceso(OSGP‐A8‐F2)_VB3
9. Descripción detallada de los Procesos de la Metodología (activos)
Establecer el Modelo de Gobierno de Seguridad de la Información
Actividad: Grupo Estratégico de Seguridad de la Información [ASI‐1 Establecer el modelo de gobierno de seguridad de información] Designar al Responsable de la seguridad de la información y establecer el grupo de trabajo encargado de la implantación y adopción del modelo de gobierno de seguridad de la información en el Instituto.
Rol Participante TAREAS Productos
Involucrados Titular del Instituto [R]
Responsable de
seguridad de la
Información [I]
1. Designar al Responsable de la seguridad de la información en el Instituto, quien deberá tener nivel jerárquico mínimo de Director General o equivalente.
Responsable de
seguridad de la
Información [R]
2. Establecer el Grupo de trabajo estratégico de seguridad de la información, que estará integrado por servidores públicos que conozcan los proceso institucionales y que cuenten con conocimientos en materia de seguridad de la información; se deberá asegurar comunicar a los integrante del Grupo de Trabajo Estratégico de Seguridad de la Información:
a) Los objetivos y responsabilidades del grupo de trabajo; miembros del grupo; roles y responsabilidad de cada miembro, así como el funcionamiento del grupo
b) Se comunique los roles y responsabilidades de cada, así como el funcionamiento del grupo.
3. Encabezar el Grupo de trabajo estratégico de seguridad
[s] Documento de Integración
y operación del Grupo de
Trabajo Estratégico de
Seguridad de la Información
(ASI.A5‐F1)
Actividad: Grupo de Trabajo de Implantación de la Seguridad [OPEC‐1 Establecer el grupo de implantación de la seguridad] Conformar un grupo de trabajo para la ejecución del Programa de implantación para el manejo de riesgos y del Programa de implantación del SGSI.
Rol Participante TAREAS Productos
Involucrados Responsable de
seguridad de la
Información [I]
Titulares de las Unidades
Administrativas [C]
1. Establecer el Grupo de trabajo para la implantación de la seguridad de la información, mediante el Documento de integración del mismo, y asegurarse de que éste contenga: a. El alcance, objetivos, roles y responsabilidades del Grupo de trabajo y de sus
miembros, así como el funcionamiento del Grupo. b. Al servidor público responsable del Grupo de trabajo, quien será propuesto por los
titulares de las unidades administrativas involucradas y aprobado por el Responsable de la seguridad de la información.
c. A los Responsables de los procesos de la UTIC en los cuales se deban implantar los
[s] Documento de Integración
y operación del Grupo de
Trabajo de Implementación de
la Seguridad de la Información
Administración de la Seguridad de la Información MAAGTICSIProcesos
8
[ASI ‐ OPEC] INR‐STIC_[Proy_MAAGTICSI]MASI_DescripcionProceso(OSGP‐A8‐F2)_VB3
controles que les sean indicados.
2. Asegurarse de que se comunique a los involucrados, el
establecimiento del grupo de trabajo.
Responsable del grupo de
trabajo para la
implantación de la
seguridad de la
información [R]
3. Mantener actualizada la información del Repositorio de riesgos,
con la siguiente información:
a) La información de la Directriz rectora para la administración de riesgos. b) El Programa de implantación para el manejo de riesgos y el Programa de
implantación del SGSI, así como su avance.
[s] Repositorio de riesgos de
TIC
Requerimientos para la ejecución de la Actividad
Espacio de Trabajo: Hardware: Software:
Operar Modelo de Gobierno de la Seguridad de la Información y ERISC
Actividad: Operar Modelo de Gobierno [ASI‐2 Operar y mantener el modelo de gobierno de seguridad de la información] Institucionalizar prácticas para asegurar la implantación, seguimiento y control de la Seguridad de la información en el INR.
Rol Participante TAREAS Productos
Involucrados Grupo de trabajo
estratégico de seguridad
de la información [R]
1. Coordinar la elaboración y actualización Catálogo de Infraestructuras Críticas del Instituto.
2. Establecer, conjuntamente con los Responsables de los grupos de procesos PR, AS, TE, AA y OP, así como en su caso con los servidores públicos que administren Activos de Información, los mecanismos para garantizar la protección de las Infraestructuras críticas que estos tengan bajo su responsabilidad.
3. Vigilar que los controles de seguridad de la información que se definan e implanten, consideren los mecanismos establecidos en el factor crítico, así como el Análisis de riesgos que se realiza en la actividad ASI‐6.
4. Constatar que se efectúe la implantación de SGSI en el INR y que se llevan a cabo revisiones al mismo en periodos no mayores a un año, a fin de verificar su cumplimiento.
5. Dar seguimiento a las acciones de mejora continua derivadas de las revisiones al SGSI.
[s] Catálogo de
infraestructuras Críticas
(ASI.A5‐F6)
Actividad: Atención de Incidentes [OPEC‐ 3 Operació del ERISC en la atención de incidentes] Ejecutar las acciones necesarias para atender un incidente de seguridad de la información de acuerdo a la Guía técnica elaborada.
Administración de la Seguridad de la Información MAAGTICSIProcesos
9
[ASI ‐ OPEC] INR‐STIC_[Proy_MAAGTICSI]MASI_DescripcionProceso(OSGP‐A8‐F2)_VB3
Rol Participante TAREAS Productos
Involucrados ERISC [R]
Grupo de trabajo
estratégico de seguridad
de la información [I/R]
1. Definir las acciones de atención a los incidentes con apoyo de la Guía técnica, respecto del Incidente que se haya presentado.
2. Ejecutar la solución necesaria. 3. Registrar los datos del Incidente y su solución. 4. Asegurar que se comunique el Incidente y su solución, al Grupo
de trabajo estratégico de seguridad de la información y a los Responsables de los dominios tecnológicos involucrados, así como a los usuarios afectados.
5. Integrar los datos del Incidente y su solución a los repositorios de la STIC y, en su caso, a los repositorios del Instituto que determine el Grupo de trabajo estratégico de seguridad de la información.
Requerimientos para la ejecución de la Actividad
Espacio de Trabajo: Hardware: Software:
Establecer Modelo de Seguridad de la Información
Actividad: Directriz de Riesgos [ASI‐5 Establecer la Directriz rectiora para a administración de riesgos] Definir y difundir la Directriz rectora para la administración de riesgos.
Rol Participante TAREAS Productos
Involucrados Grupo de trabajo
estratégico de seguridad
de la información [R]
Responsable de
Seguridad de la
Información [R]
1. Elaborar la Directriz rectora para la administración de riesgos, mediante las siguientes acciones: a) Integrar los antecedentes y demás elementos que justifiquen la necesidad de
implantar la administración de riesgos en el Instituto. b) Definir metodologías y herramientas que se usarán para administrar los Riesgos. c) Integrar el marco normativo que resulte aplicable a los Riesgos identificados. d) Establecer las reglas para medir la efectividad de los controles en la gestión de los
riesgos. e) Establecer la forma y periodicidad con las que se informará los grupos y equipos de
trabajo, a las áreas y unidades administrativas del Instituto y externos involucrados, sobre los Riesgos a los que se encuentran expuestos los procesos y servicios que utilizan.
f) Establecer consideraciones sobre riesgos de TIC y seguridad a la información que coadyuven en la toma de decisiones estratégicas del Instituto.
2. Verificar que la Directriz rectora para la administración de riesgos permanezca actualizada, mediante las siguientes acciones:
a) La revisión de su adecuada alineación con el Modelo de gobierno de seguridad de la información.
b) La evaluación de las acciones adoptadas por incumplimientos detectados en la administración de los riesgos.
