plan seg inf

Tabla de contenido

Presentación del documento.

Dirección de Tecnología del Ministerio del Interior.

Misión:

“Planear y ejecutar proyectos y procesos de Tecnologías de la Información (TI)

para la aplicación de políticas públicas y mejora de la gestión institucional y de

los servicios a la ciudadanía, así como garantizar la operación de los sistemas

y servicios informáticos, gestionar la seguridad informática, brindar soporte

técnico en herramientas, aplicaciones, sistemas y servicios informáticos de la

Institución, e implementar la interoperabilidad con otras Entidades”.

Objetivos Homologados:

Incrementar la alineación estratégica de TI a los planes institucionales y

gubernamentales mediante la alineación del plan estratégico de TI,

creando los proyectos y programan que optimicen recursos, mitiguen los

riesgos y generen servicios confiables.

Incrementar la calidad de los servicios de TI, mediante la identificación

de las necesidades de la Institución, brindando soluciones óptimas y

eficientes que brinden el nivel de servicio planificado y acordado.

Incrementar la capacidad de los procesos de Gobierno y Gestión de TI,

mediante la integración del plan estratégico y riesgos de TI, con la

Institución, manteniendo la disponibilidad de la Información y

disminuyendo el impacto de los incidentes de seguridad.

Incrementar las capacidades y eficiencia del Talento Humano y los

recursos financieros de TI, mediante la optimización de las necesidades

de la Institución, proveyendo eficiencia en los costos y en el valor de las

soluciones y servicios con personal calificado, alineado a los objetivos

Institucionales.

1. Alcance.

Para la gestión de proyectos y procesos de Tecnologías de la Información (TI)

de la Dirección de Tecnología del Ministerio del Interior, es necesario el uso de

sistemas de la información, servicios informáticos e información almacenada en

servidores y archivos planos físicos.

El SIGSI puede regularizar y controlar todo aspecto concerniente al uso de los

mismos a fin de mantener las operaciones lo más seguras posibles sin

impactar el nivel de servicio y la continuidad de las operaciones.

El alcance del SIGSI de la Dirección de Tecnología del Ministerio del Interior es

delimitado de la siguiente manera:

Servicios implicados.

Procesos de alineación estratégica de TI a los planes institucionales y

gubernamentales mediante la alineación del plan estratégico de TI, creando los

proyectos y programan que optimicen recursos, mitiguen los riesgos y generen

servicios confiables.

Procesos de calidad de los servicios de TI, mediante la identificación de las

necesidades de la Institución, brindando soluciones óptimas y eficientes que

brinden el nivel de servicio planificado y acordado.

Procesos de Gobierno y Gestión de TI, mediante la integración del plan

estratégico y riesgos de TI, con la Institución, manteniendo la disponibilidad de

la Información y disminuyendo el impacto de los incidentes de seguridad.

Procesos de incrementar las capacidades y eficiencia del Talento Humano y los

recursos financieros de TI, mediante la optimización de las necesidades de la

Institución, proveyendo eficiencia en los costos y en el valor de las soluciones y

servicios con personal calificado, alineado a los objetivos Institucionales.

Localizaciones físicas.

El SIGSI está delimitado y es aplicable a la Dirección de Tecnología del

Ministerio del Interior ubicado en el segundo piso en las Calles Benalcázar N4-

24 entre Chile y Espejo – Quito – Ecuador.

Sistemas de Información.

Sistema de consulta de antecedentes penales.

SITMIN (Sistema Integrado del Ministerio del Interior).

Sistema de monitoreo por GPS.

Sistema de botón de seguridad.

Sistema de Gestión de Mantenimiento de UPC.

Sistema de Reclutamiento Policial.

Correo electrónico institucional.

Servicio Internet. (Permisos de navegación, Firewall, Proxy, NAT, APs).

Sistemas y aplicativos en equipos de cómputo de los diferentes

departamentos.

2. Caracterización del Sistema Informático.

Determinación de Activos:

Los activos que intervienen en el área de tecnología del Ministerio del Interior

son los siguientes:

Tipo de Activo Activo

Servicios Servicio de Internet. (Permisos de

navegación, Firewall, Proxy, NAT, APs). Correo Electrónico Institucional

Servicio de carpetas compartidas

Datos Datos de Gestión Interna

Datos de Carácter Personal Repositorio de información, archivos compartidos por red

Aplicaciones Software Utilitario Sistemas Operativos

Sistema de consulta de antecedentes penales SITMIN (Sistema Integrado del

Ministerio del Interior) Sistema de monitoreo por GPS Sistema de registro de botón de

seguridad Sistema de Gestión de Mantenimiento de UPC

Sistema de Reclutamiento Policial

Equipos Informáticos Informática Personal

Periféricos Soporte de Red

Redes de Comunicaciones Central Telefónica Equipos de Acceso a Internet Equipos DATA CENTER

Personal Área de Soporte Técnico Área Infraestructura de Red

Área Desarrollo de Software Dirección de Tecnología

Determinación de Activos Esquema de redes e infraestructura:

CNT

SYS ACT POE Cisco 1900 Series

FIREWALLFortiGate 600C

Packetshaper 3500172.16.0.249

Topología Ministerio del Interior

ROUTER CNTCisco 1900 series

DATOS E INTERNET

ENLACES A

DEPNDENCIAS

FortiGate 600C

MGMT 1 / MGMT 2

STATUS

POWE R

ALARM

HA

WAN 1 / 1 WAN 1 / 2 3 / 4 5 / 6 7 / 8 9 / 10 11 / 12 13 / 14 15 / 16 17 / 18 19 / 20 21 / 22 19 / 20 21 / 22CONS OLEUSB MGMTUS B

SHARED INTERFACES

Página 1

Topología de Redlunes, 19 de enero de 2015

1.7 in.

WS-C6504-E

1

2

3

4FAN-MOD-4HS

FAN

STATUS

SUPERVISOR 720 WITH INTEGRATED SWITCH FABRIC/PFC3

USB

CONSOLE

LINK LINK LINK

10/100/1000

3

UPLINK

SFP

21

EJECT

DISK 0

RESETSTATUS SYSTEM ACTIVE XXXX

VS-S720-10G

CONFIGURED ID:VS-S720-10G-3CXL

10GE UPLINK

4 5

STATUS PHONE

WS-X6548-GE-TX47

48

37

38

35

36

25

26

23

24

13

14

11

12

1

2

4 8 P O R T

12119 107 85 63 41 2 242321 2219 2017 1815 1613 14 363533 3431 3229 3027 2825 26 484745 4643 4441 4239 4037 38

10/100/1000 BASE-T

ETHERNETSWITCHING MODULE

STATU

S

WS-X6516A-GBIC

LINK

1 2LIN

KLIN

K

3 4LIN

KLIN

K

5 6LIN

KLIN

K

7 8LIN

KLIN

K

9 10LIN

KLIN

K

11 12LIN

KLIN

K

13 14LIN

KLIN

K

15 16LIN

K

3

4

1

2

5

6

7

8

9

10

11

12

13

14

15

16

1.7 in.

