lineamientos de administracion de...

LINEAMIENTOS DE ADMINISTRACION DE SEGURIDAD

Bogotá D.C. Junio de 2016

2

LINEAMIENTOS DE ADMINISTRACION DE SEGURIDAD - TICS

Código: L - TI -03

Versión 02

Proceso asociado: Tecnologías de Información y Comunicaciones

TABLA DE CONTENIDO

1. OBJETIVO -------------------------------------------------------------------------------------------------------------------- 3

1.1. Objetivos Específicos ------------------------------------------------------------------------------------------------ 3

2. ALCANCE -------------------------------------------------------------------------------------------------------------------- 3

3. TÉRMINOS Y DEFINICIONES ------------------------------------------------------------------------------------------ 4

4. DEFINICIÓN ----------------------------------------------------------------------------------------------------------------- 5

4.1. Flujograma ------------------------------------------------------------------------------------------------------------- 6

4.1.1. Consideraciones claves en las actividades -------------------------------------------------------------- 6

4.2. Metodología para análisis de riesgos ---------------------------------------------------------------------------- 6

4.3. Descripción de roles ----------------------------------------------------------------------------------------------- 14

4.3.1. Matriz RACI ---------------------------------------------------------------------------------------------------- 16

4.3.2. Políticas para normar el lineamiento de la Administración de Seguridad ---------------------- 19

4.3.3. Consideraciones clave -------------------------------------------------------------------------------------- 24

4.4. Reportes -------------------------------------------------------------------------------------------------------------- 25

5. MARCO LEGAL ----------------------------------------------------------------------------------------------------------- 26

6. REQUISITOS TÉCNICOS ---------------------------------------------------------------------------------------------- 26

7. DOCUMENTOS ASOCIADOS ---------------------------------------------------------------------------------------- 26

8. RESPONSABLE DEL DOCUMENTO ------------------------------------------------------------------------------- 26

3


Código: L - TI -03

Versión 02


INTRODUCCIÓN

Teniendo en cuenta que el área de Tecnología y Sistemas de Información de la Presidencia desarrolla un proyecto orientado a la implementación de las mejores prácticas de ITIL®, se presenta a continuación el documento de lineamientos, mediante el cual se gestionará la Seguridad de la información como un proceso sistemático, documentado y conocido por toda la entidad. La Presidencia de la República y en especial su área de Tecnología y Sistemas de Información comprende que la información es parte fundamental de los servicios que presta, y que para garantizar su confidencialidad, integridad y disponibilidad, es necesario adoptar estrategias que permitan establecer niveles adecuados de protección, asegurando la continuidad en la prestación de servicios a sus diferentes clientes internos. Así mismo, es importante mencionar que el presente lineamiento se basa en los parámetros establecidos por el estándar internacional ISO/IEC 27001, el cual será una herramienta útil para el logro de los objetivos estratégicos planteados por la alta dirección de la Presidencia de la República.

1. OBJETIVO El objetivo General del Lineamiento de la Administración de Seguridad es alinear la seguridad de TI con la Seguridad de la entidad garantizando la confidencialidad, integridad y disponibilidad de la información en las actividades realizadas para gestionar servicios de TI.

1.1. Objetivos Específicos

Los objetivos específicos de la Administración de Seguridad son:

Producir y mantener un Sistema de Prevención de Intrusos - ISP alineada con a los objetivos estratégicos de la entidad en relación con la protección y el uso efectivo de los recursos de información.

Establecer controles de seguridad a través de la implantación de políticas, estándares, guías y procedimientos, que permitan la protección de los recursos de la información de la entidad.

Desarrollar un plan de seguridad a través de la administración de riesgos que considere las amenazas y vulnerabilidades a los que se encuentra expuesta la entidad para proteger toda aquella información crítica.

Garantizar que el intercambio de información entre varios involucrados sea confiable.

2. ALCANCE

El alcance de la Administración de Seguridad cubre los lineamientos del área de Tecnología y Sistemas de Información que soportan el diseño, transición y operación de los servicios establecidos en el Catálogo de Servicios de Tecnología de Información y Comunicaciones D-TI-01, los cuales se listan a continuación:

1. Internet 2. Intranet

4


Código: L - TI -03

Versión 02


3. Correo electrónico 4. Diseño y publicación de páginas web 5. Sistemas de información 6. Video conferencia 7. Sistema de Gestión de Correspondencia 8. HOMINIS 9. DALET 10. ALADINO

3. TÉRMINOS Y DEFINICIONES

Activo: Algo que tenga valor para lo organización. Los activos pueden incluir, gente, edificios, sistemas computacionales, redes, registros en papel, faxes, etc. Amenaza: Causa potencial de un incidente no deseado que puede resultar en daño al sistema u organización. [ISO/IEC 13335-1:2004] Confiabilidad: Garantizar que los sistemas informáticos brindan información correcta para ser utilizada en la operatoria de cada uno de los procesos. Confidencialidad: Garantizar que toda la información está protegida del uso no autorizado, revelaciones accidentales, espionaje industrial, violación de la privacidad y otras acciones similares de accesos de terceros no permitidos. Control: Herramienta de la gestión del riesgo, incluidas políticas, pautas, estructuras organizacionales, que pueden ser de naturaleza administrativa, técnica, gerencial o legal. NOTA: Control es también usado como sinónimo de salvaguardia o contramedida. Disponibilidad: Garantizar que la información y la capacidad de su procesamiento manual y automático, sean resguardadas y recuperadas eventualmente cuando sea necesario, de manera tal que no se interrumpa significativamente la marcha de los negocios. Evento de seguridad de información: Es una ocurrencia identificada de un sistema, servicio, o red el cual indica una posible brecha de la política de seguridad de información o fallas de las salvaguardias o una situación desconocida que puede ser relevante para la seguridad. [ISO/IEC 18044-1:2004] Exactitud: Asegurar que toda la información se encuentre libre de errores y/o irregularidades de cualquier tipo. Gestión del riesgo: Actividades coordinadas para dirigir y controlar una organización considerando el riesgo. NOTA: Gestión del riesgo incluye típicamente evaluación del riesgo, tratamiento del riesgo, aceptación del riesgo y comunicación del riesgo Incidente de seguridad de información: Es indicado por una o varias series de eventos inesperados y no deseados que tienen una gran probabilidad de comprometer las operaciones de negocios y de amenazar la seguridad de información. [ISO/IEC TR 18044:2004]