[s] Directriz rectora para la
administración de riesgos
(ASI.A5‐F2)
Administración de la Seguridad de la Información MAAGTICSIProcesos
10
[ASI ‐ OPEC] INR‐STIC_[Proy_MAAGTICSI]MASI_DescripcionProceso(OSGP‐A8‐F2)_VB3
c) La revisión de los formatos de los reportes de ASI‐6, al menos cada seis meses.
3. Autorizar la Directriz rectora para la administración de riesgos. 4. Difundir la Directriz rectora para la administración de riesgos y
sus actualizaciones a los involucrados y a los integrantes del Grupo de trabajo para la dirección de TIC, a fin de que sea conocida por los mismos.
5. Establecer el Repositorio de riesgos e integrar la información de la Directriz rectora para la administración de riesgos.
Actividad: Diseñar el SGSI [ASI‐3 Diseño del SGSI] Definir los objetivos y diseñar las directrices para establecer el SGSI en el Instituto.
Rol Participante TAREAS Productos
Involucrados Grupo de trabajo
estratégico de seguridad
de la información [R]
Responsable de la
Seguridad de la
Información [R]
Titular del Instituto [C]
Equipo de respuesta a
incidentes de seguridad o
ERISC [C]
1. Diseñar, en coordinación con las diferentes áreas y unidades administrativas del Instituto, la Estrategia de seguridad de la información que será implantada al interior de la misma, así como efectuar su revisión al menos una vez al año. Dicha Estrategia será la base para establecer el SGSI, cuyo diseño se efectuar atendiendo a lo siguiente:
a) Realizar un diagnóstico de los requerimientos de seguridad de la información del Instituto, considerando la participación de las unidades administrativas usuarias de la información para establecer adecuadamente el alcance del SGSI.
b) Definir el alcance del SGSI, de manera tal que establezca límites de protección desde la perspectiva institucional, para proporcionar la seguridad requerida a los Activos de información.
c) Generar las estrategias específicas de seguridad de la información, que permitan cumplir con la misión, visión y objetivos del Instituto.
d) Desarrollar reglas técnicas para verificar que los controles de seguridad de la información que se definan operen según lo esperado.
e) Definir métricas para evaluar el grado de cumplimiento de los requerimientos de seguridad identificados para los Activos de Información.
f) Elaborar las reglas técnicas que contengan las acciones para la adecuada operación del SGSI.
2. Someter a la consideración del Titular del Instituto el Documento de definición del SGSI y su Programa de implantación.
3. Asegurarse de que se presente a la unidad administrativa responsable de la capacitación en el Instituto, una propuesta para que se integren al programa de capacitación institucional, los cursos necesarios para difundir los conceptos e importancia de la Seguridad de la información, así como la estructura y alcances del SGSI.
4. Dar a conocer el SGSI y su programa de implantación a los servidores públicos del Instituto involucrados con el mismo.
5. Elaborar el Programa de evaluaciones del SGSI y difundirlo en el Instituto.
6. Elaborar, probar y mantener actualizada una Directriz rectora
[s] Documento de definición
del SGSI (ASI.A5‐F18)
[e/s] Registro de riesgos del
proyecto
(APTI.A7.F6)
[e/s] Programa para la
implantación del SGSI (ASI.A5‐
F19)
[s]Programa de evaluación del
SGSI (ASI.A5‐F20)
[s]Directriz rectora para la
administración de riesgos
(ASI.A5‐F2)
[e/s]Documento de definición
del SGSI (ASI.A5‐F18)
Administración de la Seguridad de la Información MAAGTICSIProcesos
11
[ASI ‐ OPEC] INR‐STIC_[Proy_MAAGTICSI]MASI_DescripcionProceso(OSGP‐A8‐F2)_VB3
de respuesta a incidentes, en coordinación con el ERISC, ésta deberá contener al menos:
a) El rol y el servidor público asignado a éste, quien puede iniciar las tareas de respuesta a Incidentes.
b) El mecanismo de notificación, escalamiento y atención de Incidentes en el Instituto.
c) Los mecanismos de interacción con otras Instituciones o entidades externas. d) Los criterios técnicos de obtención de indicios, preservación de evidencias,
e investigación de Incidentes, considerando lo establecido en las disposiciones jurídicas aplicables. Los elementos del Programa de contingencia a los Activos de información que son sustantivos para el cumplimiento de la misión, visión y los objetivos institucionales.
7. Asegurarse de que la información obtenida de los factores críticos anteriores se integre en el Documento de definición del SGSI y éste se mantenga actualizado.
8. Hacer de conocimiento del Órgano Interno de Control del Instituto y/o, cuando corresponda, de las autoridades que resulten competentes, el incumplimiento al SGSI para el efecto de que se determinen, en su caso, las responsabilidades que procedan en términos de los ordenamientos legales aplicables.
Actividad: Modelo de Operación del ERISC [OPEC‐2 Establecer los elementos de la operación del ERISC] Establecer la operación del ERISC, así como la Guía técnica de atención a incidentes.
Rol Participante TAREAS
Productos Involucrados
Responsable de
Seguridad de la
Información [R/I]
ERISC [R]
1. Establecer las Reglas de operación del ERISC, en las que se
preverán los mecanismos de coordinación del ERISC al interior
del Instituto o con otros ERISC o entidades externas, en
concordancia con la Directriz rectora de respuesta a incidentes,
incluyendo al menos, los relativos a:
a) Los canales de comunicación, que deberán ser seguros. b) Los relativos a la Diseminación de datos de los Incidentes.
2. Elaborar, de acuerdo a lo establecido en la Directriz rectora de respuesta a incidentes, la Guía técnica de atención a incidentes, de acuerdo a la criticidad de los Activos de TIC afectados, considerando al menos los siguientes apartados:
a) Detección de los Incidentes. b) Priorización de los Incidentes. c) Investigación técnica de los Incidentes. d) Criterios técnicos de contención de los Incidentes, de acuerdo a la criticidad
de los Activos de TIC. e) Obtención, preservación y destino de los indicios de los Incidentes. f) Erradicación de los Incidentes. g) Recuperación de la operación. h) Documentación de las lecciones aprendidas.
3. Establecer el mecanismo de registro de los Incidentes de
[e] Directriz rectora de
respuesta a incidentes (ASI.A5‐
F21)
Administración de la Seguridad de la Información MAAGTICSIProcesos
12
[ASI ‐ OPEC] INR‐STIC_[Proy_MAAGTICSI]MASI_DescripcionProceso(OSGP‐A8‐F2)_VB3
seguridad de la información, que incluya un repositorio para contener los datos de éstos y crear una base de conocimiento.
4. Reportar al Responsable de la seguridad de la información, los Incidentes de seguridad de la información que se presenten.
Requerimientos para la ejecución de la Actividad
Espacio de Trabajo: Hardware: Software:
Identificación de Activos y Analizar Riesgos
Actividad: Analizar Riesgos [ASI‐6 Elaborar el Análisis de Riesgos] Identificar, clasificar y priorizar los Riesgos para evaluar su impacto sobre los procesos y los servicios del Instituto, de manera que se obtengan las Matrices de análisis de riesgos.
Rol Participante TAREAS Productos
Involucrados Grupo de trabajo
estratégico de seguridad
de la información [R]
1. Elaborar el Documento de identificación de procesos críticos, integrando en éste la información siguiente:
a) La de aquellos procesos de los que el INR depende para alcanzar sus objetivos y niveles de servicio comprometidos, derivada de la identificación realizada conforme al factor crítico 2 de la actividad ASI‐4, en los casos en que el INR no hubiere identificado procesos críticos vinculados con la seguridad nacional.
b) La obtenida como resultado del desarrollo de la actividad ASI‐4, por haberse identificado procesos críticos vinculados con la seguridad nacional.