WS-C6504-E

1

2

3

4FAN-MOD-4HS

FAN

STATUS

SUPERVISOR 720 WITH INTEGRATED SWITCH FABRIC/PFC3

USB

CONSOLE

LINK LINK LINK

10/100/1000

3

UPLINK

SFP

21

EJECT

DISK 0

RESETSTATUS SYSTEM ACTIVE XXXX

VS-S720-10G

CONFIGURED ID:VS-S720-10G-3CXL

10GE UPLINK

4 5

STATUS PHONE

WS-X6548-GE-TX47

48

37

38

35

36

25

26

23

24

13

14

11

12

1

2

4 8 P O R T

12119 107 85 63 41 2 242321 2219 2017 1815 1613 14 363533 3431 3229 3027 2825 26 484745 4643 4441 4239 4037 38

10/100/1000 BASE-T

ETHERNETSWITCHING MODULE

STATU

S

WS-X6516A-GBIC

LINK

1 2LIN

KLIN

K

3 4LIN

KLIN

K

5 6LIN

KLIN

K

7 8LIN

KLIN

K

9 10LIN

KLIN

K

11 12LIN

KLIN

K

13 14LIN

KLIN

K

15 16LIN

K

3

4

1

2

5

6

7

8

9

10

11

12

13

14

15

16

Fa 0/46

VLAN 1

Catalyst 2960-S Series PoE+ 10G

MGMT

BASET

CONSOLE

37X

38X

47X

48X

37 38 39 40 41 42 43 44 45 46 47 48

25X

26X

35X

36X

25 26 27 28 29 30 31 32 33 34 35 36

13X

14X

23X

24X

13 14 15 16 17 18 19 20 21 22 23 241 2 3 4 5 6 7 8 9 10 11 12

PoE

STCK

SPED

DPLX

STAT

MSTR

RPS

SYST

MODE

1X

2X

11X

12X

POWER OVER ETHERNET 740W1 2SFP+


MGMT

BASET

CONSOLE

PoE

STCK

SPED

DPLX

STAT

MSTR

RPS

SYST

MODE1 2SFP+

13X

14X

23X

24X

13 14 15 16 17 18 19 20 21 22 23 241 2 3 4 5 6 7 8 9 10 11 12

1X

2X

11X

12X


MGMT

BASET

CONSOLE

PoE

STCK

SPED

DPLX

STAT

MSTR

RPS

SYST

MODE1 2SFP+

13X

14X

23X

24X

13 14 15 16 17 18 19 20 21 22 23 241 2 3 4 5 6 7 8 9 10 11 12

1X

2X

11X

12X


MGMT

BASET

CONSOLE

PoE

STCK

SPED

DPLX

STAT

MSTR

RPS

SYST

MODE1 2SFP+

13X

14X

23X

24X

13 14 15 16 17 18 19 20 21 22 23 241 2 3 4 5 6 7 8 9 10 11 12

1X

2X

11X

12X


MGMT

BASET

CONSOLE

37X

38X

47X

48X

37 38 39 40 41 42 43 44 45 46 47 48

25X

26X

35X

36X

25 26 27 28 29 30 31 32 33 34 35 36

13X

14X

23X

24X

13 14 15 16 17 18 19 20 21 22 23 241 2 3 4 5 6 7 8 9 10 11 12

PoE

STCK

SPED

DPLX

STAT

MSTR

RPS

SYST

MODE

1X

2X

11X

12X


Switch 2960172.16.100.15

SW-PISO-3Switch 2960172.16.100.17

SW-PISO-4

Sw-UNION-PISO1

48 Puertos

24 Puertos

STACK24 Puertos

24 Puertos

48 PuertosSTACK

Gi1/0/48 Gi1/0/24

AP Coordinación Administrativa Financiera AP Administrativo

AP Análisis del Delito

OUTCatalyst 2960-S Series PoE+ 10G

MGMT

BASET

CONSOLE

37X

38X

47X

48X

37 38 39 40 41 42 43 44 45 46 47 48

25X

26X

35X

36X

25 26 27 28 29 30 31 32 33 34 35 36

13X

14X

23X

24X

13 14 15 16 17 18 19 20 21 22 23 241 2 3 4 5 6 7 8 9 10 11 12

PoE

STCK

SPED

DPLX

STAT

MSTR

RPS

SYST

MODE

1X

2X

11X

12X



MGMT

BASET

CONSOLE

37X

38X

47X

48X

37 38 39 40 41 42 43 44 45 46 47 48

25X

26X

35X

36X

25 26 27 28 29 30 31 32 33 34 35 36

13X

14X

23X

24X

13 14 15 16 17 18 19 20 21 22 23 241 2 3 4 5 6 7 8 9 10 11 12

PoE

STCK

SPED

DPLX

STAT

MSTR

RPS

SYST

MODE

1X

2X

11X

12X



MGMT

BASET

CONSOLE

37X

38X

47X

48X

37 38 39 40 41 42 43 44 45 46 47 48

25X

26X

35X

36X

25 26 27 28 29 30 31 32 33 34 35 36

13X

14X

23X

24X

13 14 15 16 17 18 19 20 21 22 23 241 2 3 4 5 6 7 8 9 10 11 12

PoE

STCK

SPED

DPLX

STAT

MSTR

RPS

SYST

MODE

1X

2X

11X

12X



MGMT

BASET

CONSOLE

37X

38X

47X

48X

37 38 39 40 41 42 43 44 45 46 47 48

25X

26X

35X

36X

25 26 27 28 29 30 31 32 33 34 35 36

13X

14X

23X

24X

13 14 15 16 17 18 19 20 21 22 23 241 2 3 4 5 6 7 8 9 10 11 12

PoE

STCK

SPED

DPLX

STAT

MSTR

RPS

SYST

MODE

1X

2X

11X

12X



MGMT

BASET

CONSOLE

37X

38X

47X

48X

37 38 39 40 41 42 43 44 45 46 47 48

25X

26X

35X

36X

25 26 27 28 29 30 31 32 33 34 35 36

13X

14X

23X

24X

13 14 15 16 17 18 19 20 21 22 23 241 2 3 4 5 6 7 8 9 10 11 12

PoE

STCK

SPED

DPLX

STAT

MSTR

RPS

SYST

MODE

1X

2X

11X

12X


Switch 2960172.16.100.10

Sw-PISO-PBSwitch 2960172.16.100.11

SW-PISO-1-02 Switch 2960172.16.100.13

Sw1-PISO-2Switch 2960172.16.100.14

Sw2-PISO-2

48 Puertos 48 Puertos

48 Puertos

STACK48 Puertos 48 Puertos

Gi2/0/48Gi1/0/48 Gi1/0/48Gi1/0/48

AP

VICE DE SEGURIDAD

SUBSECRETARÍA

DE GOBERNABILIDADAP

VICE DE GOBERNABILIDAD

AP SIGOB

AP

SALA ASESORES

Red 10.10.10.x/24GW: 10.10.10.254

DNS: 201.219.1.19/8.8.8.8

SERVIDORES BLACKBOARD

IP: 10.10.10.23 - 33

BALANCEADOR DE CARGA

F5 BIG-IPIP: 201.219.3.188

SGAIP 10.10.10.20 – 21 /24

SERVIDORES TSMVM CENTRAL

CNTSYS ACT POE Cisco 1900 Series

ESQUEMA GENÉRICO DEPENDENCIAS

DATOSENLACE A PLANTA CENTRAL

SVR producción172.16.0.8

SVR DESARROLLO172.16.0.12

SVR ZIMBRA172.16.0.2

ACTIVE DIRECTORY172.16.0.245

POLYCOMSVR INFOTRATA172.16.0.10

04/15/2013Dirección de Tecnologías

de la InformaciónIng. Jaime Jarrín

Ministerio del Interior

SW CAPA 23COM

PORT 9DMZ 01

PORT 10DMZ 02

Red 10.10.20.x/24GW: 10.10.20.254

DNS: 201.219.1.19/8.8.8.8

Ponderación de la Dimensiones de los Activos:

Los activos enlistados serán ponderados en base a la escala correspondiente. Las

dimensiones referenciadas son Confiabilidad, Integridad y Disponibilidad. A

continuación, se detalla los activos y se estipula la ponderación de las

dimensiones según el levantamiento de información:

Escala de Valoración de Dimensiones:

Descripción Valoración

Alta 5

Medianamente Alta 4

Mediana 3

Baja 2

Muy Baja 1

Escala de Valoración de Dimensiones

Activo: Servicio Disponibilidad Confiabilidad Integridad Total

Servicio de Internet. (Permisos de

navegación, Firewall, Proxy, NAT,

APs).