5


Código: L - TI -03

Versión 02


Integridad: Asegurar que sea procesada toda la información necesaria y suficiente para la marcha de los negocios en cada uno de los sistemas informáticos y procesos transaccionales. Legalidad: Asegurar que toda la información y los medios físicos que la contienen, procesen y/o transporten, cumplan con las regulaciones legales vigentes en cada ámbito. Política: Dirección general y formal expresada por la gerencia. Riesgo: Combinación de la probabilidad de un evento y sus consecuencias. [ISO/IEC Guide 73:2002] Seguridad de la información: Preservación de la confidencialidad, integridad y disponibilidad de la información, así mismo, otras propiedades como la autenticidad, no rechazo, contabilidad y confiabilidad también pueden ser consideradas. Tratamiento del riesgo: Proceso de selección e implementación de medidas para modificar el riesgo. [ISO/IEC Guide 73:2002] Vulnerabilidad: Debilidad de un activo o grupo de activos que pueden ser explotados por una o más amenazas. [ISO/IEC 13335-1:2004]

4. DEFINICIÓN

Los lineamientos de Seguridad de la información complementan el procedimiento que gestiona y define los niveles de seguridad, analizando las brechas de seguridad existentes y los incidentes presentados, a partir de los cuales genera planes que permiten reducir los niveles de riesgo a los cuales está expuesta la entidad. Este lineamiento debe ser considerado como un marco de gobierno que cuenta con una política de seguridad adoptada por el más alto nivel de decisión de la entidad que orienta e imparte directrices relacionadas con la seguridad de los servicios y la información. El lineamiento de la Administración de Seguridad debe garantizar que las políticas de seguridad (se mencionan en manual de la política de seguridad para las tecnologías de la información y las comunicaciones – TICS M-TI-01) son revisadas regularmente y que refleja las necesidades de la entidad, al igual que establecer una estructura organizacional en términos de seguridad basada en roles y responsabilidades. Así mismo, establece mecanismos que permiten proteger los activos claves de la entidad, por tanto estos activos deben ser claramente identificados y analizados para comprender el nivel de criticidad de cada uno de ellos frente a los impactos que puedan generar a la entidad por pérdidas en la confidencialidad, integridad y disponibilidad de los mismos. El resultado del análisis de los activos debe generar una clasificación de seguridad adecuada de estos activos. El lineamiento de Administración de Seguridad debe garantizar que se realiza un análisis y valoración de riesgos asociados a cada uno de los activos identificados, lo cual permite establecer cuáles son los controles que deben desplegarse para reducir los niveles de riesgo calculados. Así mismo, las actividades necesarias para desplegar estos controles deben ser plasmadas en un plan de seguridad que contemple un análisis detallado de costo-beneficio de implementación de controles.

6


Código: L - TI -03

Versión 02


La implementación de los controles debe ser realizada a través de un procedimiento adecuado de cambios y liberaciones, garantizando que las pruebas requeridas son ejecutadas al igual que los procedimientos necesarios para operación son elaborados y formalmente establecidos. Es importante mencionar que existe una relación estrecha tanto con los lineamientos de incidentes y de monitoreo, dada la necesidad de gestionar de forma adecuada de los incidentes de seguridad que puedan presentarse.

4.1. Flujograma

El objetivo de este apartado es mostrar el flujo de actividades del lineamiento de Administración de Seguridad, los cuales están alineados a las mejores prácticas de la Administración de Servicios de ITIL® y MOF.

Ver Procedimiento de Administración de Seguridad P-TI-13.

4.1.1. Consideraciones claves en las actividades La información deberá clasificarse de acuerdo a lo establecido en la Guía para la calificación de la información G-GD-02

4.2. Metodología para análisis de riesgos

A continuación se muestran las actividades de cada una de las etapas para identificar con claridad la situación de cada uno de los activos de la Presidencia de la República: su valor, vulnerabilidades, y cómo están protegidos frente a las amenazas a las cuales están expuestos; con lo cual, una vez analizados los riesgos, se elaborará el plan de tratamiento que al ser implementado y monitoreado asegure niveles de riesgo aceptables para la entidad.

Ilustración 1. Etapas de la Gestión de Riesgos

Identificar Contexto

IDENTIFICAR CONTEXTO

•Identificar activos

•Valorar activos

•Identificar amenazas

•Identificarvulnerabilidades

•Identificar agentesgeneradores

ANALIZAR RIESGOS

•Estimar impacto pormaterialización deamenazas.

•Estimar probabilidadde ocurrencia

•Determinar riesgos

•Identificar controlesexistentes

•Evaluar controlesexistentes

VALORAR RIESGOS

•Estimar estado delriesgo

•Priorizar riesgos

TRATAR RIESGOS

•Toma de desiciones

•Plan de tratamientode riesgos

7


Código: L - TI -03

Versión 02


Objetivo: Conocer los eventos potenciales, que ponen en riesgos los activos y, establecer los efectos creados por su ocurrencia. a) Identificación de activos Un activo es: “Es cualquier elemento al cual se le asigna un valor y por lo tanto requiere protección. Los activos pueden ser: infraestructura tecnológica, documentos electrónicos y físicos, personas”, lo cual puede entenderse igualmente como aquello que requiere la organización para el cumplimiento de sus objetivos.

Tipos de activo

Tipo Descripción

Infraestructura

Infraestructura física

Centro de datos, oficinas.

Tecnología Hardware

Servidores, dispositivos de comunicaciones, computadoras de escritorio, lap-tops, impresoras, copiadoras, faxes, teléfonos, grabadoras de CD/DVD.

Tecnología Software Aplicaciones comerciales, aplicaciones desarrolladas en casa y open source.

información

Electrónica Información importante para el negocio (bases de datos) e información de soporte (procesos, políticas, procedimientos, guías y estándares) en medios electrónicos.

Papel Información importante para el negocio (reportes) e información de soporte (procesos, políticas, procedimientos, guías, contratos, información de clientes y estándares) en papel.

Gente

Dueños de información

Nivel directivo dueño de la información que asigna permisos para leer utilizar y modificar la información.

Usuarios Personal que utiliza la información para el desempeño de su trabajo diario y que da soporte a los sistemas de información.