2. Identificar los Activos de información e incluirlos en una relación detallada que se incorporará en el Documento de identificación de activos de información.
3. Consultar a los responsables de los Activos de información, para identificar los elementos que se pretende proteger ante la posible materialización de Amenazas e integrar la información obtenida en el Documento de identificación de activos de información.
4. Identificar las Vulnerabilidades, mediante las acciones siguientes:
a) Elaborar una relación de las características de los Activos de información, así como del ambiente y del Instituto en que se ubican los mismos, que pudieran ser aprovechadas para poner en riesgo la confidencialidad, integridad y disponibilidad de éstos.
b) Considerar como vulnerabilidad la ausencia y falla de controles. c) Integrar a los responsables de la administración, operación y, en su caso,
resguardo de los Activos de información en el proceso de identificación de vulnerabilidades.
5. Identificar Amenazas, mediante las acciones siguientes: a) Elaborar el Documento de identificación de amenazas, registrando las
posibles Amenazas que, en caso de materializarse, tendrían efectos negativos sobre la seguridad en uno o varios de los Activos de información contenidos en el Documento de identificación de activos de
[s] Documento de
Identificación de procesos
críticos (ASI.A5‐F8)
[s] Documento de
Identificación de activos de
información (ASI.A5‐F9)
[s] Documento de
identificación de amenazas
(ASI.A5‐F10)
[s] Documento de
identificación y evaluación
de escenarios de riesgos
(ASI.A5‐F11)
[s] Documento de análisis de
costo‐ beneficio de controles
de seguridad (ASI.A5‐F12)
[s] Documento de resultado
Administración de la Seguridad de la Información MAAGTICSIProcesos
13
[ASI ‐ OPEC] INR‐STIC_[Proy_MAAGTICSI]MASI_DescripcionProceso(OSGP‐A8‐F2)_VB3
información.b) Identificar y registrar en el documento del inciso anterior, los agentes que
podrían materializar una Amenaza, utilizando la Lista de amenazas y agentes que se provee en el formato del mismo.
6. Elaborar el Documento de identificación y evaluación de escenarios de riesgo, en el que se deberán registrar y evaluar los escenarios de riesgo que se identifiquen, mediante las acciones siguientes:
a) Definir los escenarios, para lo cual es necesario efectuar los cálculos para establecer el valor del Riesgo para cada escenario, utilizando la fórmula: R=PI; en la que “P” es la probabilidad de ocurrencia de la Amenaza e “I” es el Impacto ocasionado por la materialización de la misma.
b) Integrar las variables complementarias que se indican en el formato del Documento de identificación de amenazas y sus ponderaciones, ya que éstas determinan el valor final del Riesgo, utilizando la tabla denominada “Probabilidad de ocurrencia contra impacto”, que se contiene en el formato del documento mencionado.
c) Definir la estrategia de seguridad para cada Riesgo, seleccionando alguna de las establecidas en el formato del Documento de identificación de amenazas: evitar, mitigar o reducir, financiar o asumir y transferir o compartir, debiendo evaluarse en este mismo orden.
d) Obtener la relación de riesgos que requieren atención, su prioridad y estrategia de seguridad.
7. Elaborar el Análisis de costo‐beneficio de controles de seguridad, mediante las acciones siguientes:
a) Elaborar la lista de escenarios de riesgo, cuya acción de seguridad implica el uso de controles o la modificación de un proceso para evitar, mitigar o reducir, financiar o asumir y transferir o compartir los Riesgos.
b) Comparar el costo del control que se proponga contra el impacto que se podría ocasionar por la materialización del riesgo.
c) Utilizar el Documento de análisis de costo‐beneficio de controles de seguridad, debiendo definir los valores indicados en éste, para cada escenario de riesgo.
8. Elaborar el Documento de resultados del análisis de riesgos, mediante las acciones siguientes:
a) Integrar la lista de controles recomendados, para un adecuado tratamiento de los Riesgos detectados en el orden de prioridad establecido, indicando además los requerimientos para su implantación.
b) Incluir, de ser el caso, el nivel de riesgo residual de cada escenario. c) Elaborar e integrar las Declaraciones de aplicabilidad con los controles
necesarios, de acuerdo a los resultados obtenidos de los factores críticos anteriores.
d) Elaborar e incluir las propuestas para los Programas de mitigación de riesgos, considerando los controles establecidos en las Declaraciones de aplicabilidad obtenidas.
e) Elaborar e incluir en el Documento de resultados del análisis de riesgos, la propuesta de Programa de contingencia a los riesgos, considerando, de ser el caso, la intervención del ERISC.
9. Obtener del miembro asignado por el Grupo de trabajo estratégico de seguridad de la información, la aprobación del Documento de resultados del análisis de riesgos y enviarlo a los responsables de los procesos en las diversas áreas y unidades administrativas del Instituto para su revisión.
10. Seleccionar de entre los controles recomendados por el Grupo de trabajo estratégico de seguridad de la información,
de análisis de riesgos
(ASI.A5‐F16)
[s] Declaraciones de
aplicabilidad (ASI.A5‐F13)
[s] Programa de
implantación para el manejo
de riesgos (ASI.A5‐F17)
[s] Repositorio de riesgos de
TIC
Administración de la Seguridad de la Información MAAGTICSIProcesos
14
[ASI ‐ OPEC] INR‐STIC_[Proy_MAAGTICSI]MASI_DescripcionProceso(OSGP‐A8‐F2)_VB3
contenidos en el Documento de resultados del análisis de riesgos, aquéllos a implantar de acuerdo a las capacidades y recursos de las áreas y unidades administrativas involucradas.
11. Justificar ante el Grupo de trabajo estratégico de seguridad de la información las razones por las cuales existan controles recomendados no seleccionados.
12. Elaborar el Programa de implantación para el manejo de riesgos, de acuerdo a los resultados de la selección efectuada conforme al factor crítico 13 de esta actividad. Dicho Programa deberá incluir la designación de
responsables de la implantación de cada control, de acuerdo
al Documento de resultados del análisis de riesgos y los datos
necesarios para su implantación, así como documentarse
conjuntamente con la implantación de las acciones y
controles del SGSI.
13. Obtener del miembro asignado por el Grupo de trabajo estratégico de seguridad de la información la aprobación del Programa de implantación para el manejo de riesgos y verificar su adecuada integración con las demás actividades de implantación o mejora de los controles y acciones del SGSI.
14. Cuidar que el Análisis de riesgos se realice o actualice conforme a los factores críticos de esta actividad, al menos una vez al año, o bien, en caso de un cambio en los procesos, Activos de Información o cuando se detecte una nueva Amenaza o Vulnerabilidad a la seguridad de la información y/o los Activos de TIC que la soportan.
15. Asegurar que se obtengan los productos de esta actividad actualizados y se documente, en caso de ser procedente, la mejora continua que se efectúe derivada del factor crítico anterior.
16. Vigilar que se actualice el Repositorio de riesgos. Actividad: Activos Críticos
[ASI‐4 Indentificar las Infraestructturas Críticas y los Activos Clave] Elaborar y mantener actualizado un Catálogo de Infraestructuras críticas, a fin de facilitar la definición de los controles que se requieran para protegerlas.
