SEGURIDAD DE LA INFORMACIÓN

Implantación en el Ministerio de Hacienda

¿QUÉ ES LA SEGURIDAD DE LA INFORMACIÓN?

La seguridad de la información es preservar su:

BASE LEGAL

Artículo 39 del decreto No 4 “Normas Técnicas de Control Interno” de la Corte de Cuentas

Decreto No 29 “Reglamento de Normas Técnicas de Control Interno Específicas del Ministerio de Hacienda” de la Corte de Cuentas.

Capítulo 7 del “Manual de Políticas de Control Interno del Ministerio de Hacienda”

Art. 36 Definición de Políticas y Procedimientos de los Controles Generales de los Sistemas de Información (NTCIE del Ministerio de Hacienda)

Los Titulares, Directores y demás jefaturas, deben establecer las políticas y procedimientos sobre los controles generales, comunes a todos los sistemas de información, como mínimo relativas a la Seguridad de la Información, Planes de Contingencia, Desarrollo y Mantenimiento de Aplicaciones, Huellas de Auditoría, Documentación, Control y Licenciamiento de Software…..

Sistema de Gestión de Seguridad de la Información (SGSI)

Comprende la Política, el Manual, la Estructura Organizativa, los Procesos y los recursos necesarios para implantar la gestión de la Seguridad de la Información

Sistema de Gestión de Seguridad de la Información

A través del Acuerdo Ejecutivo No 36, se delega a la DINAFI la Coordinación del SGSI (Se crea el Área de Seguridad de la Información).

A través del Acuerdo Ejecutivo No 291 se delega a la DGEA las Auditorias Internas del SGSI (UGC de SEDE).

Soporte del SGSI

Además de ser un requisito legal; uno de puntos más importantes de la Seguridad y el SGSI, es que se cuenta con el apoyo de los Titulares.

La Seguridad se convierte en un proceso igual a la Calidad.

Ventajas de implementar un SGSI

Cumplimiento de la legislación Conocer los riesgos y poder gestionarlos Credibilidad, confianza y fiabilidad Compromiso Basado en Procesos Adopción de las Mejores Prácticas Preservar la información

Adopción de Estándares Internacionales ISO/IEC 27001:2005

“Especificaciones para los Sistemas de Gestión de Seguridad de la Información”

ISO/IEC 17799:2005

“Código de Buenas Practicas para la Gestión de la Seguridad de la Información”

CICLO DE DESARROLLO, MANTENIMIENTO Y MEJORA DEL SGSI

Rol de la DINAFI•Definir el alcance del SGSI•Definir la política del SGSI•Identificar los riesgos•Gestionar los riesgos•Seleccionar los controles•Preparar la relación de controles

Rol de la DINAFI y DIRECCIONES•Definir plan de gestión de riesgos•Implantar plan de gestión de riesgos•Implantar controles seleccionados

Rol de la UGC y DINAFI•Desarrollar procedimientos de monitoreo•Revisar regularmente el SGSI•Revisar los niveles de riesgo•Auditar internamente el SGSI

->

Rol de las Unidades Organizativas del MH •Implantar las mejoras•Adoptar acciones preventivas y correctivas•Comunicar acciones y resultados•Verificar que las mejoras cumplen su objetivo

Establecer el SGSI

Implantar y operar el SGSI

Mantener y mejorar el SGSI

Monitorear y revisar el SGSI

planificar

verificar

haceractuar

Estado Actual del SGSI

Fase de Establecimiento

Fase de Implantación

El SGSI es certificable por organismos como AENOR al igual que el SGC.

Proyección del SGSI

2006 – Elaboración de la base legal y documentos de soporte del SGSI.

2007 Implantación en la DINAFI y primer auditoria en la

misma. Avanzar y apoyar en la implantación en las otras

Direcciones y Unidades Organizativas 2008 Auditorias a las demás Direcciones 2009 Posible Pre Auditoría de Certificación

Estructura Documental del SGSI

Política de Seguridad (MAPO) Manual de Seguridad (MAS) Procedimientos Normativos (PRSN) Procedimientos Operativos (PRSO) Fichas de Proceso Otros

SGSI

Buenas Prácticas

ISO 17799Análisis de

Riesgos

Requisitos Legales

Manual de Seguridad

ISO 27001

Política de Seguridad

Procedimientos Normativos

Procedimientos Operativos

Planes de Contingencia

Plan de Seguridad

Aceptación del Riesgo

Diagrama de documentos

Procesos

Manual de Seguridad

Contiene el desarrollo y las especificaciones de cómo cumplir los requisitos del SGSI (según la ISO 27001)

Contiene los controles (lineamientos) que se adoptarán para la reducción de los riesgos más comunes en la Institución

Recursos Necesarios

Área de Seguridad de la Información Encargados de Seguridad de la Información

(Por cada Dependencia) Contratos y soporte por especialistas de los

productos y soluciones tecnológicas con que cuenta el M.H.

Las responsabilidades se encuentran definidas en el Manual de Seguridad

ESTRUCTURA FUNCIONAL

Lineamientos de Seguridad

1. Organización de la Seguridad de la Información2. Gestión de Activos3. Seguridad de los Recursos Humanos4. Seguridad Física y Ambiental5. Gestión de Comunicaciones y Operaciones6. Control de Accesos7. Adquisición, Desarrollo y Mantenimiento de Sistemas de

Información8. Gestión de Incidentes de Seguridad de la Información9. Gestión de Continuidad del Negocio10. Conformidad

SGSI

Estará disponible a través del “Portal Corporativo Intranet” del Ministerio de Hacienda

La metodología en la elaboración, revisión y publicación de la documentación será igual a la del SGC.

Se cuenta con Sistema de Mesa de Ayuda para la comunicación entre el Área de Seguridad de la Información, Proveedores y las Dependencias

Colaboración Solicitada:

Designar al o a los encargados de Seguridad de La Información por Dirección. Remitir a más tardar el 20 de Septiembre.

Se realizará una presentación detallada del SGSI y MAS para los Encargados de Seguridad seleccionados, el día 22 de Septiembre.

Se requiere que los encargados de Seguridad divulguen el SGSI al interior de cada Dirección, presentando a más tardar los formularios de inducción completados, el 1 de Noviembre.

GRACIAS POR SU ATENCIÓN