Servicios Correo electrónico, Acceso a red privada virtual (VPN).

Tabla 1. Tipos de activos

b) Valoración de activos Una vez identificados los activos se realizará la valoración de cada uno de ellos en términos de valor para la entidad según las siguientes dimensiones:

Disponibilidad

Confidencialidad

Integridad La valoración por dimensiones de cada uno de los activos nos permite establecer que activos son más valiosos para la entidad y por tanto deben ser protegidos.

Valoración De Activo

MB: muy bajo

8


Código: L - TI -03

Versión 02


Tabla 2. Valoración de activos

c) Identificación de amenazas

Una vez valorados los activos es necesario identificar las amenazas a las cuales está expuesto cada activo; es importante que esta consideración se realice sin tener en cuenta los controles establecidos. Las amenazas son resultados de actos deliberados o mal intencionados que pueden afectar nuestros activos, sin embargo, existen eventos naturales o accidentales que deben ser considerados por su capacidad de generar incidentes no deseados. Las amenazas a la cuales están expuestos los diferentes activos pueden ser según su origen las siguientes:

Origen Amenaza

Condiciones Naturales

Incendios, inundaciones, sismos, tormentas.

Condiciones externas

Aspectos regulatorios, caída de energía, campos electromagnéticos, contaminación, crisis financieras, daño de agua, excesivo calor, excesivo frio, explosiones, perdida de proveedores, problemas de transporte, sobrecargas.

Condiciones internas

Campos electromagnéticos, contaminación, daños en los equipos, escapes, fallas en la red, fallas en líneas telefónicas, fallas mecánicas, falta de insumos, fugas, humedad, mala publicidad, pérdida de acceso, perdida de proveedores, polvo, problemas de transporte, registros errados, sobrecargas, suciedad, vibraciones.

Entorno Social Motines, protestas, sabotaje, vandalismo, bombas, violencia laboral, terrorismo.

Actos deliberados

Abuso privilegios de acceso, análisis de tráfico, ataque físico a los equipos, bombas lógicas, código malicioso, destrucción de información, divulgación de información, errores en código, espías (spyware),extorsión, Espionaje industrial, fallas de hardware, fallas de software, fallas en la red, fallas en líneas telefónicas, gusanos, incendios, ingeniería social, interceptación de información, manipulación de programas, perdida de datos, robo de información, suplantación de identidad, troyanos, usos no autorizados, Virus.

Actos accidentales

Destrucción de información, Incendios, pérdida de claves, perdida de dispositivos.

Humano Epidemias, huelgas, indisponibilidad de personal, perdida de personal clave.

Tabla 3. Listado de amenazas según su origen

d) Identificación de vulnerabilidades Debe identificarse la forma como cada una de las amenazas podría materializarse, es decir, que vulnerabilidades permiten que las amenazas se conviertan en situaciones de riesgo reales.

B: bajo

M: medio

A: alto

MA: muy alto

9


Código: L - TI -03

Versión 02


Algunas vulnerabilidades pueden ser: • Ausencia de políticas • Configuraciones no seguras • Empleado actual descontento • Empleado antiguo descontento • Empleado deshonesto (sobornado o víctima de chantaje) • Empleado desinformado • Empleado negligente • Errores de configuración. • Errores de mantenimiento. • Errores del administrador. • Errores en código. • Exposición a materiales peligrosos. • Fallas de usuarios. • Manuales de uso no documentados • Medidas de protección de acceso inadecuadas • Medidas de protección física inadecuadas • Procesos o procedimientos no documentados. • Usuario desinformado. • Tecnología inadecuada. • Debilidad o inexistencia de controles. • Condiciones de locales inadecuadas o no seguras. • Identificación de agentes generadores Los agentes generadores se entienden como todos los sujetos u objetos tienen la capacidad de originar una situación de riesgo; se pueden clasificar en:

Personas

Materiales

Instalaciones

Entorno Analizar Riesgos Objetivo: Establecer la probabilidad de ocurrencia de los riesgos y el impacto de sus consecuencias, calificándolos y evaluándolos, a fin de determinar la capacidad de la organización para su aceptación o manejo. La calificación del riesgo se logra a través del producto de la estimación de la frecuencia y de la gravedad de los efectos causados por la materialización del riesgo. La primera representa el número de veces que se ha presentado o puede presentarse el riesgo, y la segunda se refiere a la magnitud de sus efectos. a) Estimar impacto por materialización de amenazas

10


Código: L - TI -03

Versión 02


El impacto es la medida de daño causado por un incidente en el supuesto de que ocurra, afectando así, el valor de los activos. Esta pérdida de valor la denominamos degradación del activo. La medición del impacto la realizaremos utilizando la siguiente matriz:

VALORACION DEL ACTIVO

DEGRADACION DEL ACTIVO

5% 25% 50% 75% 100%

MA: muy alto M A A MA MA

A: alto B M A A MA

M: medio B M M A A

B: bajo MB B M M A

MB: muy bajo MB MB B B M

Tabla 4. Matriz de estimación del impacto sobre activos.

b) Estimar probabilidad de ocurrencia

Una vez valorado el impacto es necesario establecer la probabilidad de ocurrencia (materialización de las amenazas), que puedan causar daño a nuestros activos. La probabilidad de ocurrencia puede determinarse de forma: Cualitativa: a partir del análisis de las amenazas, teniendo en cuenta sus características, origen y agentes generadores; este método lo utilizaremos cuando no existan antecedentes

de ocurrencia de incidentes que nos permitan determinar con un nivel adecuado de certeza su posibilidad de ocurrencia.

