si tsissteemmaa dddee sg geessttiiÓÓnn … de gestin de seguridad de... · controles que...
TRANSCRIPT
SSIISSTTEEMMAA DDEE GGEESSTTIIÓÓNN DDEE LLAA SSEEGGUURRIIDDAADD DDEE LLAA IINNFFOORRMMAACCIIÓÓNN
ISO 27001: 2005
II..-- IInnttrroodduucccciióónn
La información, junto a los procesos y sistemas que hacen uso de ella, son activos muy importantes al
interior de una organización. Para CAS-CHILE® son de gran relevancia, al igual que la prestación de
servicios que garanticen su continuidad.
Los activos de una organización se encuentran expuestos a la acción de amenazas internas y externas,
cuyo origen puede ser natural o consecuencia de la acción del hombre, ya sea de forma deliberada o
accidental, lo que hace necesario la implementación de un Sistema de Gestión de la Seguridad de la
Información (SGSI) para resguardarlos apropiadamente.
La información puede existir de muchas formas, pudiendo estar:
Impresa o escrita en papel.
Almacenada electrónicamente.
Transmitida por correo medios electrónicos.
Mostrada en películas.
Hablada en una conversación.
Cualquier forma que tome la información en la empresa puede estar referida a clientes, ventas, personal,
productos, etc. , Los dispositivos a través de los cuales es compartida y almacenada, siempre deben estar
protegida en forma adecuada.
5 cláusulas mandatorias.
11 dominios.
39 objetivos de control.
133 controles.
La norma ISO 27001 se puede agrupar en tres líneas:
SGSI (ISMS: System Management Security Information).
Valoración de Riesgos (risk assement).
Controles.
Para lograr proteger los activos que tiene nuestra empresa, se hace necesario implementar una norma.
Esta norma es aplicable a cualquier empresa sea cual sea su tamaño, actividad o el volumen del negocio,
es lo que se denomina principio de proporcionalidad de la norma, es decir, que todos los aspectos que
aparecen en la normativa deben estar contemplados y ser tomados en cuenta por todas las
organizaciones a la hora de proteger sus activos.
La diferencia se produce en la cantidad de recursos que hay que inscribir y la cantidad de activos que hay
que proteger. La norma es una guía y no necesariamente todos los aspectos de ella deben ser
implementados, eso dependerá de la naturaleza de la organización.
1.- Sistema de Gestión de Seguridad de la Información
Un Sistema de Gestión de Seguridad de la Información (SGSI) consiste en la planificación, ejecución,
rectificación y mejora continua de un conjunto de controles que permitan reducir el riesgo de sufrir
incidentes de seguridad.
En otras palabras, es un Sistema de Gestión comprende la política, la estructura organizativa, los
procedimientos, los procesos y los recursos necesarios para implantar la gestión de la Seguridad de la
Información.
Objetivos:
Garantizar la confidencialidad, integridad y disponibilidad de la información de una organización.
Designar un encargado del Sistema de Gestión de Seguridad de la Información al interior de la
organización.
Cumplir con las leyes, DS que sean aplicables a la organización.
Gestionar las incidencias de seguridad.
Disponer de un Plan de Continuidad del Negocio y un Plan de Recuperación de Desastres.
Plan de comunicación hacia los empleados.
Plan de capacitación en seguridad a todos los empleados de la organización.
Generar un Manual de Seguridad par la organización que incluya políticas, normas,
procedimientos, indicadores, metas y planes de acción.
CAS-CHILE®, con el afán de mantener su liderazgo en la industria de las Tecnologías de la Información y
considerando los servicios que hoy ofrece al sector público, ha comenzado a trabajar en el proceso de
certificación ISO 27001:2005, que supone la implantación de un Sistema de Gestión de la Seguridad de
la Información.
La implementación de un SGSI tiene la finalidad de garantizar que los riesgos de la Seguridad de la
Información sean conocidos, asumidos, gestionados por la organización de manera documentada,
sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el
entorno y las tecnologías.
Esta norma proporcionará recomendaciones para la gestión de la Seguridad de las TI para los
responsables de introducir, implementar, operar, monitorear, mantener, un SGSI en la empresa CAS-
CHILE®.
2.- Familia ISO 27000
ISO 27000: Términos y definiciones que se emplean en toda la serie 27000.
ISO 27001: Es la norma principal de la serie y contiene los requisitos del Sistema de Gestión de
Seguridad de la Información. En su Anexo A, enumera en forma de resumen los objetivos de control y
controles que desarrolla la ISO 27002:2005 para que sean seleccionados por las organizaciones en el
desarrollo de sus SGSI. La ISO 27001:2005 proporciona un modelo sólido para implementar los
principios y lineamientos de un SGSI.
ISO 27002: Es una guía de buenas prácticas que describe los objetivos de control y controles
recomendables en cuanto a Seguridad de la Información. Contiene 39 objetivos de control y 133
controles, agrupados en 11 dominios.
ISO 27003: Guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los
requerimientos de sus diferentes fases.
ISO 27004: Especifica las métricas y las técnicas de medida aplicables para determinar la eficacia de
un SGSI y de los controles relacionados.
ISO 27005: Establece las directrices para la gestión del riesgo en la seguridad de la información. Está
diseñada para ayudar a la aplicación satisfactoria de la seguridad de la información basada en un
enfoque de gestión de riesgos, es aplicable a todo tipo de organizaciones que tienen la intención de
gestionar los riesgos que puedan comprometer la organización de la seguridad de la información.
ISO 27006: Especifica los requisitos para la acreditación de entidades de auditoría y certificación de
Sistemas de Gestión de Seguridad de la Información. Es decir, ayuda a interpretar los criterios de
acreditación de ISO/IEC 17021 cuando se aplican a entidades de certificación de ISO 27001, pero no
es una norma de acreditación por sí misma.
ISO 27007: Consiste en una guía de auditoría de un SGSI.
ISO 27011: Consiste en una guía de gestión de seguridad de la información específica para
Telecomunicaciones.
ISO 27031: Consiste en una guía de continuidad de negocio en cuanto a tecnologías de la
información y comunicaciones.
ISO 27032: Consiste en una guía relativa a la ciberseguridad.
ISO 27033: Es una norma consistente en 7 partes: gestión de seguridad de redes, arquitectura de
seguridad de redes, escenarios de redes de referencia, aseguramiento de las comunicaciones entre
redes mediante gateways, acceso remoto, aseguramiento de comunicaciones en redes mediante
VPNs y diseño e implementación de seguridad en redes.
ISO 27034: Consiste en una guía de seguridad en aplicaciones.
ISO 27799: Es un estándar de gestión de seguridad de la información en el sector salud.
3.- Sistema de Gestión de la Seguridad de la Información en CAS-CHILE®
CAS-CHILE® ha tomado la decisión de adoptar un modelo de SGSI que permita proteger los activos de la
información, que corresponde a aquellos elementos relevantes en la producción, emisión,
almacenamiento, comunicación, visualización y recuperación de información de valor para la empresa.
Por lo tanto debemos preocuparnos de tres tipos de activos de información:
La información propiamente tal.
Los equipos, software, infraestructura que soportan esta información.
Las personas que utilizan la información y que tienen el conocimiento de los procesos que existen en
la empresa.