Rol Participante TAREAS Productos
Involucrados Grupo de trabajo
estratégico de seguridad 1. El Grupo de trabajo estratégico de seguridad de la
información se dará a la tarea a identificar procesos críticos
[e/s] Documento de
Identificación de
Administración de la Seguridad de la Información MAAGTICSIProcesos
15
[ASI ‐ OPEC] INR‐STIC_[Proy_MAAGTICSI]MASI_DescripcionProceso(OSGP‐A8‐F2)_VB3
de la información [R]
Titular del Instituto [I]
del Instituto, mediante las ejecución de las siguientes acciones: a) Analizar los procesos existentes y determinar cuáles de éstos son críticos,
considerando como tales aquellos de los que depende del Instituto para
alcanzar sus objetivos, en los niveles de servicio que tenga establecidos,
derivado de sus atribuciones. Dicho análisis se realizará considerando, al
menos los siguientes elementos:
I. Proveedores del proceso. II. Insumos del proceso. III. Eventos de inicio que disparan la ejecución del proceso. IV. Subprocesos o actividades que lo conforman. V. Actores que intervienen en su ejecución. VI. Productos o servicios que genera. VII. Evento de fin del proceso. VIII. Clientes o usuarios del proceso. IX. Activos de información involucrados en el proceso.
b) Analizar los diagramas de los procesos, a fin de identificar las Interdependencias que existan entre éstos así como con otros fuera del Instituto.
2. Identificar, a partir de los procesos críticos determinados en el factor crítico anterior, aquéllos que se encuentren vinculados con la integridad, estabilidad y permanencia del Estado Mexicano, de acuerdo a lo que señalan los artículos 3 y 5 de la Ley de Seguridad Nacional. En caso de no identificarse este tipo de procesos críticos, no será necesario atender los factores críticos 4 a 15 restantes, debiendo dar inicio a la actividad ASI‐5.
3. Obtener un listado de los procesos críticos de la Dependencia e integrar la información de los factores críticos 2 y 3 anteriores en el Documento de identificación de infraestructuras críticas.
4. Identificar las actividades críticas de los procesos contenidos en el Documento de identificación de infraestructuras críticas, mediante la ejecución de las acciones siguientes: a) Enlistar y describir las actividades de cada proceso crítico, así como los factores
de éxito para que el proceso se lleve a cabo de manera adecuada. b) Determinar las actividades que resultan críticas para la operación del proceso. c) Integrar en el Documento de Identificación de infraestructuras críticas, los
datos obtenidos de los incisos anteriores.
5. Identificar los Activos de información involucrados en los procesos de Seguridad Nacional, mediante la ejecución de las acciones siguientes:
a) Elaborar una relación de los Activos de información que soportan la generación, procesamiento, transmisión y almacenamiento de la información en los procesos, con apoyo de los responsables, según corresponda, de su desarrollo, mantenimiento, operación, uso y seguridad, así como de su administración y resguardo.
b) Incluir en la relación de los Activos de Información al responsable de su resguardo.
c) Clasificar los Activos de información como: Activos primarios o de soporte, de
Infraestructuras Críticas
(ASI.A5‐F4)
[e/s] Matrices de
Infraestructura Crítica y
Activos Clave (ASI.A5‐F5)
[s] Catálogo de
infraestructuras Críticas
(ASI.A5‐F6)
Administración de la Seguridad de la Información MAAGTICSIProcesos
16
[ASI ‐ OPEC] INR‐STIC_[Proy_MAAGTICSI]MASI_DescripcionProceso(OSGP‐A8‐F2)_VB3
acuerdo a su funcionalidad, alcance o impacto en el proceso.d) Definir la nomenclatura para la identificación de los Activos de información, a
partir de dos campos: en el primero “Id. Activo”, se asignará un número consecutivo que, relacionado con el segundo campo “Id. Proceso”, correspondiente al proceso, provea una identificación única para cada activo.
e) Registrar los datos obtenidos de los incisos anteriores en el Documento de identificación de infraestructuras críticas.
7. Efectuar la valoración de los Activos de información, en términos de la posible pérdida de su confidencialidad, integridad o disponibilidad, para identificar aquéllos que deban considerarse como Activos de información clave y registrar los resultados de la valoración efectuada en el documento de Matrices de infraestructuras críticas y activos clave.
8. Utilizar como parámetros para identificar la criticidad de una infraestructura, los tipos de impacto potencial que podrían ocurrir ante la presentación de un Incidente. Estos se deberán representar en las matrices de impacto que forman parte del documento denominado Matrices de infraestructuras críticas y activos clave.
9. Determinar el nivel de criticidad de cada infraestructura, mediante la identificación de su Interdependencia y el nivel de Impacto que tenga con cada una de las infraestructuras con las que se relacione, en el documento de Matrices de infraestructuras críticas y activos clave
10. Revisar los resultados obtenidos y los documentos generados en los factores críticos anteriores.
11. Un integrante del Grupo Estratégico de seguridad de la información será designado como responsable de verificara los resultados obtenidos y documentos generados, con el fin de constatar que las infraestructuras críticas que se hubieren identificado efectivamente tengan ese carácter.
12. Elaborar el Catálogo de infraestructuras críticas, con base en la información contenida en el Documento de identificación de infraestructuras críticas y en el de Matrices de infraestructuras críticas y activos clave, y realizar las siguientes acciones:
a) Asignar, de acuerdo con la tabla que se contiene en el Catálogo de Infraestructuras críticas, el sector y subsector que corresponda a cada infraestructura crítica.
b) Verificar que el Catálogo de Infraestructuras críticas incorpore los datos de identificación de las Infraestructuras críticas, señalando su descripción, componentes, sector y subsector, Institución y ubicación.
c) Incluir en el Catálogo de Infraestructuras críticas un mapa de localización geográfica, en donde se muestre la ubicación de las diversas Infraestructuras críticas.
13. Presentar a la aprobación del Titular del Instituto, el Catálogo de infraestructuras críticas.
14. Asegurarse de que se observe lo establecido en la Ley de Seguridad Nacional, en la Ley Federal de Transparencia y Acceso
Administración de la Seguridad de la Información MAAGTICSIProcesos
17
[ASI ‐ OPEC] INR‐STIC_[Proy_MAAGTICSI]MASI_DescripcionProceso(OSGP‐A8‐F2)_VB3
a la Información Pública Gubernamental, su Reglamento y demás disposiciones aplicables, para la clasificación y resguardo de la información generada en esta actividad.
15. Revisar, por lo menos una vez al año, el Catálogo de infraestructuras críticas del Instituto e instruir, en su caso, Grupo Estratégico de Seguridad de la Información para que se efectúen los trabajos para su actualización.
Requerimientos para la ejecución de la Actividad
Espacio de Trabajo: Hardware: Software:
Operar Controles de Seguridad de Información
Actividad: Mitigación de riesgos [OPEC 4‐ Implantar los controles de mitigación de la seguridad de la información] Asegurar que los controles de mitigación de riesgos y del SGSI se implanten y operen de acuerdo a su definición.
Rol Participante TAREAS Productos
Involucrados Responsable del Grupo de
trabajo de implantación
de la seguridad de la
información [R]
Grupo de trabajo
estratégico de seguridad
de la información.[I]
1. Ejecutar el Programa de implantación para el manejo de riesgos y el Programa de implantación del SGSI, con apoyo de los titulares de las unidades administrativas en las cuales se implantarán los controles.
2. Dar seguimiento a la ejecución del Programa de implantación del SGSI y actualizar su estado.
3. Elaborar el Informe de resultados de la implantación del SGSI. 4. Asegurar que los controles de seguridad se hayan implantado de
acuerdo a lo previsto en el Documento de definición del SGSI y el Programa de implantación del SGSI.