5 4 4 13

Correo Electrónico

Institucional

5

4 5 14

Servicio de carpetas

compartidas

5 5 4 14

Ponderación de las Dimensiones de Activo Servicio

Activo: Datos Disponibilidad Confiabilidad Integridad Total

Datos de Gestión Interna

5 5 4 14

Datos de Carácter Personal

5

3 3 11

Repositorio de información, archivos

compartidos por red

5 4 5 14

Ponderación de las Dimensiones de Activo Datos

Activo: Aplicaciones Disponibilidad Confiabilidad Integridad Total

Software Utilitario 5 4 4 13

Sistema Operativo 5 4 3 12

Sistema de consulta de antecedentes

penales

3 5 5 13

SITMIN (Sistema Integrado del Ministerio del

Interior)

4 5 5 14

Sistema de monitoreo por GPS

4 4 4 12

Sistema de registro de botón de

seguridad

5 5 5 15

Sistema de Gestión de Mantenimiento de UPC

4 4 4 12

Ponderación de las Dimensiones de Activo Aplicaciones

Activo: Equipos Informáticos

Disponibilidad Confiabilidad Integridad Total

Informática Personal 5 4 4 13

Periféricos 5 4 3 12

Soporte de Red 5 4 4 13

Ponderación de las Dimensiones de Activo Equipos Informáticos

Activo: Redes de

Comunicaciones

Disponibilidad Confiabilidad Integridad Total

Central Telefónica 5 5 4 14

Equipo de Acceso a Internet

5

5 5 15

Equipos DATA

CENTER

4 4 4 12

Ponderación de las Dimensiones de Activo Redes de Comunicaciones

Activo: Personal Disponibilidad Confiabilidad Integridad Total

Área de Soporte

Técnico

5 5 5 15

Área Infraestructura

de Red

5 5 5 15

Área Desarrollo de Software

5 5 5 15

Dirección de

Tecnología

5 5 5 15

Ponderación de las Dimensiones de Activo Personal

3. Resultados del Análisis de Riesgos.

El análisis, cuantificación y gestión de riesgos en las operaciones de la Dirección

de Tecnología del Ministerio del Interior, ha sido elaborada en base a la

metodología de gestión MAGERIT (Metodología de Análisis y Gestión de Riesgos

de los Sistemas de Información). Es una metodología promovida por el CSAE

(Consejo Superior de Administración Electrónica) que persigue una aproximación

metódica al análisis de riesgos para la gestión de la seguridad que no deje lugar a

la improvisación ni que dependa exclusivamente de la experiencia del analista de

riesgos.

Análisis y evaluación de riesgos.

A través de la metodología MAGERIT se realizó el análisis de los riesgos

existentes en la Dirección de Tecnología del Ministerio del Interior.

Clasificación de los recursos en las operaciones.

Críticos.

En la Dirección de Tecnología del Ministerio del Interior,

los recursos críticos son los siguientes:

o Repositorio de información, archivos compartidos

por red.

o Servicio de carpetas compartidas.

o Sistema de Reclutamiento Policial.

o Firewall.

o Servidores.

o Data center.

o VPNs Ministerios del Interior MERCOSUR.

o Equipos de conectividad de red.

o Enlaces de datos con Registro Civil y Dirección

Nacional de la Policía Judicial.

Vitales.

Pueden realizarse manualmente por un periodo breve.

Costo de interrupción más bajo, solo sin son restaurados

dentro de un tiempo determinado.


los recursos vitales son los siguientes:

o Correo electrónico.

o Equipos del Data Center.

o Telefonía VoIp.

Sensitivos.

Funciones que pueden realizarse manualmente por un

periodo prolongado a un costo tolerable.

El proceso manual puede ser complicado y requeriría de

personal adicional.


los recursos sensitivos son los siguientes:

o Acceso a Internet

o Máquinas Virtuales.

o Video Conferencia.

Determinación de las Amenazas por Activo:

Activo: Servicio Amenazas

Servicio de Internet.

(Permisos de

navegación, Firewall, Proxy, NAT, APs).

Uso inapropiado Acceso no autorizado

Falta de servicio Interferencia

Correo Electrónico

Institucional

Usurpación de identidad

Falta de servicio Acceso no autorizado Uso no previsto


Uso no previsto Manipulación de la credencial de acceso

Manipulación de la configuración del aplicativo


Robo o pérdida de la credencial de acceso Determinación de Amenazas Activo Servicio

Activo: Datos Amenazas

Datos de Gestión

Interna

Alteración de la información

Destrucción de la información Cambio de ubicación de la información Conocimiento no autorizado

Manipulación de la configuración Divulgación de la información


Errores de los usuarios Acceso no autorizado Conocimiento no autorizado

Destrucción de la información Degradación de la información Divulgación de la información

Repositorio de

información, archivos compartidos por red

Alteración de información

Eliminación de archivos Mala consolidación de información

Determinación de Amenazas Activo Datos

Activo: Aplicaciones Amenazas

Software Utilitario Ataque de virus Manipulación de programas Errores de usuario

Sistema Operativo Suplantación de la identidad de usuario Errores de administración

Propagación de software malicioso Acceso no autorizado

Sistema de consulta de antecedentes penales

Falla de conexión con las VPN al Registro Civil y a la Dirección Nacional de la Policía Judicial Desconocimiento de uso por parte de los ciudadanos

SITMIN (Sistema Integrado del Ministerio del

Interior)

Suplantación de la identidad de usuario Manipulación de programas Caída del servidor de Desarrollo

Errores de usuario


Caída del sistema Caída del servidor de Desarrollo Errores de usuario

Sistema de registro de botón de

Caída del sistema Caída del servidor de Desarrollo

seguridad

Errores de usuario

Sistema de Gestión

de Mantenimiento de UPC

Caída de CLOUD CNT donde está alojado el

sistema Errores de usuario

Determinación de Amenazas Activo Aplicaciones

Activo: Equipos

Informáticos

Amenazas

Informática Personal Acceso no autorizado

Modificación de la asignación del equipo Accidentes imprevistos Falta de energía eléctrica

Manipulación de las propiedades del equipo Ingreso no autorizado del equipo

Periféricos Acceso no autorizado Accidentes imprevistos Cambio de ubicación no autorizado

Soporte de Red Manipulación de la configuración de red Errores de administración Falta de energía eléctrica

Ausencia de puntos de red Determinación de Amenazas Activo Equipos Informáticos

Activo: Redes de Comunicaciones

Amenazas

Central Telefónica Manipulación de la asignación de las Ips Falta de energía eléctrica Accidentes imprevistos

Caída del servidor de la central telefónica

Equipo de Acceso a

Internet

Manipulación de la configuración

Accidentes imprevistos Caída del servidor proveedor Problemas con las conexiones del proveedor

Errores de administración Falta de energía eléctrica

Equipos DATA CENTER

Mala configuración de máquinas virtuales Caída de servidores Control de acceso al DATA CENTER

Determinación de Amenazas Activo Redes de Comunicaciones

Activo: Personal Amenazas

Área de Soporte Técnico

Falta de personal operativo

Área Infraestructura

de Red

Desconocimiento de funciones


No trabajar en equipo y manejar proyectos por

separado

Dirección de Tecnología

Mala organización

Determinación de Amenazas Activo Personal

Evaluación del estado actual de la seguridad.