Cuantitativo: a partir de los datos históricos que posea la compañía relacionados con la frecuencia de ocurrencia de las amenazas identificadas. La frecuencia se considera como numero de ocurrencias de la amenaza en un año, Este método nos permite tener un mayor grado de certeza en los resultados obtenidos del análisis de riesgos. c) Determinar riesgos Conociendo el impacto de las amenazas sobre los activos es posible determinar el nivel de riesgo potencial, teniendo en cuenta la frecuencia de ocurrencia de los incidentes generados por las amenazas. Debe tenerse en cuenta que el riesgo crece con el impacto y con la frecuencia. Para determinar el nivel de riesgo utilizaremos los resultados obtenidos sobre impacto y probabilidad, así:

IMP

AC

TO MA: muy alto

Zona de riesgo moderado

Zona de riesgo importante

Zona de riesgo inaceptable

Zona de riesgo inaceptable

A: alto Zona tolerable del

riesgo Zona de riesgo

moderado Zona de riesgo

importante Zona de riesgo

inaceptable

M: medio Zona tolerable del



importante Zona de riesgo

importante

11


Código: L - TI -03

Versión 02


B: bajo Zona aceptable de

riesgo Zona tolerable del



moderado

MB: muy bajo Zona aceptable de

riesgo Zona aceptable de



riesgo

Poco frecuente Normal Frecuente Muy frecuente

FRECUENCIA

Tabla 5. Matriz para determinación de riesgos.

d) Identificar controles existentes

En los pasos anteriores no se han tomado en consideración los controles existentes. Se miden, por tanto, los impactos y riesgos a que estarían expuestos los activos si no se protegieran en absoluto. Los controles existentes son las medidas o contramedidas que se tienen implementados para reducir los riesgos: procedimientos, mecanismos, controles tecnológicos, etc. Las medidas adoptadas pueden estar orientadas a:

Prevenir que el incidente se presente (Reduciendo la frecuencia de la amenaza).

Limitar la posible degradación de los activos (Reducir las consecuencias) ó detectar inmediatamente el ataque para evitar que la degradación avance; algunos controles se limitan a permitir la pronta recuperación del sistema cuando la amenaza lo destruye.

Para identificar los controles existente puede utilizarse como referencia el anexo A del estándar ISO/IEC 27001. e) Evaluar controles existentes Una vez identificados los controles existentes es necesario evaluar su efectividad frente a los riesgos que se pretenden mitigar. Para medir la efectividad de los controles utilizaremos los siguientes criterios:

Tabla 6. Criterios para valoración de controles existentes

Valoración De Riesgos

Criterio Nulo Excelente

El control está formalmente establecido. SI NO

El control está perfectamente desplegado, configurado y mantenido.

SI NO

Existen procedimientos claros de uso del control y en caso de incidencias.

SI NO

Los usuarios están formados y concienciados sobre la aplicación del control.

SI NO

El control es funcional desde el punto de vista teórico y operacional.

SI NO

12


Código: L - TI -03

Versión 02


Objetivo: Determinar el nivel o grado de exposición de la organización a los impactos del riesgo, estimando las prioridades para su tratamiento, así mismo, en esta etapa se identifican los mayores riesgos a los cuales está expuesta la entidad para emprender acciones inmediatas de respuesta ante ellos a través de la implementación de objetivos de control, controles, eliminación del riesgo, su transferencia, la aceptación de los efectos causados por su ocurrencia, o buscar la forma de compartir el riesgo con un tercero. a) Estimar estado real del riesgo El estado actual del riesgo se establece considerando los controles existentes, orientados a prevenir que el incidente se presente o limitar la posible degradación de los activos. b) Priorizar riesgos El estado real del riesgo nos muestra el grado de exposición de la entidad frente a las amenazas evaluadas, allí es posible distinguir entre los Riesgos aceptables, tolerables, moderados, importantes o inaceptables, y establecer la prioridad de las acciones requeridas para su tratamiento. Las acciones deberán priorizarse así:

Estado real del riesgo (Zona de riesgo) Prioridad Tiempo de ejecución de

acciones Inaceptable Muy Alta Inmediata

Importante Alta De 0 a 3 meses

Moderado Media De 3 a 6 meses

Tolerable Baja De 6 a 12 meses

Aceptable Muy baja De 6 a 12 meses

Tabla 7. Priorización de riesgos y ejecución de actividades

Gestión De Riesgos Objetivo: Estructurar los criterios orientadores en la toma de decisiones respecto al tratamiento de los riesgos, en esta etapa se establece las guías de acción necesarias para coordinar y administrar los eventos que pueden comprometer la confidencialidad, integridad y disponibilidad de los activos de la entidad. Así mismo se identifican las opciones para tratar y manejar los riesgos que basadas en la valoración, permiten tomar decisiones adecuadas acerca de si se acepta, se evita, se reduce, se comparte un riesgo o se transfiere legalmente el impacto. a) Toma de decisiones Una vez ejecutadas las etapas de análisis y valoración, y con base en los resultados obtenidos en la determinación real de riesgos, es necesario tomar decisiones aplicando los siguientes criterios:

13


Código: L - TI -03

Versión 02


Si el riesgo se ubica en la Zona de Riesgo Aceptable, permite a la Organización aceptarlo, es decir, el riesgo se encuentra en un nivel que puede asumirse sin necesidad de tomar otras medidas de control diferentes a las que se poseen.

Si el riesgo se ubica en la Zona de Riesgo Inaceptable es aconsejable eliminar la actividad que genera el riesgo en la medida que sea posible, de lo contrario se deben implementar controles orientados a reducir la frecuencia del riesgo y disminuir el impacto por degradación de activos, o compartir el riesgo si es posible a través de pólizas de seguros u otras opciones que estén disponibles.

Si el riesgo se sitúa en cualquiera de las otras zonas (riesgo tolerable, moderado o importante) se deben tomar medidas para llevar los Riesgos a la Zona Aceptable, en lo posible.

Debe entenderse y aceptarse que en los casos en los cuales se comparte la pérdida ocasionada por un riesgo a través de los contratos de seguros, se asume la parte del riesgo que el seguro no cubre. Siempre que el riesgo sea calificado impacto muy alto el DAPRE diseñará planes de emergencia, contingencia y recuperación, para protegerse en caso de su ocurrencia, los cuales serán orientados y controlados por el Comité de Seguridad establecido. Las medidas tomadas frente a cada uno de los riegos deben ser conocidas y aceptadas formalmente por el Comité de Seguridad. “Cualquier nivel de impacto y/o riesgo es aceptable si lo conoce y acepta formalmente el Comité de Seguridad”. Para seleccionar los controles frente a los riesgos establecidos, deberá realizarse un análisis costo-beneficio para evitar implementación de controles con costos superiores al costo de los riesgos reales. b) Plan de tratamiento de riesgos Una vez seleccionado los controles que serán implementados para mitigación de riesgos es necesario elaborar un plan que garantice un efectivo despliegue de los mismos. La elaboración del plan de tratamiento de riesgos será responsabilidad del Responsable del lineamiento de Seguridad de la Información y la aprobación de los mismos del Comité de Seguridad de la Presidencia de la República. El plan de tratamiento de riesgos debe incluir lo siguiente:

Los controles a implantar o mejorar

La relación de riesgos a mitigar

Las personas responsables de su implementación.