5. Elaborar los informes correspondientes a las desviaciones en la implantación y/o en la operación de los controles de seguridad.
6. Integrar los resultados de los factores críticos 3, 4 y 5 anteriores e incorporarlos, para efectos de su actualización, en el Programa de implantación para el manejo de riesgos y en el Programa de implantación del SGSI, y enviarlos al Grupo de trabajo estratégico de seguridad de la información.
[e] Programa de
implantación para el
manejo de riesgos (ASI.A5‐
F17)
[e/s] Programa para la
implantación del SGSI
(ASI.A5‐F19)
[s] Informe de evaluación
del SGSI (ASI.A5‐F22)
[e/s] Documento de
definición del SGSI (ASI.A5‐
F18)
[e/s] Programa para la
implantación del SGSI
(ASI.A5‐F19)
Administración de la Seguridad de la Información MAAGTICSIProcesos
18
[ASI ‐ OPEC] INR‐STIC_[Proy_MAAGTICSI]MASI_DescripcionProceso(OSGP‐A8‐F2)_VB3
Actividad: Integración de controles de seguridad [ASI‐ 7 Integrar al SGSI los controles minimos de Seguridad de la Información] Definir controles mínimos de Seguridad de la Información e integrarlos al SGSI, para su implantación a través de los diversos procesos del Manual.
Rol Participante TAREAS Productos
Involucrados Grupo de Trabajo
estratégico de Seguridad
de la Información [R]
1. Definir los controles de seguridad necesarios para salvaguardar a los Activos de TIC, las Infraestructuras críticas y los Activos de información del Instituto, proporcionales a su valor e importancia, siendo como mínimo los necesarios para:
a) La definición, en términos de seguridad, de la viabilidad del software que se pretenda adquirir e instalar en los equipos de cómputo, dispositivos electrónicos o sistemas de información.
b) La designación de personal en las áreas relacionadas con el manejo, administración y gestión de los Activos de información del Instituto, con apego a las disposiciones jurídicas aplicables y, considerando los procedimientos que, en su caso, se tengan implantados en el área o unidad administrativa de que se trate.
c) La instalación y configuración del software, así como para la administración de la seguridad de las soluciones tecnológicas y servicios de TIC que se utilicen en el INR.
d) El ingreso y salida de Activos de información. e) El borrado seguro de dispositivos de almacenamiento que por algún motivo
necesiten ser reparados, reemplazados o asignados a otro usuario. f) Evitar el daño, pérdida, robo, copia y acceso no autorizados a los Activos de
información. g) Garantizar la asignación, revocación, supresión o modificación de los privilegios
de acceso a la información otorgados a servidores públicos del Instituto y de otras Instituciones, así como al personal de los proveedores de servicios u otros usuarios, al inicio o término de su empleo, cargo o comisión, relación contractual o de cualquier otra naturaleza, o bien, cuando por algún motivo el nivel de privilegios de acceso asignado cambie.
h) Los criterios de asignación de Usuarios y contraseñas permitidas para los diversos componentes de los dominios tecnológicos.
i) La configuración de las herramientas de protección implementadas en las redes institucionales.
j) Las conexiones a redes públicas y privadas, así como para los dispositivos electrónicos que contengan Información considerada como reservada o sensible para el INR.
k) La seguridad física y lógica que permita mantener la confidencialidad, integridad y disponibilidad de los respaldos de información.
l) El uso del servicio de Internet en el INR, el cual debe contar con herramientas de seguridad y de filtrado de contenido.
m) El intercambio seguro de la información, ya sea de manera interna o hacia el exterior.
n) Que la información clasificada o aquélla que tiene valor para el INR, sea respaldada y restaurada en el momento en que se requiera.
o) Contar con registros de auditoría y Bitácoras de seguridad, en los sistemas identificados como críticos, así como con las condiciones de seguridad que impidan borrar o alterar éstos.
2. Documentar los controles determinados conforme al factor crítico anterior, incluyendo su definición detallada e integrarlos al Documento de definición del SGSI y elaborar conjuntamente con los responsables de los procesos institucionales involucrados, el
[s] Documento de
definición del SGSI (ASI.A5‐
F18)
[s] Programa para la
implantación del SGSI
(ASI.A5‐F19)
Administración de la Seguridad de la Información MAAGTICSIProcesos
19
[ASI ‐ OPEC] INR‐STIC_[Proy_MAAGTICSI]MASI_DescripcionProceso(OSGP‐A8‐F2)_VB3
Programa de implantación del SGSI.
Actividad: Implantar controles a dominios tecnológicos [OPEC‐5 Implantar los controles del SGSI relacionados con los dominios tecnológicos de TIC] Asegurar que los controles de seguridad para los dominios tecnológicos de TIC se definan y aprueben por el Grupo de trabajo estratégico de seguridad de la información para su integración al SGSI, así como que se efectué su implantación y se operen de acuerdo a su definición.
Rol Participante TAREAS Productos
Involucrados Responsable del proceso
ADT‐ Administración de
los dominios tecnológicos
[R]
Grupo de trabajo
estratégico de seguridad
de la información [A]
Titular de la STIC [A]
1. Mantener los componentes de los dominios tecnológicos con el software de seguridad y de administración y monitoreo, actualizado y en operación; incluyendo software para evitar vulneraciones y accesos no autorizados.
2. Reforzar, con mecanismos de TIC, las conexiones de la red institucional con redes públicas o privadas, de manera que se tenga control del acceso a los servicios autorizados, así como monitorear, detectar, prevenir e impedir ataques o intrusiones.
3. Implementar mecanismos de TIC para impedir la conexión a redes inalámbricas externas que se encuentren al alcance de los dispositivos electrónicos institucionales.
4. Definir y establecer las conexiones remotas que den acceso a la red y a los servicios de TIC institucionales, tanto para usuarios internos como a proveedores, determinando si éstas se establecen a través de canales cifrados de comunicación que aseguren técnicamente la seguridad de los datos. Para estas conexiones se deberá obtener autorización expresa del Grupo de trabajo estratégico de seguridad de la información.
5. Asegurar que los servidores y estaciones de trabajo, cuenten con software actualizado para detección y protección contra programas para vulnerar la seguridad de los dispositivos de TIC, así como su información y los servicios que proveen. El software debe emitir reportes sobre el estado de actualización de los componentes sobre los que tienen cobertura.
6. Instalar en los componentes de los servicios de correo electrónico, herramientas actualizadas de protección contra correos electrónicos no deseados o no solicitados.
7. Instalar en los equipos de cómputo de los Usuarios, incluyendo los móviles que se conecten a la red de datos, las herramientas antivirus y aquéllas necesarias para prevenir ataques por la vulnerabilidad que el uso de estos equipos conlleva.
8. Instalar mecanismos de cifrado de datos en los dispositivos electrónicos móviles que contengan Información considerada
[e/s] Programa para la
implantación del SGSI
(ASI.A5‐F19)
[e/s] Programa de
implantación para el
manejo de riesgos (ASI.A5‐
F17)
Administración de la Seguridad de la Información MAAGTICSIProcesos
20
[ASI ‐ OPEC] INR‐STIC_[Proy_MAAGTICSI]MASI_DescripcionProceso(OSGP‐A8‐F2)_VB3
como reservada o sensible para el INR. 9. Establecer el mecanismo para garantizar la eliminación o
modificación de los privilegios de acceso a la información del personal interno y proveedores de servicios, cuando terminen su relación contractual o cuando por algún motivo el nivel de privilegios de accesos asignados cambie.