Cálculo de riesgo:

A partir del levantamiento de información, donde se arrojó el nivel de frecuencia e

impacto al activo mediante la amenaza se han calculado los riesgos por cada una:

Escala de Valoración de Frecuencia:


Altamente Frecuente 5

Frecuente 4

Medianamente Frecuente 3

Poco Frecuente 2

Muy Poco Frecuente 1

Escala de Valoración de Frecuencia

Escala de Valoración de Impacto:


Alto 5

Medianamente Alto 4

Mediano 3

Bajo 2

Muy Bajo 1

Escala de Valoración de Impacto

Activo Amenazas Frecuencia Impacto Total

Servicio de Internet

Uso inapropiado 3 3 9 Acceso no autorizado 2 4 8 Falta de servicio 1 5 5 Interferencia

2 4 8

Correo Electrónico Institucional


2 4 8

Falta de servicio 1 4 4

Acceso no autorizado 4 3 12

Uso no previsto 3 3 9

Servicio de carpetas

compartidas

Uso no previsto 2 4 8

Manipulación de la credencial de acceso

3 5 15

Manipulación de la configuración del

aplicativo

2 2 4

Usurpación de

identidad

3 4 12

Robo o pérdida de la

credencial de acceso

4 5 20

Datos de Gestión

Interna


2 5 10

Destrucción de la información

3 5 15


2 5 10

Divulgación de información

4 4 16

Datos de Carácter

Personal

Errores de los

usuarios

4 4 16


Destrucción de información

2 5 10

Degradación de la información

2 5 10

Divulgación de información

2 3 6

Software Utilitarios

Ataque de virus 2 2 4

Manipulación de

programas

3 2 6

Errores de usuario 4 4 16

Sistemas

Operativos

Suplantación de identidad de usuario

3 3 9

Errores de administración

3 4 12

Propagación de software malicioso

2 3 6


Sistema de

consulta de antecedentes penales

Falla de conexión con

las VPN al Registro Civil y a la Dirección Nacional de la Policía

Judicial

4 3 12

Desconocimiento de uso por parte de los ciudadanos

2 3 6

SITMIN (Sistema Integrado del

Ministerio del Interior)

Suplantación de la identidad de usuario

2 2 4

Manipulación de

programas

2 2 4

Caída del servidor de

Desarrollo

2 5 10

Errores de usuario

4 2 8

Sistema de

monitoreo por GPS

Caída del sistema

1 5 5


Desarrollo

2 5 10


Sistema de registro de botón

de seguridad

Caída del sistema

1 5 5

Caída del servidor de Desarrollo

2 5 10


Sistema de

Gestión de Mantenimiento de UPC

Caída de cloud CNT

donde está alojado el sistema

2 5 10


Informática Personal


Modificación de la

asignación del equipo

3 2 6

Accidentes imprevistos 3 2 6

Falta de energía eléctrica

3 2 6

Manipulación de las propiedades del equipo

3 2 6

Ingreso no autorizado de equipo

2 3 6

Periféricos



Cambio de ubicación no autorizado

3 3 9

Soporte de Red Manipulación de configuración de red

2 4 8


2 4 8


4 5 20

Ausencia de puntos de red

4 4 16

Central Telefónica Manipulación de

asignación de Ips

2 4 8

Falta de energía

eléctrica

3 5 15



4 4 16


Manipulación de configuración

2 4 8


Caída del servidor proveedor

2 4 8

Problemas con las conexiones del proveedor

2 4 8


2 4 8


3 5 15

Equipos DATA

CENTER

Mala configuración de

máquinas virtuales

1 4 4

Caída de servidores

1 5 5

Control de acceso al DATA CENTER

3 3 9

Personal: Diferentes áreas

Falta de personal operativo

4 4 16


3 3 9

No trabajar en equipo y manejar proyectos por separado

2 2 4

Mala organización 2 3 6

Resultado del Cálculo de Riesgo de los Activos

Plan de tratamiento de riesgo (PTR):

ACTIVOS AMENAZAS VULNERABILIDADES PTR

Servicio de

Internet

Uso inapropiado No respetar los límites de acceso Falta de capacitación sobre los límites de acceso

Aceptar

Reducir

Acceso no autorizado No respetar los límites de acceso

Aceptar

Falta de servicio Problemas del

proveedor de internet

Transferir

Interferencia

Falta de protección de

la red

Aceptar

Correo Electrónico

Institucional

Usurpación de identidad Falta de control en el

acceso Divulgación de la información de acceso

Reducir

Reducir

Falta de servicio Falta del servicio de Internet

Interferencia con el servidor interno de correo

Transferir

Reducir

Acceso no autorizado No respetar los límites de acceso


Aceptar

Reducir

Uso no previsto Falta de políticas Reducir

Servicio Uso no previsto Falta de políticas Reducir

de

carpetas compartidas

Manipulación de la


Falta de implementación

de mayor seguridades en la credencial

Reducir

Manipulación de la configuración del aplicativo

Falta de políticas Reducir

Usurpación de identidad Falta de control en el

acceso

Reducir

Robo o pérdida de la


Falta de método de

apoyo para el caso

Reducir

Datos de Gestión

Interna


Insuficiente entrenamiento de

empleados

Reducir

Destrucción de la

información

Falta de un debido

control de acceso a usuarios y de una protección física

Reducir

Cambio de ubicación de la información

Falta de protección física adecuada

Reducir


Falta de un debido control de acceso a usuarios

Reducir

Divulgación de la información

Almacenamiento no protegido

Reducir

Datos de Carácter

Personal

Errores de los usuarios Falta de conocimiento y oportuno entrenamiento

Reducir

Acceso no autorizado Falta de políticas y

protección física

Reducir

Destrucción de la información

Falta de un debido control de acceso a usuarios y de una

protección física

Reducir

Degradación de la

información

Falta de mantenimiento

adecuado

Reducir

Divulgación de la

información

Almacenamiento no

protegido

Aceptar

Software Utilitario

Ataque de virus Falta de protección contra aplicaciones dañinas

Aceptar

Manipulación de

programas

Insuficiente

entrenamiento de empleados

Aceptar

Errores de usuario Falta de conocimiento y oportuno entrenamiento

Reducir

Sistema Operativo

Suplantación de la identidad de usuario

Falta de control de acceso

Aceptar

Errores de administración Falta de conocimiento

de funciones del administrador

Reducir

Propagación de software malicioso

Falta de protección y controles en las configuraciones de la

red

Aceptar

Acceso no autorizado Falta de políticas y

protección física

Reducir

Sistema de consulta

de antecedentes

penales

Falla de conexión con las VPN al Registro Civil y a la Dirección Nacional de

la Policía Judicial

Insuficiente comunicación entre instituciones

involucradas en el servicio para mejor control

Reducir

Desconocimiento de uso por parte de los

ciudadanos

Desconocimiento técnico por parte de los

ciudadanos

Aceptar

SITMIN

(Sistema Integrado del

Ministerio del Interior)

Suplantación de la

identidad de usuario

Divulgación de

credenciales de uso de la aplicación

Reducir

Manipulación de programas

Ingreso a procesos que no le competen al usuario

Reducir

Caída del servidor de Desarrollo

Falta de acuerdos bien definidos con terceras

partes

Reducir

Errores de usuario

Insuficiente entrenamiento de usuarios

Aceptar

Sistema de

monitoreo por GPS

Caída del sistema


partes

Reducir


Desarrollo

Falta de acuerdos bien

definidos con terceras partes

Reducir

Errores de usuario Insuficiente entrenamiento de

Reducir

usuarios

Sistema de

registro de botón de

seguridad

Caída del sistema


partes

Reducir


Desarrollo

Falta de acuerdos bien

definidos con terceras partes

Reducir

Errores de usuario Insuficiente entrenamiento de usuarios

Reducir

Sistema de

Gestión de Mantenimi

ento de UPC

Caída de cloud CNT donde está alojado el

sistema


partes

Reducir

Errores de usuario Insuficiente entrenamiento de usuarios

Aceptar


Falta de energía eléctrica Falta de acuerdos bien definidos con terceras partes

Aceptar

Manipulación de las propiedades del equipo


Aceptar

Ingreso no autorizado del equipo


Aceptar

Acceso no autorizado Falta de control de acceso

Reducir

Accidentes imprevistos Condiciones locales donde los recursos son

fácilmente afectados

Reducir

Cambio de ubicación no

autorizado

Falta de protección

física adecuada

Aceptar

Periféricos Acceso no autorizado Falta de control de seguridad

Aceptar

Accidentes imprevistos Condiciones locales donde los recursos son

fácilmente afectados

Reducir

Cambio de ubicación no

autorizado

Traslado no autorizado

de periféricos

Reducir

Soporte de Red

Manipulación de configuración de red


Reducir

Errores de administración Falta de conocimiento de administrador de

Reducir

infraestructura de red

Falta de energía eléctrica Falta de acuerdos bien definidos con terceras

partes

Reducir

Ausencia de puntos de

red

Condiciones locales

donde los recursos son fácilmente afectados

Reducir

Central Telefónica


Falta de acuerdos bien definidos con terceras partes

Reducir



Aceptar

Accidentes imprevistos Condiciones locales donde los recursos son fácilmente afectados

Reducir

Caída del servidor proveedor

Falta de acuerdos bien definidos con terceras partes

Transferir

Equipo de Acceso a

Internet

Problemas con las conexiones del proveedor


partes

Transferir

Errores de administración Falta de conocimiento

de funciones del administrador

Reducir

Falta de energía eléctrica Falta de capacitación del administrador

Reducir

Desconocimiento de sus funciones

Falta de conocimiento y oportuno entrenamiento

Reducir

Mala organización Desconocimiento de estándares y reglas establecidas por la empresa Falta de reglas según el caso

Reducir

Indisponibilidad del

personal

Falta de conocimiento y

oportuno entrenamiento

Aceptar

Equipos DATA CENTER

Mala configuración de máquinas virtuales

Falta de conocimiento y oportuno entrenamiento

Reducir

Caída de servidores


partes

Reducir

Control de acceso al

DATA CENTER

Falta de reglas según el caso

Reducir

Personal:

Diferentes áreas

Falta de personal

operativo

Escaso personal para

tareas operativas como asistencia a usuarios

Reducir


Desconocimiento de estándares y reglas establecidas por la

empresa Falta de reglas según el caso

Reducir

No trabajar en equipo y manejar proyectos por

separado

Insuficiente entrenamiento de

empleados

Reducir

Mala organización Desconocimiento de estándares y reglas

establecidas por la empresa Falta de reglas según el

caso

Reducir

Plan de Tratamiento de Riesgo

4. Políticas de Seguridad Informática.

ASPECTOS GENERALES.

Las amenazas internas como externas a las que la información se puede ver

sometida, es por eso que la política de seguridad trata de minimizar al máximo los

riesgos que asociados con la información, siendo posible conseguir esto

únicamente si la política de seguridad de la información se eleva al mismo nivel de

la política de la dirección.

El éxito de esta política radica en el compromiso por parte de las autoridades de la

dirección, una amplia difusión de la misma, y el serio compromiso de cumplimiento

por parte de los usuarios.

Objetivos.

Resguardar la información como bien preciado de la información, también

elementos tecnológicos y sistemas que procesan la misma a fin de minimizar el

riesgo de incidentes que afecten la confidencialidad, integridad o disponibilidad de

la información.

Establecer un estándar que guie las operaciones a realizar con la información, que

debe mantenerse actualizado y difundido a fin de asegurar que esta política

cumpla con los objetivos antes mencionados.

Implementar en la Dirección de Tecnología del Ministerio del Interior, la gestión

unificada de la seguridad de la información, especificando las instancias que

permitan implantar controles apropiados para garantizar su cumplimiento.

Establecer con claridad las funciones y responsabilidades dentro de la gestión de

la seguridad de la información.

Definir medidas de seguridad que permitan regular los accesos a activos de

información por parte de los funcionarios para minimizar riesgos.

Promover el asesoramiento externo en materia de seguridad de la información a

fin de complementar la política de seguridad de la información.

Alcance.

La política es aplicable dentro de la Dirección de Tecnología del Ministerio del

Interior, en el que se concentra la gestión de la seguridad, así mismo como los

servidores que poseen la información y gestionan los servicios.

El control será aplicable a todos los recursos o funcionarios que directa o

indirectamente interactúan con los activos de información, y se hace extensible a

los recursos externos que requieran acceso a información interna, servicios o

sistemas informáticos.

Responsabilidad.

Todos los funcionarios que forman parte de tecnología, así como jefes de área y

director son responsables de observar y cumplir la Política de Seguridad de la

Información dentro del área a su responsabilidad y hacer cumplir la misma al

personal bajo su cargo, como actores principales a continuación:

Oficial de Seguridad Informática.

Encargado de la administración de la seguridad de los sistemas de la información,

y encargado de supervisar los aspectos de la política de seguridad.

Se encarga de cubrir o delegar tareas relacionadas a satisfacer los requerimientos

de seguridad de la información a nivel operativo.

El funcionario encargado de la seguridad informática dentro de la Dirección de

Tecnología del Ministerio del Interior será responsable de las actualizaciones de

políticas o cambios sean necesarios, delegara personal bajo su mando la realicen

monitoreo, pruebas, análisis de riesgos, implementación de controles y realización

de procedimientos de orden técnico en la relacionado a la seguridad de la

información.

Deberá evaluar la necesidad de solicitar asesoramiento externo en caso de existir

la necesidad.

Usuarios Propietarios de la Información.

Son responsables de clasificar y catalogar la información según el nivel de

criticidad y confidencialidad de la misma, mantener documentada y actualizada

esta información y definir específicamente que usuarios necesitan acceder en

función de sus competencias y que nivel de accesos requerido.

Director de Tecnología del Ministerio del Interior.

Responsable de notificar al personal que ingresa que debe cumplir con la Política

de Seguridad de la Información y de todas las normas administrativas o técnicas

que se apliquen y de cualquier cambio que en la política de seguridad de la

información se presente.

Usuarios de la información y de los sistemas.

Responsables de conocer, difundir, cumplir y fomentar el cumplimiento de la

política de seguridad de la información, además en cumplir toda acción, función, o

tarea relacionada directamente con la información que accede o maneja.

Auditor(es) Internos(s).

Es necesario luego de la implementación de u n SIGSI, se realicen auditorias que

permitan asegurar el cumplimiento de los lineamientos de seguridad establecidos,

el auditor tiene la obligación de realizar revisiones periódicas sobre el SIGSI,

constatando el cumplimiento en todo ámbito al manejo de la información o

recursos tecnológicos.

Una vez realizada una auditoria, será debe presentar un informe detallando las

novedades presentadas.

Políticas de Confiabilidad

La gestión a desarrollar indica los siguientes parámetros para mantener la

confiabilidad de la información:

Todo cambio dentro de la información del sistema debe ser notificada vía escrita firmada por el jefe de departamento que comunica el cambio,

directamente, al encargado del área de sistemas.

La información a ingresar debe ser correctamente revisada, y teniendo en

cuenta que los datos manejados son de vital importancia para el desempeño de las funciones de la institución y aún más relevantes para los clientes de la misma.

La eliminación de la información no es permitida, solamente se pueden realizar registros nuevos con la modificación.

Políticas de integridad

Se sugiere a la institución seguir los siguientes lineamientos para mantener la

integridad de su información:

Cada acceso al sistema deber mediante nombre de usuario y clave.

El nombre de usuario y clave será dado al momento de la incorporación a la dirección.

En caso de cambio de los datos de acceso, deberá ser notificado por

escrito, detallando la causa del cambio y firmado por el responsable y el director de Tecnología de la Información.

En caso de finalización de la relación laboral, deberá ser notificado por escrito, detallando la causa y firmado por el responsable y el director de

Tecnología de la Información. El cambio cambiará el estado de la información de acceso a inactivado. Una vez desactivado esta información no podrá ser cambiado a ningún otro estado.

Al intentar ingresar al sistema, solo se podrá escribir la clave hasta cinco veces. Al completar el límite, el usuario de bloqueará.

El bloqueo de un usuario solo podrá ser inhabilitado, mediante un oficio

escrito donde se detalle la causa del bloqueo firmado por el responsable y el jefe de la dirección. Este documento debe ser entregado al encargado

del área de sistemas.

La información de acceso es responsabilidad, totalmente, del funcionario a

la cual fue asignada y no debe ser divulgada a ningún tercero.

La información de acceso es considerada de carácter secreto e

intransferible.

Políticas de disponibilidad

Las políticas de disponibilidad detallan las especificaciones para mantener la

información correcta para quienes la puedan consultar:

El ingreso o modificación de la información del sistema será un proceso en línea.

La información de los ciudadanos es considerada de carácter privado.

En caso de modificación de la información del sistema, el registro o los

registros utilizados serán bloqueados para evitar error en el cambio de los datos.

Políticas de manejo de la Dirección de Tecnología (Durante la gestión)

La dirección debe mantener un buen ambiente de trabajo dentro de la

misma, promoviendo la vinculación integral entre las áreas de trabajo y

personal en general.

La dirección determina los principios del cumplimiento de las disposiciones

que norman las conductas a seguir para lograr los resultados buscados,

dentro de un clima de trabajo positivo y ajustarlo a la aplicación de una justa

retribución.

La dirección debe entrenar, capacitar y actualizar al personal en las

políticas y procedimientos de seguridad que prevén proteger los activos de

información.

El personal de la dirección debe estar siempre presto a la capacitación de

las políticas y procedimientos de seguridad para evitar realizar infracciones

o violaciones de los mismos.

La dirección debe publicar, periódicamente, el listado de infracciones o

violaciones de políticas de seguridad.

El personal de la dirección debe conocer los procedimientos disciplinarios a

seguir en caso de infracción o violación de las políticas de seguridad.

La dirección determina los lineamientos de verificación de aplicabilidad de

las políticas y procedimientos de seguridad de la información.

5. Sistema de Seguridad Informática.

5.1. Medios humanos.

Medios humanos

Área de Soporte Técnico

Área Infraestructura de Red


Dirección de Tecnología

5.2. Medios técnicos.

Servicios

Servicio de Internet. (Permisos de navegación, Firewall, Proxy, NAT,

APs).

Correo Electrónico Institucional


Datos

Datos de Gestión Interna


Repositorio de información, archivos compartidos por red

Aplicaciones

Software Utilitario

Sistema Operativo

Sistema de consulta de antecedentes penales

SITMIN (Sistema Integrado del Ministerio del Interior)


Sistema de registro de botón de seguridad

Sistema de Gestión de Mantenimiento de UPC

Equipos Informáticos


Periféricos

Soporte de Red

Redes de Comunicaciones

Central Telefónica


Equipos DATA CENTER

5.3. Medidas y Procedimientos de Seguridad Informática.

Necesidades de Verificación de Aplicabilidad de Seguridades:

Las razones por la cuales se podría considerar que se necesite de realizar verificación de la aplicabilidad de las políticas y procedimientos de seguridad son:

Infringir alguna de las políticas de seguridad que cree dificultades graves

dentro de la organización.

Seguimiento de la aplicabilidad de las seguridades. Cumplir el seguimiento a la aplicabilidad de las políticas y procedimientos

de seguridad.

Sugerencias de los empleados.

Cualquier requerimiento para verificación de aplicabilidad del personal puede ser

canalizado por escrito.

Plan de Verificación de Aplicabilidad de Seguridades

Los Jefes de cada Área.

Al inicio de cada año elabora el “Plan de Verificación de Aplicabilidad de

Seguridades” en la planilla correspondiente al plan a elaborar, el cual debe

ser aprobado por la Dirección.

En caso de que se hubieran detectado Necesidades de Verificaciones de

Aplicabilidad por cualquiera de los puntos indicados, estas deben ser

consideradas por “Actualización del Plan de Verificación de Aplicabilidad de

Seguridades”.

El Plan de Verificación de Aplicabilidad prevé aplicar el formulario de

verificación de aplicabilidad de las políticas de seguridad que incluye serie

de preguntas acerca de las seguridades implementadas en la empresa y

como es aplicada por el cuestionado.

Los empleados

Serán informados sobre la ejecución del Plan de Verificación de Aplicabilidad

mediante un boletín de información publicado en la cartelera de la empresa.

No se permitirán faltas ni atraso durante la ejecución del Plan de

Verificación, sin importancia de índoles. Cualquier empleado que no cumpla

con lo estipulado, será considerado para sanción, según procedimientos

disciplinarios.

Actualización del Plan de Verificación de Aplicabilidad de Seguridades

Si se presentan actividades que se consideren como necesidades de verificación

de aplicabilidad adicionales a las previstas en el Plan de Verificación de

Aplicabilidad, estas se ingresarán mediante solicitud escrita. Dicha verificación de

aplicabilidad deberá ser aprobada por la Dirección.

Los Jefes de cada Área

Analiza la solicitud y determina la logística, presupuesto, costos y posible

cronograma. Toda esta información la remite a la Dirección quien da su

aprobación.

Si la verificación de aplicabilidad es aprobada, es incluida en el Plan de

Verificación de Aplicabilidad de Seguridades.

Los incumplimientos al “Plan de Verificación de Aplicabilidad de

Seguridades” deberán ser justificados en el mismo formato, columna

Justificación de incumplimiento. En dicha columna se debe registrar la

causa de la falta.

Control de Asistencia de Ejecución de Verificación de Aplicabilidad


Se estructura un formulario de registro de asistencia a ejecución de

verificación de aplicabilidad.

Una vez que la verificación de aplicabilidad ha sido terminada, se archiva el

registro de asistencia de la misma.

Procedimiento para capacitar sobre las políticas y procedimientos de

seguridad de la información y sus actualizaciones

Objetivo

Comunicar las políticas y procedimientos de seguridad de información instalados en la empresa, a través de capacitaciones pertinentes para ser aplicadas en el

desarrollo de las actividades diarias.

Alcance La Dirección debería capacitar a empleados, contratistas y usuarios de terceras

partes acerca de la seguridad en concordancia con las políticas y los procedimientos establecidos de la organización. La aplicación y cumplimiento de éste procedimiento es responsabilidad de la Dirección de Tecnología.

Responsabilidades

Del Director junto con los Jefe de cada Área: Definir el “Plan de Capacitación: Seguridad de la Información”.

Del Jefe de cada Área: de coordinar la ejecución de las actividades de capacitación del personal que lo necesite y de hacer seguimiento al cumplimiento

del Plan de Capacitación.

Descripción del Procedimiento

Necesidades de Capacitación

Las razones por la cuales se podría considerar que se necesite de capacitación son:

Infringir alguna de las políticas de seguridad por desconocimiento de la misma.

Desarrollar conciencia con respecto a la seguridad de la información.

Calificación del personal que indique necesidad de capacitación.

Capacitación organizada por requerimiento del Jefe de cada Área.

Se considera que los empleados desconocen sobre las políticas y los

procedimientos de seguridad.

Sugerencias de los empleados.

Cualquier requerimiento para capacitación del personal debe ser canalizado por

escrito.

Plan de Capacitación: Seguridad de la Información


Al inicio de cada año elabora el “Plan de Capacitación: Seguridad de

Información” en la planilla correspondiente al plan a elaborar, el cual debe

ser aprobado por la Dirección.

En caso de que se hubieran detectado Necesidades de Capacitación por

cualquiera de los puntos indicados, estas deben ser consideradas para

“Actualización del Plan de Capacitación: Seguridad de la Información”.

El Plan de Capacitación incluye la información referente a: tema,

participantes, horas, y fechas aproximadas.

Los empleados

Serán informados del inicio de una capacitación con un tiempo prudente,

mediante carta de convocatoria.

No se permitirán faltas ni atraso para ninguna capacitación, sin importancia

de índoles, siempre y cuando el empleado haya sido convocado.

Actualización del Plan de Capacitación: Seguridad de la Información

Si se presentan actividades de capacitación adicionales a las previstas en el Plan

de Capacitación, estas se ingresarán mediante solicitud escrita. Dicha

capacitación deberá ser aprobada por la Dirección. Esto se aplica principalmente

cuando se requiere de capacitaciones externas.


Analiza la solicitud y determina la logística, presupuesto, costos y posible

cronograma. Toda esta información la remite a la Dirección quien da su

aprobación.

Si la capacitación es aprobada, es incluida en el Plan de Capacitación.

Los incumplimientos al “Plan de Capacitación: Seguridad de la información”

deberán ser justificados en el mismo formato, columna Justificación de

incumplimiento. En dicha columna se debe registrar la causa de la falta.

Control de Asistencia a Capacitación


Se estructura un formulario de registro de asistencia a capacitación. Si la

capacitación es externa, se debe entregar un formulario similar a cargo de

uno de los enviados y deberá ser firmada por los empleados de la

Dirección.

Una vez que la capacitación ha sido terminada, se archiva el registro de

asistencia de la misma.

Certificado de la Capacitación

Los certificados de capacitación serán entregados en mismo día en que la

misma será terminada. Se archiva una copia del certificado en la carpeta de

personal.

Si la capacitación ha sido externa, el certificado será entregado según la

entidad externa. De igual manera, se archiva una copia del certificado en la

carpeta de personal.

Procedimiento para aplicar sanciones por infracción sobre alguna política de

seguridad de la empresa.

Objetivo

Aplicar sanciones por infracción o violación de alguna política de seguridad que rige en la Dirección, por parte del personal que ha sido capacitado, a través, de distintos procedimientos disciplinarios.

Alcance

Debería existir un proceso formal disciplinario para empleados que produzcan brechas en la seguridad.

Responsabilidades

Del Director junto con los Jefes de cada Área: Definir los procedimientos

disciplinarios que se aplicaran por infracción o violación de alguna política de seguridad.

De los Jefes de cada Área: de aplicar el procedimiento disciplinario correspondiente a la infracción o violación realizada. Comunicar a los empleados de dichos procedimientos disciplinarios, valiéndose del Plan de Capacitación:

Políticas de Seguridad.

Descripción del Procedimiento

Tipos de Infracciones o Violaciones a las Políticas de Seguridad.

Algunos tipos de infracción o violaciones a las políticas de seguridad por la cuales

se podría considerar aplicar procedimiento disciplinario son:

Alteración, destrucción, divulgación y cambio de ubicación de información

(Dentro y fuera de la Dirección).

Uso inapropiado de los diferentes recursos (Acceso no autorizado).


Manipulación de credenciales de acceso (Ingreso del trabajo)

Manipulación de la configuración de los aplicativos de las estaciones de

trabajo.

Errores de administración aplicados a los aplicativos.

Abuso de privilegios de acceso

Desconocimiento de sus funciones y responsabilidades dentro de la

Dirección.

Extorsión

Cualquiera de las infracciones o violaciones detalladas deben ser reportadas por

medio del formulario de infracciones de políticas de seguridad. Las mismas que

deben ser reportadas al Jefe de Área, para que el mismo sea remitido.

Procedimientos Disciplinarios aplicables a Infracciones o Violaciones de

Políticas de Seguridad

Todas las infracciones se verán afectadas por el siguiente flujo:

Se realiza llamado de atención por escrito al infractor.

Se detalla un memorándum donde se especifica el hecho realizado y la

consecuencia del mismo. Las consecuencias son para la Dirección y para el

empleado tanto de tipo monetaria como para su hoja de vida.

Cada infracción tiene una diferenciación en el procedimiento disciplinario,

inscripta a continuación:

Infracción o Violación de Políticas de Seguridad

Procedimiento Disciplinario

Alteración, destrucción,

divulgación y cambio de ubicación de información (Dentro y fuera de la Dirección).

Llamado de atención en la hoja de

vida. Capacitación acerca de activos de información y su protección.

Uso inapropiado de los diferentes

recursos (Acceso no autorizado).

Capacitación acerca de los recursos

de la Dirección y su uso autorizado.

Usurpación de identidad Llamado de atención grave en la hoja de vida. Reunión directa con la Dirección y el

Jefe del Área

Manipulación de credenciales de

acceso (Ingreso del trabajo)

Llamado de atención grave en la hoja

de vida. Reunión directa con la Dirección y el Jefe del Área

Manipulación de la configuración de los aplicativos y recursos de

las estaciones de trabajo.

Capacitación acerca de recursos informáticos de la Dirección, a cargo

de delegado de Jefe de Área.

Errores de administración aplicados al software informático.

Reunión con el Jefe de Área. Revisión del Manual de Funciones y

Responsabilidades del área Sistemas.

Abuso de privilegios de acceso Llamado de atención en la hoja de vida. Capacitación acerca de recursos

informáticos de la Dirección, a cargo de delegado de Jefe de Área.

Desconocimiento de sus funciones y responsabilidades

dentro de la Dirección.

Llamado de atención en la hoja de vida.

Reunión con el Jefe de Área para revisión de Manual de Funciones y Responsabilidad del área al cual

pertenezca el infractor.

Extorsión

Separación de la Dirección.

Infracciones o Violaciones de Políticas de Seguridad

La aplicación de cualquier procedimiento disciplinario será supervisada por el

encargado de la misma de mayor rango jerárquico y generara un formulario de

seguimiento de aplicación de procedimientos disciplinarios. Cada procedimiento

disciplinario generara un archivo final que reflejara lo dispuesto, según la sanción.

Toda la documentación que arroje cualquiera de los procedimientos disciplinarios

será archivada en la Carpeta de Personal.

Detección de las Infracciones o Violaciones de Políticas de Seguridad:

Infracción o Violación de Políticas de Seguridad

Procedimiento de Detección

Alteración, destrucción, divulgación y cambio de ubicación de información (Dentro y fuera de

la compañía).

Falta o modificación de la información, detectada mediante consulta de la misma.

Divulgación escrita o verbal de información Conocimiento de información por

personas externas a la Dirección

Uso inapropiado de los diferentes

recursos (Acceso no autorizado).

Observación visual

Revisión de recursos mal utilizados

Usurpación de identidad Doble inicio de sesión

Manipulación de la configuración de usuario o de las opciones permitidas al mismo.

Manipulación de credenciales de

acceso (Ingreso del trabajo)

Alteraciones en la credencial de

acceso


de los aplicativos y recursos de las estaciones de trabajo.

Observación visual, incluye reubicación Comprobación de manipulación de aplicativo por otro usuario Inhabilitación del usuario por manipulación de usuario.


aplicados al software informático.

Fallas del aplicativo en el nivel de

clientes Fallas en los privilegios de acceso (Desactivar acceso de páginas web

para desarrollo de trabajo)

Abuso de privilegios de acceso Observación visual Atraso de la productividad por uso inapropiado de los recursos

informáticos

Desconocimiento de sus funciones y responsabilidades dentro de la Dirección.

Mal desempeño de sus actividades Intermisión en las actividades de otro empleado

Atraso de la productividad

Extorsión

Prueba escrita recibida por cualquier medio, que muestra la extorsión (Dentro o fuera de la empresa)

Detección de las Infracciones o Violaciones de Políticas de Seguridad

Aplicación de los Procedimientos Disciplinarios

Los Jefes de Área

Detecta la infracción y envía por llamado de atención por escrito al infractor.

Realiza memorándum donde se especifica el hecho realizado y la

consecuencia del mismo.

Envía los documentos a la Dirección para realizar la aplicación de los

procedimientos disciplinarios.

Realiza la capacitación si el caso lo requiere.

La Dirección

Colabora con la definición de los procedimientos disciplinarios.

Revisa la documentación enviada por cualquier Jefe de Área en caso de

infracción o violación de políticas de seguridad.

Aplica el procedimiento disciplinario según la infracción realizada.

Reporta al Jefe Administrativo - Recursos Humanos, la documentación

resultante de la aplicación del procedimiento disciplinario.

Define los procedimientos disciplinarios en colaboración con la Jefe de

Área.

Colabora con la aplicación de los procedimientos disciplinarios dependiendo

de la infracción.

Los empleados

Conocen los procedimientos disciplinarios.

Evitan infringir las políticas y procedimientos de seguridad de información.

Acatan los procedimientos disciplinarios, según su infracción. Se acogen a

las actividades a seguir.

Actualización de los Procedimientos Disciplinarios

Si se presentan infracciones o violaciones a políticas de seguridad que se

consideran relevantes y que se realicen por primera vez, se debe adjuntar a los

Tipos de Infracciones y Violaciones de Políticas de Seguridad.

Los Jefes de Área

Redactan un informe, detallando la infracción, las consecuencias para el

empleado y para la empresa y la forma como fue detectada. Dicho informe

es remitido a la Dirección.

La Dirección

Analiza el informe enviado por cualquiera de los Jefes de Área y determina

el nivel de afectación de la infracción.

Si la infracción se determina importante, es incluida en los Tipos de

Infracciones y Violaciones de Políticas de Seguridad.

6. Anexos.

Anexo1: Organigrama de la Dirección:

DIRECCIÓN

DESARROLLO DE SOWTWARE

INFRAESTRUCTURA DE RED

SOPORTE TÉCNICO

Anexo2: Formulario de Aplicabilidad de las Políticas de Seguridad

FORMULARIO DE APLICABILIDAD

DE POLÍTICAS DE SEGURIDAD

NOMBRE DEL ENCUESTADO: ___________________________________

FECHA : ___________________________________

CARGO : ___________________________________

ÁREA DE TRABAJO : ___________________________________

Instrucciones: Debe responder las preguntas de manera honesta y responsable.

Sus respuestas deben ser claras y concisas. Por favor, entregue el formulario sin

tachones, ni arrugas.

1. ¿Conoce las políticas de Seguridad de Información que se aplican en su área

de trabajo?

Respuesta: ____________________________________________________

2. ¿Ha sido informado a tiempo de las políticas de seguridad de información?

Respuesta: ____________________________________________________

3. ¿Conoce las infracciones o violaciones de las políticas de Seguridad de

Información?

Respuesta: ____________________________________________________

4. ¿Ha sido informado a tiempo de los procedimientos disciplinarios?

Respuesta: ____________________________________________________

5. ¿Cuán dañino considera que puede ser la alteración o divulgación de la

información?

Respuesta: ____________________________________________________

6. ¿Cuáles es su horario de acceso al servicio de Internet?

Respuesta: ____________________________________________________

7. ¿Cuáles son seguridades de la credencial de acceso del personal?

Respuesta: ____________________________________________________

8. ¿Cuál es su principal función dentro de la Dirección?

Respuesta: ____________________________________________________

9. ¿Cuál es la actividad que más repite durante su jornada de trabajo?

Respuesta: ____________________________________________________

10. ¿Considera relevante aplicar políticas de seguridad de información en la

Dirección?

Respuesta: ____________________________________________________

Firma del Encuestado

Firma de Revisión

Fecha de Revisión:

Los Formularios de Aplicabilidad de Seguridad de la Información pueden variar

dependiendo de área al cual sea aplicado. Además, los formularios deben ser

actualizados al inicio de cada año. Esta responsabilidad es del Director y los Jefes

de Área.

Anexo 3: Registro de Inconformidades.

REGISTRO DE INCONFOMIDADES

EN EL FORMULARIO DE APLICABILIDAD


FECHA: ___________________________________

EMPLEADO ÁREA DE

TRABAJO

OBSERVACIÓN ACCIÓN

(Nombre de Empleado

de la

observación)

(Área de Trabajo

del

Empleado)

(Observación reflejada en el formulario

aplicado)

(Capacitación o Reunión de Revisión

de Políticas de

Seguridad)

Firma de Elaboración

Fecha de Revisión (Dirección):

En el registro de inconformidades se guarda algunas observaciones y acciones a

tomar, dependiendo de los reflejados en los formularios. Debe ser enviado al

Director por Jefe del Área.

Anexo 4: Plan de Verificación de Aplicabilidad de Seguridades

PLAN DE VERIFICACIÓN DE APLICABILIDAD


FECHA DE PLANIFICACIÓN: ______________________________

PERÍODO : ______________________________

FECHA DE APLICACIÓN

ÁREA DE TRABAJO

CAUSA DE LA

APLICACIÓN

FORMULARIO A APLICAR

LUGAR DE APLICACIÓN

SUPERVISOR JUSTIFICACIÓN DE

INCUMPLIMIENTO

OBSERVACIONES

(Fecha

planeada para

aplicación de verificación

de

aplicabilidad)

(Área

planeada para la fecha)

(Razón de la

aplicación planeada)

(Formulario a

Implementar)

(Lugar de

aplicación de la

verificación)

(Nombre del

Jefe que supervisara la aplicación

de la verificación)

(Razones de

incumplimiento de la verificación

planificada)

(Posibles notas

agregadas a la verificación planeada)


Firma de Aprobación

Fecha de Aprobación:

Anexo5: Formulario de Control de Asistencia de Verificación de Aplicabilidad

REGISTRO DE ASISTENCIA DE

VERIFICACIÓN DE APLICABILIDAD DE POLÍTICAS DE SEGURIDAD

FECHA DE VERIFICACIÓN: ______________________________

FORMULARIO APLICADO: ______________________________

LUGAR DE APLICACIÓN : ______________________________

SUPERVISOR : ______________________________

EMPLEADO HORA DE

ENTRADA

FIRMA HORA DE

SALIDA

FIRMA

(Nombre del

empleado que realiza el formulario

de verificación)

(Hora que

ingresa a la verificación)

(Firma de

constancia de la entrada del

empleado)

(Hora que

egresa a la verificación)

(Firma de

constancia de la salida del empleado)

Firma de Supervisión

Firma de Revisión

Fecha de Revisión:

Anexo 6: Formulario de Control de Asistencia a Capacitación

REGISTRO DE ASISTENCIA DE

CAPACITACIÓN DE SEGURIDAD DE INFORMACIÓN

FECHA DE CAPACITACIÓN: ______________________________

LUGAR DE CAPACITACIÓN: ______________________________

CAPACITADOR : ______________________________

TEMA : ______________________________

EMPLEADO HORA DE

ENTRADA

FIRMA HORA DE

SALIDA

FIRMA

(Nombre del

empleado que se está capacitando)

(Hora que

ingresa a la capacitación)

(Firma de

constancia de la entrada del empleado)

(Hora que

egresa a la capacitación)

(Firma de

constancia de la salida del empleado)

Firma de Supervisión

Firma de Revisión

Fecha de Revisión:

Anexo 7: Formulario de Infracción de Políticas de Seguridad.

FORMULARIO DE REGISTRO

DE INFRACCIONES O VIOLACIONES DE POLÍTICAS DE SEGURIDAD

ELABORADO POR: ___________________________________

FECHA EMPLEADO ÁREA DE TRABAJO

INFRACCIÓN SITUACIÓN ACCIÓN

(Fecha de realiza la

infracción)

(Nombre de Empleado

que comete la

infracción)

(Área de Trabajo

del Empleado)

(Infracción incurrida)

(Detalle de la

situación de la

infracción)

(Procedimiento Disciplinario a

aplicar por motivo de la infracción)



En el Registro de Infracciones o Violaciones de Políticas de Seguridad se guarda

los detalles correspondientes a situaciones que quebrantan los procedimientos de

seguridad de información que se encuentran implementados en la empresa y los

procedimientos disciplinarios a aplicar por los mismos. Debe ser enviado al

Director por la Jefe del Área.

Anexo 8: Seguimiento de la Aplicación de los Procedimientos Disciplinarios

FORMULARIO DE SEGUIMIENTO

DE PROCEDIMIENTOS DISCIPLINARIOS

SUPERVISADO POR: ___________________________________

FECHA EMPLEADO ÁREA DE TRABAJO

GESTOR ACCIÓN DE SEGUIMIENTO

(Fecha de seguimiento)

(Nombre de Empleado

que comete la

infracción)

(Área de Trabajo

del Empleado)

(Persona que aplica el

procedimiento disciplinario)

(Situaciones que permiten aplicar el

procedimiento disciplinario)



En caso de que la infracción incurrida sea Extorsión o alguna otra que necesite

separación del empleo, también debe registrarse en el formulario de seguimiento.

Anexo 9:

MODELO “DECLARACIÓN DE ACEPTACIÓN CARGO OFICIAL DE

SEGURIDAD INFORMATICA”

Fecha: __/__/__

El que suscribe

………………………………………………………………………………………

…………………………….(Nombre del funcionario asignado a este cargo)

con C.I.#.................................................................. declara aceptar el

nombramiento de OFICIAL DE SEGURIDAD INFORMATICA de la

Dirección de Tecnología del Ministerio del Interior, acepta conocer todos

los términos, condiciones, atribuciones y obligaciones que se encuentran

detallados en la Política de Seguridad de la Información.

_________________________________________

NOMBRE DEL FUNCIONARIO ASIGNADO

Aclaraciones:

______________________________________________________

plan seg inf

Documents