Estimación de recursos necesarios:

Económicos Humanos Físicos

14


Código: L - TI -03

Versión 02


Relación de tareas y subtareas a ejecutar con sus respectivos responsables.

Plan de capacitación a todos los involucrados en la implementación de controles.

Indicadores de eficiencia y eficacia de los controles a implementar o mejorar.

4.3. Descripción de roles

A continuación se presenta la descripción de los principales roles de la Administración de Seguridad. Por cada uno de los roles se proporciona la siguiente información:

Objetivo: Propósito general del rol descrito

Responsabilidades: Descripción de las actividades principales del rol

Competencias: Descripción del conocimiento técnico o profesional necesario para desempeñar el rol descrito

Habilidades: Descripción de cualidades y destrezas que complementan la competencia del rol descrito

COMITÉ DE SEGURIDAD

Objetivo Definir y validar el cumplimiento de las políticas y directrices de seguridad y aprobar la asignación de recursos materiales, humanos y financieros en materia de seguridad de la información.

Responsabilidades

Aprobar el plan general de seguridad.

Aprobar y revisar proyectos sobre seguridad de la información.

Aprobar la definición de roles y responsabilidades que se relacionen a la seguridad de la información.

Aprobar el uso de metodologías y lineamientos específicos para la seguridad de la información.

Asegurar que se promueva la seguridad de la información.

Aprobar las políticas, procedimientos y lineamientos de seguridad de la información.

Validar el marco normativo de seguridad.

Garantizar los recursos para la implementación de controles de seguridad.

Validar todas y cada una de las políticas en materia de seguridad de la información.

Autorizar la disposición de recursos humanos, económicos y materiales necesarios para la adecuada implantación de las políticas de seguridad.

Promover las revisiones internas que aseguren la efectividad de las acciones en materia de seguridad de la información.

Aprobar iniciativas que promuevan la mejora continua de la seguridad.

Identificar y priorizar los riesgos que puedan afectar la seguridad de la información.

Proveer los medios para capacitar al personal en materia de seguridad de la información.

Competencias Toma de decisiones

Liderazgo

15


Código: L - TI -03

Versión 02


Compromiso institucional

Habilidades Administrativas

Conocimiento de la organización del Área de Tecnología y Sistemas de Información

ADMINISTRADOR LINEAMIENTO DE SEGURIDAD

Objetivo Asegurar que se cumpla con calidad el flujo de trabajo de políticas y procedimientos de la Administración de Seguridad.

Responsabilidades

Planea la estrategia de implantación y mejora continua de la Administración de Seguridad.

Implementa, entrena y mantiene el lineamiento de Administración de Seguridad (incluyendo documentación).

Monitorea las métricas del lineamiento de Administración de Seguridad para su mejora continua.

Tomar decisiones sobre el lineamiento de Administración de Seguridad cuando interactúa con otros lineamientos.

Planear la estrategia de implantación y mejora continua de la Administración de Seguridad.

Definir políticas, procedimientos y controles con el Comité de seguridad que permitan minimizar los riesgos.

Implementar políticas, procedimientos y controles para garantizar y resguardar la confidencialidad, integridad y disponibilidad de la información y activos.

Desarrollar y aplicar una metodología de administración de riesgos de seguridad.

Actualizar de forma periódica los análisis de riesgos de seguridad de la información.

Vigilar el cumplimiento de políticas, procedimientos y controles existentes en materia de seguridad de la información.

Coordinar los esfuerzos para implementar controles tecnológicos en materia de seguridad en la entidad.

Atender las recomendaciones derivadas de las auditorías internas y externas en materia de seguridad de la información.

Supervisar el cumplimiento de las iniciativas establecidas por el Comité de Seguridad de la Información en tiempo, costo y alcance.

Recibir y revisar de manera periódica los reportes de monitoreo de seguridad.

Recibir y revisar los reportes de la administración de las cuentas (altas, bajas y cambios) de todos los sistemas.

Reportar de forma periódica los indicadores de seguridad de la información.

Coordinar el seguimiento y cierre de incidentes de seguridad detectados.

16


Código: L - TI -03

Versión 02


4.3.1. Matriz RACI

Una tarea muy importante es realizar un mapeo de los roles y las responsabilidades, así como su intervención en cada una de las actividades con motivo de conocer quién toma parte en cada actividad y con qué nivel de participación. Este mapeo se lleva a cabo con una matriz llamada RACI, donde cada letra que forma su nombre es una responsabilidad específica en la actividad. A continuación se muestra la nomenclatura a utilizar dentro de la tabla RACI definida para el lineamiento de Administración de Seguridad.

RESPONSABILIDAD DESCRIPCIÓN

R Responsible Responsable de ejecutar la actividad.

A Accountable Encargado del cumplimiento y la calidad en la ejecución de la actividad.

C Consulted Aporta conocimiento y/o información para que el responsable ejecute la actividad.

I Informed Rol que debe ser informado una vez que la actividad ha finalizado,

A continuación se muestra la tabla RACI definida para el lineamiento de Administración de Seguridad. Dicha tabla está conformada por los siguientes rubros:

No: Número correspondiente a la secuencia de actividades de la función del Punto Único de Contacto o el

lineamiento de Administración de Incidentes

Actividad: Nombre de la actividad

Roles: Nombre de los roles participantes en el lineamiento de Administración de Incidentes, y de Administración de Servicios, implementados en el Área de Tecnología y Sistemas de Información.

Competencias

Ingeniería de Sistemas o carreras afín

Experiencia en la operación de TI en la Presidencia de la República

Conocimiento y experiencia en tecnologías de información

Conocimientos en Administración de Proyectos

Conocimiento en administración de riesgos

Conocimientos sobre fundamentos de ITIL ®v3.

Habilidades

Administrativas

Capacidad de trabajo en equipo

Conocimiento de la organización del Área de Tecnología y Sistemas de Información

Conocimientos y práctica en sistemas de información

17


Código: L - TI -03

Versión 02


LINEAMIENTO DE ADMINISTRACIÓN DE SEGURIDAD

No. Actividad

Usu

ario

/Clie

nte

Ad

min

istr

ado

r d

e S

egu

rid

ad

Co

mit

é d

e S

egu

rid

ad

Age

nte

de

Pu

nto

Ún

ico

de

Co

nta

cto

Ad

min

istr

ado

r Ta

len

to

hu

man

o

Ad

min

istr

ado

r co

ntr

ol

dis

cip

linar

io in

tern

o

Ad

min

istr

ado

r in

cid

en

tes

Ad

min

istr

ació

n d

e

con

figu

raci

on

es

Ad

min

istr

ació

n d

e C

amb

ios

Ad

min

istr

ació

n d

e N

ive

les

de

Se

rvic

io

Ad

min

istr

ació

n d

e

Lib

era

cio

ne

s

1000

ENTRADA DE LINEAMIENTO

Requerimientos de seguridad identificados

R A/I R

1010


Brecha potencial de seguridad

R A/I

6000


Incidente de seguridad detectado

R I A

4000 Registrar y revisar

requerimiento C A/R

4010 Ajustar y mantener las políticas de seguridad

A/R C C

4020 Identificar CI’s a

proteger R A R

4030 Clasificar CI’s R A C

4040 Realizar gestión de

riesgos de seguridad R A

4050 Solicitar Ajuste BIA A/R

4060 Generar plan de

Tratamiento de riesgos C A/R C C C C

5000 Evaluar plan de

tratamiento de riesgos C A/R C C

18


Código: L - TI -03

Versión 02


5010 Es aprobado A/R C

5020 Riesgos aceptados A/R C C

5030 Firmar cartas de

aceptación de riesgos A/R

No. Actividad

Usu

ario

/Clie

nte

Ad

min

istr

ado

r d

e

Segu

rid

ad

Co

mit

é d

e S

egu

rid

ad

Age

nte

de

Pu

nto

Ún

ico

de

Co

nta

cto

Ad

min

istr

ado

r Ta

len

to

hu

man

o

Ad

min

istr

ado

r co

ntr

ol

dis

cip

linar

io in

tern

o

Ad

min

istr

ado

r in

cid

en

tes

Ad

min

istr

ació

n d

e

con

figu

raci

on

es

Ad

min

istr

ació

n d

e

Cam

bio

s

Ad

min

istr

ació

n d

e

Niv

ele

s d

e S

erv

icio

Ad

min

istr

ació

n d

e

Lib

era

cio

ne

s

4070 Implementar y probar plan de tratamiento de

riesgos R A R R

4080 Promover capacitación

en seguridad de información

R A R

3000

Realizar acuerdos e inducción sobre

seguridad de información.

R A R

4090 Desarrollar

procedimientos requeridos

R A/R C R C

4100 Desarrollar lineamientos

de monitoreo de seguridad.

A/R C

4110 Desarrollar

procedimientos respuesta a incidentes

I A/R R C

4120

Revisar y auditar controles y

procedimientos implementados

A/R C

4130 ¿Existen problemas de

seguridad? A/R

4150 Revisar si existió

violación a políticas de seguridad

A/R C C

4160 ¿Se requiere Informar violación a la política?

A/R C I

19


Código: L - TI -03

Versión 02


2000 Tomar acciones

disciplinarias I I/C I/C C A/R

4170 ¿Se requiere cambios en

políticas ó procedimientos?

I A/R C C C

6010 Registrar incidente C/I I R A

6020 Gestionar incidente de

seguridad C/I I R A/R

4180 Proveer asistencia cuando se requiera

A R

6030 Resolver y cerrar

incidente de seguridad I C A/R

4.3.2. Políticas para normar el lineamiento de la Administración de Seguridad Las políticas de la Administración de Seguridad se han creado con el objetivo de:

Dar gobierno al lineamiento de la Administración de Seguridad

Cumplir con los requerimientos de Área de Tecnología y Sistemas de Información

Cumplir con las mejores prácticas de ITIL®

Política General de Seguridad

La Presidencia de la República comprende que su información es un recurso de carácter transcendental para el cumplimiento de su misión, visión y objetivos, por tanto; la seguridad de la información es un factor prioritario para proteger la integridad, disponibilidad y confidencialidad de dicha información de una amplia gama de amenazas, a fin de garantizar la continuidad de las operaciones de la entidad, minimizar los daños que puedan ocasionarse y maximizar las oportunidades de la Presidencia de la República. Políticas específicas del lineamiento de Administración de Seguridad debe:

Proteger la información y los activos de tecnología de la información.

Garantizar el cumplimiento de los requerimientos de la entidad y los legales respecto a la seguridad de la información.

Establecer controles de seguridad a través de la implantación de políticas, estándares, guías y procedimientos, apoyados con mecanismos y servicios automatizados que permitan la protección de los recursos de la información de la entidad.

Gestionar los riesgos a los que se encuentra expuesta la entidad para proteger toda su información crítica.

Desarrollar un plan de concientización para todo el personal relacionado con la seguridad de la información.

Revisar periódicamente el cumplimiento de las políticas de seguridad de la información.

20


Código: L - TI -03

Versión 02


Informar a la Oficina de Control Disciplinario Interno cuando se considere necesario, el incumplimiento de las políticas de seguridad de la información.

Directrices de seguridad

El Área de Tecnología y Sistemas de Información debe elaborar un inventario de los activos de información de la entidad que incluya la clasificación, ubicación y propietario de los mismos, garantizando que es mantenido y actualizado, actualizado en Base de Datos de Ítems de Configuración – CMDB. Ver Procedimiento Manejo de Requerimientos P-TI-06

La información deberá clasificarse en términos de su valor y criticidad como: publica, confidencial o reservada y, será responsabilidad de los dueños de los activos.

La clave de usuario debe ser única para cada usuario que solicite acceso a los servicios de información.

Todos los usuarios deben acceder a los recursos de servicios de información a través de la cuenta de usuario asignada.

El área de Talento Humano debe informar al Área de Tecnología y Sistemas de Información las novedades de personal como retiros, traslados o cambio de funciones en las siguientes “24 horas” a su aprobación.

El área de Tecnología y Sistemas de Información llevará un registro de todas las personas a las cuales se les ha otorgado algún derecho o facultad de acceso.

Los privilegios de acceso deberán ser formalmente aprobados por los dueños de la información documentados y archivados.

El Área de Tecnología y Sistemas de Información deberá proporcionar al usuario una copia firmada de sus privilegios de acceso.

Los usuarios son responsables de las actividades realizadas a través de su cuenta asignada.

No se otorgarán privilegios de acceso a proveedores o contratistas a las plataformas tecnológicas de la entidad hasta que no hayan sido formalmente autorizados.

Las contraseñas deben ser otorgadas a los usuarios de manera segura, verificando que sólo el usuario las conoce. Se debe evitar el uso de mensajes de correo electrónico para su envío.

Los usuarios del SIGOB deberán cambiar la clave de acceso cada que el sistema así lo solicite.

Las contraseñas deberán ser almacenadas en formatos protegidos.

21


Código: L - TI -03

Versión 02


Las contraseñas referentes a las cuentas “predefinidas” incluidas en los sistemas o aplicaciones adquiridas deben ser desactivadas. De no ser posible su desactivación, las contraseñas deben ser cambiadas después de la instalación del producto.

El Área de Tecnología y Sistemas de Información debe revisar los derechos de acceso de forma bimestral.

Los usuarios deben garantizar que sus contraseñas no son reveladas ni compartidas.

En caso de sospecha de revelación de contraseñas a personas no autorizadas, estas contraseñas deben ser cambiadas inmediatamente.

Si el usuario está utilizando información sensible clasificada como “reservada o confidencial”, no podrá abandonar su equipo de cómputo, terminal o estación de trabajo sin antes salir o bloquear el sistema o aplicación pertinente.

Las contraseñas deben tener una longitud mínima de 8 caracteres, combinar caracteres alfanuméricos y ser cambiadas máximo cada 30 días.

Todas las plataformas tecnológicas de la entidad deben verificar la identidad de los usuarios y autenticarlos antes de iniciar una sesión o transacción.

Las claves de usuario serán bloqueadas después de “seis” intentos de accesos fallidos.

Las claves de acceso deberán ser deshabilitadas después de un periodo de inactividad de 15 días.

Todos los empleados, proveedores y terceras personas que puedan tener acceso a información reservada o confidencial de la Presidencia de la República, deben firmar un acuerdo de confidencialidad.

Los coordinadores y directores deberán garantizar que se comunica a todo el personal claramente las responsabilidades relacionadas a la seguridad de la información antes de darles acceso a la información.

El Área de Tecnología y Sistemas de Información debe dar a conocer las políticas de seguridad de la Presidencia de la República.

Todo el personal al momento de su ingreso debe recibir dentro de su programa de inducción y reinducción una presentación que contenga las políticas y sanciones de seguridad de la información vigentes.

Todo el personal será capacitado al menos 1 vez al año en temas y problemas de seguridad de la información tales como:

o Procedimientos para el uso adecuado de cuentas y contraseñas. o Uso adecuado de los activos de información. o Información referente al proceso disciplinario y sanciones.

22


Código: L - TI -03

Versión 02


El área de Talento humano debe garantizar que los empleados retirados de la entidad devuelven la información confidencial y reservada que tiene bajo su resguardo.

Los roles y responsabilidades relativas a la seguridad deben estar asignadas formalmente.

Está prohibido ingresar a las áreas de trabajo dispositivos de almacenamiento, memorias, discos duros, unidades de respaldo, u otros medios de almacenamiento sin autorización formal de los respectivos coordinadores o directores de la entidad.

No está permitido que los empleados ingresen a las áreas de trabajo equipos de cómputo de su propiedad para realizar actividades laborales o personales.

La salida de equipos de cómputo fuera de las instalaciones de la presidencia debe ser autorizada formalmente por coordinadores ó directores de la entidad.

Los equipos de cómputo deben protegerse de riesgos del medio ambiente, tales como: polvo, incendios, inundaciones, etc.

Los usuarios de los equipos de cómputo no deben tener privilegios de administrador para evitar la modificación a la configuración estándar establecida por el Área de Tecnología y Sistemas de Información de la Presidencia de la República.

Todo equipo de cómputo de la entidad debe contar con una configuración estándar definida por el Área de Tecnología y Sistemas de Información.

Todos los responsables de equipos deben garantizar el resguardo de los mismos y la información contenida en los equipos.

Todos los empleados de la presidencia de la República deben conservar las configuraciones establecidas por el Área de Tecnología y Sistemas de Información.

Todos los usuarios deberán bloquear su equipo (usando las teclas CTRL+ALT+SUP) cuando por cualquier razón dejen su lugar de trabajo, y apagar su equipo de cómputo al término de la jornada laboral.

Antes de asignar el equipo de cómputo a un nuevo usuario, el Área de Tecnología y Sistemas de Información debe asegurarse que no existe información confidencial en dicho equipo, en caso contrario, debe proceder a respaldar completamente la información y posteriormente deberá borrarla del equipo.

Está prohibido ingresar a las áreas de trabajo o extraer de las instalaciones de la Presidencia de la República medios removibles (CD, DVD, USB, Discos Duros, ZIP, entre otros), sin la debida autorización.

Los puntos de acceso inalámbrico deben estar configurados de manera segura, tomando en cuenta los siguientes aspectos:

23


Código: L - TI -03

Versión 02


o Uso de encripción de 128 bits mínimo. o Administración del filtrado de direcciones MAC de los dispositivos inalámbricos conectados. o Establecer el número máximo de dispositivos que pueden conectarse.

Se debe tener instalados y configurados los siguientes dispositivos de seguridad para salvaguardar los datos que se transmiten a través de la red:

o Firewalls. o Sistema de prevención y detección de intrusos.

El Área de Tecnología y Sistemas de Información debe garantizar que los componentes de red, cuentan con las configuraciones seguras contemplando la actualización de parches y versiones indicadas por el proveedor.

Se debe llevar a cabo un estricto bloqueo de sitios Web que no son necesarios, ya que consumen recursos de la red a excepción del personal que por sus funciones lo requieran.

El Área de Tecnología y Sistemas de Información debe realizar pruebas (mínimo una vez al año) de penetración así como un análisis de vulnerabilidades de la red para la medición de la seguridad perimetral de la red interna ante un ataque desde el exterior.