10. Establecer, para cada componente de los dominios tecnológicos, los elementos de control de acceso lógico que, como mínimo, soliciten un nombre de usuario y contraseña, y lleven el registro de estos accesos.
11. Adicionalmente al factor crítico anterior, integrar a toda solución tecnológica o servicio de TIC, adquirida o desarrollada, un módulo de control de acceso lógico que solicite como mínimo, un nombre de usuario y contraseña, cuya definición deberá aprobarse por el Grupo de trabajo estratégico de seguridad de la información.
12. Obtener de Titular de la STIC, la aprobación de los controles definidos conforme a los factores críticos 1 a 11 de esta actividad.
13. Obtener, con apoyo del Titular de la STIC, la aprobación del Grupo de trabajo estratégico de seguridad de la información, para la integración al SGSI, de los controles a que se refiere el factor crítico anterior.
14. Asegurar que los controles de seguridad se hayan implantado de acuerdo a lo establecido en esta actividad.
15. Dar a conocer a los Responsables de cada dominio tecnológico, la actualización que se realice al Programa de implantación para el manejo de riesgos y al Programa de implantación del SGSI.
Requerimientos para la ejecución de la Actividad
Espacio de Trabajo: Hardware: Software:
Mejorar Modelo de Seguridad de Información
Actividad: Revisar SGSI [OPEC ‐6 Revisar la operación del SGSI] Efectuar la revisión de la operación de los controles de mitigación de riesgos y de seguridad así como obtener mediciones de la misma.
Rol Participante TAREAS Productos
Involucrados Grupo de trabajo
estratégico de seguridad
de la información [I]
1. Obtener los datos necesarios para verificar la eficiencia y eficacia de los controles implementados, de acuerdo al Programa de evaluaciones del SGSI recibido del Grupo de trabajo estratégico de seguridad de la información.
[e] Programa de evaluación
del SGSI (ASI.A5‐F20)
[s] Informe de revisión del
SGSI (OPEC.A5‐F27)
Administración de la Seguridad de la Información MAAGTICSIProcesos
21
[ASI ‐ OPEC] INR‐STIC_[Proy_MAAGTICSI]MASI_DescripcionProceso(OSGP‐A8‐F2)_VB3
2. Medir la efectividad de los controles de seguridad implantados. 3. Efectuar, con base en el Programa de evaluaciones del SGSI, la
evaluación del SGSI. 4. Registrar la información de los intentos, exitosos y no exitosos,
de violaciones e incidentes de seguridad, así como efectuar el análisis y evaluación de dicha información.
5. Documentar las acciones de revisión del SGSI que hayan resultado de los factores críticos anteriores, mediante la elaboración del Informe de revisión del SGSI y enviarlo al Grupo de trabajo estratégico de seguridad de la información.
Actividad: Aplicar mejoras al SGSI [OPEC ‐7 Aplicar al SGSI mejoras definidas por el Grupo de trabajo estratégico de seguridad de la información] Mejorar el SGSI, a través de la aplicación de acciones preventivas y correctivas derivadas de las revisiones efectuadas al mismo, así como de las acciones de mejora consecuentes, definidas por el Grupo de trabajo estratégico de seguridad de la información.
Rol Participante TAREAS Productos
Involucrados Grupo estratégico de
seguridad de la
información [I]
1. Aplicar las acciones correctivas y preventivas a los controles de seguridad de la información, indicados por el Grupo de trabajo estratégico de seguridad de la información.
2. Documentar el resultado de la aplicación de la mejora, para cada uno de los controles de seguridad de la información que resultaron impactados, incluyendo las mejoras del SGSI aplicadas.
3. Actualizar el Informe de seguimiento a las acciones de mejora al SGSI.
4. Verificar el contenido del Informe de seguimiento a las acciones de mejora al SGSI; actualizar el Programa de evaluaciones del SGSI y enviarlos al Grupo estratégico de seguridad de la información para su revisión.
[e] Documento de
implantación de la mejora al
SGSI (ASI.A5‐F25)
[s] Informe de seguimiento a
las acciones de mejora del
SGSI (ASI.A5‐F24)
[s] Programa de evaluación
del SGSI (ASI.A5‐F20)
Actividad: Mejora SGSI [ASI‐8 Mejorar el SGSI] Mejorar la seguridad de la información, a través de la aplicación de acciones preventivas y correctivas derivadas de las revisiones que se efectúen al SGSI.
Rol Participante TAREAS Productos
Involucrados Grupo Estratégico de
seguridad de la
información [R]
Titular del Instituto [I]
1. Constatar, en coordinación con las áreas y unidades administrativas involucradas, que las actualizaciones de seguridad en todos los componentes de la infraestructura tecnológica del Instituto se apliquen, a fin de hacer del conocimiento del Titular del mismo el cumplimiento de los controles de seguridad establecidos.
[s] Informe de evaluación del
SGSI (ASI.A5‐F22)
[s] Acciones preventivas y
correctivas de mejora del SGSI
(ASI.A5‐F23)
Administración de la Seguridad de la Información MAAGTICSIProcesos
22
[ASI ‐ OPEC] INR‐STIC_[Proy_MAAGTICSI]MASI_DescripcionProceso(OSGP‐A8‐F2)_VB3
2. Obtener, del Informe de evaluación del SGSI, los datos sobre su desempeño, a fin de definir y documentar las acciones correctivas y preventivas para ajustar el mismo, e integrarlas al documento Acciones preventivas y correctivas al SGSI.
3. Elaborar el Documento de implantación de la mejora al SGSI. Este documento debe utilizarse para la planeación y el seguimiento de las acciones de mejora, ya sean preventivas o correctivas.
4. Comunicar las mejoras que deberán aplicarse al SGSI al Responsable del grupo de trabajo para la implantación de la seguridad de la información, previsto en la actividad OPEC‐1, por medio de los productos: Acciones preventivas y correctivas al SGSI y el Documento de implantación al SGSI.
5. Vigilar la implantación de las mejoras mediante el Informe de seguimiento a las acciones de mejora al SGSI.
[s] Documento de
implantación de la mejora al
SGSI (ASI.A5‐F25)
Requerimientos para la ejecución de la Actividad
Espacio de Trabajo: Hardware: Software:
10. Roles involucrados en la Metodología MASI. Segregación.
10.1. Matriz de Roles/Responsabilidades. Rol Observación
1. Responsable de la seguridad de la información en la institución (RSII)
Asignado al STIC
2. Grupo estratégico de seguridad de la información (GESI)
Integrados en el Grupo Integral de Implementación de la Seguridad de la Información (GIISI)
3. Equipo de trabajo de infraestructuras críticas (ETIC).
4. Equipo de trabajo de análisis de riesgos (ETAR).
5. Grupo de trabajo para la implantación de la seguridad de la información (GTIS).
6. Responsable del Grupo de trabajo para la implantación de la seguridad de la información.
7. Equipo de respuesta a incidentes de seguridad (ERISC).
Integrado en la DIT
Administración de la Seguridad de la Información MAAGTICSIProcesos
23
[ASI ‐ OPEC] INR‐STIC_[Proy_MAAGTICSI]MASI_DescripcionProceso(OSGP‐A8‐F2)_VB3
10.2. Organigrama
11. Reglas del proceso
Proceso ID‐Descripción
ASI 1. El Responsable de la seguridad de la información en la Institución es el responsable de este proceso.
ASI 2. En los casos en que el Titular de la Institución tenga un nivel jerárquico equivalente o inferior a Director General, el servidor público que éste designe como Responsable de la seguridad de la información en la Institución deberá tener un nivel inmediato inferior al del Titular.