Como estos activos son de gran valor para CAS-CHILE®, la empresa debe protegerlos de amenazas,
spamming, phishing, virus, malware, ingeniería social, interrupción de servicios, robo de información, etc.
Se deberán identificar riesgos y detectar vulnerabilidades para luego poder establecer los controles de
seguridad necesarios.
El Sistema de Gestión de Seguridad de la Información (SGSI) debe ser parte de los sistemas de gestión de
la empresa, y está basado en un enfoque de riesgos del negocio para:
- Establecer y mejorar la seguridad de la información.
- Implementar.
- Operar.
- Monitorear.
Figura: Modelo de Seguridad
Este SGSI debe incluir la estructura, políticas, actividades, responsabilidades, procedimientos y procesos.
Para establecer, implementar y monitorearlos se hace uso del modelo PDCA:
a) ¿Cuál es el retorno de la Inversión (ROI) de un proyecto de implantación del ISO 27001:2005?
ROI: Cálculo del retorno sobre la inversión.
En el caso de inversiones en seguridad, se utiliza el ROS I (return of security investment), que al igual que
el RO I mide la relación entre el retorno que produce una inversión y la inversión propiamente tal.
Lo central en el cálculo del ROS I, es calcular los costos ahorrados como consecuencia de evitar incidentes
de seguridad o de mitigar los efectos de los mismos. Por lo tanto, al determinar el ROS I, en realidad lo
que estamos haciendo es definir el ahorro obtenido.
Al implantar un SGSI, lo que se asegura es la reducción considerable de los incidentes que podrían
producirse en nuestra organización. Disminuir las amenazas, identificar las vulnerabilidades, generar
controles de seguridad, nos ayudará también a reducir los incidentes. Asimismo, al estar dentro de un
ciclo de mejora continua, conseguiremos que el sistema de gestión responda siempre a las nuevas
necesidades de seguridad.
Otro factor clave a la hora de calcular el ROS I en la implantación de la norma ISO 27001:2005, es el plan
de Continuidad del Negocio (que veremos más adelante en detalle). El PCN es muy relevante, ya que por
ejemplo, en el terremoto del 27 de febrero de 2010, hubo muchas municipalidades que dejaron de
funcionar por efectos de esta catástrofe. Otras siguieron activas, por lo tanto, para nuestra empresa se
hace imprescindible poder seguir prestando los servicios a todos los municipios, por lo que debemos
hacer nuestras mayores inversiones en equipos, de tal manera de no dejar de suministrar nuestros
servicios. También es importante la imagen de la organización, que no se vea dañada.
Este es un indicador financiero y lo asociamos mucho a las finanzas y al análisis financiero, pero no a la
seguridad de la información. Al asociarlo a un proyecto de implantación cobra sentido, ya que lo
podemos analizar y evaluar considerando a la empresa sin proyecto o con proyecto. En este caso, se
deben considerar los ahorros que se pueden obtener al tener un SGSI en la empresa.
4.- Dominios
CAS-CHILE® al momento de adoptar el Sistema de Seguridad de la Información, deberá cumplir en un
100% con los dominios de seguridad establecidos en la ISO 27001, los cuales abarcan todos los Activos de
Información que interesa proteger.
1.- Políticas de Seguridad.
2.- Organización de la Seguridad de la Información.
3.- Gestión de Activos.
4.- Control de Accesos.
5.- Cumplimiento de la Normativa Legal.
6.- Seguridad física y del Entorno.
7.-Seguridad en los Recursos Humanos.
8.-Gestión de Incidentes de la Seguridad de la Información.
9.- Gestión de la Continuidad del Negocio.
10.-Gestión de Comunicaciones y Operaciones.
11.-Aplicación, Desarrollo y Mantenimiento de Sistemas de Información.
1° Dominio: PPoollííttiiccaa ddee SSeegguurriiddaadd ddee llaa IInnffoorrmmaacciióónn CCAASS--CCHHIILLEE®®
La Gerencia General de CAS-CHILE® reconoce la importancia de identificar y proteger sus activos de
información, evitando la destrucción, la divulgación, modificación y utilización no autorizada de toda la
información relacionada con clientes, empleados, precios, bases de conocimiento, manuales, casos de
estudio, códigos fuente, estrategia, gestión, y otros conceptos; comprometiéndose a desarrollar,
implantar, mantener y mejorar continuamente el Sistema de Gestión de la Seguridad de la Información
(SGSI).
El objetivo de la presente política es establecer las directrices generales que garanticen la seguridad de los
sistemas de información de CAS-CHILE®.
a).- Definición
Una Política de Seguridad de la Información es un conjunto de reglas aplicadas a todas las actividades
relacionadas al manejo de la información de una empresa, teniendo como propósito, el proteger la
información, los recursos, sus activos y la reputación de la misma.
La información puede definirse como “datos que tienen significado y propósito”. Ésta se ha convertido en
un componente indispensable para la conducción del negocio en todas las organizaciones, sean
privadas o públicas.
Podemos decir que la información es un recurso que, como el resto de los activos de la empresa, tiene
valor y por lo tanto, debe ser protegida garantizando la continuidad del negocio y minimizando los
riegos de daño.
Las Políticas de Seguridad de la Información protegen a la empresa de una amplia gama de amenazas,
reducen las vulnerabilidades con el fin de garantizar la continuidad del negocio así como el minimizar los
riesgos de daño a instalaciones. Esta Política de Seguridad debe ser comunicada a toda la empresa y ser
parte de su cultura organizacional. Esta política cuenta con el total respaldo de la Alta Dirección y está
totalmente alineada con la estrategia del negocio.
b).- Conceptos
El Sistema de Gestión de Seguridad de la Información nos permitirá establecer distintos controles que
posibilitarán preservar los siguientes elementos:
Seguridad: En su significado más básico, es la protección contra cualquier daño o la ausencia de éste.
Confidencialidad: Asegurar que la información sea accesible sólo por aquellos usuarios autorizados para
tener acceso.
Integridad: Salvaguardar que la información y los métodos de procesamiento sean exactos y completos.
Disponibilidad: Asegurar que los usuarios autorizados tengan acceso a la información y bienes asociados
cuando lo requieran.
Seguridad de la Información: Conjunto de procesos y actividades que permiten mantener libre de
peligros y daños por accidente o ataque, a los activos de información que forman parte de una
organización, desarrollando las características de confiabilidad, integridad y disponibilidad.
Política: Conjunto de orientaciones o directrices que rigen la actuación de una persona o entidad en un
asunto o campo determinado.
c).- Objetivos
El Sistema de Gestión de la Seguridad de la Información (SGSI) implantado en CAS-CHILE® se realiza para
cumplir con su política de seguridad y lograr los siguientes objetivos:
Proteger los activos de información de la empresa, como sus instalaciones, tecnología y personal
utilizados para la prestación de servicios, frente amenazas internas o externas, deliberadas o
accidentales, con el fin de asegurar el cumplimiento de la: Auditabilidad, Disponibilidad,
Confidencialidad e Integridad de la información.
El cumplimiento de la normativa vigente, como asimismo, de los D.S. 81, 83, 100, entre otros.
Asegurar que las medidas de seguridad deseadas estén dentro del presupuesto asignado por la Alta
Dirección.
Mantener actualizada la política de seguridad de la empresa.
Implantar el SGSI para la empresa con el objetivo de certificarse en la Norma ISO 27001.
Sancionar cualquier violación a la política de seguridad de la información.
Comunicar la Política de Seguridad de la Información a todos los empleados.
Generar las condiciones adecuadas para que el personal pueda desarrollar la actividad de seguridad y
comprometerse a su difusión, consolidación y cumplimiento.
Definir políticas sobre un Plan de Continuidad del Negocio (BCP).
Definir un Plan de Recuperación de Desastres.
Proteger los recursos computacionales del robo, destrucción.
Desarrollar un análisis de impacto en el negocio.
Definir procedimientos para el desarrollo de software e instalación de servidores.
Asegurar la implementación de las medidas de seguridad comprendidas en la política establecida,
generando auditorías que permitan velar por el fiel cumplimiento de los objetivos señalados.
d).- Premisas
Todos los equipos, infraestructuras y aplicaciones dispuestos al servicio del personal contratado son
propiedad de CAS-CHILE® y sólo se permite su utilización para desarrollar las tareas establecidas en el
ámbito laboral. Todos los datos procesados por los elementos anteriormente mencionados son propiedad
de CAS-CHILE® y por tanto, poseen carácter confidencial.
e).- Uso Apropiado de Recursos
El equipamiento informático, software e infraestructura de red que CAS-CHILE® pone a disposición de sus
empleados, debe utilizarse para los propósitos de negocio para los que ha sido concebido. Además, la
información que procesan estos recursos debe ser tratada de manera confidencial. Por ello queda
terminantemente prohibido:
Hacer uso de del equipamiento con fines no relacionados con la actividad exclusivamente laboral.
Modificar, alterar o dañar la configuración de los dispositivos de hardware, software y
comunicaciones habilitados por la empresa para el desempeño de las funciones propias de cada usuario.
En caso de que algún usuario precise la instalación de componentes adicionales, deberá comunicarlo a su
responsable directo, el cual, tras valorar la petición, remitirá una solicitud formal a la gerencia de
desarrollo de la empresa. No se permitirá bajo ningún concepto la instalación de software que no vaya
acompañado de su correspondiente licencia.
Conectarse a la red corporativa por medios distintos a los establecidos por la empresa.
Emplear Internet con fines que no guarden en modo alguno relación con las tareas y obligaciones
estipuladas en el ámbito laboral. Esta premisa se hace extensible al uso del correo electrónico y
aplicaciones informáticas.
Intentar acceder sin autorización a los elementos y contenidos restringidos de los sistemas; así como
leer, modificar o eliminar el correo personal de otros usuarios.
Introducir intencionadamente en los Sistemas de Información de la empresa componentes
potencialmente dañinos (malware), o con contenido amenazante, ofensivo u obsceno.
Intentar destruir, alterar, inutilizar o divulgar los datos e información que son propiedad de la
empresa. Este acto, además, puede constituir un delito.
El incumplimiento de alguna de estas pautas generales de conducta, podría propiciar la apertura del
correspondiente proceso disciplinario. La empresa desplegará los mecanismos formales que estime
oportunos para velar por el uso apropiado de sus recursos. En caso de identificar a algún usuario que
incumpla alguna de las normas anteriores, procederá a comunicarle esta circunstancia, y si se llegase a
apreciar mala fe o reiteración en sus acciones, CAS-CHILE® adoptará las medidas que legalmente le
amparen para la protección de sus derechos.
f).- Responsabilidades de los Usuarios
Cada usuario es responsable del equipamiento que CAS-CHILE® le ha confiado para el desarrollo de sus
funciones laborales. Por ello, sólo podrá extraer de los locales de la empresa aquellos equipos y
dispositivos autorizados por la gerencia de desarrollo. Cualquier desperfecto ocasionado por el uso o
traslado inadecuado de los recursos debe ser informado a la gerencia respectiva. En el caso de robo o
destrucción del equipo deberá dejarse la constancia correspondiente para efectos del seguro.
Igualmente, el usuario es responsable de proteger y mantener la confidencialidad de la información
perteneciente o confiada a CAS-CHILE®, y deberá contribuir de manera activa al secreto de la misma. El
usuario se hace responsable de sus contraseñas y bajo ninguna circunstancia debe divulgarlas o cederlas
al resto de usuarios. Las contraseñas de usuario deben ser robustas y difícilmente adivinables por terceros
no autorizados. En caso de detectar algún incidente de seguridad, el usuario deberá comunicarlo
inmediatamente al personal oportuno siguiendo el procedimiento establecido.
g).- Responsabilidad de la Gerencia
CAS-CHILE® es responsable de desplegar los medios técnicos y humanos necesarios para garantizar la
confidencialidad, integridad y disponibilidad de sus datos de negocio. Para ello instaurará las políticas,
normativas, procesos y procedimientos que sean requeridos, y se compromete a distribuirlos entre todo
el personal involucrado. Es responsabilidad de CAS-CHILE® establecer y revisar periódicamente los
diferentes controles de acceso a los sistemas de información que sostienen el negocio. Para ello,
determinará perfiles de usuario y limitará los accesos al sistema en función de las necesidades requeridas
por cada empleado para el desarrollo de sus actividades laborales. Adicionalmente, siempre que sea de
obligado cumplimiento, se tratará cualquier elemento introducido en los sistemas de información
gestionados por CAS-CHILE®, según los requisitos establecidos por la legislación vigente sobre Propiedad
Intelectual y Protección de Datos de Carácter Personal.
2° Dominio: OOrrggaanniizzaacciióónn ddee llaa SSeegguurriiddaadd ddee llaa IInnffoorrmmaacciióónn..
Básicamente, el propósito que persigue este dominio es el siguiente: Implantar los lineamientos para
administrar y mantener la seguridad de la información en la organización, al igual que los términos de
seguridad que deben ser aplicados al personal (interno y externo), que se vea involucrado directa o
indirectamente con su información. Adicionalmente definir la estructura de Gestión de Seguridad y los roles
y perfiles relacionados con ésta.
3° Dominio: GGeessttiióónn ddee AAccttiivvooss..
Todo activo de información, bajo la responsabilidad de la Organización, es decir información propia de la
Organización o de entidades externas debe ser administrado y monitoreado.
Toda la información generada por la Organización debe estar disponible para funcionarios tanto externos
como internos que requieran del acceso y consulta de ésta, siempre y cuando se manejen los controles de
acceso y confidencialidad apropiados.
Se deben asignar responsabilidades en cuanto a la propiedad de los activos de información a usuarios
encargados de mantener la integridad de la información. Es responsabilidad del administrador de la
información asignar los respectivos controles de acceso a la información.
Clasificación de la información: Se debe realizar un análisis y valoración de la información manejada por la
Organización para definir una clasificación apropiada, dependiendo de su valor, requisitos legales,
sensibilidad e importancia.
Una clasificación apropiada de la información garantiza la confidencialidad, integridad y disponibilidad de la
información para la Organización.
4° Dominio: CCoonnttrrooll ddee AAcccceessooss..
Con el objetivo de que todo el proceso de comunicación sea gestionado de forma segura, CAS-CHILE® ha
de tomar una serie de medidas y buenas prácticas. En este sentido, la concienciación del usuario para
gestionar de modo eficiente su información tiene uno de sus pilares en la correcta gestión su correo
electrónico y la creación de las contraseñas que éste ha de utilizar en la mayoría de los procesos y
operaciones que requieren de su autenticación.
a) Política de Contraseña Segura:
De esta forma, para gestionar la seguridad de contraseñas, los usuarios deberán tener en cuenta las
siguientes pautas para la creación y establecimiento de contraseñas seguras:
Utilizar al menos 8 caracteres para crear las claves.
Utilizar en una misma contraseña dígitos, letras y caracteres especiales.
Es recomendable que las letras alternen aleatoriamente mayúsculas y minúsculas.
Elegir una contraseña que pueda recordarse fácilmente y es deseable que pueda escribirse
rápidamente, preferiblemente, sin que sea necesario mirar el teclado.
Cambiar las contraseñas con una cierta regularidad.
Utilizar signos de puntuación si el sistema lo permite.
Acciones que deben evitarse en la gestión de contraseñas seguras:
Se debe evitar utilizar la misma contraseña siempre en todos los sistemas.
No utilizar información personal en la contraseña: Nombre del usuario o de sus familiares, ni sus
apellidos, ni su fecha de nacimiento.
Evitar utilizar secuencias básicas de teclado (por ejemplo: ”qwerty”, “asdf” o las típicas en
numeración: “1234” ó “98765”)
No repetir los mismos caracteres en la misma contraseña. (ej.: “111222”).
Evitar también utilizar solamente números, letras mayúsculas o minúsculas en la contraseña.
No se debe utilizar como contraseña, ni contener, el nombre de usuario asociado a la contraseña.
No utilizar datos relacionados con el usuario que sean fácilmente deducibles, o derivados de estos.
No escribir ni reflejar la contraseña en un papel o documento donde quede constancia de la misma.
Tampoco se deben guardar en documentos de texto dentro del propio ordenador o dispositivo.
No se deben utilizar palabras que se contengan en diccionarios en ningún idioma. Hoy en día existen
programas de ruptura de claves que basan su ataque en probar una a una las palabras que extraen de
diccionarios: Este método de ataque es conocido como “ataque por diccionario”.
No enviar nunca la contraseña por correo electrónico o en un SMS.
Si se trata de una contraseña para acceder a un sistema delicado hay que procurar limitar el número
de intentos de acceso. Debe existir un sistema de recarga de la contraseña o “vuelta atrás”.
No utilizar en ningún caso contraseñas que se ofrezcan en los ejemplos explicativos de construcción
de contraseñas robustas.
No escribir las contraseñas en ordenadores de los que se desconozca su nivel de seguridad y puedan
estar monitorizados, o en ordenadores de uso público.
Cambiar las contraseñas por defecto proporcionadas por desarrolladores/fabricantes.
b) Política de uso de correo electrónico seguro: esta política debe ser conocida y cumplida por todo el
personal de la empresa, sea cual fuere su nivel jerárquico y calidad contractual:
Para tener una cuenta de correo electrónico bajo el dominio caschile.cl el usuario deberá tener una
relación laboral con la empresa. Esta cuenta será válida hasta que finalice la relación laboral
adquirida con CAS-CHILE®.
La forma común de correo electrónico es: [email protected]. Toda casilla electrónica
directamente vinculada a una persona específica, será considerada con carácter de correspondencia
privada, siendo su uso exclusivamente con fines laborales.
Puede accederse al correo electrónico tanto desde dentro de la empresa como fuera de la red
corporativa.
El emisor de un correo electrónico institucional debe identificar sus datos: nombre, apellido, cargo y
teléfonos.
Cada cuenta de correo electrónico tendrá asociado un conjunto de recursos de almacenamiento que
es limitado.
Tamaño máximo de archivos adjuntos 10Mb. Debe tenerse en cuenta que el correo enviado circula
por distintos servidores de internet y las restricciones las pone cada institución en sus servidores.
Los usuarios son responsables de todas las actividades realizadas con las cuentas de correo
electrónico proporcionadas.
Esta responsabilidad supone el cuidado de los recursos que integran dicha cuenta y particularmente,
de los elementos como la contraseña, que pueden permitir el acceso de terceras personas a dicha
cuenta, o a otros recursos personales que utilicen ese identificador.
Si se sospecha que la cuenta está siendo utilizada por una tercera persona, hay que avisar
inmediatamente a Servicio Técnico.
Se prohíbe el envío de mensajes masivos que comprometan la reputación u honra de la organización
o de alguno de sus miembros.
No están permitidos los mecanismos y sistemas que intenten ocultar la identidad del emisor del
correo.
Está prohibida la suplantación de identidad de otra persona en el envío de mensajes de correo
electrónico.
CAS-CHILE® entrega el cuidado y mantención de los buzones de correo electrónico a través del área
de Servicio Técnico que se preocupará que se almacenen los mensajes de manera segura, tanto
desde dentro como desde fuera de la empresa. Servicio Técnico velará por el normal
funcionamiento del correo electrónico.
El administrador de correo electrónico no podrá, bajo ninguna circunstancia, leer, copiar, borrar,
retener, desviar, divulgar o alterar mensajes sin el expreso consentimiento del usuario de dicho
correo electrónico.
5° Dominio: CCuummpplliimmiieennttoo ddee llaa NNoorrmmaattiivvaa LLeeggaall..
Evitar los incumplimientos de cualquier ley, estatuto, regulación u obligación contractual legal y de
cualquier requisito de seguridad a los cuales puede estar sujeto el diseño, operación, uso y gestión de los
sistemas de información.
Se debe contar con asesoría sobre los requisitos legales específicos en el departamento jurídico de la
institución, o a través de profesionales del derecho calificados.
De la misma, forma se debe asegurar que los sistemas cumplen con las normas y políticas de seguridad de
la organización, a través de revisiones regulares y auditorías que comprueben el cumplimiento de normas
aplicables a la implementación de la seguridad y controles documentados.
Se deben establecer controles para salvaguardar los sistemas en producción y la integridad de las
herramientas de auditoría durante las auditorías del sistema de información, y evitando el mal uso de ellas.
**Normativa aplicable a implementación de un SGSI en Anexo**
6° Dominio: SSeegguurriiddaadd ffííssiiccaa yy ddeell EEnnttoorrnnoo..
Todos los centros de almacenamiento de información de la Organización o instalaciones que estén
involucradas con los activos de información deben cumplir con las normas de seguridad física y ambiental,
para garantizar que la información manejada en éstas permanezca siempre protegida de accesos físicos por
parte de personal no autorizado o por factores ambientales que no se puedan controlar.
La información manejada por funcionarios (internos y externos) de la Organización en sus instalaciones,
durante las labores habituales de trabajo, debe estar protegida.
Se debe proporcionar una protección a los activos de información proporcional a los riesgos identificados.
Se debe evitar la pérdida, daño, robo o puesta en peligro de los activos y la interrupción de las actividades
de la Organización.
Las normas sobre seguridad física deben contener los controles de acceso a personal no autorizado en las
instalaciones y centros de procesamiento de información de la Organización, para garantizar la seguridad
de los activos de información. Es importante involucrar a personal especializado en seguridad física y
utilizar herramientas tecnológicas que ayuden en la implementación de las medidas de seguridad
establecidas.
7° Dominio: SSeegguurriiddaadd eenn llooss RReeccuurrssooss HHuummaannooss..
La seguridad de los recursos humanos dentro de la organización, debe considerar como recurso humano al
personal interno, temporal o partes externas en el aseguramiento de las responsabilidades que son
asignadas a cada uno, asociadas con sus respectivos roles, para reducir el riesgo de robo, fraude o uso
inadecuado de las instalaciones.
Todo el recurso humano que hace parte de la Organización debe estar consciente de las amenazas y
vulnerabilidades relacionadas con la seguridad de la información y sus responsabilidades y deberes en el
apoyo que deben brindar a la política de seguridad de la organización establecida para la reducción del
riesgo de error humano.
a.- Seguridad antes de la contratación
Se deben realizar en conjunto con el área de recursos humanos una valoración del proceso de verificación
de antecedentes que se debe aplicar al personal que ingrese a la Organización, teniendo en cuenta el tipo y
clasificación de la información a la que tendría acceso en sus respectivos cargos y responsabilidades. Se
debe tener en cuenta que no todos los procesos de contratación en la organización deben ser manejados
de igual forma, cada rol y sus responsabilidades debe tener un manejo diferente con relación a la
verificación de antecedentes, procedencia, formación, conocimientos, etc.
b.- Seguridad durante la contratación
Se deben asegurar en la contratación del personal de la Organización, acuerdos de confidencialidad de la
información que se manejarán durante el tiempo que labore dentro de la organización y una vez finalizado
el contrato.
Debe quedar documentado en acuerdos de confidencialidad, materiales de concientización, contratos de
empleo entre el empleado y la organización la responsabilidad de los trabajadores relacionada con la
protección de la información manejada por la Organización.
Anualmente se debe considerar la posibilidad de revisar en conjunto con los empleados los términos,
acuerdos y condiciones expuestas en los contratos laborales, para garantizar el compromiso que
adquirieron con relación a la seguridad de la información con la organización.
c.- Seguridad en la finalización o cambio de empleo
Cuando los empleados finalizan sus contratos laborales con la organización o se retiran de ésta, se deben
tener en cuenta varias actividades que se deben realizar para garantizar la gestión apropiada de activos de
la organización que tenía a su cargo.
8° Dominio: GGeessttiióónn ddee IInncciiddeenntteess ddee llaa SSeegguurriiddaadd ddee llaa IInnffoorrmmaacciióónn..
La gestión de los incidentes de seguridad se ha convertido en un componente importante dentro de los
programas de tecnología de información y seguridad de la información.
Las acciones preventivas y correctivas que se generan una vez se realizan análisis de riesgos y auditorias
del SGSI pueden disminuir el número de incidentes que sean susceptibles de presentarse, pero no todos
pueden ser prevenidos.
Deben definirse lineamientos para la gestión de varios tipos de incidentes específicos:
• Negación de Servicio (DoS – Denial of service):
Los ataques de denegación de servicio se refieren al uso específico de ciertas herramientas por parte de
intrusos con el fin de causar que las redes y/o sistemas dejen de operar apropiadamente.
Los ataques de denegación de servicio distribuido son aquellos realizados por un grupo de atacantes
localizados en diferentes sitios geográficos en donde simultáneos ataques son lanzados hacia el sistema
víctima. Debido a ello, es difícil localizar las fuentes del ataque.
• Ataques de Código malicioso:
Código malicioso pueden ser programas como virus, gusanos, troyanos, spyware o scripts utilizados por
intrusos para lograr acceso privilegiado, capturar contraseñas o información confidencial. Los ataques de
código malicioso son a veces difíciles de detectar debido a que ciertos virus o gusanos son diseñados
para modificar su propia firma después de lograr infiltrar un sistema, algunos incluso son capaces de
ocultar logs de auditoría para ocultar las actividades no autorizadas.
• Acceso no autorizado:
El acceso no autorizado va desde el uso no autorizado de credenciales hasta la modificación o cambio de
archivos y directorios almacenados en un sistema o medio de almacenamiento. Esto adicionalmente
puede lograr acceso a otros sistemas a través de programas o dispositivos de “sniffing” que pueden ser
instalados para capturar información confidencial que este moviéndose por la red.
• Usos no apropiados:
Ocurren cuando un usuario lleva a cabo acciones que violan las políticas de uso aceptable de los recursos
computacionales.
Estos lineamientos deben incluir la definición de procedimientos para la preparación frente a incidentes,
identificación, análisis, contención, eliminación y recuperación de incidentes.
Un incidente de seguridad de la información se debe entender como un evento relevante que atenta
contra la seguridad de los sistemas de cómputo, redes de computadores u otro recurso informático o no
informático de la organización; generalmente interrumpe su procedimiento de operación normal.
Los tipos de incidentes de seguridad de la información pueden estar relacionados con cualquier tipo de
evento que pueda considerarse que atenta contra la seguridad de los componentes de la infraestructura
de tecnología informática y telecomunicaciones u otros activos de la Organización.
a. Detección y reporte de incidentes
Deben existir mecanismos que permitan la detección y el registro de eventos informáticos de forma que
sea posible realizar el análisis de los mismos por medio de una evidencia de su ocurrencia.
Todos los incidentes de seguridad informática deben ser reportados en el menor tiempo posible, para
acelerar la detección, restauración y reparación de cualquier daño causado, y para facilitar la obtención
de cualquier evidencia asociada.
Todos los funcionarios involucrados con la Organización, deben ser conscientes y estar alertas a que la
evidencia relacionada con incidentes de seguridad de la información debe ser adecuada y formalmente
registrada, retenida y entregada al Administrador de Seguridad de la información, utilizando los medios
que estén disponibles para tal fin
b. Preparación ante Incidentes
Según la complejidad de los incidentes se deben asignar prioridades de atención a éstos. Estas
prioridades están clasificadas de la siguiente manera:
Incidentes Críticos:
Estos incidentes pueden afectar la integridad o la confidencialidad de la información, lo cual tiene
como resultado la pérdida directa del negocio y/o la reputación.
El problema y/o incidente requiere solución inmediata, ya que causa la completa pérdida de un
servicio o la interrupción de las actividades laborales.
Se genera un impacto crítico en el cliente.
Se genera un impacto crítico en aplicaciones o procesos de negocio
Afecta una comunidad de usuarios o a un usuario de servicios informáticos de alto rango.
Incidentes Severos:
Estos incidentes afectan típicamente la disponibilidad de la información, pero no la integridad de
la misma.
El servicio informático, sistema de información o aplicación opera con problemas críticos.
El servicio informático, sistema de información o aplicación no está operativo, pero no requiere
solución inmediata.
El impacto del negocio no es crítico
Incidentes Normales:
Estos incidentes pueden afectar la confidencialidad, integridad o disponibilidad de la información,
sin embargo no existe pérdida alguna.
El servicio informático, sistema de información o aplicación opera con funcionalidades limitadas.
El servicio informático, sistema de información o aplicación no está operativo, pero existen
alternativas paralelas y están disponibles.
No se ven afectados servicios informáticos importantes para el negocio.
Incidentes Menores (no afectan la seguridad de la información ni de telecomunicaciones):
Se acuerda y programa con el usuario de servicios informáticos la atención, para una fecha determinada.
En este tipo se incluyen:
Actualizaciones de hardware y software.
Nuevas instalaciones de PC, hardware y software.
Movimientos de oficinas o reasignación de máquinas.
Reporte y registro de fallas de software.
Con base en los requerimientos contractuales y para darle peso y solución inmediata a los incidentes
reportados, se debe dar respuesta en máximo una hora al usuario sobre el tema o inconveniente
reportado, con la fecha estimada inicial que se dé, de acuerdo a la valoración que se realice.
Se deben preparar, mantener y probar regularmente planes para asegurar que el daño producido por
posibles ataques externos puede ser minimizado y que la restauración tendrá lugar lo más pronto
posible.
c. Análisis de Incidentes
Los incidentes de seguridad deberán ser apropiadamente investigados por personal adecuadamente
entrenado y calificado. Ningún incidente se dará por resuelto sin que sea cerrado por el responsable de
su manejo, dependiendo de la categoría de éste.
d. Contención
Se debe limitar la posibilidad de que el daño causado por el incidente se extienda. Para ello se debe
evaluar si se aíslan los componentes comprometidos del resto de componentes de la red, teniendo en
cuenta que esto puede afectar o interrumpir la operación normal en caso de que el sistema
comprometido sea crítico o muchos sistemas sean afectados por el problema como sucede en una
epidemia de virus.
En caso de que la atención de cualquier incidente implique riesgo para la seguridad de las personas
involucradas en su atención, se deberá informar a la gerencia de la Organización, y no se realizará
intervención hasta que no se realice el aseguramiento de las condiciones del sitio a intervenir.
e. Eliminación
Después de lograr la contención, se debe iniciar una etapa de investigación que permita establecer la
causa del incidente. Si son incidentes relacionados con tecnología, es necesario realizar un análisis
detallado de los logs, en diferentes dispositivos (firewalls, routers, logs de sistema/aplicaciones). Para
ello se deben utilizar herramientas diferentes a aquellas existentes en el sistema comprometido.
Después de la investigación, el sistema afectado debe ser reinstalado.
f. Recuperación
Se debe validar la ejecución de las tareas de eliminación.
Se debe restaurar el componente afectado desde un backup limpio.
Se debe monitorear el componente para determinar si su funcionamiento es normal, previo a la
puesta en producción.
Se debe implementar un monitoreo a nivel de red para detectar intentos posteriores de ataque.
g. Seguimiento
Se debe crear una base de datos de incidentes en la cual se consignen los reportes de incidentes y la
solución dada a los mismos, que sirva en un futuro como primera alternativa de consulta en la resolución
de incidentes informáticos.
La base de datos de incidentes que se generen al interior de la Organización será revisada con intervalos
no mayores a un año para verificar que los mismos no se repitan o si se han modificado las
circunstancias, desarrollar una nueva medida de control que minimice la posibilidad e impacto de este
incidente en caso de que se diera la posibilidad de volver a presentarse.
h. Evidencias de Incidentes
Todo incidente de seguridad que se reporte debe venir acompañado de algún tipo de evidencia que
respalde el reporte que se realice. Estas evidencias resultan fundamentales en situaciones como la
aplicación del proceso disciplinario desarrollado para el SGSI.
9° Dominio: GGeessttiióónn ddee llaa CCoonnttiinnuuiiddaadd ddeell NNeeggoocciioo
a.- Plan de Continuidad de Negocio y un Plan de Recuperación de Desastres
En toda organización moderna, donde un gran porcentaje de sus procesos descansan en las TIC´s, el Plan
de Continuidad de Negocio y el Plan de Recuperación de Desastres se transforman en elementos
fundamentales para cumplir los objetivos principales de gestión de seguridad de la información (lograr
que todos los activos de información estén protegidos desde las perspectivas de Confiabilidad, Integridad y
Disponibilidad).
Existen un sin número de ejemplos que grafican la importancia de la existencia de un Plan de Continuidad
de Negocio y un Plan de Recuperación de Desastres en las organizaciones: El incendio ocurrido en el edificio
Windsor en Madrid (febrero de 2005); el huracán Katrina (agosto del 2005); el atentado terrorista a las
Torres Gemelas (septiembre de 2001); la erupción del volcán Chaitén (2008) y por último, los terremotos
en Chile (febrero de 2010) y en Japón (marzo de 2011).
Todos estos hechos generan dificultades extremas en la continuidad del negocio para las diferentes
organizaciones que fueron afectadas en sus operaciones. Por efecto del terremoto algunas empresas en
Chile sufrieron en sus operaciones y algunas de ellas no pudieron continuar con sus negocios. Estos son los
ejemplos más dramáticos, pero también existen casos de inoperabilidad en una empresa producto de la
caída de los sistemas, virus, hackers, robo de información, pérdida de datos, etc.
Como organización, debemos estar preparados para afrontar diversas contingencias que no
necesariamente tienen que ver con desastres naturales como incendios, inundaciones, terremotos,
tsunamis, sino también, caídas en el suministro de agua, de las comunicaciones, actos de terrorismo,
robos, etc.
Las consecuencias de no estar preparados para estas contingencias y de no poseer un plan de continuidad
de negocio, pueden conducir al cierre de la organización o traerle graves consecuencias en su operación.
Un ejemplo de ello es el de ECOM el año 1987, donde producto de las inundaciones no fue capaz de
recuperarse y al poco tiempo quebró.
b.- Pero qué es un Plan de Continuidad del Negocio y un Plan de Recuperación de Desastres:
El Plan de Recuperación de Desastres es el procedimiento que los administradores realizan para
restaurar la normalidad del flujo de trabajo del negocio.
El Plan de Continuidad del Negocio es el que los usuarios finales utilizan para seguir con la productividad,
cuando el normal flujo de trabajo del negocio es interrumpido.
Podemos verlos de la siguiente forma:
Plan de Recuperación de Desastres: Qué pasos tiene que seguir la empresa para recuperar desde el fuego
su sala de servidores, por ejemplo.
Plan de Continuidad del Negocio: Qué pasos tiene que seguir la empresa para que los usuarios continúen
trabajando mientras se está ejecutando el plan de Recuperación de Desastres.
Un Plan de Continuidad del Negocio es un set de procedimientos que la empresa debe usar para continuar
con las operaciones críticas de los negocios en el evento de interrupción.
En el desarrollo de un plan de continuidad de negocio se debe tener en cuenta el tiempo de recuperación
que se requiere para establecer las condiciones mínimas de procesamiento antes de que se generen
pérdidas significativas.
Por ejemplo, si la habilidad de tomar llamadas telefónicas es una operación crítica del negocio, entonces
se puede definir dentro del PCN como qué puede causar una interrupción en las llamadas y qué
procedimientos se deben tomar para responderlas.
El Plan de Recuperación de Desastres es un subconjunto del PCN. El PRD especifica las implicancias del
desastre. Cuál es el primer lugar o todos los lugares donde el negocio es inhabitable. El lugar del negocio es
tan relevante como la fuerza de trabajo.
Grandes organizaciones a menudo utilizan ambos conceptos combinados: Plan de Continuidad del Negocio
y Recuperación de desastres.
Beneficios de tener un Plan de Continuidad del Negocio:
Identificar los eventos que pueden impactar en la continuidad del negocio en sus
aspectos operacionales, financieros, personal y de imagen.
Conocer los tiempos de recuperación.
Minimizar las pérdidas en caso de desastres.
Identificar los activos de información necesarias para continuar y mantener la viabilidad
del negocio
Lograr una ventaja competitiva.
Para realizar un plan de continuidad de negocio podemos dividirlo en varias fases:
Análisis del negocio.
Estrategias.
Desarrollo del Plan.
Pruebas.
Mantenimiento.
10° Dominio: GGeessttiióónn ddee CCoommuunniiccaacciioonneess yy OOppeerraacciioonneess..
a.- Procedimientos y responsabilidades de operación
Para la gestión y operación de todos los sistemas y servicios de procesamiento de información de la
Organización, se deben establecer procedimientos y responsabilidades que incluyan el desarrollo de
instrucciones adecuadas para la operación y procedimientos de respuesta a incidentes operativos y de
información.
Para reducir el riesgo de usos no adecuados, sin intención, por error o negligencia de los sistemas de
información se debe implementar, de ser requerido, la segregación de funciones de los diferentes roles
establecidos en la organización.
b.- Gestión de servicios tercerizados
Se deben definir normas y controles de seguridad que garanticen la adecuada y eficiente entrega de
servicios por parte de proveedores externos. Se deben identificar los posibles riegos de seguridad de la
información con relación a los servicios que presta el proveedor externo, para adicionar en el contrato las
correspondientes medidas de seguridad que ayudan a la mitigación de estos riesgos.
c.- Planificación y aceptación del sistema
Se deben definir los requerimientos sobre la planeación en cuanto a la capacidad que deben tener los
sistemas o servicios de procesamiento de la información del la Organización y sobre los controles que se
deben aplicar para la aceptación y desarrollo de actualizaciones o nuevas versiones de los sistemas de
información.
d.- Protección contra software malicioso
Se deben definir los adecuados controles para prevenir y detectar la introducción de código o software
malicioso. Los usuarios y funcionarios de la Organización deben tener conocimiento de los peligros que
puede ocasionar el software malicioso o no autorizado. Se deben tomar las precauciones adecuadas para la
detección e impedimento de los virus informáticos en los equipos de la Organización.
e.- Gestión de respaldo y recuperación
Se deben establecer normas y procedimientos rutinarios que permitan tener respaldo de la información y
procesamientos de información, realizando copias de seguridad, realizando planes de pruebas y
simulaciones de la recuperación oportuna de los datos, registrando eventos o fallos y monitoreo de los
equipos.
f.- Gestión de seguridad en redes
Se deben establecer controles y medidas específicas para la protección de los datos críticos o sensibles que
transitan por las redes públicas de la Organización.
g.- Utilización de los medios de información
Para proteger los documentos, soportes de información, como: discos, cintas, etc., se deben establecer
procedimientos operativos para la protección de estos activos de información.
h.- Intercambio de información
Se debe garantizar que toda la información, datos y software intercambiado entre las organizaciones
permanezcan controlados y cumpla con las leyes y regulaciones correspondientes.
Se deben establecer acuerdos, procedimientos y normas para el intercambio de información entre
organizaciones. Se deben considerar las implicaciones relacionadas con comercio, correo e intercambio
electrónico de datos.
i.- Servicios de comercio electrónico
Se deben establecer e implementar controles y normas para proteger el comercio electrónico de amenazas
que pueden llevar a actividades fraudulentas, disputas por contratos y divulgación o modificación de la
información de la Organización.
j.- Monitoreo
Se deben definir lineamientos sobre el monitoreo de los sistemas de información de la Organización para la
detección de actividades de procesamiento de información no autorizados. Se deben definir y asignar roles
a los funcionarios que tengan la responsabilidad de monitorear la efectividad y eficiencia de los procesos
operacionales, de tal forma que se realicen auditorías y se puedan con el tiempo aplicar mejoras a los
procesos.
11° Dominio: AApplliiccaacciióónn,, DDeessaarrrroolllloo yy MMaanntteenniimmiieennttoo ddee SSiisstteemmaass ddee IInnffoorrmmaacciióónn
El objetivo de este dominio es asegurar toda la infraestructura que soporta la información de la
Organización, proporcionando los controles adecuados para proteger toda la información de propiedad
de la Organización.
a.- Requisitos de seguridad de los sistemas
Los sistemas de información de la Organización, que incluyen la infraestructura, aplicaciones de negocio
y aplicaciones desarrolladas por los usuarios deben tener incorporados los controles de seguridad
correspondientes.
Se deben identificar y acordar los requerimientos de seguridad que deben contener los sistemas de
información de la Organización antes de su desarrollo e implementación. Los requerimientos de
seguridad para el desarrollo de los sistemas de información deben quedar documentados como parte del
proceso de negocio del proyecto de implementación de sistemas de información.
b.- Seguridad de las aplicaciones del sistema
Para las aplicaciones y sistemas de información de la Organización se deben diseñar e implementar
medidas de control de seguridad y registros de auditoría o de actividades correspondientes a cada
aplicación. En el diseño de los controles se deben incluir las validaciones de los datos de entrada,
procesamiento interno y datos de salida que maneja la aplicación.
c.- Controles criptográficos
Toda la información confidencial, sensible o en riego de la Organización debe estar protegida por
sistemas y técnicas criptográficas en caso de que otras medidas y controles no le puedan proporcionar la
protección apropiada y necesaria para su seguridad.
d.- Seguridad de los archivos del sistema
Todos los accesos otorgados a los archivos de los sistemas de la Organización deben estar controlados,
para asegurar que las actividades de soporte y proyectos de Tecnología de Información son llevados a
cabo de forma segura.
e.- Seguridad en los procesos de desarrollo y soporte
Se deben establecer normas para el control de los entornos del proyecto y procesos de desarrollo y
soporte en el mantenimiento de la seguridad del software y de la información manejada por las
aplicaciones de los sistemas de la Organización. Cada cambio propuesto para los diferentes sistemas de
información debe ser revisado para asegurar que no afecta la seguridad del mismo o la del sistema
operativo.
f.- Gestión de la vulnerabilidad técnica
Se deben establecer normas y controles para reducir los riesgos resultantes de la explotación de las
vulnerabilidades técnicas publicadas.
ANEXOS
Anexo 1: Normativa Vigente
Incorporada en proyectos de Gobierno Electrónico u otros, relacionadas con la seguridad de la
información, en particular:
Ley N°19.553, febrero 1998. Concede asignación de modernización y otros beneficios que
indica. Ministerio de Hacienda.
• Decreto N°475. Reglamento Ley 19.553 para la aplicación del incremento por Desempeño
institucional del artículo 6° de la Ley y sus modificaciones.
• Ley N°20.212, agosto de 2007. Modifica las leyes N° 19.553, N° 19.882, y otros cuerpos
legales, con el objeto de incentivar el desempeño de los funcionarios públicos. Ministerio de
Hacienda.
• Ley N°19.799, abril de 2002. Sobre documentos electrónicos, firma electrónica y los servicios
de certificación de dicha firma. Ministerio de Economía.
• DS N°181. Reglamento Ley 19.799 sobre documentos electrónicos, firma electrónica y la
certificación de dicha firma.
• Instructivo Presidencial Nº 05, mayo de 2001: Define el concepto de Gobierno Electrónico.
Contiene la mayor parte de las instrucciones referidas al desarrollo de Gobierno Electrónico
en Chile.
• Instructivo Presidencial Nº 06, junio de 2004: Imparte instrucciones sobre la implementación
de la firma electrónica en los actos, contratos y cualquier tipo de documento en la
administración del Estado, para dotar así de un mayor grado de seguridad a las actuaciones
gubernamentales que tienen lugar por medio de documentos electrónicos y dar un mayor
grado de certeza respecto de las personas que suscriben tales documentos.
• DS N°77. Norma técnica sobre eficiencia de las comunicaciones electrónicas entre órganos de
la Administración del Estado y entre éstos y los ciudadanos.
• DS N°81. Norma técnica para los órganos de la Administración del Estado sobre
interoperabilidad de documentos electrónicos.
• DS N°158. Modifica D.S. N° 81 sobre norma técnica para la interoperabilidad de los
documentos electrónicos.
• DS N°83. Norma técnica para los órganos de la Administración del Estado sobre seguridad y
confidencialidad de los documentos electrónicos.
• DS N°93. Norma técnica para minimizar la recepción de mensajes electrónicos masivos no
deseados en las casillas electrónicas de los órganos de la Administración del Estado y de sus
funcionarios.
• DS N°100. Norma técnica para el desarrollo de sitios web de los órganos de la Administración
del Estado.
• Ley Nº 20.285, agosto de 2008. Regula el principio de transparencia de la función pública y el
derecho de acceso a la información de los órganos de la administración del Estado. Ministerio
Secretaría General de la Presidencia.
• Instrucción General N°2, mayo de 2009, del Consejo para la Transparencia: Designación de
Enlaces con el Consejo para la Transparencia.
• Instrucción General N°3, mayo de 2009, del Consejo para la Transparencia: Índice de Actos o
Documentos calificados como secretos o reservados.
• Instructivo Presidencial N°08, diciembre de 2006: Imparte instrucciones sobre Transparencia
Activa y Publicidad de la Información de la Administración del Estado.
• Circular Nº3, enero de 2007: Detalla las medidas específicas que deben adoptar los servicios y
dispone los materiales necesarios para facilitar la implementación del instructivo presidencial
sobre transparencia activa y publicidad de la información de la Administración del Estado.
• Ley Nº 19.880, mayo de 2003: Establece bases de los procedimientos administrativos que
rigen los actos de los órganos de la administración del Estado. Ministerio Secretaría General
de la Presidencia.
• Instructivo Presidencial N°4, junio de 2003: Imparte instrucciones sobre aplicación de la Ley
de Bases de Procedimientos Administrativos.
• Ley N° 19.628, agosto de 1999. Sobre protección de la vida privada y datos personales.
Ministerio Secretaría General de la Presidencia.
• Ley Nº 17.336, octubre de 1970: Sobre propiedad intelectual. Ministerio de Educación
Pública.
• Ley Nº 19.223, junio de 1993: Sobre delitos informáticos. Ministerio de Justicia.
• Ley Nº 19.927, enero de 2004: Sobre delitos de pornografía infantil. Ministerio de Justicia.
• Guía Metodológica del Sistema Gobierno Electrónico.
• Guía Metodológica del Sistema Seguridad de la Información
Anexo 2: Definiciones sobre Seguridad de la Información
Control de acceso: Los procesos, reglas y mecanismos de implementación que controlan el
acceso a sistemas de información, recursos y acceso físico a instalaciones.
Arquitectura: Diseño de la estructura y las relaciones de sus elementos.
Ataques: Tipos y naturaleza de inestabilidades en la seguridad.
Auditabilidad: Nivel en el cual se puede hacer seguimiento a transacciones y auditarlas a
través de un sistema.
Autenticación: Acto de verificar la identidad y elegibilidad de un usuario para tener acceso
a información computarizada.
Autorización: Acceso permitido a recursos para realizar acciones aprobadas.
Disponibilidad: Capacidad de tener acceso a y de utilizar la información cuando se
requiera.
Análisis de las dependencias del negocio: Grado al cual el negocio depende de un recurso.
Análisis del impacto al negocio: Evaluar los resultados y las consecuencias de la
inestabilidad.
Confidencialidad: La protección de información privada o sensible contra divulgación no
autorizada.
Controles: Cualquier acción o proceso que se utiliza para mitigar el riesgo.
Contramedidas: Cualquier acción o proceso que reduce la vulnerabilidad.
Criticidad: Importancia que tiene un recurso para el negocio.
Clasificación de datos: El proceso de determinar la sensibilidad y criticidad de la
información.
Exposiciones: Área que son vulnerables a impacto por parte de una amenaza.
Análisis preferencial: Diferencia entre la realidad y el objetivo.
Gobierno: Proporcionar control y dirección de actividades.
Legalidad: referido al cumplimiento de leyes, normas, reglamentos, decretos a los que
está sujeto la organización.
Identificación: Verificación de una persona o cosa; reconocimiento.
Impacto: Resultados y consecuencias de que se materialice un riesgo.
Integridad: Exactitud, integridad y validez de la información.
Seguridad en capas: Defensa en profundidad que contenga la inestabilidad.
Gestión: Supervisar las actividades para garantizar que alcancen los objetivos.
No repudio: Certeza de que una parte no podrá negar posteriormente los datos
originados; se trata de dar pruebas de integridad y el origen de los datos y de que puedan
ser verificadas por un tercero.
Políticas: Declaración de alto nivel sobre la intención de la dirección de la gerencia.
Riesgo residual: Riesgo que permanece después de que se han implementado
contramedidas y controles.
Riesgo: Probabilidad de la explotación de una vulnerabilidad por parte de una amenaza.
Métricas de seguridad: Descripciones específicas de cómo se harán las mediciones de una
evaluación cuantitativa y periódica de desempeño de seguridad.
Sensibilidad: Nivel de impacto que tendría una divulgación no autorizada.
Estándares: establecer los límites permisibles de acciones y procesos para cumplir con la
política.
Estrategia: Pasos que se requieren para alcanzar un objetivo.
Amenazas: Cualquier acción o evento que puede ocasionar consecuencias adversas.
Vulnerabilidades: Deficiencias que pueden ser explotadas por amenazas.
Arquitectura empresarial: La lógica organizativa para los procesos de negocio y la
infraestructura TI.
Dominios de Seguridad: Áreas lógicas delimitadas por diferentes niveles de seguridad.
Modelos de confianza: Asignan los controles y las funciones de seguridad a diferentes
niveles de seguridad
Normalización: Es la redacción, aprobación, y difusión de normas que se aplican a diferentes
actividades humanas.
Norma: Son documentos técnicos públicos y de aplicación voluntaria que contienen
especificaciones basadas en la experiencia y en los desarrollos tecnológicos que buscan
unificar la terminología en un determinado campo de actividad.
Estándar: Valor que ha de cumplir una cierta característica de un producto o proceso.
Procedimiento: Recomendación sobre cómo organizar actividades.