El Área de Tecnología y Sistemas de Información debe establecer las medidas y mecanismos de control, monitoreo y seguridad, para el correo electrónico y los accesos a páginas o sitios de Internet con contenidos u orígenes sospechosos.

El personal de la Presidencia de la República debe utilizar el correo electrónico únicamente con fines laborales.

Es responsabilidad de los usuarios revisar los archivos adjuntos con el antivirus antes de descargarlos a cualquier equipo de cómputo.

El tamaño para enviar archivos adjuntos no debe sobrepasar 15 MB, El tamaño para recibir archivos adjuntos no debe sobrepasar los 15 MB.

Queda prohibido hacer uso de la cuenta de correo electrónico para las siguientes actividades:

o Generar o enviar correos electrónicos a nombre de otra persona sin autorización o suplantándola.

o Crear o reenviar cartas cadena o cualquier otro esquema de pirámide de mensajes.

o Enviar correo no deseado (spam).

o Adjuntar archivos que contengan virus, archivos dañados, programas que descarguen otros archivos, o cualquier otro programa o software que pueda perjudicar el funcionamiento de los equipos de otros.

o Anunciar, enviar, o emitir contenido del cual no se tiene el derecho de transmisión por ley o bajo relación

contractual tal como información confidencial entregada como parte de las relaciones de empleo o bajo contratos de confidencialidad.

24


Código: L - TI -03

Versión 02


o Descargar e intercambiar música, video e imágenes de Internet en cualquier medio y desde cualquier medio.

El uso de internet debe de estar controlado por un dispositivo de seguridad como un proxy, permitiendo solamente a los usuarios autorizados el utilizar el servicio.

El uso de internet debe de ser solo para fines laborales y no para realizar actividades personales o con fines de lucro.

El usuario es el único responsable de comportamientos inapropiados o no éticos cuando se accede a Internet desde las instalaciones de la entidad.

El administrador de la seguridad es el autorizado para habilitar páginas bloqueadas siempre y cuando el acceso a estas se encuentre previamente autorizado por el director respectivo existiendo una justificación para ello.

Está estrictamente prohibido el uso inapropiado de Internet para desarrollar actividades ilegales, acceder y/o descargar contenido pornográfico, descargar cualquier tipo de software sin autorización del área de Tecnología y Sistemas de Información, cargar o descargar software comercial violando las leyes de derecho de autor.

4.3.3. Consideraciones clave

Las Consideraciones Clave de la Administración de Seguridad son las condiciones, capacidades y actitudes fundamentales para el éxito de la implementación y operación de la disciplina en el ambiente productivo de la organización. A continuación se presentan dichas consideraciones:

El establecimiento de una adecuada política de seguridad de la información, clara y consensuada alineada a los requerimientos de la entidad.

Garantizar un adecuado apoyo de la Alta Dirección de la entidad en la implementación de la Seguridad de la información y respaldo a las políticas definidas.

Definir políticas, procedimientos y controles aplicables a la organización desde el punto de vista funcional y operativo.

Comprender que la seguridad no es responsabilidad del Área de Tecnología y Sistemas de Información sino de toda la organización.

Establecer y aplicar un plan sostenible de concientización sobre los requisitos de seguridad.

Garantizar que no se presente el mal uso y abuso de los sistemas de información que afectan a la intimidad y los valores éticos.

Mitigar riesgos asociados a peligros externos de los hackers, que conduce a la negación de servicio y ataques de virus, la extorsión, el espionaje industrial y la fuga de información de la organización o datos privados.

25


Código: L - TI -03

Versión 02


Generar al interior de la entidad un grado adecuado de compromiso con los lineamientos de administración de seguridad.

Realizar una evaluación y gestión de riesgos relacionada con Gestión de la disponibilidad.

4.4. Reportes

Los reportes son herramientas útiles para el administrador y el área táctica de la organización, ya que muestran el comportamiento del lineamiento durante un periodo determinado. La información que proveen facilita la evaluación de la eficiencia y efectividad del lineamiento. A continuación se presenta una tabla que muestra los reportes definidos para el lineamiento de Administración de Seguridad. Dicha tabla está conformada por los siguientes rubros:

Nombre: Especifica el nombre del reporte

Métrica o campos que incluye: Listado de métricas y campos incluidos en el reporte

Frecuencia del reporte: Lapso de tiempo en el que será generado el reporte

Rol a quien se dirige: Rol al cual se dirige el reporte generado

Fuente de información: Repositorio del cual se obtendrán las métricas o campos que incluye el reporte

bre del reporte Indicador o campos que incluye

Frecuencia del reporte

Rol a Quien se Dirige

Fuente de Información

Reporte estadísticos Indicadores definidos para el proceso de Administración de Seguridad.

Mensual Administrador de Seguridad

Datos del proceso

Reporte de Incidentes de seguridad

Categoría de incidentes de seguridad

Estatus

Causa


Base de datos de Altiris

Reportes de creación altas y bajas de cuentas de usuarios clientes

Detalle de cuentas de usuarios.


26


Código: L - TI -03

Versión 02


5. MARCO LEGAL

Se puede consultar en el aplicativo SIGEPRE – Mapa de procesos – Tecnología de Información y Comunicaciones – Normograma o en el campo de documentos asociados cuando se consulta el documento.

6. REQUISITOS TÉCNICOS

Libros de ITIL® v3, en específico Diseño del Servicio (Service Design) Marco de Trabajo Operativo de Microsoft (MOF) Estándar ISO/IEC 27001

7. DOCUMENTOS ASOCIADOS

Se puede consultar en el aplicativo SIGEPRE – Mapa de procesos – Documentos y formatos o en el campo de documentos asociados cuando se consulta el documento.

8. RESPONSABLE DEL DOCUMENTO

Jefe Área de Tecnología y Sistemas de Información.

Nombre del reporte Indicador o campos que incluye

Frecuencia del reporte

Rol a Quien se Dirige

Fuente de Información

Reporte estadísticos Indicadores definidos para el proceso de Administración de Seguridad.


Datos del proceso

Reporte de Incidentes de seguridad

Categoría de incidentes de seguridad

Estatus

Causa


Base de datos de Altiris

Reportes de creación altas y bajas de cuentas de usuarios clientes

Detalle de cuentas de usuarios.


lineamientos de administracion de...

Documents