ASI 3. El Responsable de este proceso se deberá asegurar de que las acciones y productos quesean resultado de su ejecución, sean consecuentes con lo previsto en el Acuerdo por el que se emiten las Disposiciones en Materia de Control Interno y se expidel Manual Administrativo de Aplicación General en Materia de Control Interno, en lo relativo a la Administración de Riesgos y Seguridad de la información, y de que los mismos se comuniquen al Coordinador de Control Interno de la Institución que se designe conforme a lo establecido en dicho ordenamiento.
ASI 4. En caso de que la Institución cuente con Infraestructuras críticas que impactan a la Seguridad nacional, el Responsable de la seguridad de la información se asegurará de que el Análisis de riesgos previsto en este proceso se enfoque a éstas; y en caso contrario que dicho análisis se oriente a sus Activos de información clave.
ASI 5. El Responsable de este proceso deberá establecer el Equipo de respuesta a incidentes deSeguridad de TIC (ERISC) y definir los roles y responsabilidades de sus integrantes, así como asegurase de que éstos conozcan las reglas de operación del mismo, así como la Guía técnica de atención a incidentes.
ASI 6. El Responsable de la seguridad de la información de cada Institución será quien mantendrá comunicación con el Centro de Investigación y Seguridad Nacional para la atención de cualquier Incidente de seguridad de la información que implique una amenaza a la seguridad nacional; y designará un enlace para que se coordine con los ERISC de las demás Instituciones en la atención
Administración de la Seguridad de la Información MAAGTICSIProcesos
24
[ASI ‐ OPEC] INR‐STIC_[Proy_MAAGTICSI]MASI_DescripcionProceso(OSGP‐A8‐F2)_VB3
de otros incidentes que así lo requieran.
ASI 7. El Responsable de la seguridad de la información de las Instituciones que tengan el carácter de Instancia de seguridad nacional, deberá coordinarse con las diversas Instancias de seguridad nacional involucradas cuando se presente un Incidente de seguridad que supere su capacidad de respuesta.
ASI 8. El Grupo de trabajo estratégico de seguridad de la información deberá asegurarse de que se integre al SGSI un control de seguridad para evitar intrusiones a la Infraestructura de TIC, incluyendo ataques externos vía Internet, Intranet o Extranet.
ASI 9. El Grupo de trabajo estratégico de seguridad de la información deberá asegurarse de que se integren al SGSI, controles de seguridad en los equipos del ambiente operativo y de comunicaciones de la Institución, para efectuar la revisión a las bitácoras internas de los mismos, con la finalidad de identificar intentos de ataques o de explotación de Vulnerabilidades.
ASI 10. El Responsable de este proceso deberá hacer del conocimiento de las autoridades competentes, los intentos de violación a los controles de seguridad y los incidentes de seguridad, incluido el acceso no autorizado a la infraestructura y servicios de TIC y a la información contenida en éstos, para que se determinen, en su caso, las responsabilidades que correspondan conforme a las disposiciones jurídicas aplicables.
ASI 11. El Grupo de trabajo estratégico de seguridad de la información deberá constatar que loscontroles de seguridad que se hayan establecido para el Repositorio de configuraciones, se implementen de igual manera, para activos y elementos de configuración de los ambientes de desarrollo, pruebas y preproducción.
ASI 12. El Grupo de trabajo estratégico de seguridad de la información deberá coordinarse con los Responsables de los grupos de procesos PR, AD y TE, para que se implanten controles de seguridad que impidan que el código de las soluciones tecnológicas, sus componentes y productos, y demás elementos relacionados, se copien, envíen, transmitan o difundan por cualquier medio, con fines distintos a su desarrollo.
ASI 13. El Grupo de trabajo estratégico de seguridad de la información deberá coordinarse con los Responsables de los grupos de procesos PR y AD, para que se implanten controles de seguridad orientados a que las herramientas para el desarrollo de las soluciones tecnológicas, sus componentes y productos, únicamente estén disponibles para los involucrados en su desarrollo y a la conclusión de éste, tales herramientas sean borradas de modo seguro de cualquier equipo del ambiente de trabajo.
ASI 14. El Grupo de trabajo estratégico de seguridad de la información deberá constatar que, como parte de los mecanismos que se establezcan para el ambiente operativo, se implante un control para elaboración y conservación de Bitácoras de seguridad para los sistemas identificados como parte de una Infraestructura crítica, en éstas se registrará el usuario, nombre de equipo, dirección IP, hora de entrada y salida del sistema, así como el tipo de consulta o cambios realizados en la configuración de las aplicaciones. Estas Bitácoras tendrán un tiempo mínimo de almacenamiento de un año.
ASI 15. El Grupo de trabajo estratégico de seguridad de la información de Instituciones que tengan el carácter de Instancia de seguridad nacional, deberá recomendar que en los procedimientos de contratación de soluciones tecnológicas o servicios de TIC prevista, se incluyan los requerimientos de continuidad de la operación, niveles de servicio y tiempos de respuesta a interrupciones, en concordancia con la criticidad de los procesos institucionales que los bienes o servicios objeto de las contrataciones soportarán.
OPEC 16. El Responsable del grupo de trabajo para la implantación de la seguridad de la información es el Responsable de este proceso.
OPEC 17. Los servidores de la STIC y los Usuarios están obligados a operar en un ambiente de trabajo que
Administración de la Seguridad de la Información MAAGTICSIProcesos
25
[ASI ‐ OPEC] INR‐STIC_[Proy_MAAGTICSI]MASI_DescripcionProceso(OSGP‐A8‐F2)_VB3
garantice la confidencialidad, integridad y disponibilidad de la información, de acuerdo a lo previsto en el presente Manual.
OPEC 18. El Responsable de este proceso se deberá asegurar de que las acciones y los productosobtenidos de la ejecución del presente proceso sean consecuentes con lo previsto en el Acuerdo por el que se emiten las Disposiciones en Materia de Control Interno y se expidel Manual Administrativo de Aplicación General en Materia de Control Interno, en lo relativo a la Administración de Riesgos y la Seguridad de la Información, y de que los mismos se comuniquen al Coordinador de Control Interno de la Institución que se designe conforme a lo establecido en dicho ordenamiento.
OPEC 19. El Responsable de este proceso, con apoyo de la totalidad de los Responsables de losprocesos de la STIC, deberá verificar que se implanten los controles que se definan en el SGSI, en los proyectos, procesos y servicios de TIC y de la STIC a fin de garantizar la seguridad de la información de la Institución. Asimismo, deberá constatar que se conserve la evidencia de la implantación de dichos controles.
12. Criterios de aceptación de los productos de los procesos MAAGTICSI de la Metodología MASI
Producto MAAGTICSI
Producto MASI Propósito yCriterios de aceptación
1. Directriz rectora para la administración de riesgos (ASI.A5‐F2)
Definición de Estrategia de Seguridad de la Información
Definir el objetivo de la directriz rectora que rija sobre el proceso de Administración de la seguridad de la información en la Institución, deberá expresar la necesidad de contar, en el contexto de la propia Institución, con los mecanismos, elementos, herramientas y todos aquellos apoyos que permitan reaccionar ante un amenaza o vulnerabilidad que se materializa y mitigarlas con los menores daños y costos posibles.
2. Documento de Integración y operación del Grupo de Trabajo Estratégico de Seguridad de la
Información (ASI.A5‐F1)
Definición del Comité de Seguridad de la Información
Se deberán señalar los objetivos a cumplir por el Grupo Estratégico de Seguridad de la Información (GESI), éstos deberán sujetarse a lo señalado en la Actividad ASI‐1 Establecer un modelo de gobierno de seguridad de la información, del proceso ASI‐ Administración de la seguridad de la información. Se deberán señalar los objetivos a cumplir por el Grupo de trabajo de infraestructuras críticas, deberá ser consecuente con lo señalado en la Actividad OPEC‐1 Establecer el grupo de implantación de la seguridad, del proceso OPEC − Operación de los controles de seguridad de la información y del ERISC. Definir el objetivo de la directriz rectora que rija sobre el proceso de respuesta a incidentes en la Institución, deberá expresar la necesidad
3. Directriz rectora de respuesta a incidentes (ASI.A5‐F21)
Administración de la Seguridad de la Información MAAGTICSIProcesos
26
[ASI ‐ OPEC] INR‐STIC_[Proy_MAAGTICSI]MASI_DescripcionProceso(OSGP‐A8‐F2)_VB3
de contar, en el contexto de la propia Institución, con los mecanismos, elementos, herramientas y todos aquellos apoyos que permitan a la STIC reaccionar ante incidentes que se presentan y mitigarlo con los menores daños y costos posibles.
4. Documento de definición del SGSI (ASI.A5‐F18)
Documento de Definición del SGSI
Señalar el estado actual en materia protección de activos tecnológicos y sistemas informáticos, deberá tomarse en cuenta la información recabada del Análisis de riesgos. Comparativo de la línea base del cronograma contra el avance real del mismo. Deberá asegurar haber integrado a este producto el cronograma correspondiente recibido del GESI, que incluya (al menos) actividades, duraciones, responsables y recursos. Integrar los datos generales relevantes del programa de implantación del SGSI.
5. Programa de evaluación del SGSI (ASI.A5‐F20
6. Programa para la implantación del SGSI (ASI.A5‐F19)
7. Catálogo de infraestructuras Críticas (ASI.A5‐F6)
Operar y mantener el modelo de gobierno de Seguridad de la Información
Es enunciativa mas no limitativa para la clasificación de Sectores y Subsectores pudiéndose agregar aquella que cada Instancia considere pertinente en el marco de la Ley de Seguridad Nacional y de la Agenda Nacional de Riesgos.
8. Documento de Integración del Equipo de Trabajo de Infraestructuras Críticas
(ASI.A5‐F3)
Diseño del SGSI Señalar el estado actual en materia protección de activos tecnológicos y sistemas informáticos, deberá tomarse en cuenta la información recabada del Análisis de riesgos.
9.
Documento de Identificación de Infraestructuras Críticas (ASI.A5‐F4)
10.
Matrices de Infraestructura Crítica y Activos Clave (ASI.A5‐F5)
11.
Documento de Identificación de procesos críticos (ASI.A5‐F8)
12. Documento de Identificación de activos de información (ASI.A5‐F9)
13. Documento de identificación de amenazas (ASI.A5‐F10)
14. Documento de análisis de costo‐ beneficio de controles de seguridad
(ASI.A5‐F12)
15. Declaraciones de aplicabilidad (ASI.A5‐F13)
Administración de la Seguridad de la Información MAAGTICSIProcesos
27
[ASI ‐ OPEC] INR‐STIC_[Proy_MAAGTICSI]MASI_DescripcionProceso(OSGP‐A8‐F2)_VB3
16. Documento de resultado de análisis de riesgos (ASI.A5‐F16)
17. Programa de implantación para el manejo de riesgos (ASI.A5‐F17)
18.
Documento de identificación y evaluación de escenarios de riesgos
(ASI.A5‐F11)
Documento de identificación y evaluación de escenarios de riesgos (ASI.A5‐F11)
Efectuar los cálculos necesarios que permiten establecer el valor relativo del riesgo para cada escenario planteado, de acuerdo a la secuencia que se define en el presente formato.
19.
Programas de mitigación de riesgos (ASI.A5‐F14)
Programas de mitigación de riesgos (ASI.A5‐F14)
Indicar el número de identificación y nombre corto del Programa de implantación de controles para reducir el impacto de un riesgo a de acuerdo a la estrategia que se decida: evitar, mitigar, transferir o aceptar.
20.
Programa de contingencia de riesgos (ASI.A5‐F15)
Programa de contingencia de riesgos (ASI.A5‐F15)
Documentar las acciones y decisiones en caso de un evento o incidente que tenga un impacto potencial para la Institución.
21. Informe de evaluación del SGSI (ASI.A5‐F22)
Mantenimiento y mejora continua de SGSI
Indicar y describir los documentos base para la realización del Informe de evaluación del SGSI.
22. Acciones preventivas y correctivas de mejora del SGSI (ASI.A5‐F23)
23. Informe de revisión del SGSI (OPEC.A5‐F27)
24.
Informe de seguimiento a las acciones de mejora del SGSI (ASI.A5‐F24)
Implementación de Controles de Seguridad de la Información
Indicar el seguimiento a las acciones correctivas y preventivas.
25.
Documento de implantación de la mejora al SGSI (ASI.A5‐F25)
Documento de implantación de la mejora al SGSI (ASI.A5‐F25)
Indicar el número de identificación y nombre corto del programa de implantación de mejora al SGSI para reducir un riesgo a niveles aceptables.
Administración de la Seguridad de la Información MAAGTICSIProcesos
28
[ASI ‐ OPEC] INR‐STIC_[Proy_MAAGTICSI]MASI_DescripcionProceso(OSGP‐A8‐F2)_VB3
13. Indicadores. A continuación se describen los indicadores planteados por el MAAGTICSI, que de manera paulatina
serán evaluados para ser incorporados:
Nombre Cumplimiento del proceso ASI – Administración de la seguridad de la información.
Objetivo Obtener la eficiencia del proceso en base al cumplimiento
Descripción:
Medir el cumplimiento en la implantación de los controles establecidos durante el proceso.
Clasificación
Dimensión: Eficiencia. Tipo: Estratégico.
Fórmula % de Efectividad = (Controles Implantados / Controles programados por su implantación) X 100
Responsable El Responsable del proceso ASI‐ Administración de la seguridad de la información
Frecuencia de cálculo
Anual
Nombre Cumplimiento de la administración de riesgos
Objetivo Medir la eficiencia de la gestión del proceso
Descripción:
Medir el cumplimiento en la implantación de los controles para la mitigación de riesgos establecidos durante el proceso.
Clasificación
Dimensión: Eficiencia. Tipo: De gestión.
Fórmula % de Efectividad = (Controles Implantados / Controles programados por su implantación) X 100
Responsable El Responsable del proceso
Frecuencia de cálculo
Anual
Nombre Resultados del proceso OPEC – Operación de los controles de seguridad de la Información y del ERISC
Objetivo Medir la eficiencia de la gestión del proceso
Descripción:
Medir la eficiencia del proceso, mediante las mejoras que hayan sido implantadas a los controles
Clasificación
Dimensión: Eficiencia. Tipo: De gestión.
Fórmula % de Efectividad = (Número de acciones de mejora de los Controles Implantados / Número de acciones de mejora definidas) X 100
Responsable El Responsable del proceso OPEC‐ Operación de los controles de seguridad de la Información y del ERISC
Frecuencia de cálculo
Anual
Administración de la Seguridad de la Información MAAGTICSIProcesos
29
[ASI ‐ OPEC] INR‐STIC_[Proy_MAAGTICSI]MASI_DescripcionProceso(OSGP‐A8‐F2)_VB3
14. Bitácora de Control de Cambios
Versión: VB2
Fecha: Noviembre-2012
Descripción: Actualización como parte del Programa de Implementación del MAAGTICSI
Documentó Revisó Aprobó
Nombre:
Nombre: Nombre:
Firma:
Firma: Firma: