ENTREGABLES 3, 4, 5 y 6: INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA ÁREA DE INVESTIGACIÓN Y PLANEACIÓN © República de Colombia - Derechos Reservados Bogotá, D.C., Diciembre de 2008 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA FORMATO PRELIMINAR AL DOCUMENTO Título: INFORME FINAL –MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI – SGSI -MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Fecha elaboración aaaa-mm-dd: 26 – Diciembre – 2008 Sumario: Palabras Claves: CORRESPONDE A LOS ENTREGABLES 3, 4, 5 y 6: SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - DISEÑO DEL MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Sistema Administrativo, Modelo de Seguridad, Arquitectura Institucional, Ciclo PHVA, C-SIRT, Gestión de Seguridad Informática, SGSI, mejores prácticas, ISO, CobIT, madurez Formato: Dependencia: Código: Lenguaje: Castellano Investigación y Planeación Versión: 3 Estado: Categoría: Autor (es): Equipo consultoría Digiware Revisó: Juan Carlos Alarcon Aprobó: Ing. Hugo Sin Triana Firmas: Información Adicional: Ubicación: Página 2 de 207 Documento para revisión por parte del Supervisor del contrato INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA CONTROL DE CAMBIOS VERSIÓN 0 1 FECHA 02/12/2008 04/12/2008 No. SOLICITUD RESPONSABLE Ing. Jairo Pantoja M. Equipo del proyecto 2 17/12/2008 Ing. Jairo Pantoja M. 3 26/12/2008 Ing. Fabiola Parra DESCRIPCIÓN Sistema SANSI para el Modelo de Seguridad de la Información Revisión interna conjunta equipo consultoría Digiware Actualización según discusiones internas del equipo de trabajo en cuanto a las funciones de los entes participadores del SANSI Modelo SGSI para el Sistema SANSI –Controles Página 3 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA TABLA DE CONTENIDO 1. AUDIENCIA ...............................................................................................................................................................10 2. INTRODUCCIÓN........................................................................................................................................................11 3. MARCO DE REFERENCIA -SISTEMA DE GESTIÓN EN SEGURIDAD DE LA INFORMACIÓN -SGSI ...............................12 3.1. SEGURIDAD DE LA INFORMACIÓN .................................................................................................................................12 3.2. ISO (INTERNATIONAL ORGANIZATION FOR STANDARDIZATION).........................................................................................12 3.3. ESTÁNDAR ................................................................................................................................................................13 3.4. ICONTEC...................................................................................................................................................................13 3.5. NORMA ISO27001 ...................................................................................................................................................14 3.5.1. SERIE ISO27000 ...................................................................................................................................................14 3.5.2. RELACIÓN DE LA NORMA ISO27001 CON OTROS ESTÁNDARES DE SEGURIDAD DE LA INFORMACIÓN ....................................15 3.6. SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN -SGSI..................................................................................15 3.6.1. BENEFICIOS DE LA IMPLANTACIÓN DE UN SGSI ............................................................................................................16 3.6.2. JUSTIFICACIÓN DE LA IMPLEMENTACIÓN DE UN SGSI....................................................................................................16 4. COMPONENTES PRINCIPALES DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN –SGSI .......18 5. ESTRUCTURA INSTITUCIONAL..................................................................................................................................21 5.1. INTRODUCCIÓN .........................................................................................................................................................21 5.2. SISTEMA ADMINISTRATIVO NACIONAL DE SEGURIDAD DE LA INFORMACIÓN -SANSI.............................................................22 5.3. COMISIÓN NACIONAL DE SEGURIDAD DE LA INFORMACIÓN ..............................................................................................24 5.4. GRUPO TÉCNICO DE APOYO ........................................................................................................................................30 5.4.1. DIRECCIÓN NACIONAL DE SEGURIDAD DE LA INFORMACIÓN ..........................................................................................31 5.5. RELACIONES DE DESARROLLO EMPRESARIAL CON ENTIDADES PÚBLICAS Y PRIVADAS .............................................................35 5.6. FUNCIONES DE LOS ACTORES DEL SANSI -ENFOQUE BASADO EN EL PROCESO PHVA.............................................................35 5.6.2. MEJORA DEL SGSI..................................................................................................................................................49 5.7. SEGURIDAD APLICADA A LA COMUNIDAD – HIGIENE EN SEGURIDAD ...................................................................................49 6. 6.1. 6.2. 6.3. MODELO DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN SGSI .........................................................................51 ALCANCE Y LÍMITES DEL SISTEMA..................................................................................................................................51 OBJETIVOS DEL SISTEMA .............................................................................................................................................53 POLÍTICA DEL SISTEMA DE GESTIÓN. .............................................................................................................................53 Página 4 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 6.4. POLÍTICAS Y OBJETIVOS DE SEGURIDAD DE LA INFORMACIÓN ............................................................................................54 6.4.1. PS1 – POLÍTICA DE CONTROL DE ACCESO ...................................................................................................................54 6.4.2. PS2 - POLÍTICA DE NO REPUDIACIÓN.........................................................................................................................56 6.4.3. PS3 - POLÍTICA DE SERVICIOS CONFIABLES ..................................................................................................................56 6.4.4. PS4 – POLÍTICA DE PRIVACIDAD Y CONFIDENCIALIDAD .................................................................................................57 6.4.5. PS5 - POLÍTICA DE INTEGRIDAD ................................................................................................................................57 6.4.6. PS6 – POLÍTICA DE DISPONIBILIDAD DEL SERVICIO .......................................................................................................58 6.4.7. PS7 – POLÍTICA DE DISPONIBILIDAD DE LA INFORMACIÓN .............................................................................................58 6.4.8. PS8 – POLÍTICA DE PROTECCIÓN DEL SERVICIO............................................................................................................59 6.4.9. PS9 - POLÍTICA DE REGISTRO Y AUDITORIA .................................................................................................................59 6.4.10. ALINEAMIENTO DE LAS POLÍTICAS DE SEGURIDAD CON NORMAS Y MEJORES PRÁCTICAS DE LA INDUSTRIA .............................60 6.5. CLASIFICACIONES DE SEGURIDAD DEL MODELO SGSI .......................................................................................................67 6.5.1. CLASIFICACIÓN DE ENTIDADES POR GRUPO O NATURALEZA DEL SERVICIO..........................................................................67 6.5.2. NIVELES DE MADUREZ DE LOS CONTROLES DE SEGURIDAD RECOMENDADOS .....................................................................69 6.5.3. REGISTRO DE SEGURIDAD DE LA INFORMACIÓN RSI - GRADUACIÓN ................................................................................70 6.5.4. CONTROLES DE DE SEGURIDAD DE LA INFORMACIÓN RECOMENDADOS POR GRUPO ...........................................................74 6.6. METODOLOGÍA DE CLASIFICACIÓN Y CONTROL DE ACTIVOS. ...........................................................................................198 6.7. ENFOQUE PARA LA GESTIÓN DEL RIESGO. ....................................................................................................................198 6.8. RECOMENDACIONES GENERALES PARA LA GESTIÓN DE CONTINUIDAD DEL NEGOCIO...........................................................198 6.9. DEFINICIÓN DEL SISTEMA DE GESTIÓN DOCUMENTAL ....................................................................................................198 6.10. RECOMENDACIONES PARA LA IMPLEMENTACIÓN DEL MODELO DE SEGURIDAD DE LA INFORMACIÓN .....................................201 6.10.1. APOYO POR PARTE DE LA ALTA DIRECCIÓN .............................................................................................................201 6.10.2. COMPROMISO DE LA ALTA DIRECCIÓN ...................................................................................................................201 6.10.3. FORMACIÓN Y SENSIBILIZACIÓN ............................................................................................................................202 6.10.4. REVISIÓN (AUDITORIAS) DEL SGSI ........................................................................................................................203 Página 5 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA LISTA DE FIGURAS ILUSTRACIÓN 1: RELACIÓN ENTRE AMENAZAS – ACTIVOS – RIESGOS – CONTROLES .......................................................................................... 17 ILUSTRACIÓN 2: PUNTOS IMPORTANTES PARA LA DECLARACIÓN DE APLICABILIDAD -SOA. TOMADO DE ESTRATEGIAS CLAVE PARA LA IMPLANTACIÓN DE ISO 27001, POR KK MOOKHEY Y KHUSHBU JITHRA. ........................................................................................................................... 19 ILUSTRACIÓN 3: PRINCIPALES COMPONENTES DE UN SGSI. DERECHOS RESERVADOS ANDRÉS VELÁSQUEZ. [email protected] ............................................................................................................................................... 20 ILUSTRACIÓN 4: SISTEMA ADMINISTRATIVO NACIONAL DE SEGURIDAD DE LA INFORMACIÓN -SANSI....................................................... 23 ILUSTRACIÓN 5: COMISIÓN NACIONAL DE SEGURIDAD DE LA INFORMACIÓN ............................................................................................. 24 ILUSTRACIÓN 6: ESTRUCTURA GRUPO TÉCNICO DE APOYO............................................................................................................................. 31 ILUSTRACIÓN 7: CICLO DE VIDA PHVA PARA EL SISTEMA ADMINISTRATIVO NACIONAL DE SEGURIDAD DE LA INFORMACIÓN Y SUS ACTORES ................................................................................................................................................................................................. 36 ILUSTRACIÓN 8: CICLO P-H-V-A. IMPLANTACIÓN Y GESTIÓN DE UN SISTEMA SGSI. COPYRIGHT © 2007 ISECT LTD. WWW.ISO27001SECURITY.COM . 37 ILUSTRACIÓN 9: GESTIÓN DE RIESGOS........................................................................................................................................................ 42 ILUSTRACIÓN 10: ESTRUCTURA DEL MODELO DE SEGURIDAD ......................................................................................................................... 44 ILUSTRACIÓN 11: CMM NIVELES DE MADUREZ. COBIT 4.0. IT GOVERNANCE INSTITUTE................................................................................. 70 Página 6 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA LISTA DE TABLAS TABLA 1: RELACIÓN DE LAS POLÍTICAS Y OBJETIVOS DE CONTROL DEL MODELO DE SEGURIDAD SGSI PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA CON LAS NORMAS Y MEJORES PRÁCTICAS DE LA INDUSTRIA. ............................................................................................................................... 67 TABLA 2: CLASIFICACIÓN DE GRUPOS SEGÚN LA NATURALEZA DE LA ENTIDAD..................................................................................................... 68 TABLA 3: CLASIFICACIÓN DE CONTROLES SEGÚN EL GRUPO AL QUE PERTENEZCA LA ENTIDAD................................................................................. 68 TABLA 4: CONTROLES DE SEGURIDAD RECOMENDADOS PARA LAS ENTIDADES DEL GRUPO 1.................................................................................. 76 TABLA 5: CONTROLES DE SEGURIDAD RECOMENDADOS PARA EL GRUPO 2. ..................................................................................................... 129 TABLA 6: CONTROLES DE SEGURIDAD RECOMENDADOS PARA LAS ENTIDADES DEL GRUPO 3................................................................................ 197 Página 7 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA DERECHOS DE AUTOR Este documento pertenece a la Estrategia de Gobierno en Línea del Ministerio de Comunicaciones de Colombia, esta prohibida la reproducción total o parcial del contenido de este documento sin la autorización expresa de la Estrategia de Gobierno en Línea. Todas las referencias con derechos reservados. Página 8 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA CRÉDITOS Este documento fue generado a partir de los resultados de la consultoría llevada a cabo para el diseño del modelo de seguridad de la información para la Estrategia de Gobierno en Línea. El desarrollo del proyecto estuvo a cargo del grupo de consultores contratados por Gobierno en Línea y el aporte de los responsables de la supervisión del contrato y demás grupos asesores de la Estrategia de Gobierno en Línea. Página 9 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 1. AUDIENCIA La Dirección del Proyecto, entidades públicas de orden nacional y territorial y entidades privadas, proveedores de servicios de Gobierno en Línea y la comunidad académica en general, que contribuirán con sus comentarios, observaciones y retro-alimentación a este documento cuyo propósito es plantear las mejores prácticas y recomendaciones para la creación del Modelo de Seguridad de la Información acorde con los objetivos y lineamientos de la Estrategia de Gobierno en Línea. Página 10 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 2. INTRODUCCIÓN En esta versión final del documento, se plantea la estructura institucional recomendada que deberá tener el modelo de seguridad de la información para la estrategia de Gobierno en Línea respaldado por los instrumentos normativos que le permitan tener vida y ser aplicado por las diferentes entidades públicas y privadas, incluyendo los proveedores que pertenezcan a la cadena de prestación de servicios de Gobierno en Línea (ver documento “Instrumentos normativos proyectados”). Como se verá en el capítulo 5, el modelo de seguridad se apoyará en un Sistema Administrativo Nacional de Seguridad de la Información –SANSI, para que sus diferentes componentes, realicen tareas y actividades relacionadas con el ciclo de vida propuesto para el modelo, incentiven su implementación y mejora continua cuando sea adoptado por las entidades destinatarias. Parte fundamental de la arquitectura institucional planteada, es la creación de un CSIRT Colombiano, para el cual, en este proyecto, se tienen propuestos tres diferentes modelos según la naturaleza del CSIRT a implementar: a) público -dependiendo del Ministerio de Comunicaciones, b) como Asociación sin ánimo de lucro del sector público y c) como Asociación sin ánimo de lucro con participación Mixta (ver documento “Diseño de un CSIRT Colombiano”). Finalmente, este documento detalla el Modelo de gestión de seguridad de la información SGSI propiamente dicho, que será parte de la estructura planteada y que se integrará al ciclo de vida PHVA para que, además de ser un mecanismo de cumplimiento del modelo, le permita a las diferentes entidades destinatarias ceñirse a sus políticas, objetivos de control y controles planteados, y de esta forma, mejorar su nivel de seguridad de la información, para que sean competitivas y al mismo tiempo, provean mayor confianza a los ciudadanos que hagan uso de sus productos y servicios. Página 11 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 3. Marco de Referencia -Sistema de Gestión en Seguridad de la Información -SGSI 3.1. Seguridad de la Información La seguridad de la información es la preservación de los principios básicos de la confidencialidad, integridad y disponibilidad de la misma y de los sistemas implicados en su tratamiento. Estos tres pilares se definen1 como: • Confidencialidad: Acceso a la información por parte únicamente de quienes estén autorizados. • Integridad: Mantenimiento de la exactitud y completitud de la información y sus métodos de proceso. • Disponibilidad: Acceso a la información y los sistemas de tratamiento de la misma por parte de los usuarios autorizados cuando lo requieran. En la seguridad de la información, no solo intervienen los aspectos tecnológicos, sino también los procesos, los ambientes (centro de cómputo, ubicación de oficinas) y principalmente las personas. 3.2. ISO (International Organization for Standardization) La ISO es una federación internacional con sede en Ginebra (Suiza) de los institutos de normalización de 157 países (uno por cada país). Es una organización no gubernamental (sus miembros no son delegados de gobiernos nacionales), puesto que el origen de los institutos de normalización nacionales es diferente en cada país (entidad pública, privada). 1 Tomado de “Preguntas más Frecuentes, doc_faq_all.pdf pág. 9”, www.iso27000.es. Página 12 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA La ISO desarrolla estándares requeridos por el mercado que representan un consenso de sus miembros (previo consenso nacional entre industrias, expertos, gobierno, usuarios, consumidores) acerca de productos, tecnologías, sistemas y métodos de gestión, entre otros. Estos estándares, por naturaleza, son de aplicación voluntaria, ya que el carácter no gubernamental de ISO no le da autoridad legal para forzar su implantación. Sólo en aquellos casos en los que un país ha decidido adoptar un determinado estándar como parte de su legislación, puede convertirse en obligatorio. La ISO garantiza un marco de amplia aceptación mundial a través de sus 3.000 grupos técnicos y más de 50.000 expertos que colaboran en el desarrollo de estándares. 3.3. Estándar Publicación que recoge el trabajo en común de los comités de fabricantes, usuarios, organizaciones, departamentos de gobierno y consumidores, que contiene las especificaciones técnicas y mejores prácticas en la experiencia profesional con el objeto de ser utilizada como regulación, guía o definición para las necesidades demandadas por la sociedad y tecnología. 3.4. Icontec2 El Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC), es un organismo de carácter privado, sin ánimo de lucro, que trabaja para fomentar la normalización, la certificación, la metrología y la gestión de la calidad en Colombia. Está conformado por la vinculación voluntaria de representantes del Gobierno Nacional, de los sectores privados de la producción, distribución y consumo, el sector tecnológico en sus diferentes ramas y por todas aquellas personas jurídicas y naturales que tengan interés en pertenecer a él. En el campo de la normalización, la misión del Instituto es promover, desarrollar y guiar la aplicación de Normas Técnicas Colombianas (NTC) y otros documentos normativos, con el fin de alcanzar una economía óptima de conjunto, el mejoramiento de la calidad y también facilitar las relaciones cliente-proveedor, en el ámbito empresarial nacional o internacional. ICONTEC, como Organismo Nacional de Normalización (ONN) representa a Colombia ante organismos de normalización internacionales y regionales como la Organización Internacional de Normalización (ISO), la 2 Tomado de www.icontec.org “Quienes Somos”. Página 13 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Comisión Electrotécnica Internacional (IEC), y la Comisión Panamericana de Normas de la Cuenca del Pacífico (COPANT). 3.5. Norma ISO27001 Es un estándar ISO que proporciona un modelo para establecer, implementar, utilizar, monitorizar, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). Se basa en el ciclo de vida PDCA (Planear-Hacer-Verificar-Actuar; o ciclo de Deming) de mejora continua, al igual que otras normas de sistemas de gestión (ISO 9001 para calidad, ISO 14001 para medio ambiente, etc.). Este estándar es certificable, es decir, cualquier organización que tenga implantado un SGSI según este modelo, puede solicitar una auditoria externa por parte de una entidad acreditada y, tras superar con éxito la misma, recibir la certificación en ISO 27001. El origen de la Norma ISO27001 está en el estándar británico BSI (British Standards Institution) BS7799Parte 2, estándar que fue publicado en 1998 y era certificable desde entonces. Tras la adaptación pertinente, ISO 27001 fue publicada el 15 de Octubre de 2005. Puede consultar la historia de ISO27001 en el siguiente link: http://www.iso27000.es/download/HistoriaISO27001.pps 3.5.1. Serie ISO27000 ISO ha reservado la serie de numeración 27000 para las normas relacionadas con sistemas de gestión de seguridad de la información. En el 2005 incluyó en ella la primera de la serie (ISO 27001), las demás son: • ISO27000 (términos y definiciones), • ISO27002 (objetivos de control y controles), • ISO27003 (guía de implantación de un SGSI), • ISO27004 (métricas y técnicas de medida de la efectividad de un SGSI), • ISO27005 (guía para la gestión del riesgo de seguridad de la información) y • ISO27006 (proceso de acreditación de entidades de certificación y el registro de SGSI). Página 14 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 3.5.2. Relación de la Norma ISO27001 con otros estándares de seguridad de la Información Existen otros estándares internacionalmente aceptados relacionados con seguridad de la información (COBIT3, NIST4, AS/NZ43605, entre otros), que la enfocan desde diferentes puntos de vista como controles de seguridad, buen gobierno, gestión de riesgo etc. Para este particular, se ha realizado un informe de interrelación de estándares de seguridad recomendados y se incluye un mapa que detalla estas relaciones tomando como pivote la mencionada norma ISO27001. Ver “Anexo 1 -Mapa de Interrelación de Estándares de Seguridad de la Información”. 3.6. Sistema de Gestión de la Seguridad de la Información -SGSI Un SGSI es un Sistema de Gestión de la Seguridad de la Información o ISMS por sus siglas en inglés (Information Security Management System). Este sistema consiste de una serie de actividades de gestión que deben realizarse mediante procesos sistemáticos, documentados y conocidos por una organización o entidad. 3 COBIT: Los Objetivos de Control para la Información y la Tecnología relacionada (COBIT®) brindan buenas prácticas a través de un marco de trabajo de dominios y procesos, y presenta las actividades en una estructura manejable y lógica. Las buenas prácticas de COBIT representan el consenso de los expertos. Están enfocadas fuertemente en el control y menos en la ejecución. Estas prácticas ayudarán a optimizar las inversiones facilitadas por la TI, asegurarán la entrega del servicio y brindarán una medida contra la cual juzgar cuando las cosas no vayan bien. El Instituto ITGI Governance Institute (www.itgi.org) diseñó y creó esta publicación titulada COBIT® como un recurso educacional para los directores ejecutivos de información, para la dirección general, y para los profesionales de administración y control de TI. Más información en la página www.itgi.org 4 NIST: National Institute of Standards and Technology, Elabora y promueve patrones de medición, estándares y tecnología con el fin de realzar la productividad, facilitar el comercio y mejorar la calidad de vida. Destinados principalmente para el Gobierno de EE.UU. las fuerzas militares y el sector comercial, pero pueden ser adaptados a cualquier contexto. Las publicaciones del NIST, son estándares concisos y claros, disponibles de forma gratuita. NIST tiene una división especial destinada para publicaciones relacionadas en seguridad de la información: Computer Security Division –Resource Center http://csrc.nist.gov/ 5 AS/NZ4360: Norma Australiana – Neocelandesa que suministra orientaciones genéricas para la gestión de riesgos. Puede aplicarse a una gran variedad de actividades, decisiones u operaciones de cualquier entidad pública, privada o comunitaria, grupos o individuos. Se trata de una instrucción amplia pero que permite la definición de objetivos específicos de acuerdo con las necesidades de cada implementación. La aplicación de la norma AS/NZS 4360, le garantiza a la organización una base sólida para la aplicación de cualquier otra norma o metodología de gestión de riesgos específica para un determinado segmento. Ver más información en: http://www.riskmanagement.com.au/ Página 15 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA El propósito6 de un sistema de gestión de la seguridad de la información no es garantizar la seguridad – que nunca podrá ser absoluta- sino garantizar que los riesgos de la seguridad de la información son conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, continua, repetible, eficiente y adaptada a los cambios que se produzcan en la organización, los riesgos, el entorno y las tecnologías. El SGSI protege los activos de información de una organización, independientemente del medio en que se encuentren; p. ej., correos electrónicos, informes, escritos relevantes, páginas web, imágenes, documentos, hojas de cálculo, faxes, presentaciones, contratos, registros de clientes, información confidencial de trabajadores y colaboradores, entre otros. 3.6.1. Beneficios de la implantación de un SGSI Aplica una arquitectura de gestión de la seguridad que identifica y evalúa los riesgos que afectan al negocio, con el objetivo de implantar contramedidas, procesos y procedimientos para su apropiado control, tratamiento y mejora continua. Ayuda a las empresas a gestionar de una forma eficaz la seguridad de la información, evitando las inversiones innecesarias, ineficientes o mal dirigidas que se producen por contrarrestar amenazas sin una evaluación previa, por desestimar riesgos, por la falta de contramedidas, por implantar controles desproporcionados y de un costo más elevado del necesario, por el retraso en las medidas de seguridad en relación a la dinámica de cambio interno de la propia organización y del entorno, por la falta de claridad en la asignación de funciones y responsabilidades sobre los activos de información, por la ausencia de procedimientos que garanticen la respuesta puntual y adecuada ante incidencias o la propia continuidad del negocio, etc. 3.6.2. Justificación de la implementación de un SGSI La información, junto a los procesos, personas y sistemas que hacen uso de ella, son activos muy importantes dentro de una organización. La confidencialidad, integridad y disponibilidad de información sensitiva son elementos esenciales para mantener los niveles de competitividad, rentabilidad, conformidad legal e imagen empresarial necesarios para lograr los objetivos de la organización y asegurar beneficios económicos. Las organizaciones y sus sistemas de información están expuestos a un número cada vez más elevado de amenazas que, aprovechando cualquiera de las vulnerabilidades existentes –inherentes a los activos, pueden someter a los mismos a diversas formas de fraude, espionaje, sabotaje o vandalismo, entre otros. Los virus informáticos, el “hacking” o los ataques de negación de servicio son algunos ejemplos comunes y conocidos, pero también se deben considerar los riesgos de sufrir incidentes de seguridad causados voluntaria o involuntariamente desde dentro de la propia organización o aquellos provocados accidentalmente por catástrofes naturales y fallas técnicos. 6 Tomado de “Preguntas más Frecuentes, doc_faq_all pág. 8”, www.iso27000.es Página 16 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA El cumplimiento de la legalidad, la adaptación dinámica y puntual a las condiciones variables del entorno, la protección adecuada de los objetivos de negocio para asegurar el máximo beneficio o el aprovechamiento de nuevas oportunidades de negocio, son algunos de los aspectos fundamentales en los que el SGSI es una herramienta de gran utilidad y de importante ayuda para la gestión de las organizaciones. El nivel de seguridad alcanzado por medios y controles técnicos es limitado e insuficiente. En la gestión efectiva de la seguridad, debe tomar parte activa toda la organización apoyada por la Alta Dirección, tomando en consideración también a clientes y proveedores de bienes y servicios. El modelo de gestión de la seguridad debe contemplar políticas y procedimientos adecuados y la planificación e implantación de controles de seguridad basados en una evaluación de riesgos y en una medición de la eficacia de los mismos. Ilustración 1: Relación entre amenazas – activos – riesgos – controles El Modelo de gestión de seguridad de la información (SGSI) ayuda a establecer estas políticas y procedimientos en relación a los objetivos de negocio de la organización, con objeto de mantener un nivel de exposición siempre menor al nivel de riesgo que la propia organización ha decidido asumir. Con un sistema SGSI, la organización conoce los riesgos a los que está sometida su información y activos y los asume, minimiza, transfiere o controla mediante una metodología definida, documentada y conocida por todos, que se revisa y mejora constantemente. Página 17 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 4. Componentes Principales de un Sistema de Gestión de la Seguridad de la Información –SGSI De manera específica, ISO 27001 indica que un SGSI debe estar formado por los siguientes documentos (en cualquier formato o tipo de medio): • Alcance del SGSI: ámbito de la organización que queda sometido al SGSI, incluyendo una identificación clara de las dependencias, relaciones y límites que existen entre el alcance y aquellas partes que no hayan sido consideradas (en aquellos casos en los que el ámbito de influencia del SGSI considere un subconjunto de la organización como delegaciones, divisiones, áreas, procesos, sistemas o tareas concretas). • Política y objetivos de seguridad: documento de contenido genérico que establece el compromiso de la Alta Dirección y el enfoque de la organización en la gestión de la seguridad de la información. • Estándares, Procedimientos, y Guías que soportan el SGSI: aquellos documentos y mecanismos que regulan el propio funcionamiento del SGSI. Documentación necesaria para asegurar la planificación, operación y control de los procesos de seguridad de la información, así como para la medida de la eficacia de los controles implantados -Métricas. • Metodología de Evaluación de riesgos: descripción de la metodología a emplear (cómo se realizará la evaluación de las amenazas, vulnerabilidades, probabilidades de ocurrencia e impactos en relación a los activos de información contenidos dentro del alcance seleccionado), tratamiento y desarrollo de criterios de aceptación de riesgo y fijación de niveles de riesgo aceptables. • Informe de evaluación de riesgos –Risk Assessment: estudio resultante de aplicar la metodología de evaluación anteriormente mencionada a los activos de información de la organización. • Plan de tratamiento de riesgos: documento que identifica las acciones de la Alta Dirección, los recursos, las responsabilidades y las prioridades para gestionar los riesgos de seguridad de la información, en función de las conclusiones obtenidas de la evaluación de riesgos, de los objetivos de control identificados, de los recursos disponibles, etc. Página 18 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA • Registros: documentos que proporcionan evidencias de la conformidad con los requisitos y del funcionamiento eficaz del SGSI. • Declaración de aplicabilidad: (SOA -Statement of Applicability-, en sus siglas en inglés); documento que contiene los objetivos de control y los controles contemplados por el SGSI, basado en los resultados de los procesos de evaluación y tratamiento de riesgos, justificando inclusiones y exclusiones. Ilustración 2: Puntos importantes para la Declaración de Aplicabilidad -SOA. Tomado de Estrategias clave para la implantación de ISO 27001, por Kk Mookhey y Khushbu Jithra. • Control de la documentación: Para los documentos generados y que hacen parte del sistema SGSI se debe establecer, documentar, implantar y mantener un procedimiento que defina las acciones de gestión necesarias para: La Alta Dirección debe aprobar documentos antes de su publicación. Revisar y actualizar documentos cuando sea necesario y renovar su validez. Garantizar que los cambios y el estado actual de revisión de los documentos están identificados. Garantizar que las versiones relevantes de documentos vigentes están disponibles en los lugares de empleo. Garantizar que los documentos se mantienen legibles y fácilmente identificables. Página 19 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Garantizar que los documentos permanecen disponibles para aquellas personas que los necesiten y que son transmitidos, almacenados y finalmente destruidos acorde con los procedimientos aplicables según su clasificación. Garantizar que los documentos procedentes del exterior están identificados. Garantizar que la distribución de documentos está controlada. Prevenir la utilización de documentos obsoletos. Aplicar la identificación apropiada a documentos que son retenidos con algún propósito. Ilustración 3: Principales componentes de un SGSI. Derechos reservados Andrés Velásquez. [email protected] Página 20 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 5. ESTRUCTURA INSTITUCIONAL 5.1. Introducción Gobierno en Línea es una estrategia del Ministerio de Comunicaciones de Colombia7 establecido como una política de estado, dirigida a contribuir con un sector productivo más competitivo, un estado moderno y una comunidad con mayores oportunidades para el desarrollo, al aprovechar las ventajas que las nuevas tecnologías ofrecen. La estrategia de Gobierno en Línea contribuye mediante el aprovechamiento de las Tecnologías de la Información y las Comunicaciones -TIC, a la construcción de un Estado más eficiente, más transparente, más participativo y en el que se presten mejores servicios a los ciudadanos y a las empresas. En este sentido, la Estrategia Gobierno en Línea persigue tres objetivos estratégicos: • Mejorar la provisión de servicios a los ciudadanos y a las empresas • Fortalecer la transparencia del Estado y la participación ciudadana • Mejorar la eficiencia del Estado Para dar cumplimiento a sus objetivos estratégicos, la Estrategia de Gobierno en Línea está organizado por los procesos necesarios para promover en la administración pública el aprovechamiento de las TIC, a fin de desarrollar conjuntamente con las instituciones, y de manera gradual, servicios electrónicos dirigidos a la ciudadanía, las empresas y el Estado. 7 Tomado de: http://www.gobiernoenlinea.gov.co/home_principal.aspx. Fecha de acceso: 2008/10/10. Publicado por el Ministerio de Comunicaciones. Autor: No determinado. Página 21 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Estos tres últimos aspectos se definen de la siguiente manera8; • Comunidad: Fomentar el uso de las Tecnologías de la Información para mejorar la calidad de vida de la comunidad, ofreciendo un acceso equitativo a las oportunidades de educación, trabajo, justicia, cultura, recreación, entre otros. • Sector Productivo: Fomentar el uso de las tecnologías de la información y las comunicaciones como soporte al crecimiento y aumento de la competitividad, el acceso a mercados para el sector productivo, y como refuerzo a la política de generación de empleo. • Estado: Proveer al Estado la conectividad que facilite la gestión de los organismos gubernamentales y apoye la función de servicio al ciudadano. A través de este programa, el Gobierno Nacional brindará en primera instancia, la información necesaria para difundir el conocimiento e incentivar la apropiación de las tecnologías de la información hacia las comunidades, de tal forma que estas, al ser quienes mejor conocen sus necesidades, intereses y perspectivas, participen activamente en el proceso mediante la formulación de requerimientos puntuales aplicables para su propio progreso. 5.2. Sistema Administrativo Nacional de Seguridad de la Información -SANSI El Modelo de Seguridad de la Información para la Estrategia de Gobierno en Línea, se apoya en la creación del Sistema Administrativo Nacional de Seguridad de la Información –SANSI, institución que le da la facultad al Presidente de la República de conformar la Comisión Nacional de Seguridad de la Información para tomar acciones estratégicas y definir los lineamientos que permitan la implementación, seguimiento y mantenimiento de las políticas y controles del Modelo de Seguridad9 en cada una de las entidades públicas de orden nacional y territorial y en las entidades privadas que pertenezcan a la cadena de prestación de 8Tomado de: Agenda de Conectividad, CONPES 3072. 9 Modelo de Seguridad: Cabe aclarar que existen dos connotaciones para el término dentro de este documento. En los capítulos 1, 2 y 3, se hace referencia al modelo en cuanto a que el objetivo de la consultoría es definir un modelo de seguridad como “un todo” para la estrategia de gobierno en línea. A partir del numeral 3.2; se hace referencia al “modelo de seguridad” como un producto del sistema SANSI, entendiendo el modelo en su definición técnica como el conjunto de políticas estratégicas que soportan los objetivos de Gobierno en Línea; estas políticas a su vez, son soportadas por controles. Este conjunto de políticas y controles que conforman el modelo de seguridad, deberá ser implementado por cada una de las entidades objetivo, convirtiendo a este modelo en un sistema de gestión SGSI. Para mayor información del modelo de seguridad técnico, remitirse al capítulo número 6. Modelo SGSI. Página 22 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA servicios de Gobierno en Línea y en las entidades privadas que provean acceso a Internet a los ciudadanos que ingresen a los servicios de Gobierno en Línea. Gracias a mecanismos normativos que se están planteando en el marco de esta consultoría, se podrán sentar las herramientas para la creación del Sistema Administrativo Nacional de Seguridad de la Información, lo cual constituye un paso muy importante para el cumplimiento de los principios definidos en la Estrategia de Gobierno en Línea que corresponden a la "Protección de la información del individuo" y la "Credibilidad y confianza en el Gobierno en Línea". En particular, para lograr el cumplimiento de estos principios, se requiere que tanto los Servicios de Gobierno en Línea como la Intranet Gubernamental y las entidades que participen en la cadena de prestación de los servicios de Gobierno en Línea cumplan con los tres elementos fundamentales de la Seguridad de la Información a saber: disponibilidad de la información y los servicios; integridad de la información y los datos; y, confidencialidad de la información. Para la correcta administración de la Seguridad de la Información, se deben establecer y mantener programas y mecanismos que busquen cumplir con los tres requerimientos mencionados. Es así, como producto de esta consultoría, se propone la creación del Sistema Administrativo Nacional de Seguridad de la Información (SANSI), cuyo eje central es la Comisión Nacional de seguridad de la Información (CNSI) (ver Ilustración 4). El SANSI surge, entonces, como un sistema institucional que reúne a todos los actores públicos, privados, la academia y la sociedad civil involucrados en la seguridad nacional de la información. Así mismo, incorpora el conjunto de reglas y normas que rigen las interacciones entre estos actores. En este sentido, el SANSI coordinará las actividades relacionadas con la formulación, ejecución, seguimiento y mantenimiento de las políticas y lineamientos necesarios para fortalecer la adecuada gestión de la seguridad de la información nacional: Ilustración 4: Sistema Administrativo Nacional de Seguridad de la Información -SANSI Página 23 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Finalmente, el Sistema Administrativo Nacional de Seguridad de la Información -SANSI, es el conjunto sistematizado de Lineamientos, Políticas, Normas, Procesos e Instituciones que proveen y promueven la puesta en marcha, supervisión y control del modelo de Seguridad de la Información para la Estrategia de Gobierno en Línea. A continuación, se detallan cada una de las características de cada uno de los actores que componen el sistema SANSI: 5.3. Comisión Nacional de Seguridad de la Información La Comisión Nacional de Seguridad de la Información (CNSI) es el órgano asesor del Gobierno Nacional y de concertación entre éste, las entidades destinatarias y la sociedad civil en temas relacionados con la seguridad de la información del país y de sus territorios, con el fin de generar credibilidad y confianza en Gobierno en Línea protegiendo la información de las entidades y de los ciudadanos. La Comisión apoyará al Presidente de la República en la dirección del SANSI. Como se puede observar en la ilustración 5, el componente principal del sistema SANSI es la Comisión Nacional de Seguridad de la Información, la cual, provee un espacio de encuentro de todos los actores involucrados en temas de Seguridad Nacional para aprobar las políticas en materia de seguridad de información nacional, definir el curso de acciones a seguir y hacer seguimiento para asegurar su cumplimiento y su mantenimiento: Ilustración 5: Comisión Nacional de Seguridad de la Información Página 24 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA El modelo de seguridad de la información planteado obedece las directrices establecidas por la Comisión Nacional de Seguridad de la Información, compuesta por representantes de los diferentes sectores responsables e interesados en la seguridad nacional y cuya función es asesorar al Presidente de la República y al Gobierno Nacional en la formulación y adopción de los lineamientos del Modelo de Seguridad de la Información, en concordancia con los planes y programas de la Estrategia de Gobierno en Línea. La Comisión Nacional de Seguridad de la Información, está compuesta por los siguientes miembros que tendrán voz y voto10: o El Presidente de la República, quien la presidirá. Justificación: Es el jefe de Estado, jefe del gobierno y suprema autoridad administrativa, tiene las competencias para tomar decisiones estratégicas relacionadas con la seguridad de la información nacional. Aprueba leyes, decretos y actos jurídicos para dar soporte y cumplimiento al sistema SANSI. o El Ministro de Comunicaciones, quien ejercerá la coordinación general. Justificación: Dado que el sistema SANSI y sus diferentes componentes son adscritos al Ministerio de Comunicaciones, este último coordinará las actividades al interior de la Comisión. Junto con el Director Nacional de Seguridad de la Información, presentará los informes, las políticas, los controles y resultados del modelo de seguridad, y sus ajustes propuestos, para que sean estudiados y sometidos a aprobación por parte de la Comisión. Los ajustes del modelo de seguridad aprobados por la Comisión, serán incluidos en la nueva versión del modelo a ser implementado en el siguiente ciclo de vida del sistema SANSI. o El Ministro del Interior y de Justicia, como representante del gobierno. Justificación: Jefe superior de las entidades del gobierno y legales adscritas al ministerio. Actúa en representación del Presidente de la República en las funciones que el le delegue o la ley le confiera. Participa en la orientación, coordinación y control de las entidades adscritas y vinculadas pertenecientes al Sector Administrativo del Interior y de Justicia. Formula las políticas sectoriales, planes generales, programas y proyectos del Sector Administrativo del Interior y de Justicia, bajo la dirección del Presidente de la República. Representa, en los asuntos de su competencia, al Gobierno Nacional en la ejecución de tratados y convenios 10 Para la justificación de cada miembro de la Comisión, se tomaron algunas funciones que aparecen publicadas en las páginas Internet oficiales de cada entidad. Página 25 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA internacionales, de acuerdo con las normas legales sobre la materia. Coordina la actividad del Ministerio, en lo relacionado con su misión y objetivos, con las Entidades Públicas del orden nacional y descentralizado territorialmente y por servicios, el Congreso de la República, la Rama Judicial, la Registraduría Nacional del Estado Civil y los organismos de control. Imparte instrucciones a la Policía Nacional para la conservación y el restablecimiento del orden público interno en aquellos asuntos cuya dirección no corresponda al Ministro de Defensa Nacional. Planea, coordina, formula políticas y traza directrices que orienten los rumbos del sistema jurídico del país y del sistema de justicia. Prepara e impulsa proyectos de ley y actos legislativos ante el Congreso de la República. Promueve dentro de las instancias respectivas y con la colaboración de las entidades estatales competentes, la cooperación internacional en los asuntos de su competencia. o El Ministro de Defensa Nacional, como responsable de la Seguridad Nacional. Justificación: Participa en la definición, desarrollo y ejecución de las políticas de defensa y seguridad nacionales, para garantizar la soberanía nacional, la independencia, la integridad territorial y el orden constitucional, el mantenimiento de las condiciones necesarias para el ejercicio y el derecho de libertades públicas, y para asegurar que los habitantes de Colombia convivan en paz. Contribuye con los demás organismos del Estado para alcanzar las condiciones necesarias para el ejercicio de los derechos, obligaciones y libertades públicas. Coadyuva al mantenimiento de la paz y la tranquilidad de los colombianos en procura de la seguridad que facilite el desarrollo económico, la protección y conservación de los recursos naturales y la promoción y protección de los Derechos Humanos. Orienta, coordina y controla, en la forma contemplada por las respectivas leyes y estructuras orgánicas, las superintendencias, las entidades descentralizadas y las sociedades de economía mixta que a cada uno de ellos estén adscritas o vinculadas. o El Ministro de Comercio, Industria y Turismo, rector del desarrollo empresarial y normalización del país, además lidera el tema de competitividad. Justificación: Participa en la formulación de la política, los planes y programas de desarrollo económico y social. Formula la política en materia de desarrollo económico y social del país relacionada con la competitividad, integración y desarrollo de los sectores productivos de bienes y servicios de tecnología para la micro, pequeña y mediana empresa, el comercio interno y el comercio exterior. Formula las políticas para la regulación del mercado, la normalización, evaluación de la conformidad, calidad, promoción de la competencia, protección del consumidor y propiedad industrial. Desarrolla la estrategia de desarrollo empresarial, de productividad y competitividad, de Mipymes y regulación, de conformidad con los lineamientos señalados por los Consejos Superiores de Micro y de Pequeña y Mediana Empresa y el Ministro. Establece mecanismos permanentes y eficaces que garanticen la coordinación y la mayor participación del sector privado. Formula y adopta la política, los planes, programas y reglamentos de normalización. Ejerce la coordinación necesaria para mejorar el clima para la inversión tanto nacional como extranjera en el país y para incrementar la competitividad de los bienes y servicios colombianos. Formula dentro del marco de su competencia las políticas relacionadas Página 26 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA con los instrumentos que promuevan la productividad, la competitividad y el comercio exterior. o El Ministro de Relaciones Exteriores, para garantizar el cumplimiento de acuerdos internacionales. Justificación: Dirige y coordina la estrategia de comunicación que promueva la generación de una cultura corporativa en pro del desarrollo de la misión institucional y que brinde apoyo y asistencia técnica en materia de comunicaciones a todas las dependencias del Ministerio que lo requieran. o El Departamento Nacional de Planeación, encargado de la implantación de las políticas, ente rector de la planeación del país. Justificación: Coordina a todas las entidades y organismos públicos para garantizar el debido cumplimiento y ejecución de las políticas, los programas y los proyectos contenidos en el Plan Nacional de Desarrollo. Promueve, elabora y coordina estudios e investigaciones atinentes a la modernización y tecnificación de la macro-estructura del Estado. Participa en el diseño de la política para la prestación de servicios públicos domiciliarios, a través de las Comisiones de Regulación, y promueve su adopción por parte de las empresas de servicios públicos. Traza las políticas generales y desarrolla la planeación de las estrategias de control y vigilancia, para la adecuada y eficiente prestación de los servicios públicos domiciliarios. Participa en el diseño, seguimiento y evaluación de la política para el desarrollo de la ciencia, la tecnología y la innovación. o El Departamento Administrativo de Seguridad DAS, Seguridad Nacional. Justificación: Produce la inteligencia de Estado que requiere el Gobierno Nacional y formula políticas del sector administrativo en materia de inteligencia para garantizar la seguridad nacional interna y externa del Estado colombiano. Participa en el desarrollo de las políticas diseñadas por el Gobierno Nacional en materia de seguridad. Obtiene y procesa información en los ámbitos nacional e internacional, sobre asuntos relacionados con la seguridad nacional, con el fin de producir inteligencia de Estado, para apoyar al Presidente de la República en la formulación de políticas y la toma de decisiones. Coordina el intercambio de información y cooperación con otros organismos nacionales e internacionales que cumplan funciones afines. o La Superintendencia Financiera, por la Ley de Habeas Data y la inspección y control del sector financiero. Justificación: Propone las políticas y mecanismos que propendan por el desarrollo y el fortalecimiento del mercado de activos financieros y la protección al consumidor financiero. Instruye a las instituciones vigiladas y controladas sobre la manera como deben cumplirse las disposiciones que regulan su actividad, fija los criterios técnicos Página 27 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA y jurídicos que faciliten el cumplimiento de tales normas y señala los procedimientos para su cabal aplicación, así como instruye a las instituciones vigiladas sobre la manera como deben administrar los riesgos implícitos en sus actividades. o La Superintendencia de Industria y Comercio, Salvaguarda la Ley de Habeas Data. Justificación: Vela por la observancia de las disposiciones sobre protección al consumidor. Impone, previas explicaciones, de acuerdo con el procedimiento aplicable, las sanciones que sean pertinentes por violación de las normas sobre protección al consumidor, así como por la inobservancia de las instrucciones impartidas por la Superintendencia. Fija el término de la garantía mínima presunta para bienes o servicios. Fija requisitos mínimos de calidad e idoneidad para determinados bienes y servicios. Asesora al Gobierno Nacional y participa en la formulación de las políticas en todas aquellas materias que tengan que ver con la protección al consumidor, la promoción de la competencia y la propiedad industrial y en las demás áreas propias de sus funciones. Realiza las actividades de verificación de cumplimiento de las normas técnicas obligatorias o reglamentos técnicos sometidos a su control. Salvaguarda la ley de Habeas Data: Ley 1266 del 31 de diciembre de 2008. o Comisión de Regulación de las Telecomunicaciones –CRT, como ente regulador del sector. Justificación: Promueve la competencia en el sector de las telecomunicaciones. Define los criterios de eficiencia y desarrolla los indicadores y modelos para evaluar la gestión financiera, técnica y administrativa de las empresas de telecomunicaciones. Prepara proyectos de ley para presentar ante el Congreso Nacional relacionados con la prestación del servicio de telecomunicaciones. Fija las normas de calidad que deben cumplir las empresas que prestan el servicio. Adicionalmente, la Comisión Nacional de Seguridad de la Información podrá convocar a los siguientes organismos para participar en las sesiones de la Comisión, cuando su presencia sea requerida en función de los temas a tratar, los cuales tendrán voz pero no voto: o Fiscalía General de la Nación, como representante de la Rama Judicial y unidad especializada en delitos de telecomunicaciones y la administración pública. Posee la Dirección Nacional del Cuerpo Técnico de Investigación –CTI. Justificación: Investiga los delitos, califica los procesos y acusa ante los jueces y tribunales competentes, a los presuntos infractores de la ley penal, ya sea de oficio o por denuncia. Posee la Dirección Nacional del Cuerpo Técnico de Investigación – CTI, que asesora al Fiscal General en la definición de políticas y estrategias asociadas con las funciones de Policía Judicial, en los temas de investigación criminal, servicios forenses, de genética y en la administración de la información técnica y judicial que sea útil para la investigación penal. Además, planea, organiza, dirige, controla y ejecuta las funciones de Policía Judicial de la Fiscalía, organiza y controla el cumplimiento de las políticas y estrategias de investigación, servicios Página 28 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA forenses, de genética y de administración de la información útil para la investigación penal en el CTI. Asesora al Fiscal General en el diseño y planeación de estrategias y procedimientos en materia de seguridad y de comunicaciones requeridos en los distintos niveles territoriales de la Entidad, así como también promover el intercambio de información entre los distintos organismos de seguridad del Estado, para la programación y el desarrollo de operaciones contra la delincuencia. o Procuraduría General de la Nación, como entidad de vigilancia, control y protección de los derechos de los ciudadanos. Justificación: La función preventiva, empeñada en “prevenir antes que sancionar”, vigila el actuar de los servidores públicos y advierte cualquier hecho que pueda ser violatorio de las normas vigentes, sin que ello implique coadministración o intromisión en la gestión de las entidades estatales. La función de intervención, en la que interviene ante las jurisdicciones Contencioso Administrativa, Constitucional y ante las diferentes instancias de las jurisdicciones penal, penal militar, civil, ambiental y agraria, de familia, laboral, ante el Consejo Superior de la Judicatura y las autoridades administrativas y de policía. La intervención es imperativa y se desarrolla de forma selectiva cuando el Procurador General de la Nación lo considere necesario y cobra trascendencia siempre que se desarrolle en defensa de los derechos y las garantías fundamentales de los ciudadanos. La función disciplinaria, inicia, adelanta y falla las investigaciones que por faltas disciplinarias se adelanten contra los servidores públicos y contra los particulares que ejercen funciones públicas o manejan dineros del estado. o Superintendencia de Servicios Públicos Domiciliarios, que vela por la adecuada prestación de los servicios a los ciudadanos. Justificación: Vigila y controla el cumplimiento de las leyes y actos administrativos a los que estén sujetos quienes presten servicios públicos, en cuanto el cumplimiento afecte en forma directa e inmediata a usuarios determinados y sancionar sus violaciones. Adelanta las investigaciones cuando las Comisiones de Regulación se lo soliciten. Señala, de conformidad con la Constitución y la ley, los requisitos y condiciones para que los usuarios puedan solicitar y obtener información completa, precisa y oportuna, sobre todas las actividades y operaciones directas o indirectas que se realicen para la prestación de los servicios públicos. Da concepto a las Comisiones de Regulación y a los Ministerios sobre las medidas que se estudien en relación con los servicios públicos. Efectúa recomendaciones a las Comisiones de Regulación en cuanto a la regulación y promoción del balance de los mecanismos de control y en cuanto a las bases para efectuar la evaluación de la gestión y resultados de las personas prestadoras de los servicios públicos sujetos a su control, inspección y vigilancia. Proporciona a las autoridades territoriales el apoyo técnico necesario, la tecnología, la capacitación, la orientación y los elementos de difusión necesarios para la promoción de la participación de la comunidad en las tareas de vigilancia. Página 29 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA o Registraduría Nacional del Estado Civil, Entidad encargada de la identificación de las personas. Justificación: Atiende el manejo, clasificación, archivo y recuperación de la información relacionada con el registro civil. Responde a las solicitudes de personas naturales o jurídicas y organismos de seguridad del Estado o de la rama judicial en cuanto a identificación, identificación de necrodactilias y demás requerimientos. Atiende todo lo relativo al manejo de la información, las bases de datos, el Archivo Nacional de Identificación y los documentos necesarios par el proceso técnico de la identificación de los ciudadanos. Adopta las políticas y procedimientos para el manejo del Registro del Estado Civil en Colombia, asegurando la inscripción confiable y efectiva de los hechos, actos y providencias sujetos a registro. Las funciones de la Comisión Nacional de Seguridad de la información están orientadas hacia una metodología basada en el proceso Planear – Hacer – Verificar – Actuar de un sistema de gestión. Para ver la información sobre las funciones de esta Comisión, remitirse al numeral 5.6.1.1.1. 5.4. Grupo Técnico de Apoyo La Comisión Nacional de Seguridad de la información, es asesorada por el Grupo Técnico de Apoyo, (ilustración 8), cuya función principal es definir y mantener el Modelo de Seguridad de la información a nivel táctico y técnico especificando las políticas, objetivos de control y controles propuestos para que sean implementados por cada una de las entidades destinatarias. El Grupo Técnico de Apoyo, somete a consideración de la Comisión, la aprobación del Modelo de Seguridad de la Información y sus ajustes posteriores. De esta forma, el Modelo de Seguridad de la Información para la Estrategia de Gobierno en Línea, servirá a las entidades que no han implementado aún un Sistema de Gestión en Seguridad de la información –SGSI basado en las mejores prácticas y estándares internacionales; y como referente para aquellas entidades que ya cuentan con un SGSI implementado y que necesitará ser ajustado para apoyar los servicios de la Estrategia de Gobierno en Línea. Es el Grupo encargado de la preparación de los documentos, políticas, lineamientos y controles recomendados que son avalados por la Comisión. Asesora a las Entidades en su implementación y proporciona apoyo técnico y jurídico para la operatividad del modelo. Además, coordina las actividades del portafolio de servicios en seguridad de la información (soporte especializado, capacitación, concienciación) realizadas por el grupo CSIRT (ver documento “Diseño de un CSIRT Colombiano”). Página 30 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Ilustración 6: Estructura Grupo Técnico de Apoyo Las funciones del Grupo Técnico de Apoyo están orientadas hacia una metodología basada en el proceso Planear – Hacer – Verificar – Actuar de un sistema de gestión. Para ver la información sobre las funciones de este Grupo, remitirse a los numerales 5.6.1.1.2 (Funciones Planear) y 5.6.1.4. (Funciones Actuar) del presente documento. 5.4.1. Dirección Nacional de Seguridad de la Información Encabeza el Grupo Técnico de Apoyo y depende del Ministerio de Comunicaciones. Articula la Comisión Nacional de Seguridad de la Información con el Grupo Técnico de Apoyo. Coordina las acciones tanto a nivel técnico como jurídico, los entes policivos y lo concerniente al grupo CSIRT (ver documento “Diseño de un CSIRT Colombiano”). 5.4.1.1. • Funciones de la Dirección Nacional de Seguridad de la Información Aprobar y publicar el reporte anual de seguridad de la información en Colombia (estadísticas, métricas, indicadores, etc.). Página 31 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA • Convocar expertos técnicos en seguridad de la información pertenecientes a la academia y al sector privado, con el objeto de plantear mejoras para el modelo de seguridad de la información (MSI). • Coordinar acuerdos de cooperación con los entes policivos competentes para la provisión de servicios de asistencia ante incidentes de Seguridad de la Información en las entidades. Las siguientes son las entidades policivas contempladas: La Policía Nacional, como parte integrante de las autoridades de la República. Recomienda las políticas del estado en materia de seguridad de la comunidad, estableciendo planes y responsabilidades entre las diferentes entidades comprometidas. DAS (ver numeral 5.3. de este documento). La Fiscalía General de la Nación –CTI (ver numeral 5.3. de este documento). DIJIN -Dirección de Investigación Criminal, contribuye a la seguridad y convivencia ciudadana, mediante el desarrollo efectivo de la investigación criminal judicial, criminalística, criminológica y el manejo de la información delincuencial orientada a brindar el apoyo oportuno a la administración de justicia. DIPOL – Dirección de Inteligencia Policial, unidad especializada que tiene la misión de recolectar información y producir inteligencia en relación con los actores y factores de perturbación del orden público, la defensa y la seguridad nacional. • Proponer ante la Comisión, los cambios y mejoras al modelo de seguridad de la información. • Realizar la presentación ejecutiva anual ante la Comisión Nacional de Seguridad, con los resultados y la evolución del modelo de seguridad en las Entidades. • Coordinar esfuerzos y acuerdos de cooperación con otros grupos CSIRT tanto públicos como privados. • Coordinar esfuerzos y acuerdos de cooperación con las entidades de Vigilancia y Control para realización de verificaciones y auditorias en las entidades que deban cumplir con el Modelo de Seguridad de la Información. • Coordinar esfuerzos y acuerdos de cooperación con entes de certificación que verifiquen el cumplimiento adecuado del Modelo de Seguridad de la Información en las entidades. 5.4.1.2. Grupo de Estudios Técnicos Define los lineamientos y la política de seguridad, prepara estudios técnicos, realiza presentaciones ejecutivas ante la Comisión, prepara el documento del Modelo de Seguridad, recibe información a nivel de seguridad proveniente del Grupo CSIRT entre otras funciones se encuentran: Página 32 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA • Definir lineamientos, políticas y controles que forman parte del modelo de seguridad de la información, los cuales deberán ser cumplidos por las Entidades (Nivel Estratégico). • Elaborar y publicar estudios e informes propios en materia de seguridad de la Información en Colombia (principales amenazas, probabilidades e impactos), basados en estadísticas, métricas, indicadores, provistos por el Grupo CSIRT y otras fuentes. • Analizar los reportes estregados por el Grupo CSIRT, para determinar nuevas acciones a proponer a la Comisión Nacional de Seguridad. 5.4.1.3. Grupo Técnico - Jurídico Define los lineamientos normativos requeridos para la gestión de la política de seguridad de la información. Apoyo experto en respuesta a incidentes, delito informático y ciencias forenses. Otras Funciones: • Asesorar a la Dirección Nacional de Seguridad de la Información, en temas legales y técnico – jurídicos relacionados con seguridad de la información. • Gestionar y aplicar el conocimiento legal en materia de Seguridad de la Información, derecho informático, Habeas Data y ciencias forenses. • Proveer soporte técnico - jurídico en temas relacionados con la recopilación de pruebas forenses, primer respondiente, capacitación y entrenamiento. • Diseñar el catálogo de términos de seguridad de la información, guías legales y modelos contractuales en materia de derecho informático. 5.4.1.4. CSIRT El grupo CSIRT es un pilar decisivo dentro del Sistema Administrativo de Seguridad de la Información SANSI, ya que es el ente que permite dar operatividad al Modelo de Seguridad, proporcionando un completo portafolio de servicios especializados en seguridad de la información centrado en el soporte y la asistencia a las entidades tanto públicas como privadas, así como también, recopilando estadísticas, indicadores y métricas en seguridad de la información para su posterior análisis y toma de decisiones por parte de la Dirección Nacional de Seguridad de la Información. Para mayor información concerniente al CSIRT, ver documento “Diseño de un CSIRT Colombiano”. 5.4.1.5. Relación con otros Órganos Técnicos 5.4.1.5.1. Autoridades de Vigilancia y Control Tanto para el sector público como para el sector privado, la Contraloría, las Superintendencias, la Fiscalía, la Procuraduría y los entes policivos, ejercerán Página 33 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA las labores de vigilancia (auditoria) y validación de la implantación de las disposiciones, lineamientos, políticas y controles relacionados con seguridad de la información plasmada en el Modelo. Estas autoridades forman parte de la fase VERIFICAR del ciclo PHVA del Sistema. Más información en el numeral 5.3. de este documento. 5.4.1.5.2. Organismos de Certificación Los organismos de certificación, son personas jurídicas (o morales) que tienen por objeto realizar tareas de certificación: evaluar que un producto, proceso, sistema, servicio, establecimiento o persona se ajusta a las normas, lineamientos o reconocimientos de organismos dedicados a la normalización nacionales o internacionales. En este caso, los organizamos verificarán que las entidades cumplan con el Modelo de seguridad de la Información. Estos organismos, formarán parte de la fase VERIFICAR del ciclo PHVA del Sistema. Más información en el numeral 5.3. de este documento. Estas Autoridades, adicionalmente, tendrán las siguientes funciones: o Establecer acuerdos de cooperación con el SANSI a través del Grupo Técnico de Apoyo. o Realizar auditorias de cumplimiento del Modelo de Seguridad en las entidades que lo soliciten. o Informar a la Dirección Nacional de Seguridad de la Información sobre las no conformidades y observaciones relacionadas con el cumplimiento del Modelo de Seguridad de la Información en las entidades auditadas. 5.4.1.5.3. Proveedores de Servicios Relacionados con la Seguridad de la Información El CSIRT como órgano coordinador de los procesos de incidentes relacionados con la seguridad de la información, demanda la permanente relación con los proveedores tanto nacionales como internacionales de los servicios relacionados con la seguridad de la información, manteniendo una base de datos actualizada y un estrecho relacionamiento para garantizar la oportuna actuación y prevención en incidentes relacionados con la seguridad de la información en las entidades. 5.4.1.5.4. La Academia Definitivamente la academia deberá estar incluida no solo en los procesos de diseño e implementación del CSIRT, sino que debe ser tenida en cuenta para asesorar al Grupo Técnico de Apoyo y en general al Sistema SANSI ya que son entes que poseen un amplio conocimiento y disponibilidad de Página 34 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA información, lo cual puede permitir tener oportunidades de mejora del sistema, sus políticas, lineamientos y controles. 5.5. Relaciones de Desarrollo Empresarial con Entidades Públicas y Privadas Las relaciones con la industria deberán partir de una sola filosofía, promover su desarrollo, dando visibilidad a la industria de seguridad de la información mediante un espacio (medios técnicos y humanos altamente especializados) en el que puedan ponerse en contacto la oferta y la demanda y en el que se colabora a impulsar la innovación del sector privado en seguridad de la información. Se da visibilidad tanto nacional como internacional a la industria de seguridad de la información en Colombia, se analiza la demanda y la oferta de productos/servicios de seguridad disponibles y se sensibiliza por ejemplo a la PYME en el uso de esos servicios y productos, dinamizando de este modo la demanda. 5.6. Funciones de los actores del SANSI -Enfoque basado en el proceso PHVA El Sistema Administrativo Nacional de Seguridad de la Información -SANSI, adopta un enfoque basado en procesos, para establecer, implementar, operar, hacer seguimiento, mantener y mejorar el Modelo de Seguridad de la Información para la Estrategia de Gobierno en Línea, pero esta vez no orientado hacia una organización en particular sino a todos los actores y entidades involucradas: Página 35 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Ilustración 7: Ciclo de Vida PHVA para el Sistema Administrativo Nacional de Seguridad de la Información y sus Actores Como se puede observar en la ilustración 7, se propone enfocar el Sistema Administrativo Nacional de Seguridad de la Información SANSI hacia un sistema de Gestión auto-sostenible, que funcione eficazmente y que tome como entradas al sistema: • Los instrumentos normativos para apoyar la implementación del Modelo de Seguridad, • Los lineamientos, requerimientos y la política del modelo de seguridad de la información para la estrategia de Gobierno en Línea que plasmen las expectativas de seguridad de la información. Como todo Sistema de Gestión, se recomienda que el SGSI a ser diseñado e implementado por cada una de las entidades participantes en la cadena de prestación de servicios de Gobierno en Línea se fundamente con base en la ISO 27001, por medio del uso del ciclo continuo PHVA (Planear – Hacer – Verificar – Actuar): Página 36 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Ilustración 8: Ciclo P-H-V-A. Implantación y Gestión de un sistema SGSI. Copyright © 2007 IsecT Ltd. www.ISO27001security.com • Planear: establecer el SGSI. • Hacer: implementar y utilizar el SGSI. • Verificar: monitorear y revisar el SGSI. • Actuar: mantener y mejorar el SGSI. A continuación, se detallan las funciones a realizar para cada uno de los actores del sistema SANSI, tanto a alto nivel (Comisión y Grupo Técnico de Apoyo), como para las entidades destinatarias al implementar el modelo SGSI: Página 37 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 5.6.1.1. FASE PLANEAR CICLO PHVA - COMISIÓN NACIONAL DE SEGURIDAD DE LA INFORMACIÓN Y GRUPO TÉCNICO DE APOYO A ALTO NIVEL –SANSI: 5.6.1.1.1. Funciones de la Comisión Nacional de Seguridad de la Información: La Comisión es la máxima autoridad Nacional de Seguridad de la Información y se convierte en el escenario ideal para que los responsables por la Seguridad Nacional discutan y articulen los planes y estrategias de acción para garantizar adecuadamente la seguridad de la información nacional a través del Modelo de Seguridad para la Estrategia de Gobierno en Línea. Así mismo, permitirá la aprobación de políticas, acciones y controles a ser implementados por las entidades destinatarias para fortalecer su postura en seguridad de la información, permitiendo de esta forma, generar confianza y proteger adecuadamente la información de los ciudadanos. Reuniones: Por convocatoria del Ministro de Comunicaciones que actuará como Coordinador General, la Comisión, sesionará de manera ordinaria una (1) vez al año, y de manera extraordinaria con la frecuencia necesaria para el cabal cumplimiento de su agenda de trabajo. Funciones Fase Planear Ciclo PHVA: • Apoyar y divulgar a alto nivel la seguridad de la información nacional, el modelo de seguridad, sus políticas y controles • Aprobar y generar los instrumentos normativos pertinentes para viabilizar la implementación del modelo de seguridad en las entidades destinatarias • Tomar decisiones estratégicas para el SANSI y el modelo de seguridad • Impulsar, mantener y mejorar el SANSI y el modelo de seguridad • Estudiar los cambios y ajustes propuestos para el modelo de seguridad • Presentar propuestas al Gobierno Nacional para la adopción de medidas relacionadas con el mejoramiento de la seguridad de la información • Asesorarse de grupos técnicos de apoyo para tener una adecuada coherencia a nivel técnico de los temas de seguridad de la información y en consecuencia, mejorar el desempeño de sus responsabilidades. La Comisión Nacional de Seguridad de la Información ejercerá adicionalmente las siguientes funciones: Página 38 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA • Establecer los lineamientos del Sistema Administrativo Nacional de Seguridad de la Información y aprobar el Modelo de Seguridad de la Información en concordancia con los planes y programas de desarrollo tecnológico del país y de la Estrategia de Gobierno en Línea. • Apoyar la articulación de las iniciativas y acciones que se adelanten en las diferentes entidades públicas y privadas relacionadas con Seguridad de la Información. • Aprobar el Modelo de Seguridad de la Información (MSI) que incluya las políticas, objetivos y controles; la metodología de medición y seguimiento de Indicadores de seguridad; la revisión periódica del estado de cumplimiento del Modelo. • Aprobar los mecanismos normativos recomendados por el Grupo Técnico de Apoyo a través del Grupo Técnico - Jurídico, los cuales permitan el cumplimiento e implementación del modelo por parte de la Entidades. • Aprobar las nuevas versiones del modelo de seguridad de la información (MSI) para la Estrategia de Gobierno en Línea, a ser cumplido por parte de las Entidades destinatarias. • Presentar propuestas al Gobierno Nacional para la adopción de medidas tendientes a lograr el mejoramiento de la seguridad de la información a nivel nacional en el sector público y privado. • Estudiar los temas que propongan sus miembros en relación con los objetivos de la Comisión. • Crear los comités técnicos de apoyo que considere necesarios para el mejor desempeño de sus responsabilidades. • Disponer la formación de comités consultivos o técnicos, integrados por el número de miembros que determine, para que asesoren técnicamente a la Comisión Nacional de Seguridad de la Información en determinados asuntos. • Presentar propuestas al Gobierno Nacional para la adopción de medidas tendientes a lograr el mejoramiento de la seguridad de la información del país, de las entidades y de los ciudadanos. • Proponer acciones para la modernización de las entidades destinatarias y generar normas que mejoren el estado actual de la seguridad de la información. • Propender por el desarrollo de una cultura e higiene de seguridad de la información como factor determinante para mejorar el estado actual de la seguridad de la información de las entidades y de los ciudadanos. • Las demás inherentes al cumplimiento de los objetivos del Sistema Administrativo Nacional de Seguridad de la Información. Página 39 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 5.6.1.1.2. Funciones del Grupo Técnico de Apoyo Fase Planear Ciclo PHVA: • Plantear las políticas y controles que componen el Modelo de Seguridad de la información • Coordinar tareas al interior del grupo relacionadas con acuerdos de cooperación con diferentes entidades. • Proveer el soporte técnico para asesorar adecuadamente a la Comisión. A NIVEL DE LAS ENTIDADES DESTINATARIAS –SGSI (ver ilustración 8): Funciones Fase Planear Ciclo PHVA: 1. Obtener Soporte de la Alta Dirección: El apoyo de la Alta Dirección – Gerencia de la entidad es vital para el éxito de la implementación del sistema SGSI. 2. Establecimiento del SGSI: La alta dirección debe definir el alcance y límites del SGSI en términos de la estrategia de Gobierno en Línea: procesos de negocio, áreas, servicios. No es necesario que el SGSI abarque toda la organización, puede empezar por un proceso o área y avanzar paulatinamente cubriendo mas procesos o áreas. 3. Realizar un inventario de activos: La organización debe realizar un levantamiento de información orientado a los activos que soportan los procesos de negocio que componen el alcance del SGSI, es decir, que activos soportan los sistemas de información y aplicaciones, que a su vez, soportan los procesos de negocio de la entidad. La herramienta de Autoevaluación11, presenta un formulario de ingreso de información para que el responsable por parte de la entidad, identifique los activos que están dentro del alcance del SGSI y a sus responsables directos, denominados propietarios. Adicionalmente, calificará el grado de criticidad o importancia de cada activo en relación con el apoyo al modelo de seguridad de la información para la Estrategia de Gobierno en Línea. Esta calificación la 11 Ver mayor información de la herramienta de auto-evaluación en el documento: “Entregable 7 –Sistema Autoevaluación”. Página 40 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA realizará la entidad en la herramienta seleccionando en un rango de 1 a 5 donde 1 es una criticidad muy baja, 2 criticidad baja, 3 criticidad media, 4 criticidad alta y 5 criticidad muy alta. 4. Realizar la evaluación del riesgo en seguridad: Una vez el levantamiento de información de los activos parte del alcance del SGSI está realizado, se debe hacer la evaluación del riesgo asociado a dichos activos, especificando las áreas de preocupación, amenazas, vulnerabilidades, escenarios de riesgo, probabilidad de ocurrencia de la amenaza e impacto si llega a materializarse la amenaza a los activos que soportan los sistemas de información, aplicaciones y en consecuencia, los procesos de negocio o áreas parte del alcance. La entidad puede hacer uso de cualquier metodología de gestión, evaluación y análisis del riesgo que considere conveniente, no hay necesidad de usar una específica, lo importante es que tenga los elementos recomendados en la norma ISO27001. Como parte de la presente consultoría, se entrega un documento con la metodología de evaluación del riesgo propuesta. Ver documento “Entregable 4 - Anexo 2: Metodología de gestión del riesgo”. De igual forma, existen metodologías de gestión del riesgo recomendadas como la AS/NZ4360, la ISO27005:2008 y la SP800-30 (del instituto NIST http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf). 5.a. Preparar y elaborar la Declaración de Aplicabilidad (o en sus términos en inglés: Statement of Agreement –SOA): Cada entidad, según su naturaleza, y objetivos de negocio, seleccionará cuales de los dominios y objetivos de control de las normas ISO27001/27002 aplican y no aplican para su entidad. Para los seleccionados como “No Aplica”, la entidad deberá justificar detalladamente la exclusión; además, deberá tener en cuenta: • Los objetivos de control y controles seleccionados y los motivos para su elección; • Los objetivos de control y controles que actualmente ya están implantados; • La exclusión de cualquier objetivo de control y controles deberán estar justificados apropiadamente. El modelo de Seguridad para la Estrategia de Gobierno en Línea, propone un listado de políticas, objetivos de control y controles, producto de un análisis detallado de las normas internacionales recomendadas como la (ISO27001/27002, CobIT, NIST, AS/NZ4360)12 y que en un mayor grado, apoyan los objetivos de la Estrategia de Gobierno en Línea. Ver numeral 6.5. de este documento para mayor información. Por medio de la Herramienta de Auto-evaluación, el usuario designado por cada entidad revisará los dominios y objetivos de control propuestos en la interfaz de la herramienta para que luego de un análisis interno con la Alta Dirección de su Entidad, seleccione cuales aplica y cuáles no. Para los que excluya, deberá digitar y adjuntar (la herramienta podrá permitir ingresar anexos) toda la 12 Para mayor información ver numeral 3.5.2. de este documento. Página 41 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA información relevante y detallada justificando el por qué de esta decisión. Al finalizar, deberá aceptar que la aplicación envíe el informe de “Declaración de Aplicabilidad” a Gobierno en Línea. Con esta información, Gobierno en Línea o quién esta delegue, analizará la información, verificará si las justificaciones cumplen y para cualquier inquietud, se comunicará con el encargado de cada entidad para obtener aclaraciones con respecto a la Declaración de Aplicabilidad de la entidad. Una vez este proceso se haya cumplido, Gobierno en Línea activará la aplicación para que el encargado diligencie la información relacionada con los controles. El proceso de validación del SOA por parte de Gobierno en Línea es un mecanismo que permitirá detectar posibles omisiones involuntarias/no justificadas con suficiencia. Ver mayor información de la herramienta de auto-evaluación en el documento: “Entregable 7 –Sistema Autoevaluación”. 5.b. Preparar y realizar el Plan de Tratamiento del Riesgo: Una vez la entidad ha definido el alcance del SGSI, y la Declaración de Aplicabilidad (SOA); a través de la herramienta de autoevaluación, deberá revisar los controles propuestos y responder si los tiene implementados y en que grado de madurez. Si no los tiene implementados, a través de la herramienta, la entidad especificará las acciones, prioridades, recursos, responsables y fecha de compromiso para la implementación de los controles, lo que consistirá en el Plan de Tratamiento del Riesgo, ya que la entidad se compromete a mitigar los riesgos en seguridad de la información implementando dichos controles recomendados. La entidad también podrá elegir si trasfiere el riesgo a terceros (p. ej., compañías aseguradoras o proveedores de outsourcing) o lo asume, en cuyo caso, deberá dejar constancia de la alta dirección justificando esta decisión, lo cual deberá también estar detallado en la herramienta para que Gobierno en Línea sea notificado de esta decisión. Ilustración 9: Gestión de Riesgos Página 42 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 5.6.1.2. FASE HACER CICLO PHVA – ENTIDADES DESTINATARIAS Las Entidades públicas y privadas, y las Organizaciones que hagan parte de la cadena de prestación de servicios en Línea, deberán implementar y operar (fase HACER del ciclo PHVA) la política, las recomendaciones y los controles definidos en el modelo para dar cumplimiento a la normatividad, a los requerimientos y expectativas definidos, elementos que a su vez, les permitirán ser más competitivos y ofrecer mejores y más seguros servicios para proveer mayor confianza a los ciudadanos que hagan uso de sus servicios y productos. Deberán tener las siguientes funciones: • Tomar el Modelo de Seguridad de la Información como Referente. • Establecer comunicación con el CSIRT y los entes policivos para efectos de obtener soporte en el manejo de incidentes de seguridad de la información. • Acorde con la naturaleza de los servicios provistos por la entidad, clasificarse en uno de los grupos de entidades destinatarias en los que se divide el Modelo SGSI para la estrategia de Gobierno en Línea. Ver numeral 6.5. de este documento para mayor información. • Implementar y operar la política, los objetivos de control y los controles recomendados de acuerdo con grupo en el que se encuentre la entidad para dar cumplimiento al Modelo SGSI, ver mayor información en el numeral 6.5 del presente documento. • Alimentar, actualizar y usar las recomendaciones e indicadores generados por la herramienta de auto-evaluación13 para mejorar su nivel de cumplimiento con el Modelo y por ende, su postura en seguridad de la información. Funciones Fase HACER – Entidades destinatarias – Modelo SGSI (ver ilustración 8): Con relación a las actividades puntuales de implementación del Modelo SGSI, las entidades destinatarias deberán: 13 La herramienta de auto-evaluación, se provee como un sub-producto de la presente consultoría. El objetivo de esta herramienta, es ayudar a las entidades a implementar el Modelo de Seguridad, presentándoles, según el grupo en el que la entidad de clasifique, las políticas y controles recomendados para que sean implementados en caso que no existan. Al final, la herramienta realizará cálculos de indicadores de seguridad basándose en los controles alimentados por la entidad, permitiéndole a esta última, conocer el estado actual de cumplimiento del modelo y comparar su estado con el de otras entidades del mismo grupo. Para mayor información sobre la herramienta de auto-evaluación, favor remitirse a documento “Entregable 7 –Sistema de Auto-evaluación”. Página 43 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 6 y 7. Implementar el Modelo SGSI: Las entidades deberán implementar las políticas, objetivos de control y controles relacionados en el Plan de Tratamiento del riesgo aprobado por parte de la alta dirección de cada entidad según las fechas estipuladas en el plan. Cualquier cambio o modificación al plan, deberá ser notificado a Gobierno en Línea a través de la herramienta de autoevaluación. 8 y 9. Definir una política de seguridad que apoye los objetivos estratégicos de Gobierno en Línea, ver numeral 6.3. Política del Sistema de Gestión. A su vez, esta política deberá ser apoyada por: • Políticas y Objetivos de Seguridad de la Información, ver numeral 6.4. de este documento. • Esté aprobada por la alta dirección. • La política de seguridad tendrá la siguiente estructura básica: Políticas Objetivos de Control Controles Justificación Ilustración 10: Estructura del Modelo de Seguridad Es decir, la política de seguridad que apoya la Estrategia de Gobierno en Línea, es respaldada por objetivos de control, que son las áreas de cumplimiento a las que las entidades destinatarias deben ceñirse. Para materializar este cumplimiento al interior de cada entidad, se han definido una serie de controles asociados a cada objetivo de control para que las entidades los verifiquen e implementen si no lo han hecho. En caso que la entidad decida no implementarlo (por que no es su naturaleza, por presupuesto, etc.), deberá justificar detalladamente la excepción. Ver mayor información en el numeral 6.4. de este documento. La Estrategia de Gobierno en Línea apoyará simultáneamente a las entidades en cuanto a: • Implementar programas de formación y sensibilización en relación a la seguridad de la información para las entidades destinatarias y para la comunidad en general. • A través del Grupo Técnico de Apoyo, Gobierno en Línea gestionará las operaciones del Modelo de Seguridad SGSI a través de la interfaz de la herramienta de auto evaluación (en modo de administración). Este administrador, apoyará a las entidades y aclarará sus dudas con respecto al modelo y su implementación, entre otras funciones. • Gobierno en Línea implantará procedimientos y controles que permitan una rápida detección y respuesta a los incidentes de seguridad en las entidades a través del portafolio de servicios del CSIRT y su modelo de negocios (ver documento “Diseño de un CSIRT Colombiano”). Página 44 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 5.6.1.3. FASE VERIFICAR – Entidades destinatarias, Organismos de certificación y autoridades de vigilancia y control En la fase VERIFICAR del ciclo PHVA, en el que se realizará la revisión y seguimiento de la implementación y cumplimiento del Modelo de Seguridad tomarán parte: A ALTO NIVEL –SANSI: • Los Organismos de certificación que promoverán el cumplimiento del modelo de seguridad otorgando certificaciones para incentivar a las entidades que evidencien una gestión efectiva del mismo, realizando los correctivos y mejoras propuestos por el sistema y la revisión del mismo. Estos Organismos, podrán ser llamados por las entidades para que realicen dichas auditorias. Los organismos de certificación tendrán que ser proveedores autorizados por el SANSI para prestar servicios de auditoria y certificación del modelo de seguridad. • Las autoridades de vigilancia y control como la Contraloría, así como también las Superintendencias y comisiones auditarán y revisarán el cumplimiento del modelo de seguridad SGSI por parte de las entidades. Estas autoridades: o Determinarán si las acciones realizadas para resolver las brechas de seguridad de la información encintradas fueron efectivas. o Revisar regularmente la efectividad del Modelo SGSI, atendiendo al cumplimiento de la política, objetivos y revisión de los controles de seguridad, los resultados de auditorias de seguridad – herramientas de vulnerabilidad automatizadas, incidentes, resultados de los indicadores, sugerencias y observaciones de todas las partes implicadas. o Medir la efectividad de los controles para verificar que se cumple con los requisitos de seguridad, para esto se tendrá una visión orientada a niveles de madurez. o Revisar regularmente en intervalos/periodos planificados, los riesgos residuales y sus niveles aceptables, teniendo en cuenta los posibles cambios que hayan podido producirse en las entidades, la tecnología, los objetivos y procesos misionales, las amenazas identificadas, la efectividad de los controles implementados y el ambiente -requerimientos legales y obligaciones contractuales, entre otros. o Realizar periódicamente auditorias del Modelo SGSI en intervalos planificados. Las siguientes son entidades con competencias para realizar las revisiones: Contraloría General de la República, máximo órgano de control fiscal del Estado. Como tal, tiene la misión de procurar el buen uso de los recursos y bienes públicos y contribuir a la Página 45 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA modernización del Estado, mediante acciones de mejoramiento continuo en las distintas entidades públicas. Superintendencia financiera (ver numeral 5.3. de este documento). Superintendencia de industria y comercio (ver numeral 5.3. de este documento). Superintendencia de servicios públicos domiciliarios (ver numeral 5.3. de este documento). Comisión de Regulación de Telecomunicaciones (ver numeral 5.3. de este documento). A NIVEL DE LAS ENTIDADES DESTINATARIAS – Modelo SGSI (ver ilustración 8): 10. Las entidades Públicas y Privadas realizarán su auto-evaluación del nivel de cumplimiento del modelo a través de la herramienta de Autoevaluación: • Realizar periódicamente auditorias y verificaciones internas de cumplimiento del Modelo de Seguridad. • Apoyarse en organismos de certificación que acrediten el cumplimiento del Modelo de Seguridad (opcional). • Someterse a la auditoria a realizar por parte de las autoridades de vigilancia y control. • Cada entidad deberá revisar periódicamente el Modelo SGSI implementado para garantizar que el alcance definido sigue siendo el adecuado y que las mejoras en el proceso del SGSI son evidentes. • Cada entidad deberá actualizar sus planes de seguridad en función de las conclusiones y nuevos hallazgos encontrados durante las actividades de seguimiento y revisión. • Con relación a la herramienta de autoevaluación: La herramienta de autoevaluación, mostrará el porcentaje de cumplimiento a partir de los controles implementados, los porcentajes de riesgo a partir de los controles no implementados, el porcentaje de aceptación del riesgo a partir de los controles no tratados, fecha de implementación – periodo y responsable de implementación. Cada control podrá ser calificado de la siguiente forma: o Existe -> Nivel de madurez del control (calificación 1-5) Página 46 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA o No existe -> Fecha de implementación y responsable (calificación = 0) Los porcentajes serán calculados usando métodos cuantitativos para generar el nivel de cumplimiento o % riesgo de la Entidad a partir de los controles implementados y no implementados de la siguiente forma: o Porcentaje de cumplimiento = [(Sumatoria niveles de madurez de los Controles implementados) / (sumatoria total de Controles aplicables en nivel 5 de madurez)] x 100% o Porcentaje de riesgo = [(# Controles no implementados) / (# Total Controles aplicables)] x 100% La herramienta puede de igual forma, mostrar el nivel de cumplimiento y el nivel de riesgo de forma cualitativa por medio de una tabla de equivalencia que clasificará a la entidad en los siguientes niveles: o Porcentaje alto de cumplimiento -> nivel bajo de riesgo o Porcentaje medio de cumplimiento -> nivel medio de riesgo o Porcentaje bajo de cumplimiento -> nivel alto de riesgo La herramienta utilizará colores para una fácil identificación y comparación de entidades dependiendo de la calificación a nivel cualitativo con respecto al cumplimiento del modelo y con respecto a las demás entidades. Adicionalmente, la herramienta proporcionará gráficos generados de forma automática que medirán la evolución o involución del modelo de seguridad de una entidad de acuerdo con las calificaciones del periodo inmediatamente anterior, las entidades podrán ver estas gráficas, compararse con el modelo y compararse entre ellas mismas. 5.6.1.4. FUNCIONES FASE ACTUAR CICLO PHVA - GRUPO TÉCNICO DE APOYO – ENTIDADES DESTINATARIAS Finalmente, en la fase ACTUAR del ciclo PHVA, en el que se realizarán mejoras al modelo, tomarán parte no solo las entidades destinatarias que deberán ejecutar acciones de mejora ante la autoevaluación realizada y/o las auditorias externas e internas para implementar controles de seguridad que permitan mejorar su nivel de cumplimiento del modelo de seguridad y por ende, su postura en seguridad de la información, sino también, tomará parte el Grupo Técnico de Apoyo para evidenciar ajustes, nuevos controles, procesos, lineamientos y políticas que serán puestos a consideración y aprobación por parte de la Comisión Nacional de Seguridad de la Información para que sean parte de la nueva versión del Modelo a ser implementado en el siguiente ciclo de vida del sistema: A ALTO NIVEL –SANSI: Página 47 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA • Analizar, consolidar y publicar los indicadores, métricas y estadísticas del Sistema y del Modelo de Seguridad implementado en las entidades. • Proponer ante la Comisión los ajustes al Modelo de Seguridad acorde con su evolución e implementación en las entidades destinatarias. • Coordinar las actividades del portafolio de servicios en seguridad de la información (soporte especializado, capacitación, sensibilización) realizadas por el grupo CSIRT (ver documento “Diseño de un CSIRT Colombiano”). A NIVEL DE LAS ENTIDADES DESTINATARIAS –Modelo SGSI (ver Ilustración 8): 11. Acciones Correctivas: Mantener y mejorar el SGSI: Las entidades destinatarias deberán regularmente: • Actualizar los planes de seguridad en función de las conclusiones y nuevos hallazgos encontrados durante las actividades de seguimiento y revisión. • Verificar que el modelo SGSI se implanta con las mejoras identificadas. • Emprender acciones preventivas y correctivas adecuadas según los resultados de las auditorias, los resultados de la revisión por la dirección y de las lecciones aprendidas de experiencias propias y de otras entidades para lograr la mejora continúa del SGSI. • Asegurarse que las mejoras introducidas alcanzan los objetivos previstos. • Comunicar las acciones y mejoras a las partes interesadas • Resolver los hallazgos encontrados tanto en las auditorias internas como en las externas. • Mejorar los indicadores y métricas del Modelo de Seguridad de la Información, apoyándose en la herramienta de auto-evaluación (ver documento “Entregable 7 –Sistema Autoevaluación”, aumentando la madurez de los controles recomendadas por el Modelo de seguridad, que son mostrados por la herramienta de auto-evaluación (ver numeral 6.5. de este documento). Lo anterior, permitirá que las entidades evolucionen y maduren el Modelo de Seguridad de la información, mejorando su nivel de seguridad de la información permitiéndoles tener ventajas competitivas, entre otros beneficios. El ciclo PHVA es un ciclo de vida continuo, lo cual quiere decir que la fase de Actuar lleva de nuevo a la fase de Planear para iniciar un nuevo ciclo de cuatro fases. Téngase en cuenta que no es necesario llevar una secuencia estricta de las fases, sino que, pueden haber actividades de implantación que ya se lleven a cabo cuando otras de planificación aún no han finalizado; o que se monitoreen controles que aún no están implantados en su totalidad. Página 48 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 5.6.2. Mejora del SGSI: • El sistema SANSI y sus diferentes actores, deben mejorar continuamente la eficacia del modelo SGSI mediante el uso de una política de seguridad de la información estratégica y orientada a los servicios de Gobierno en Línea, los objetivos, los resultados de los análisis y resultados obtenidos por medio de la herramienta de auto valoración, el análisis de los eventos e incidentes a los que les ha hecho seguimiento, las acciones correctivas y preventivas y las revisiones por la Alta Dirección. • Ejecutar acciones correctivas para eliminar la causa de las no conformidades asociadas con los requisitos del modelo SGSI en las entidades, con el fin de prevenir que ocurran nuevamente. • Ejecutar acciones preventivas para eliminar la causa de no conformidades potenciales con los requisitos del modelo SGSI y evitar que ocurran. Las acciones preventivas tomadas deben estar acorde con el impacto de los problemas potenciales. 5.7. Seguridad aplicada a la Comunidad – Higiene en Seguridad El Modelo de Seguridad de la Información para la Estrategia de Gobierno en Línea apoyado a alto nivel por el Sistema Nacional de Seguridad – SANSI, servirá como referente a las entidades destinatarias (tanto públicas como privadas) para mejorar la seguridad de sus servicios y en consecuencia, lograr que el ciudadano y la comunidad tengan mayor confianza al momento de realizar trámites y usar los servicios y sistemas de las entidades del Estado y de Gobierno en Línea. El Modelo de Seguridad contribuirá asimismo a mejorar la cultura en seguridad de la información de los ciudadanos impulsando por medio de campañas y planes de capacitación y sensibilización, el uso correcto de herramientas como Internet, los dispositivos y medios de almacenamiento, los computadores, entre otros, y formulando recomendaciones, precauciones y buenos hábitos (higiene) que deben tener al hacer uso de los mismos, dependiendo del entorno en el que se encuentren: hogar, oficina, cafés Internet, etc. El plan de capacitación y sensibilización realizado como parte de esta consultoría (ver documento Capacitación y sensibilización Modelo de Seguridad), refuerza los conceptos importantes a tener en cuenta en una adecuada higiene en seguridad de la información centrándose en la comunidad y los ciudadanos: • Sensibilizar sobre los peligros y riesgos al hacer uso de Internet • Instalar software de fuentes no confiables que introduzcan vulnerabilidades a los computadores y a los sistemas de información • Peligros ocasionados con el uso de sistemas operativos, navegadores de Internet y aplicaciones de oficina desactualizados Página 49 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA • Carencia de controles de seguridad en los computadores que expongan al usuario a contenido inapropiado como pornografía, racismo, etc. • Uso del computador de la casa para realizar asuntos laborales, lo que expone la información de las organizaciones a nuevos riesgos • Exposición a robo de información personal o de trabajo a través de virus, spyware, spam, phising y otros ataques. Página 50 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 6. MODELO DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN SGSI 6.1. Alcance y límites del Sistema. El Modelo de gestión de seguridad de la información para la estrategia de Gobierno en Línea se aplica a los siguientes servicios y productos: Servicios de Gobierno en Línea o Información y servicios o Portales de acceso o Trámites en línea o Sistemas sectoriales o Compras públicas o Sistemas transversales Intranet Gubernamental o Plataforma de inter-operabilidad (estándares y políticas, núcleo transaccional) o Infraestructura tecnológica de comunicaciones (RAVEC) o Infraestructura tecnológica de computación (Centro de Datos) o Infraestructura tecnológica de contacto(Centro Interacción Multimedia) Los participantes en la cadena de prestación de servicios de Gobierno en Línea los conforman: o o o o o o o o o Comité Nacional de Seguridad de la Información Equipo Técnico de Apoyo CSIRT Proveedores de servicios de Gobierno en Línea(entidades públicas del orden nacional y territorial) Proveedores de servicios de Internet (ISP) Proveedores de servicios de acceso a Internet (Café internet, telecentros) Proveedores de Servicios de la intranet gubernamental Proveedores de servicios de seguridad Clientes: Ciudadanos, funcionarios públicos, empresas Página 51 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA El Modelo de gestión de seguridad de la información propuesto es lo suficientemente estratégico para contemplar las diferentes fases de implementación de la Estrategia de Gobierno en Línea14: o o o o o Fase de Información en línea: Proveer información en línea con esquemas de búsqueda básica (Entidades del orden nacional, EON: junio 2008, Entidades del orden territorial, EOT: noviembre 2008). Fase de Interacción en línea: Habilitar comunicación entre ciudadanos, empresas y servidores públicos (EON: diciembre 2008, EOT: diciembre 2009). Fase de transacción en línea: Proveer transacciones electrónicas para la obtención de productos y servicios (EON: diciembre 2009, EOT: diciembre 2010). Fase de transformación en línea: Organizar servicios alrededor de necesidades de ciudadanos y empresas a través de ventanillas únicas virtuales utilizando la intranet gubernamental (EON: junio 2010, EOT: diciembre 2011) Fase de democracia en línea: Incentivar a la ciudadanía a participar de manera activa en la toma de decisiones del Estado y la construcción de políticas públicas aprovechando las TIC´s (EON: diciembre 2010, EOT: diciembre 2012). 14 Tomado de artículos 5 y 8 del decreto 1151 de 2008. Página 52 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 6.2. Objetivos del Sistema El objetivo principal del Modelo de gestión de seguridad de la información es mantener un ambiente razonablemente seguro que permita proteger los activos de información que componen la estrategia de Gobierno en Línea para asegurar credibilidad y confianza en los ciudadanos, en los funcionarios públicos, terceras partes y en general, todos los que participan en la cadena de prestación de servicios de Gobierno en Línea. Como objetivos estratégicos del Modelo SGSI se plantean los siguientes: • Establecer una guía para manejar todos los aspectos de seguridad que afecten la estrategia de Gobierno en Línea, su estructura de operación y gestión y todos los servicios que se derivan de la estrategia. • Definir guías y lineamientos para asegurar que toda la información sensitiva que se pueda manejar como parte de los servicios de Gobierno en Línea esté protegida contra el riesgo de divulgación accidental o intencional, fraude, modificación, apropiación indebida, uso indebido, sabotaje o espionaje. • Proteger al personal de exposiciones innecesarias en relación con el uso indebido de los recursos de Gobierno en Línea durante el desempeño de sus funciones. • Proteger las operaciones de procesamiento de información de incidentes de hardware, software o fallas de red como resultado de errores humanos por descuido o uso indebido accidental por falta de entrenamiento y capacitación o uso indebido intencional de los sistemas y aspectos tecnológicos que componen la infraestructura de servicios de Gobierno en Línea. • Asegurar la continuidad de los servicios de Gobierno en Línea mediante el establecimiento de buenas prácticas de continuidad de negocio (ver documento “Entregable 4 - Anexo 3: Recomendaciones generales de continuidad negocio”). • Proteger a las entidades del Estado que ofrecen sus servicios de Gobierno en Línea de posibles demandas o sanciones ante un evento que comprometa la seguridad de los activos de información o ante un desastre. 6.3. Política del Sistema de Gestión. La Estrategia de Gobierno en Línea requiere que la información que se gestiona a través de los servicios y trámites disponibles para los ciudadanos, funcionarios públicos y entidades públicas y privadas esté adecuadamente asegurada con el fin de proteger los intereses públicos y nacionales, y preservar la Página 53 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA privacidad personal (Ley 1266 de 2008 -Habeas data). Esta política, se enfoca a la protección de la confidencialidad, integridad, disponibilidad y no repudiación de la información y servicios electrónicos que ofrecen las entidades públicas del orden nacional y territorial en cumplimiento del decreto 1151 de 2008. El representante legal de las entidades públicas y privadas que participan en la cadena de prestación de servicios para la Estrategia de Gobierno en Línea, es responsable por implementar los requerimientos de seguridad que se plantean en la política con el fin proteger la información y los activos que la procesan. El nivel de seguridad que cada entidad debe implementar para proteger la información y los servicios de la Estrategia de Gobierno en Línea, debe corresponder a un proceso de análisis y evaluación de riesgos. La gestión del riesgo es un requerimiento del Modelo SGSI. Este proceso se ha fortalecido en las entidades públicas como resultado de la implantación del sistema integrado de gestión y control MECI y del sistema de gestión de la calidad NTC GP 1000:2004 para las entidades públicas. El Modelo de gestión de seguridad de la información para la estrategia de Gobierno en Línea es complementario con los sistemas de calidad, control interno y desarrollo administrativo. Es posible, para una entidad, adaptar su(s) sistema(s) de gestión y control existente(s) para que cumplan con los requisitos de este modelo. En la implementación del modelo de seguridad, se debe tener especial cuidado en la identificación de los elementos comunes, para evitar que se dupliquen esfuerzos. 6.4. Políticas y Objetivos de Seguridad de la Información Las políticas de seguridad que se plantean en este documento, se basan en un análisis estratégico acorde con cada una de las fases de la Estrategia de Gobierno en Línea. Estas políticas representan directrices generales de alto nivel que deben ser adoptadas por todos los participantes en la cadena de prestación de servicios durante las fases de la evolución de la Estrategia de Gobierno en Línea. Para asegurar el cumplimiento de las políticas de seguridad para Gobierno en Línea, se establecieron objetivos de control asociados a cada política: 6.4.1. PS1 – Política de Control de Acceso Las entidades que provean servicios de Gobierno en Línea que requieran mayor nivel de seguridad como resultado de un análisis y evaluación del riesgo, deben implementar mecanismos y controles que aseguren un efectivo registro, identificación y autenticación de los clientes y usuarios de dichos servicios. Así mismo, deben implementar mecanismos y controles que aseguren el acceso bajo el principio del menor privilegio, necesario para realizar únicamente las labores que a cada cliente o usuario de dichos servicios corresponden. Igualmente, se deben implementar controles para realizar una efectiva administración de usuarios y derechos de acceso. Objetivos de Control: Página 54 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA PS1.1 Otorgar acceso a servicios que requieren mayor nivel de seguridad o que involucran medios de pago sólo para usuarios autorizados. Se requiere limitar el acceso solo para usuarios identificados y autenticados apropiadamente. PS1.2 Otorgar los mínimos privilegios de acceso a servicios que requieren mayor nivel de seguridad. Se requiere minimizar el daño potencial causado por usuarios autorizados lo cual implica establecer segregación de funciones para separar usuarios de los servicios y usuarios con roles administrativos. PS1.3 Otorgar acceso a servicios que requieren mayor nivel de seguridad condicionado a la presentación de un token de acceso15 expedido por un tercero en representación de la entidad de gobierno proveedora del servicio. Se debe fortalecer el control de acceso para las transacciones que requieran mayor nivel de seguridad. PS1.4 Otorgar acceso a servicios que requieren mayor nivel de seguridad condicionado a la presentación de información que soporte la identidad del individuo que requiere el acceso y sus credenciales de autenticación. Se debe implementar la autenticación personal más allá de la posesión del token. PS1.5 Otorgar privilegios de acceso a servicios de Gobierno en Línea sólo cuando se satisfaga la verdadera identidad del usuario, es decir que el usuario sea quien realmente dice que es y no esté registrado bajo otra identidad con un acceso legítimo. Se debe prevenir la creación de múltiples identidades. Un usuario puede tener múltiples roles con respecto a los servicios de Gobierno en Línea pero solo puede poseer una única identidad. PS1.6 Otorgar acceso a los usuarios sobre los servicios y o activos necesarios para soportar el servicio específico requerido. Se deben fortalecer los controles de acceso a nivel de objeto o aplicación, de manera que un usuario legítimo, una vez otorgado el acceso, no pueda alterar datos no requeridos por el servicio solicitado. PS1.7 Implementar una administración efectiva de los derechos de acceso de usuarios y asignar dicha responsabilidad al personal apropiado (administradores de accesos). PS1.8 Implementar la vigencia de los derechos de acceso y su revocación, una vez finalice el período asignado, o haya pérdida de las credenciales, o se detecte uso indebido de los recursos por parte de los usuarios. Las credenciales de acceso y los tokens deben quedar inválidos ante eventos de revocación. 15 Token de acceso: es un medio físico que un usuario posee y/o controla y lo utiliza para autenticar su identidad. Página 55 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 6.4.2. PS2 - Política de no repudiación Las entidades que provean servicios de transacciones electrónicas, que requieran mayor nivel de seguridad, deben garantizar la no repudiación de las transacciones implementando mecanismos de seguridad que permitan crear un ambiente de confianza entre los clientes (ciudadanos, funcionarios públicos, empresas), los proveedores de servicios, los organismos de certificación y la entidad estatal, con relación a la autenticidad, trazabilidad y no repudiación de las transacciones electrónicas. Objetivos de Control: PS2.1 Proveer evidencia del origen y la integridad del mensaje, es decir, se deben implementar mecanismos en el servicio para crear una prueba de origen de manera que se pueda evitar que una de las partes (usuario o servicio de gobierno electrónico) niegue su responsabilidad en el envío del mensaje. Así mismo, se deben implementar mecanismos para probar si el mensaje ha sido alterado. PS2.2 Proveer evidencia del acuse del mensaje, es decir, se deben implementar mecanismos en el servicio para crear una prueba de recibo y almacenarla para su recuperación posterior en caso de una disputa entre las partes (usuario y servicio de gobierno electrónico). PS2.3 Proveer evidencia que el servicio es proporcionado realmente por una entidad pública. Se deben implementar credenciales del servicio y ser presentadas al cliente para la autenticación del sistema de acceso al cliente. PS2.4 Proveer evidencia de la fecha y hora de la transacción electrónica efectuada a través del servicio. 6.4.3. PS3 - Política de servicios confiables Las entidades que provean servicios de transacciones electrónicas que requieran mayor nivel de seguridad, deben implementar mecanismos que aseguren a sus clientes que los compromisos realizados no son vulnerables a robo o fraude. Además, se deben establecer acuerdos con los clientes para que manejen con seguridad las credenciales 16y otra información personal relevante para el servicio. 16 Credencial: conjunto de información utilizada por un usuario para establecer una identidad electrónica como parte del proceso de autenticación. Página 56 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Objetivos de Control: PS3.1 Asegurar que las tarjetas débito, crédito u otros instrumentos de compromiso de los clientes serán protegidos por el servicio contra robo o fraude. Se deben implementar las tecnologías de seguridad más apropiadas en el servicio según el nivel de seguridad requerido para conducir transacciones electrónicas seguras. PS3.2 Proveer evidencia de los compromisos ejecutados a través del servicio, de manera que en el evento de una disputa, sea posible demostrar la historia de las transacciones a un auditor externo. 6.4.4. PS4 – Política de Privacidad y Confidencialidad Los datos personales de los clientes, ciudadanos y demás información enviada a través de los servicios de Gobierno en Línea, deben ser protegidos y manejados de manera responsable y segura. Objetivos de Control: PS4.1 Proveer protección adecuada de la información personal y privada contra divulgación no autorizada cuando se transmite a través de redes vulnerables. PS4.2 Proteger la información personal y privada de uso indebido y divulgación no autorizada cuando se procesa y almacena dentro del dominio de implementación de los servicios de Gobierno en Línea. 6.4.5. PS5 - Política de Integridad La información que se recibe o se envía a través de los servicios de Gobierno en Línea, debe conservar los atributos de correcta y completa durante la transmisión, el procesamiento y el almacenamiento. Se debe garantizar la integridad de la información. Objetivos de Control: PS5.1 Proteger la información que se transmite a través de redes públicas contra modificación, borrado o repetición accidental o intencional. Se debe asegurar la fuerte integridad de las comunicaciones para prevenir contra manipulación de datos en transito o contra pérdida y corrupción causada por fallas de equipos y comunicaciones. PS5.2 Proteger la información que se almacena en el dominio del cliente contra modificación accidental o intencional. Se deben implementar mecanismos para prevenir que usuarios y atacantes manipulen Página 57 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA la información del servicio almacenada en su estación de trabajo con el fin de obtener algún beneficio. PS5.3 Proteger la información almacenada dentro de los servicios de Gobierno en Línea contra modificación o destrucción intencional por parte de atacantes externos. Se deben implementar fuertes medidas para frustrar la alteración mal intencionada de los datos de usuarios o de información de dominio público que puedan disminuir la confianza de los servicios. Los proveedores de servicios tienen la obligación del debido cuidado (due care) para asegurar que la información proporcionada a los clientes sea veraz. PS5.4 Proteger la información trasmitida o almacenada dentro del servicio de Gobierno en Línea contra pérdida o corrupción accidental. Se deben implementar procedimientos probados de respaldo y recuperación de datos y asegurar que se mantienen las listas de usuarios y clientes autorizados. 6.4.6. PS6 – Política de Disponibilidad del Servicio Las entidades que provean servicios de Gobierno en Línea deben asegurar la disponibilidad continua de los servicios bajo su control. Objetivos de Control: PS6.1 Proteger los servicios de Gobierno en Línea contra daños o negación del servicio (DoS –Denial of service) por parte de atacantes externos. PS6.2 Proteger los servicios de Gobierno en Línea contra daños o provisión intermitente del servicio por fallas internas de los equipos y/o redes. Se deben implementar mecanismos de redundancia y alta disponibilidad acordes con la criticidad de la provisión continua del servicio y la capacidad para realizar reparaciones rápidas. PS6.3 Proteger los servicios de Gobierno en Línea contra pérdida de datos, pérdida de equipos y otros eventos adversos. Se debe implementar un plan de continuidad del negocio (BCP –Business Continuity Plan), para asegurar que se toman las medidas necesarias y evitar en lo posible, la pérdida de información por ocurrencia de incidentes. 6.4.7. PS7 – Política de Disponibilidad de la Información Las entidades que provean servicios de Gobierno en Línea, deben asegurar que los datos de los usuarios y clientes se mantienen protegidos contra pérdida, alteración o divulgación por actos accidentales o malintencionados, o por fallas de los equipos y/o redes. Página 58 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Objetivos de Control: PS7.1 Recuperar los datos personales o críticos que han sido dañados, destruidos, alterados o modificados por acciones malintencionadas o accidentales. Se deben implementar procedimientos de copias de respaldo y recuperación, para asegurar que exista recuperación de los datos sensitivos y que puedan ser restaurados en el evento de una falla. También se deben implementar mecanismos para que los datos personales no sean divulgados sin autorización expresa del dueño de la información. PS7.2 Recuperar la información protegida en el evento que un cliente u otro usuario no puedan suministrar las credenciales de acceso necesarias. Se deben implementar procedimientos para recuperar datos de usuario en el evento que un token de acceso o la contraseña se pierdan. Esto permite soportar investigaciones de posible uso indebido del sistema. 6.4.8. PS8 – Política de Protección del Servicio Las entidades que provean servicios de Gobierno en Línea, deben asegurar que los servicios y sus activos de información relacionados, estén adecuadamente protegidos contra ataques externos o internos. Objetivo de Control: PS8.1 Proteger los sistemas de información, equipos y redes que soportan los servicios de Gobierno en Línea contra ataques a la provisión continua y segura del servicio. Se deben asegurar los equipos y las redes implementando medidas tales como aseguramiento de servidores, implementación de topologías seguras de red y escaneo de vulnerabilidades. Los sistemas de información y las aplicaciones, deben ser diseñados e implementados de manera que se minimicen las vulnerabilidades y los ataques externos e internos se reduzcan a un nivel aceptable. 6.4.9. PS9 - Política de Registro y Auditoria Las entidades que provean servicios de Gobierno en Línea, deben mantener y proteger los registros de las transacciones electrónicas como evidencia para los requerimientos de las auditorias (internas o externas) y como mecanismo para establecer responsabilidades de los clientes y usuarios. Objetivo de Control: PS9.1 Mantener un registro de transacciones que pueda ser requerido después del análisis de eventos y/o incidentes. Se deben mantener registros y pistas de auditoria con el fin de establecer responsabilidad por las transacciones, reconstruir transacciones fallidas y suministrar registros Página 59 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA apropiados en caso de conflictos o disputas por el servicio. Debe existir trazabilidad de los registros de transacciones según sea apropiado. 6.4.10. Alineamiento de las políticas de seguridad con normas y mejores prácticas de la industria Considerando que las entidades del estado como parte del proceso de modernización de la gestión pública se encuentran implementado el sistema de gestión integrado de control interno MECI y el sistema de gestión de calidad NTC GP 1000:2004, se hace necesario identificar donde sea aplicable, elementos de dichos sistemas de gestión, que permitan o faciliten la implementación de los requerimientos de seguridad de la información del Modelo de Seguridad SGSI propuesto por esta consultoría con el fin de evitar duplicación de esfuerzos. Igualmente, es necesario tener presente las iniciativas de las entidades públicas y privadas encaminadas a implementar estándares y mejores prácticas tales como: Sistema de Gestión de Seguridad de la Información SGSI (ISO27001), Gobierno de tecnología de la información (COBIT), Prestación de Servicios de TI (ITIL) entre otros. En ese sentido, a continuación se identifica la alineación y armonización de los requerimientos de seguridad del presente Modelo SANSI-SGSI con dichas mejores prácticas: Política MECI NTC GP 1000 ISO27001 COBIT ITIL 4.1 g) Identificar y diseñar puntos de control sobre los riesgos 4.2.1 Establecimiento del SGSI literales c) al h) AI1.2 Reporte de análisis de riesgos SO 4.5 Administración del acceso SANSI-SGSI PS1 - Política de Control de Acceso 1.1 Ambiente de control 1.3 Administración del riesgo 2.1 Actividades de Control 2.2.3 sistemas de Información 5 Roles y responsabilidades 5.6.2 h) Riesgos actualizados e identificados para la entidad A11.1 Requisito del negocio para el control de acceso A.11.2 Gestión del acceso de usuarios A.11.3 Responsabilidades de los usuarios A.11.4 Control de DS5.2 Plan de seguridad de TI DS5.3 Administración de identidad DS5.4 Administración de cuentas del usuario DS5.7 Protección de la tecnología SO 5.3 Administración de mainframe SO 5.4 Administración y soporte de servidores SO 5.5 Administración de la red SO 5.7 Administración de Página 60 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA acceso a las redes de seguridad bases de datos A.11.5 Control de acceso al sistema operativo DS5.8 Administración de llaves criptográficas SO 5.8 Administración de servicios de directorio DS5.10 Seguridad de la red SO 5.10 Administración del middleware A.11.6 Control de acceso a las aplicaciones y a la información. A.11.7 Computación móvil y trabajo remoto DS5.11 Intercambio de datos sensitivos SO 5.11 Administración de Internet y servicios web A.12.1 Requisitos de seguridad de los sistemas de información A.12.3 Controles criptográficos PS2 - Política de no repudiación 1.3 Administración del riesgo 2.2.3 sistemas de Información 4.1 g) Identificar y diseñar puntos de control sobre los riesgos 5.6.2 h) Riesgos actualizados e identificados para la entidad 4.2.1 Establecimiento del SGSI, literales c)al h) A 10.9 Servicios de comercio electrónico A12.1 Requisitos de seguridad de los sistemas de información A.12.3 Controles criptográficos AC6 Autenticidad e integridad de las transacciones SO 5.10 Administración del middleware AI2.4 Seguridad y disponibilidad de las aplicaciones. SD 3.6.1 Diseño de las soluciones del servicio DS5.7 Protección de tecnologías de seguridad SD 5.2 Administración de información y datos DS5.8 Administración de llaves criptográficas DS5.11 Intercambio de datos sensitivos DS11.6 Requerimientos de seguridad para administración de datos Página 61 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA PS3 - Política de servicios confiables 1.3 Administración del riesgo 2.2.3 sistemas de Información 4.1 literal g) Identificar y diseñar puntos de control sobre los riesgos 5.6.2 h) Riesgos actualizados e identificados para la entidad 4.2.1 Establecimiento del SGSI, literales c)al h) A 10.9 Servicios de comercio electrónico A12.1 Requisitos de seguridad de los sistemas de información A.12.3 Controles criptográficos AC6 Autenticidad e integridad de las transacciones SO 5.10 Administración del middleware AI2.4 Seguridad y disponibilidad de las aplicaciones. SD 3.6.1 Diseño de las soluciones del servicio DS5.7 Protección de tecnologías de seguridad SD 5.2 Administración de información y datos DS5.8 Administración de llaves criptográficas DS5.11 Intercambio de datos sensitivos DS11.6 Requerimientos de seguridad para administración de datos PS4 - Política de privacidad y confidencialidad 1.1 Ambiente de control 1.3 Administración del riesgo 2.1 Actividades de Control 2.2.3 sistemas de Información 5 Roles y responsabilidades 4.1 subnumeral g) Identificar y diseñar puntos de control sobre los riesgos 5.6.2 h) Riesgos actualizados e identificados para la entidad A.10.2 Gestión de la prestación del servicio por terceras partes A.10.6 Gestión de la seguridad de las redes A.10.8 Intercambio de la información A10.9 Servicios de Comercio Electrónico A.11.1 Requisito del negocio para el control de acceso A.11.2 Gestión del Página 62 de 207 AC6 Autenticidad e integridad de las transacciones SO 4.5 Administración del acceso PO2.3 Esquema de clasificación de datos SO 5.3 Administración de mainframe PO3.4 Estándares tecnológicos SO 5.4 Administración y soporte de servidores PO6.2 Riesgo Corporativo y Marco de Referencia de Control Interno de TI AI1.2 Reporte de análisis de riesgos SO 5.5 Administración de la red SO 5.6 Almacenamiento y archivo INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA acceso de usuarios A.11.3 Responsabilidades de los usuarios A.11.4 Control de acceso a las redes A.11.5 Control de acceso al sistema operativo A.11.6 Control de acceso a las aplicaciones y a la información. A.11.7 Computación móvil y trabajo remoto A.12.1 Requisitos de seguridad de los sistemas de información A.12.3 Controles criptográficos AI2.3 Control y auditabilidad de las aplicaciones SO 5.7 Administración de bases de datos AI2.4 Seguridad y disponibilidad de las aplicaciones. SO 5.8 Administración de servicios de directorio DS11.1 Requerimientos del negocio para administración de datos SO 5.10 Administración del middleware DS5.2 Plan de seguridad de TI SO 5.11 Administración de Internet y servicios web DS5.3 Administración de identidad DS5.4 Administración de cuentas del usuario DS5.7 Protección de la tecnología de seguridad DS5.8 Administración de llaves criptográficas DS5.10 Seguridad de la red DS5.11 Intercambio de datos sensitivos DS11.1 Requerimientos del negocio para administración de datos DS11.2 Acuerdos de almacenamiento y conservación DS11.3 Sistema Página 63 de 207 SD 3.6.1 Diseño de las soluciones del servicio SD 5.2 Administración de información y datos INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA de administración de librerías de medios DS11.4 Eliminación DS11.5 Backup y restauración DS11.6 Requerimientos de seguridad para administración de datos PS5 - Política de integridad 1.3 Administración del riesgo 2.2.3 sistemas de Información 4.1 literal g) Identificar y diseñar puntos de control sobre los riesgos 5.6.2 h) Riesgos actualizados e identificados para la entidad 4.2.1 Establecimiento del SGSI, literales c)al h) AC4 Integridad y validez del procesamiento de datos A 10.9 Servicios de comercio electrónico AC6 Autenticidad e integridad de las transacciones A12.1 Requisitos de seguridad de los sistemas de información PO6.2 Riesgo Corporativo y Marco de Referencia de Control Interno de TI A.12.3 Controles criptográficos AI1.2 Reporte de análisis de riesgos AI2.3 Control y auditabilidad de las aplicaciones AI2.4 Seguridad y disponibilidad de las aplicaciones. DS11.1 Requerimientos del negocio para administración de datos DS5.2 Plan de seguridad de TI Página 64 de 207 SD 3.6.1 Diseño de las soluciones del servicio SD 5.2 Administración de información y datos INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA DS5.8 Administración de llaves criptográficas DS11.1 Requerimientos del negocio para administración de datos DS11.6 Requerimientos de seguridad para administración de datos PS6 - Política de disponibilidad del servicio 1.3 Administración del riesgo 2.2.3 sistemas de Información 4.1 literal g) Identificar y diseñar puntos de control sobre los riesgos 5.6.2 h) Riesgos actualizados e identificados para la entidad 4.2.1 Establecimiento del SGSI, literales c)al h) A.10.3 Planificación y aceptación del sistema DS3 Administrar el desempeño y la capacidad SO 4.1 Administración de eventos DS4 Garantizar la continuidad del servicio SD 4.3 Administración de la capacidad SD 4.4 Administración de la disponibilidad A12.1 Requisitos de seguridad de los sistemas de información SD 4.4.5.2 Actividades de administración de la disponibilidad A.14.1 Aspectos de seguridad de la información, de la gestión de la continuidad del negocio. SD 4.5 Administración de la continuidad del servicio SO 5.2.3 Copia de respaldo y restauración SD Apéndice K Contenido de un plan de recuperación de desastres PS7 - Política de disponibilidad 1.3 Administración 4.1 literal g) Identificar y diseñar puntos 4.2.1 Establecimiento del SGSI, literales c)al Página 65 de 207 DS4.9 Almacenamiento de respaldos fuera SO 5.2.3 Copia de respaldo y INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA de la información del riesgo 2.2.3 sistemas de Información h) de control sobre los riesgos de las instalaciones A.10.5 Respaldo DS11.2 Acuerdos de almacenamiento y conservación 5.6.2 h) Riesgos actualizados e identificados para la entidad restauración SD 5.2 Administración de información y datos DS11.5 Respaldo y restauración DS11.6 Requerimientos de seguridad para la administración de datos PS8 - Política de protección del servicio 1.3 Administración del riesgo 2.2.3 sistemas de Información 4.1 literal g) Identificar y diseñar puntos de control sobre los riesgos A.10.6 Gestión de la seguridad de las redes 5.6.2 h) Riesgos actualizados e identificados para la entidad A.12.1 Requisitos de seguridad de los sistemas de información 7.1 Planificación de la realización del producto o prestación del servicio 7.2 Procesos relacionados con el cliente 7.3 Diseño y desarrollo A.10.10 Monitoreo A.12.5 Seguridad en los procesos de desarrollo y soporte A.12.6 Gestión de la vulnerabilidad técnica A.13.2 Gestión de los incidentes y las mejoras en la seguridad de la información 7.5 Producción y prestación del servicio 7.5.1 literal g) Los riesgos de mayor probabilidad Página 66 de 207 PO6.2 Riesgo Corporativo y Marco de Referencia de Control Interno de TI PO8.3 Estándares de desarrollo y de adquisición AI1.2 Reporte de análisis de riesgos AI2 Adquirir y mantener software aplicativo AI6 Administrar cambios DS2 Administrar los servicios de terceros DS 5 Garantizar la seguridad de los sistemas DS8 Administrar la mesa de servicio y los incidentes SD 3.6.1 Diseñando soluciones y servicios SO 4.1 Administración de eventos SO 4.2 Administración de incidentes SO 4.5 Administración del acceso SD 4.6 Administración de la seguridad de la información SO5.13 Administración de la seguridad de la información y de la operación de los servicios SO 5.5 Administración de la red INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA PS8 - Política de registro y auditoria 3.1 Autoevaluación 3.2 Evaluación independiente 3.3 Planes de mejoramiento 7.5.2 Validación de los procesos de producción y de la prestación del servicio 8 Medición, análisis y mejora A.10.10.1 Registro de auditorias A.10.10.4 Registros del administrador y del operador A.10.10.5 Registro de fallas A.10.10.6 Sincronización de relojes AI2.3 Control y auditabilidad de las aplicaciones DS5.5 Pruebas, vigilancia y monitoreo de la seguridad ME1.2 Definición y recolección de datos de monitoreo SO 5.1 Monitoreo y control CSI 4.1 Los siete pasos del proceso de mejoramiento del servicio CSI 8 Implementar mejoramiento continuo del servicio ME2.2 Revisiones de Auditoria ME2.5 Aseguramiento del control interno ME4.7 Aseguramiento independiente. Tabla 11: Relación de las políticas y objetivos de control del Modelo de seguridad SGSI para la Estrategia de Gobierno en Línea con las normas y mejores prácticas de la industria. 6.5. Clasificaciones de seguridad del Modelo SGSI 6.5.1. Clasificación de entidades por grupo o naturaleza del servicio El Modelo de Seguridad de la Información para la Estrategia de Gobierno en Línea, realmente consiste en tres versiones del mismo, ya que las entidades no son similares en sus recursos, criticidad de su información y los procesos de negocio, por lo que deben clasificarse en uno de los siguientes grupos que están categorizados por la naturaleza del servicio que prestan. El Modelo de Seguridad, aplicará una versión distinta en cuanto a los controles recomendados dependiendo del grupo al que pertenezca la entidad. Los siguientes son los grupos en los que se dividen las entidades destinatarias según su naturaleza del servicio: Página 67 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA GRUPO 1 Cafés Internet, Telecentros y Compartel GRUPO 2 Entidades públicas de orden nacional y territorial GRUPO 3 Entidades privadas que pertenezcan a la cadena de prestación de servicios de Gobierno en Línea (como los ISP). Tabla 12: Clasificación de grupos según la naturaleza de la entidad. El Modelo de seguridad SGSI propuesto para la Estrategia de Gobierno en Línea, se presenta a las entidades destinatarias en forma de políticas, objetivos de control y controles recomendados para su implementación y mejoramiento. Las Políticas y objetivos de control, dado que son estratégicos y de alto nivel, serán los mismos para todo el universo de entidades independiente del grupo al que pertenezcan; los controles recomendados, si dependerán de la clasificación del grupo, es decir, las entidades del grupo 1 tendrán que cumplir ciertos controles básicos, las del grupo 2 controles básicos mas controles adicionales, y las del grupo 3, controles avanzados, asi: GRUPO 1 Controles básicos Cafés Internet, Telecentros y Compartel GRUPO 2 Entidades públicas de orden nacional y territorial Controles medios GRUPO 3 Entidades privadas que pertenezcan a la cadena de prestación de servicios de Gobierno en Línea (como los ISP). Controles avanzados Tabla 13: Clasificación de controles según el grupo al que pertenezca la entidad. Página 68 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 6.5.2. Niveles de madurez de los controles de seguridad recomendados Independiente del grupo y de los controles que las entidades deban aplicar, cada control tiene un nivel de madurez en seguridad de la información categorizado de 0 a 5, que la entidad deberá implementar para evidenciar la mejora contínua del Modelo de seguridad SGSI para la Estrategia de Gobierno en Línea. El Modelo fija niveles mínimos y óptimos de madurez para obtener los registros de seguridad de la información –RSI que serán otorgados a las entidades que cumplan con estos niveles requeridos. Ver mayor información relacionada con los registros RSI en el numeral 6.5.3. del presente documento. Los niveles de madurez de la seguridad de la información de los controles recomendados por el Modelo SGSI, son adaptados del Modelo CMM de CobIT versión 4.017, que los clasifican en los siguientes niveles: Nivel 0 No Existente: No hay políticas, procesos, procedimientos, o controles en seguridad de la información. La entidad no reconoce los riesgos en seguridad de la información y por ende la necesidad de su tratamiento. Nivel 1 Inicial: La entidad reconoce que los riesgos en seguridad de la información deben ser tratados/mitigados. No existen políticas ni procesos estandarizados sino procedimientos o controles particulares aplicados a casos individuales. Nivel 2 Repetible: Se desarrollan procesos y procedimientos en seguridad de la información de forma intuitiva. No hay una comunicación ni entrenamiento formal y la responsabilidad de la seguridad de la información recae en el sentido común de los empleados. Hay una excesiva confianza en el conocimiento de los empleados, por tanto, los errores en seguridad de la información son comunes. Nivel 3 Definido: Los procesos y las políticas se definen, documentan y se comunican a través de un entrenamiento formal. Es obligatorio el cumplimiento de los procesos y las políticas y por tanto, la posibilidad de detectar desviaciones es alta. Los procedimientos por si mismos no son sofisticados pero se formalizan las prácticas existentes. Nivel 4 Administrado: Existen mediciones y monitoreo sobre el cumplimiento de los procedimientos en seguridad de la información. Los procedimientos están bajo constante 17 Ver mayor información en www.isaca.org http://www.isaca.org/Content/ContentGroups/Research1/Deliverables/COBIT_Mapping_Mapping_SEI’s_CMM_for_Software_With_COBIT_4_0.htm Página 69 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA mejoramiento y proveen buenas automatizadas para la medición. practicas. Normalmente requiere de herramientas Nivel 5 Optimizado: Los procesos, políticas y controles en seguridad de la información se refinan a nivel de buenas prácticas con base en los resultados del mejoramiento continuo y los modelos de madurez de otras empresas. Normalmente se cuenta con herramientas automatizadas que apoyan a la gestión de la seguridad de la información. La siguiente ilustración, muestra la representación gráfica de los modelos de madurez planteados para el Modelo de Seguridad: Ilustración 14: CMM Niveles de madurez. CobIT 4.0. IT Governance Institute. 6.5.3. Registro de Seguridad de la Información RSI - Graduación El Modelo de Seguridad SGSI determina, de igual forma, la graduación de las entidades destinatarias según el cumplimiento de los controles recomendados en los niveles de madurez requeridos, es decir, independiente del grupo al que pertenezcan las entidades, podrán ser graduadas18 con registros de 18 Esta graduación la otorga el CSIRT como una de sus funciones. Para mayor información, ver el documento “Diseño de un CSIRT Colombiano, numeral 4.3. Graduación”. Página 70 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA seguridad de la información “RSI” en grados 1, 2 o 3, dependiendo de la madurez en la que se encuentren implementados sus controles, así: • Entidades con controles en niveles de madurez 0 y 1: Registro RSI Grado 1, • Entidades con controles en niveles de madurez 2 y 3: Registro RSI Grado 2, • Entidades con controles en niveles de madurez 4 y 5: Registro RSI Grado 3. La clasificación anterior se denomina “Graduación en el Sistema”. De tal forma, que si una entidad en RSI 1 madura sus controles a nivel 3, podrá ser promocionada a RSI grado 2. Así mismo, el sistema contempla la promoción de entidades de RSI 2 a RSI 3 si la madurez de los controles pasa a nivel 4 o superior. También se puede dar el caso que una entidad descuide los controles, por tanto, baje la madurez, y en consecuencia, el sistema lo degrade a un grado RSI inferior o no genere el registro correspondiente. En cuanto a la seguridad de la información, se puede hacer un diagnóstico de la situación actual según el grado RSI de la entidad: ESTADO DE LA SEGURIDAD DE LA INFORMACIÓN EN UNA ENTIDAD EN RSI GRADO 1: Se identifican en forma general los activos de la organización. Se observan eventos que atentan contra la seguridad de la información, los activos y la continuidad del negocio, pero no se le da la debida importancia. Los empleados no tienen conciencia de la seguridad de la información (prestan sus claves, dejan sus equipos sin cerrar sesión, etc.). Se responde reactivamente a las amenazas de intrusión, virus, robo de equipos y de información. ESTADO DE LA SEGURIDAD DE LA INFORMACIÓN EN UNA ENTIDAD EN RSI GRADO 2: Se genera un inventario del hardware y software que hay en la organización a partir de la identificación de los activos. Página 71 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Se identifican riesgos asociados con la información, los equipos de cómputo y las aplicaciones, así mismo, se identifican vulnerabilidades por medio de trabajos no periódicos en seguridad informática (pruebas de vulnerabilidad). Se empiezan a elaborar informes de los incidentes de seguridad ocurridos. Se tienen en cuenta algunos procedimientos de seguridad de la información (por ej. creación de contraseñas seguras, administración segura de usuarios, clasificación de la información, desarrollo seguro de software, etc.) pero aún no se han formalizado en los sistemas de gestión documental o de calidad de la organización. Se empieza a observar en los empleados una conciencia de la seguridad de la información, pero aún no demuestran un compromiso con ella. Se diseña e implementa el sistema de gestión de seguridad de la información SGSI. Se definen las Políticas de Seguridad de la Información de la organización basadas en la Norma ISO27001 debido a que se incrementa el interés por buscar las causas que originaron la ocurrencia de los eventos que atentaron contra la información, los activos y la continuidad del negocio. Se divulgan las Políticas de Seguridad de la Información en toda la organización. Se crean indicadores y métricas de seguridad para medir la evolución y mejora del sistema SGSI. Se realiza la clasificación de los activos y de la información de la entidad los equipos aplicaciones, para así poder dar protección adecuada a cada uno de ellos. y Se cuentan con Planes de continuidad del negocio enfocados únicamente a la infraestructura tecnológica (DRP – Planes de recuperación ante desastres), no obstante, se dejan de lado los procesos críticos de la organización. Se crean planes de acción y de tratamiento del riesgo con responsables y fechas de cumplimiento. Se incluyen dentro de los procesos de negocio de la organización, las normas de seguridad de la información (por ej. mejores prácticas en centros de cómputo). Se empieza a observar un compromiso de los empleados con la seguridad de la información. Se establecen controles y medidas básicas para disminuir los incidentes y prevenir su ocurrencia en el futuro. Página 72 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Se cuenta con procedimientos que enseñan a los empleados información y los equipos de cómputo en forma segura. Se monitorea la red de la organización, intrusiones, o infecciones de virus. como una a manejar la medida preventiva contra ESTADO DE LA SEGURIDAD DE LA INFORMACIÓN EN UNA ENTIDAD EN RSI GRADO 3: Se realizan periódicamente auditorias internas al sistema SGSI. Se crea el comité de seguridad interdisciplinario con el cuál se busca tratar temas Seguridad de la Información que sean de interés para la organización. de Se analizan los indicadores y métricas para medir el cumplimiento del sistema SGSI con relación a las normas internacionales en seguridad de la información para establecer si las Políticas de Seguridad de la organización (incluyendo los contratos con empleados y terceros), están siendo acatadas correctamente. Los roles del área de Seguridad de la información están bien definidos y se lleva un registro de las actividades que realiza cada rol. Se cuenta con Planes de continuidad del negocio (BCP) que contemplan solo los procesos críticos del negocio (los que garantizan la continuidad del mismo), no obstante se dejan otros procesos de la organización por fuera. Se implementan los controles de seguridad técnicos y no técnicos recomendados en los planes de acción. Se monitorean periódicamente los activos de la organización. Se realizan de manera sistemática pruebas a los controles, para determinar si están funcionando correctamente. Se hacen simulacros de incidentes de seguridad, para probar la efectividad de los planes BCP – DRP y de respuesta a incidentes. Se realizan pruebas a las aplicaciones, para verificar el cumplimiento de los requisitos de seguridad definidos en las políticas y controles de seguridad de la organización. Página 73 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Se hacen pruebas de intrusión periódicas a los equipos críticos de la organización, para detectar, claves débiles o fáciles de adivinar, y accesos a ciertos sistemas por usuarios no autorizados. El sistema SGSI evoluciona sus indicadores y métricas de seguridad, evidencia la implementación de planes de mitigación del riesgo con la puesta en producción de controles recomendados y realiza auditorias periódicas de cumplimiento. Los empleados apoyan y información en la organización. contribuyen al mejoramiento de la seguridad de la La organización aprende continuamente sobre los incidentes de seguridad presentados. Se analizan las recomendaciones arrojadas por las auditorias y consultorías de seguridad de la información para que se puedan definir acciones preventivas más efectivas. Se incluyen todas las áreas y procesos de la organización críticos), en los planes de continuidad y de respuesta a incidentes. (críticos y no En el documento “Diseño de un CSIRT Colombiano”, numeral 10 –Presupuesto preliminar de inversión y funcionamiento, se puede obtener mayor información con respecto a las condiciones económicas planteadas para la graduación de las entidades en el Modelo SGSI según su grado RSI. 6.5.4. Controles de de Seguridad de la información recomendados por Grupo Dado que las políticas estratégicas de seguridad planteadas en este documento, necesitan ser aplicadas por las entidades destinatarias según su agrupación dentro del Modelo de seguridad, se proponen una serie de controles de seguridad de la información clasificados en diferentes niveles según el grupo al que pertenezca la entidad, para lo cual, se ha establecido la siguiente tabla de controles, que serán verificados por cada una de las entidades a través de la herramienta de auto-evaluación: Página 74 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 6.5.4.1. Controles para entidades clasificadas en Grupo 1 (Cafés Internet, Telecentros y Compartel): # Control 1 2 3 Control Planeación Identificación de la legislación aplicable Gestión de riesgos Políticas 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 Inventario de activos Conciencia en seguridad de información Descripción Elaborar y documentar los planes para mantener y mejorar el servicio Identificar la reglamentación existente para el servicio ofrecido Elaborar y mantener actualizado un mapa de riesgos Establecer políticas para el uso adecuado de los recursos, protección de derechos de autor y protección contra pornografía infantil Elaborar y mantener un inventario actualizado de los activos Entrenar al administrador y al personal de apoyo del centro de servicios (café Internet, Telecentro) en fundamentos básicos de seguridad. Preparar y comunicar guías básicas para clientes sobre Internet seguro y uso aceptable de servicios ofrecidos Servicios de suministro Proteger los equipos contra fallas en el suministro de energía Seguridad del Proteger el cableado de energía y de red contra daños cableado Protección contra Suministrar equipo apropiado contra incendios incendios Seguridad de oficinas, Tener presente los reglamentos y normas sobre seguridad recintos e instalaciones y salud (por ejemplo, ergonomía en el sitio de trabajo, limpieza) Mantenimiento de los equipos Proteger contra código malicioso Registro de fallas Sincronización de relojes Derechos de propiedad intelectual Uso de firewall Estándar de configuración Programar mantenimiento preventivo y correctivo de los equipos Instalar software antivirus y mantenerlo actualizado Registrar y analizar las fallas de los equipos Sincronizar los relojes de los equipos con la hora establecida en la página de la SIC Usar software protegido con las debidas licencias Instalar un firewall personal en cada estación de trabajo Definir e implementar un estándar para configurar los equipos del centro de servicios de manera que controle la descarga e instalación de software y los cambios en la configuración del sistema Respaldo Mantener copias de respaldo de la configuración de equipos y de la red local Seguridad de oficinas, Tener presente los reglamentos y normas sobre seguridad recintos e instalaciones y salud (por ejemplo, ergonomía en el sitio de trabajo, limpieza) Página 75 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Monitoreo y control de recursos Administrar parches 20 21 Control de acceso Acuerdos de servicio 22 23 Evaluación del servicio 24 Controlar uso de los recursos del centro de servicios Implementar procedimiento para instalar parches de los sistema operativos Controlar el ingreso y salida de personal Establecer acuerdos de servicio con proveedores (ISP, proveedores de equipos y software, mantenimiento de equipos, etc.). Programar encuestas entre los usuarios para evaluar el servicio Tabla 15: Controles de seguridad recomendados para las entidades del Grupo 1 6.5.4.2. Política Controles para entidades clasificadas en Grupo 2 (Entidades públicas de orden nacional y territorial): Objetivo de Control # Control Nombre del Control Descripción Control de Acceso PS1 PS1.1-PS1.8 AC-1 Política y procedimientos de control de acceso Página 76 de 207 Control: La entidad desarrolla, divulga, revisa y actualiza periódicamente: (i) una política de control de acceso formal y documentada, que incluye el propósito, alcance, roles, responsabilidades, compromiso de la administración, coordinación entre entidades organizacionales y cumplimiento. (ii) procedimientos formales, documentados para facilitar la implementación de la política de control de acceso y controles asociados. INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA PS1 PS1.1, PS1.7 AC-2 Administración de Control: La entidad administra las cuentas de cuentas acceso a los sistemas de información y servicios de TI e incluye el establecer, activar, modificar, revisar, desactivar y remover cuentas. La entidad revisa las cuentas de los sistemas de información según una frecuencia definida, por lo menos cada 6 meses. Mejoras en el control: (1) La entidad utiliza mecanismos automatizados para apoyar la administración de cuentas del sistema de información y servicios de TI. (2) Se desactivan automáticamente las cuentas temporales y de emergencia después de un periodo de tiempo definido para cada tipo de cuenta. (3) Se desactivan automáticamente las cuentas inactivas después de un período de tiempo establecido. (4) La entidad utiliza mecanismos automatizados para auditar las acciones de creación, modificación, desactivación y terminación de cuentas y notifica a los usuarios en la medida en que se requiera. PS1 PS1.2 AC-3 Forzar el acceso Control: Se establecen las autorizaciones asignadas para controlar el acceso al sistema según la política aplicable. Mejoras en el control: (1) Se restringe el acceso a funciones privilegiadas (instaladas en el hardware, software y firmware) y a la información de seguridad importante al personal autorizado. PS1 PS8.1 AC-4 Restringir el flujo de información Control: Se establecen las autorizaciones asignadas para controlar el flujo de información dentro del sistema y entre sistemas interconectados de acuerdo con la política aplicable. PS1 PS1.2 AC-5 Segregación de funciones Página 77 de 207 Control: Se establece segregación de funciones a través de autorizaciones de INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA acceso asignadas. PS1 PS1.2, PS1.6 AC-6 Principio del mínimo privilegio Control: Se establece el conjunto de derechos y privilegios más restrictivo o los accesos mínimos necesarios de los usuarios(o procesos actuando en representación de los usuarios) para el desempeño de las tareas específicas. PS1 PS1.8 AC-7 Intentos de login fallidos Control: Se establece un número límite de intentos de acceso fallidos durante un periodo de tiempo. Automáticamente se bloquea la cuenta por sobrepasar el límite de intentos de acceso fallidos durante un periodo de tiempo definido. PS1 PS1.8 AC-8 Notificación de uso del sistema Control: Se despliega un mensaje de notificación de uso del sistema antes de autorizar el acceso informando al usuario potencial: (i)que el usuario está accesando un servicio o trámite de Gobierno en Línea; (ii) el uso del sistema puede ser monitoreado, grabado, y sujeto a auditoria; (iii) que el uso no autorizado del sistema está prohibido y sujeto a acción penal y civil; y (iv) que el uso del sistema indica que hay consenso para monitorear y grabar. El sistema que usa mensajes de notificación proporciona alertas de privacidad y seguridad apropiadas y permanecen desplegadas en la pantalla hasta que el usuario ingresa al sistema. PS1 PS1.8 AC-9 Notificación de logon previos Control: Se notifica al usuario, la fecha y la hora del último ingreso exitoso, y el número de intentos de ingreso fallidos desde el último logon exitoso. PS1 PS1.8 AC-10 Control de sesiones concurrentes Control: Se limita el número de sesiones concurrentes para cada usuario según un número establecido por la entidad. Página 78 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA PS1 PS1.8 AC-11 Bloqueo de la sesión PS1 PS1.8 AC-12 Terminación de la Control: El sistema de información sesión automáticamente termina una sesión remota después de un período de tiempo de inactividad establecido por la entidad. Mejoras al control: (1) La terminación automática de la sesión aplica para sesiones locales y remotas. PS1 PS1.1, PS1.2 AC-13 Control: La entidad supervisa y revisa las Supervisión y revisión del actividades de los usuarios con respecto a control de acceso reforzar y usar los controles de acceso del sistema de información y servicios de TI. Mejoras al control: (1) Las entidad utiliza mecanismos automatizados para facilitar la revisión de las actividades de los usuarios. PS1 PS1.1 AC-14 Acciones permitidas sin identificación o autenticación Control: La entidad identifica y documenta las acciones específicas del usuario que pueden ser desarrolladas en el sistema de información sin identificación o autenticación. Mejoras al control: (1) La entidad permite que se ejecuten algunas acciones sin identificación o autenticación sólo bajo autorización y bajo el principio de necesidad de conocer, es decir, lo mínimo necesario para el cumplimiento de una labor. PS4 PS4.1, PS4.2 AC-15 Marcación automatizada Control: El sistema de información marca las salidas de información usando convenciones de nombres estándar para identificar instrucciones de divulgación, manejo o distribución especial. Página 79 de 207 Control: Después de un período de tiempo de inactividad se bloquea la sesión y se obliga a iniciar una nueva sesión. El bloqueo permanece hasta que el usuario se identifique y autentique nuevamente. INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA PS1 PS1.1, PS1.2,PS8.1 AC-17 Acceso remoto Control: La entidad autoriza, monitorea y controla todos los métodos de acceso remoto al sistema de información. Mejoras al control: (1) La entidad utiliza mecanismos automatizados para facilitar el monitoreo y control de los métodos de acceso remoto. (2) La entidad utiliza criptografía para proteger la confidencialidad e integridad de las sesiones de acceso remoto. (3) La entidad controla todos los acceso remotos mediante un número limitado de puntos de control de acceso administrados. (4) La entidad permite acceso remoto para funciones privilegiadas solo para necesidades operacionales y se documenta y justifica tal acceso en el plan de seguridad del sistema de información. PS1 PS1.1,PS1.2,PS8.1 Restricciones de acceso inalámbrico Control: La entidad: (i) establece restricciones de uso y guías de implementación para tecnologías inalámbricas y (ii) autoriza, monitorea y controla el acceso inalámbrico al sistema de información. Mejoras al control: (1) La entidad utiliza autenticación y encripción para proteger el acceso inalámbrico al sistema de información. (2) La entidad escanea los puntos de acceso inalámbrico no autorizados con una frecuencia establecida y toma las acciones apropiadas en caso de encontrar tales puntos de acceso. PS1 PS1.1,PS1.2, PS8.1 AC-19 Control de acceso para dispositivos móviles y portátiles. Control: La entidad: (i) establece restricciones para el uso y una guía de implementación para los dispositivos móviles y portátiles; y (ii) autoriza, monitorea y controla el acceso de los dispositivos móviles a los sistemas de información. AC-18 Página 80 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA PS1 PS1.1,PS1.2, PS8.1 AC-20 Uso de sistemas de información externos Control: La entidad establece términos y condiciones para usuarios autorizados al: (i) acceder el sistema de información desde un sistema de información externo; y (ii) procesar, almacenar y /o transmitir información controlada por la organización mediante un sistema de información externo. Mejoras al control: (1) La entidad prohíbe a los usuarios autorizados por el sistema de información externo acceder el sistema de información interno o procesar, almacenar, o transmitir información controlada por la organización excepto en situaciones donde la entidad: (i) pueda verificar el empleo de controles de seguridad requeridos en el sistema externo según lo especificado en la política de seguridad de la información de la entidad y en el plan de seguridad de sistemas; o (ii) ha aprobado la conexión al sistema de información o acuerdos de procesamiento con la entidad que hospeda el sistema de información externo. Identificac ión y autenticac ión PS1 PS1.3, PS1.4, PS1.5 IA-1 Política y procedimientos de identificación y autenticación Página 81 de 207 Control: La entidad desarrolla, divulga y revisa o actualiza periódicamente: (i) una política formal, documentada de identificación y autenticación que incluye el el propósito, alcance, roles, responsabilidades, compromiso de la administración, coordinación entre entidades organizacionales y cumplimiento; y (ii) procedimientos formales y documentados para facilitar la implementación de la política de identificación y autenticación y los controles asociados. INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA PS1 PS1.3, PS1.4,PS1.5 IA-2 Identificación y autenticación de usuarios Control: Se identifican y autentican usuarios únicos (o procesos actuando en nombre de usuarios). Mejoras al control: (1) Se emplea en los sistemas de información el factor de autenticación múltiple nivel 3 o 4 para acceso remoto al sistema, según la publicación NIST 800-63. (2) Se emplea en los sistemas de información el factor de autenticación múltiple nivel 3 o 4 para acceso local al sistema, según la publicación NIST 800-63. (3) Se emplea en los sistemas de información el factor de autenticación múltiple nivel 4 para acceso remoto al sistema, según la publicación NIST 800-63. PS1 PS1.3, PS1.4,PS1.5 IA-3 Dispositivos de identificación y autenticación Control: Se identifican y autentican los dispositivos específicos antes de establecer una conexión. PS1 PS1.4,PS1.5,PS1.7 IA-4 Gestión de identificadores Control: La entidad administra los identificadores de usuario mediante: (i)identificación único de usuario; (ii) verificando la identidad de cada usuario; (iii) recibiendo autorización para emitir identificador de usuario de un ente oficial aprobado; (iv) entrega del identificador de usuario a la parte interesada; (v) deshabilitar el identificador de usuario después de un periodo de inactividad y (vi) archivar los identificadores de usuario deshabilitados. PS1 PS1.4,PS1.5,PS1.7 IA-5 Gestión de autenticadores Control: La entidad administra los autenticadores de los sistemas de información : (i) definiendo un contenido inicial del autenticador; (ii) estableciendo procedimientos administrativos para distribución del autenticador inicial , en caso de pérdida, compromiso o daño del autenticador o para revocar los autenticadores; (iii) cambiar los autenticadores default después de la instalación del sistema de información ; y (iv) Página 82 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA cambiar los autenticadores periódicamente. PS1 PS1.4,PS1.5 IA-6 Ocultamiento del autenticador Control: La información de autenticación no es visible durante el proceso de autenticación para evitar posible acceso no autorizado. PS1 PS1.4,PS1.5 IA-7 Autenticación con Control: Se emplean métodos de módulo autenticación que reúnen los requerimientos criptográfico de políticas, regulaciones, estándares y guías para autenticar con un módulo criptográfico. Concienci ay entrenami ento PS4,PS6 PS4.1, AT-1 ,PS7 PS4.2,PS6.1,PS6.2, PS6.3,PS7.1,PS7.2 Política y procedimientos en conciencia y entrenamiento en seguridad Control: La entidad desarrolla, divulga, revisa y actualiza periódicamente : (i) una política formal y documentada de conciencia y entrenamiento en seguridad de la información que incluye el propósito, el alcance, roles, responsabilidades , compromiso de la administración, coordinación entre entidades organizacionales y cumplimiento; y (ii) procedimientos formales y documentados para facilitar la implementación de la política de conciencia y entrenamiento en seguridad y los controles asociados. PS4,PS6 PS4.1, AT-2 ,PS7 PS4.2,PS6.1,PS6.2, PS6.3,PS7.1,PS7.2 Conciencia en seguridad Control: La entidad suministra entrenamiento básico en conciencia de seguridad a todos los usuarios de los sistemas de información (incluyendo administradores y ejecutivos senior) antes de autorizar el acceso al sistema, cuando se requiera por cambios en el sistema o regularmente según un período establecido. Página 83 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA PS8 PS8.1 AT-3 Entrenamiento en Control: La entidad identifica al personal que seguridad tiene roles y responsabilidades de seguridad de los sistemas de información durante el ciclo de desarrollo del sistema, documenta dichos roles y responsabilidades y suministra apropiado entrenamiento en seguridad de la información: (i) antes de autorizar el acceso a los sistemas y antes de ejecutar las funciones asignadas; (ii) cuando se requiera por cambios en el sistema; y (iii) regularmente con una periodicidad establecida. PS9 PS9.1 AT-4 Registros de entrenamiento en seguridad Control: La entidad documenta y monitorea las actividades de entrenamiento en seguridad del sistema de información incluyendo entrenamiento básico y especifico. PS8 PS8.1 AT-5 Contactos con grupos de interés y asociaciones de seguridad Control: La entidad establece y mantiene contacto con grupos de interés especiales, foros especializados, asociaciones profesionales, grupos de seguridad, profesionales de seguridad y organizaciones similares para mantenerse actualizado con las últimas prácticas o técnicas y tecnologías de seguridad y compartir información relacionada con seguridad incluyendo amenazas, vulnerabilidades e incidentes. Auditoria y rendición de cuentas Página 84 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA PS9 PS9.1 AU-1 Política y procedimientos de auditoria y rendición de cuentas Control: La entidad desarrolla, divulga, revisa y actualiza periódicamente: (i) una política formal y documentada de auditoria y rendición de cuentas que incluye el propósito, alcance, roles y responsabilidades, compromiso de la administración, coordinación entre entidades organizacionales y cumplimiento; y (ii) procedimientos formales y documentados para facilitar la implementación de la política y los controles asociados. PS9 PS9.1 AU-2 Eventos auditables Control: Se generan registros de auditoria de los siguientes eventos: Mejoras al control: (1) El sistema de información suministra la capacidad de compilar los registros de auditoria a partir de múltiples componentes del sistema en un archivo de auditoria correlacionado con el tiempo. (2) El sistema de información provee la capacidad de administrar la selección de eventos a ser auditados. (3) La entidad revisa y actualiza periódicamente la lista de eventos auditables de la organización. PS9 PS9.1 AU-3 Contenido de los registros de auditoria Control: Los registros de auditoria generados por el sistema de información contienen la información suficiente para establecer qué eventos ocurrieron, las fuentes de los eventos y los consecuencias de los eventos. Mejoras al control: (1) La entidad provee la capacidad de incluir información más detallada en los registros de auditoria para eventos identificados por tipo, ubicación o sujeto. (2) El sistema de información provee la capacidad para administrar centralizadamente el contenido de los registros de auditoria generados por componentes individuales a través del sistema. Página 85 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA PS6,PS9 PS6.2, PS9.1 AU-4 Capacidad de almacenamiento de la auditoria Control: La entidad asigna suficiente capacidad de almacenamiento para los registros de auditoria y configura la auditoria de manera que se reduzca la probabilidad de que se exceda tal capacidad. PS9 PS9.1 AU-5 Respuesta a fallas en la auditoria al procesamiento Control: El sistema de información alerta al responsable apropiado en el evento de una falla de procesamiento y ejecuta las posibles acciones siguientes: shutdown, sobre escribe el registro de auditoria más viejo, para la generación de los registros de auditoria). Mejoras al control: (1) El sistema de información despliega una alerta cuando el volumen de almacenamiento de los registros de auditoria llega a la capacidad máxima definida. (2) El sistema de información genera una alerta en tiempo real cuando los eventos de falla de auditoria ocurren. PS9 PS9.1 AU-6 Monitoreo, análisis y reporte de auditoria Control: La entidad revisa y analiza regularmente los registros de auditoria de los sistemas de información para obtener indicaciones de actividad no usual o inapropiada, investigar actividad sospechosa o violaciones a la seguridad, reporta hallazgos al personal apropiado y ejecuta las acciones pertinentes. Mejoras al control: (1) La entidad utiliza mecanismos automáticos para integrar el monitoreo de auditoria, el análisis y el reporte en un proceso global para investigación y respuesta ante actividades sospechosas. (2) La entidad utiliza mecanismos automáticos para alertar al personal de seguridad de las actividades inapropiadas o inusuales. Página 86 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA PS9 PS9.1 AU-7 Parametrización de la auditoria y generación de reporte Control: El sistema de información permite disminuir los parámetros de auditoria y generar reporte. Mejoras al control: (1) El sistema de información provee la capacidad para procesar automáticamente los registros de auditoria para eventos de interés basados en criterios seleccionables. PS9 PS9.1 AU-8 Estampación electrónica Control: El sistema de información provee estampación electrónica en la generación de los registros de auditoria. Mejoras al control: (1) La entidad sincroniza los relojes internos de los sistemas de información con una frecuencia establecida. PS9 PS9.1 AU-9 Protección de la información de auditoria Control: Se protege la información y las herramientas de auditoria contra acceso no autorizado, modificación o borrado. PS9 PS9.1 AU-10 No repudiación Control: El sistema de información provee la capacidad para determinar si un usuario en particular ejecuta una acción específica. PS9 PS9.1 AU-11 Retención de registros de auditoria Control: La entidad define un periodo de retención de los registros de auditoria para proporcionar soporte ante investigaciones de incidentes de seguridad y cumplir con los requerimientos regulatorios de retención de la información organizacional. Certificaci ón, acreditaci ón y evaluacio nes de Página 87 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA seguridad PS9 PS9.1 CA-1 Certificación, acreditación y seguridad Control: La entidad desarrolla, divulga, revisa y actualiza periódicamente: (i) políticas formales y documentadas de certificación, acreditación y evaluación de seguridad de la información que incluye el propósito, alcance, roles y responsabilidades, compromiso de la administración, coordinación entre entidades organizacionales y cumplimiento; y (ii) procedimientos formales y documentados para facilitar la implementación de las políticas y sus controles asociados. PS9 PS9.1 CA-2 Evaluaciones de seguridad Control: La entidad lleva a cabo evaluación de los controles de seguridad del sistema de información con una frecuencia establecida (por lo menos una vez al año) para determinar si los controles están implementados correctamente, son efectivos y producen los resultados deseados con respecto a reunir los requisitos de seguridad para el sistema. PS9 PS9.1 CA-3 Interfaces del sistema de información Control: La entidad autoriza todas las conexiones del sistema de información con otros sistemas externos mediante el uso de acuerdos de conexión a sistemas y monitoreo y control de las conexiones de manera continúa. PS9 PS9.1 CA-4 Certificación de seguridad Control: La entidad lleva a cabo una evaluación de los controles de seguridad en el sistema de información para determinar si están implementados correctamente según los requisitos de seguridad del sistema. Mejoras al control: (1) La entidad se apoya en una entidad o equipo de certificación independiente para conducir una evaluación de los controles de seguridad en el sistema de información. Página 88 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA PS9 PS9.1 CA-5 Plan de acción y puntos de control Control: La entidad desarrolla y actualiza un plan de acción y los puntos de control para el sistema de información y documenta las acciones de remediación planeadas, implementadas y evaluadas para corregir las deficiencias encontradas durante la evaluación de los controles de seguridad y reducir o eliminar las vulnerabilidades conocidas en el sistema. PS9 PS9.1 CA-6 Acreditación de seguridad Control: La entidad acredita al sistema de información antes de su entrada en operación y actualiza la autorización en un periodo establecido o cuando surjan cambios significativos. Un oficial senior de la entidad firma y aprueba la acreditación de seguridad. PS9 PS9.1 CA-7 Monitoreo continuo Control: La entidad monitorea los controles de seguridad en el sistema de información de manera periódica. Administr ación de la configura ción PS8 PS8.1 CM-1 Política y procedimientos de administración de configuración Página 89 de 207 Control: La entidad desarrolla, divulga, revisa y actualiza periódicamente: (i) una política formal y documentada de administración de la configuración e incluye el propósito, alcance, roles, responsabilidades, compromiso de la administración, coordinación entre entidades organizacionales y cumplimiento; y (ii) procedimientos formales y documentados para facilitar la implementación de la política y los controles asociados. INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA PS8 PS8.1 CM-2 Configuración básica Control: La entidad desarrolla, documenta y mantiene una configuración básica del sistema de información. Mejoras al control: (1) La entidad actualiza la configuración básica del sistema de información con parte integral de la instalación de los componentes del sistema de información. (2) La entidad utiliza mecanismos automáticos para mantener actualizada, completa, exacta y disponible la configuración básica del sistema de información. PS8 PS8.1 CM-3 Control de cambios a la configuración Control: La entidad autoriza, documenta y controla los cambios al sistema de información. Mejoras al control: (1) Le entidad utiliza mecanismos automáticos para: (i) documentar los cambios propuestos al sistema de información; (ii) notificar a la administración responsable de aprobación apropiada; (iii) Alertar sobre las aprobaciones que no se han recibido de manera oportuna; (iv) posponer los cambios hasta que se reciban las aprobaciones necesarias; y (v) documentar los cambios al sistema de información. PS8 PS8.1 CM-4 Monitorear los cambios a la configuración Control: La entidad monitorea los cambios al sistema de información y conduce un análisis de impacto a la seguridad para determinar los efectos de los cambios. PS8 PS8.1 CM-5 Restricciones de acceso para cambios Control: La entidad: (i) aprueba los privilegios de acceso individuales y establece restricciones de acceso lógico y físico asociados con cambios al sistema de información; y (ii) genera, retiene y revisa los registros que reflejan todos los cambios. Mejoras al control: (1) La entidad utiliza mecanismos automáticos para forzar restricciones de acceso y soportar la auditoria de las acciones. Página 90 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA PS8 PS8.1 CM-6 Estándares de configuración Control: La entidad (i) establece estándares de configuración obligatorios para los productos de TI utilizados en el sistema de información; (ii) configura los estándares de seguridad al modo mas restrictivo posible según los requisitos operacionales; (iii) documenta los estándares de configuración; y (iv) forza los estándares de configuración en todos los componentes del sistema de información. Mejoras al control: (1) La entidad utiliza mecanismos automáticos para administrar centralizadamente, aplicar y verificar los estándares de configuración. PS8 PS8.1 CM-7 Mínima funcionalidad Control: La entidad configura el sistema de información para proveer solo las capacidades esenciales y prohíbe o restringe el uso de funciones, puertos, protocolos, y o servicios adicionales. Mejoras al control: (1) Le entidad revisa periódicamente el sistema de información para identificar y eliminar funciones, puertos, protocolos, y o servicios innecesarios. PS8 PS8.1 CM-8 Inventario de componentes del sistema de información Control: La entidad desarrolla, documenta y mantiene un inventario actualizado de los componentes del sistema de información y la información relevante de los dueños. Mejoras al control: (1) La entidad actualiza el inventario de los componentes del sistema de información como parte de las instalaciones de los componentes del sistema. (2) La entidad utiliza mecanismos automáticos para ayudar a mantener actualizado, completo, exacto y disponible el inventario de componentes del sistema de información. Plan de contingen Página 91 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA cias PS6 PS6.1, PS6.2, PS6.3 CP-1 Política y procedimientos del plan de contingencias Control: La entidad desarrolla, divulga, revisa y actualiza periódicamente: (i) una política formal y documentada de planeación de contingencias que incluye el propósito, alcance, roles, responsabilidades, compromiso de la administración, coordinación entre entidades organizacionales y cumplimiento; y (ii) procedimientos formales y documentados para facilitar la implementación de la política del plan de contingencia y los controles asociados. PS6 PS6.3 CP-2 Plan de contingencias Control: La entidad desarrolla e implementa un plan de contingencias para el sistema de información que incluye roles y responsabilidades, personal asignado con información de contacto y actividades asociadas con la restauración del sistema después de una interrupción o falla. Se nombra a los coordinadores del plan dentro de la entidad encargados de revisar y aprobar el plan y distribuir las copias al personal clave de contingencias. Mejoras al control: (1) La entidad coordina el desarrollo del plan de contingencias con las áreas responsables de los planes relacionados. (2) La entidad conduce una planeación de la capacidad de manera que se asegure la existencia de la capacidad necesaria para el procesamiento de la información, las telecomunicaciones y el soporte ambiental durante las situaciones de crisis. Página 92 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA PS6 PS6.3 CP-3 Entrenamiento en Control: La entidad entrena al personal en contingencias los roles y responsabilidades de contingencia con relación al sistema de información y provee capacitación por lo menos anualmente. Mejoras al control: (1) La entidad incorpora eventos simulados en entrenamiento de contingencias para facilitar respuesta efectiva por el personal en situaciones de crisis. (2) La entidad utiliza mecanismos automáticos para proveer un ambiente de entrenamiento más real. PS6 PS6.3 CP-4 Pruebas y simulacros del plan de contingencias Página 93 de 207 Control: La entidad: (i) prueba y /o realiza simulacros del plan de contingencias para el sistema de información por lo menos anualmente. y (ii) revisa los resultados de las pruebas al plan y las acciones correctivas pertinentes. Mejoras al control: (1) La entidad coordina las pruebas al plan de contingencias con el personal de las áreas responsables por los planes relacionados. Ejemplos de planes relacionados son: los planes de continuidad de negocio, plan de recuperación de desastres, plan de continuidad de las operaciones, plan de recuperación del negocio, plan de respuesta a incidentes y plan de acción de emergencias. (2) La entidad prueba el plan de contingencias en un sitio de procesamiento alterno para familiarizar al personal de contingencias con las instalaciones y los recursos disponibles y evaluar las capacidades del sitio para soportar las operaciones de contingencia. (3) La entidad emplea mecanismos automáticos para realizar pruebas efectivas al plan de contingencias y proveer un cubrimiento más completo a los ambientes y escenarios de pruebas. INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA PS6 PS6.3 CP-5 Actualización del plan de contingencias Control: La entidad revisa el plan de contingencias para el sistema de información por lo menos anualmente para incluir los cambios al sistema o cambios en la organización o problemas encontrados durante la implementación, ejecución o pruebas al plan. PS6 PS6.3 CP-6 Sitio de almacenamiento alterno Control: La entidad identifica un sitio de almacenamiento alterno e inicia los acuerdos necesarios para permitir almacenamiento de los backups del sistema de información. Mejoras al control: (1) La entidad identifica un sitio de almacenamiento alterno que está geográficamente separado del sitio de almacenamiento primario de manera que no esté expuesto a las mismas amenazas. (2) La entidad configura el sitio de almacenamiento alterno para facilitar la oportuna y efectiva operación de recuperación. (3) La entidad identifica problemas potenciales de acceso al sitio de almacenamiento alterno en el evento de una interrupción o desastre y define acciones de mitigación. Página 94 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA PS6 PS6.3 CP-7 Sitio de procesamiento alterno Página 95 de 207 Control: La entidad identifica un sitio de procesamiento alterno e inicia los acuerdos necesarios para permitir la restauración de las operaciones del sistema de información para las funciones de misión crítica dentro de un periodo establecido cuando la capacidad primaria de procesamiento no está disponible. Mejoras al control: (1) La entidad identifica un sitio de procesamiento alterno que está geográficamente separado del sito de procesamiento primario de manera que no esté expuesto a las mismas amenazas. (2) La entidad identifica problemas potenciales de acceso al sitio de procesamiento alterno en el evento de una interrupción o desastre y establece las acciones de mitigación. (3) La entidad desarrolla acuerdos para el sitio de procesamiento alterno que contienen prioridad en la provisión del servicio de acuerdo con los requisitos de disponibilidad de la entidad. (4) La entidad realiza una configuración completa del sitio de procesamiento alterno de manera que esté listo para ser usado como el sitio de soporte operacional según la mínima capacidad operacional requerida. INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA PS6 PS6.1,PS6.2 CP-8 Servicios de telecomunicacion es Página 96 de 207 Control: La entidad identifica servicios de telecomunicaciones primarias y alternas para soportar el sistema de información y los acuerdos necesarios para restaurar las operaciones para las funciones de misión crítica en un periodo definido cuando la capacidad de las telecomunicaciones primarias no está disponible. Mejoras al control: (1) La entidad desarrolla acuerdos de servicios de telecomunicaciones primarios y alternos que priorizan la provisión del servicio de acuerdo con los requisitos de disponibilidad de la entidad. (2) La entidad obtiene servicios de comunicación alterna que no comparten el mismo punto de falla con los servicios de telecomunicaciones primarias. (3) La entidad acuerda con los proveedores de servicios de telecomunicaciones alterno de manera que estén separados suficientemente de los proveedores de servicio de telecomunicaciones primario de manera que no estén expuestos a las mismas amenazas. (4) La entidad solicita a los proveedores de servicio de telecomunicaciones primaria y alterna que tengan planes de contingencia apropiados. INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA PS6 PS6.3 CP-9 Backup del sistema de información Control: La entidad realiza backup periódicos a nivel del usuario y a nivel del sistema y protege la información de backups en el sitio de almacenamiento. Mejoras al control: (1) La entidad prueba periódicamente las copias para verificar la confiabilidad de la media y la integridad de la información almacenada. (2) La entidad utiliza selectivamente los backups en la restauración de las funciones del sistema de información como parte de las pruebas al plan de contingencias. (3) La entidad almacena las copias del backup del sistema operacional y otros sistemas de información críticos en un ambiente separado o en un contenedor independiente del software operacional. (4) La entidad protege los backups de modificación no autorizada. PS6 PS6.3 CP-10 Recuperación del sistema de información Control: La entidad utiliza mecanismos con procedimientos de soporte que permitan recuperar el sistema de información y sea restablecido a un estado conocido seguro después de la interrupción o falla. Mejoras al control: (1) La entidad incluye una restauración completa y restablecimiento del sistema de información como parte de las pruebas al plan de contingencias. Respuesta a incidentes Página 97 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA PS8 PS8.1 IR-1 Política y procedimientos de respuesta a incidentes PS8 PS8.1 IR-2 Entrenamiento en Control: La entidad entrena al personal en respuesta a los roles y responsabilidades de respuesta a incidentes incidentes con respecto al sistema de información y provee re entrenamiento con una periodicidad establecida. Mejoras al control: (1) Las entidad incorpora simulación de eventos en el entrenamiento de respuesta a incidentes para facilitar una respuesta efectiva del personal en situaciones de crisis. (2) La entidad utiliza mecanismos automatizados para proveer un ambiente de entrenamiento más ajustado a la realidad. PS8 PS8.1 IR-3 Pruebas y simulacros de respuesta a incidentes Página 98 de 207 Control: La entidad, desarrolla, divulga, revisa y actualiza periódicamente: (i) una política formal y documentada de respuesta a incidentes que incluye el propósito, roles, responsabilidades, compromiso de la administración, coordinación entre entidades organizacionales y cumplimiento; y (ii) procedimientos formales y documentados para facilitar la implementación de la política de respuesta a incidentes y los controles asociados. Control: La entidad prueba periódicamente (por lo menos una vez al año), la capacidad de respuesta a incidentes del sistema de información para determinar la efectividad de la respuesta al incidente y documenta los resultados. Mejoras al control: (1) La entidad utiliza mecanismos automáticos para probar la capacidad de respuesta a los incidentes. INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA PS8 PS8.1 IR-4 Manejo de incidentes Control: La entidad implementa una capacidad de manejo de incidentes para incidentes de seguridad de manera que incluya: preparación, detección, análisis, contención, erradicación y recuperación. Mejoras al control: (1) La entidad emplea mecanismos automáticos para apoyar el proceso de manejo de incidentes. PS8 PS8.1 IR-5 Monitoreo de incidentes Control: La entidad registra y documenta los incidentes de seguridad de la información de manera continua. Mejoras al control: (1) La entidad utiliza mecanismos automáticos para apoyar en el registro de los incidentes de seguridad y en la colección y análisis de la información del incidente. PS8 PS8.1 IR-6 Reporte de incidentes Control: La entidad dispone de un función de soporte de respuesta a incidentes que presta soporte y asistencia a los usuarios del sistema de información para el reporte y manejo de los incidentes de seguridad. Mejoras al control: (1) La entidad emplea mecanismos automáticos para incrementar la disponibilidad de la información de respuesta a incidentes relacionados y el soporte. PS8 PS8.1 IR-7 Asistencia en respuesta a incidentes Control: La entidad reporta oportunamente la información del incidente a los niveles apropiados. Mejoras al control: (1) La entidad utiliza mecanismos automáticos para incrementar la disponibilidad de la información de respuesta a incidentes relacionados y el soporte. Mantenimi Página 99 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA ento PS6,PS8 PS6.2,PS8.1 MA-1 Control: La entidad desarrolla, divulga, revisa Política y procedimientos y actualiza periódicamente: (i) una política de mantenimiento formal y documentada de mantenimiento del sistema de información que incluye el propósito, alcance, roles, responsabilidades, compromiso de la administración, coordinación entre entidades organizacionales y cumplimiento; y (ii) procedimientos formales y documentados para facilitar la implementación de la política de mantenimiento del sistema de información y los controles relacionados. PS6,PS8 PS6.2,PS8.1 MA-2 Mantenimiento controlado Página 100 de 207 Control: La entidad programa, desarrolla, documenta, y revisa los registros de las rutinas de mantenimiento preventivo y correctivo de los componentes del sistema de información según las especificaciones del fabricante o vendedor y los requisitos de la entidad. Mejoras al control: (1) La entidad mantiene registros de mantenimiento para el sistema de información que incluyen: (i) fecha y hora del mantenimiento; (ii) nombre de quien realiza el mantenimiento; (iii) nombre de quien lo escolta, si aplica; (iv) una descripción del mantenimiento realizado; y (v) una lista de equipos retirados o reemplazados (incluyendo número de identificación si aplica). (2) La entidad utiliza mecanismos automáticos para programar y conducir el mantenimiento requerido y mantener actualizados, exactos, completos y disponibles los registros de todas las acciones de mantenimiento realizadas. INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA PS6,PS8 PS6.2,PS8.1 MA-3 Herramientas de mantenimiento Página 101 de 207 Control: La entidad aprueba, controla y monitorea el uso de las herramientas de mantenimiento del sistema de información de manera continua. Mejoras al control: (1) La entidad inspecciona todas las herramientas de mantenimiento que están bajo custodia del personal de mantenimiento para identificar modificación inapropiada. (2) La entidad chequea contra código malicioso todos los programas de prueba y diagnóstico antes de ser utilizados para el mantenimiento del sistema. (3) La entidad chequea todo el equipo en mantenimiento y su capacidad de retención de información de manera que la información de la empresa sea saneada; si el equipo no puede ser saneado, éste permanece en las instalaciones o es destruido a menos que haya una autorización expresa de no hacerlo. (4) La entidad emplea mecanismos automáticos para restringir el uso de herramientas de mantenimiento sólo al personal autorizado. INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA PS6,PS8 PS6.2,PS8.1 MA-4 Mantenimiento remoto Control: La entidad autoriza, monitorea y controla las actividades de mantenimiento y diagnóstico remotas. Mejoras al control: (1) La entidad audita todas las sesiones de mantenimiento y diagnóstico remoto y el personal apropiado de la entidad revisa los registros de mantenimiento de las sesiones remotas. (2) La entidad incluye la instalación y uso de mantenimiento remoto y links de diagnóstico en el plan de seguridad para el sistema de información. (3) La entidad no permite servicios de mantenimiento o diagnostico remoto de un proveedor de servicios que no implemente en su propio sistema de información un nivel de seguridad igual o superior al implementado en el sistema de información sujeto a mantenimiento, a menos que los componentes del sistema de información que contengan información organizacional sean removidos o saneados(eliminar información organizacional y cheque de software malicioso) antes de la ejecución del servicio y sean saneados antes de ser reconectados al sistema de información. PS6 PS6.2,PS8.1 MA-5 Personal de mantenimiento Control: La entidad solo permite que el personal autorizado realice el mantenimiento al sistema de información. PS6 PS6.2 MA-6 Mantenimiento oportuno Control: La entidad establece acuerdos con el proveedor para el mantenimiento y reemplazo de las componentes del sistema en un período de tiempo establecido. Protecció n de los medios Página 102 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA PS4 PS4.2 MP-1 Política y procedimientos de protección de los medios Control: La entidad desarrolla, divulga, revisa y actualiza periódicamente: (i) una política formal y documentada que incluya el propósito, alcance, roles, responsabilidades, compromiso de la administración, coordinación entre entidades organizacionales y cumplimiento; y (ii) procedimientos formales y documentados para facilitar la implementación de la política de protección de los medios y los controles relacionados. PS4 PS4.2 MP-2 Acceso a los medios Control: La entidad restringe el acceso a los medios del sistema de información a personal autorizado. Mejoras al control: (1) La entidad utiliza mecanismos automáticos para restringir el acceso a las áreas de almacenamiento de los medios y audita los intentos de acceso y los accesos otorgados. PS4 PS4.2 MP-3 Etiquetado de los medios Control: La entidad : (i) coloca etiquetas externas para los medios removibles del sistema de información y la información de salida indicando limitaciones en la distribución, en el manejo de advertencias y marcas de seguridad si aplica; y (ii)una lista de tipos de medios o hardware exento de etiquetas mientras permanecen en un ambiente protegido. PS4 PS4.2 MP-4 Almacenamiento de los medios Control: La entidad controla físicamente y almacena seguramente los medios del sistema de información dentro de áreas controladas. Página 103 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA PS4 PS4.1,PS4.2 MP-5 Transporte de los medios PS4 PS4.2 MP-6 Control: La entidad sanea los medios del Saneamiento y eliminación de los sistema de información antes de su medios eliminación o reutilización. Mejoras al control: (1) La entidad registra, documenta y verifica las acciones de saneamiento y eliminación de los medios. (2) La entidad prueba periódicamente el saneamiento de los equipos y los procedimientos para verificar su correcto desempeño. Protecció n física y ambiental Página 104 de 207 Control: La entidad protege y controla los medios del sistema de información durante el transporte fuera de las áreas controladas y restringe las actividades relacionadas con el transporte de los medios sólo al personal autorizado. Mejoras al control: (1) La entidad protege los medios durante el transporte fueras de las áreas controladas utilizando mecanismos tales como: contenedores asegurados, o mecanismos de criptografía. (2) La entidad documenta las actividades asociadas con el transporte de los medios del sistema de información. (3) La entidad utiliza un custodio identificado para las actividades de transporte de los medios del sistema de información. INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA PS6 PE-1 Política y procedimientos de protección física y ambiental Control: La entidad desarrolla, divulga, revisa y actualiza periódicamente: (i) una política formal y documentada de protección física y ambiental que incluye el propósito, alcance, roles, responsabilidades, compromiso de la administración, coordinación entre entidades organizacionales y cumplimiento; y (ii) procedimientos formales y documentados para facilitar la implementación de la política de protección física y ambiental y los controles relacionados. PS4,PS8 PS4.2,PS8.1 PE-2 Autorización de acceso físico Control: La entidad desarrolla y mantiene una lista actualizada del personal con autorización de acceso a las instalaciones donde reside el sistema de información y de las credenciales de autorización. Los oficiales de seguridad autorizados revisan y aprueban las listas de acceso y las credenciales de autorización. PS4,PS5 PS4.2,PS5.2,PS8.1 ,PS8 PE-3 Control de acceso Control: La entidad controla todos los puntos físico de acceso físico a las instalaciones donde reside el sistema de información y verifica las autorizaciones individuales antes de otorgar el acceso a las instalaciones. Mejoras al control: (1) La entidad controla el acceso físico al sistema de información independiente de los controles de acceso físico a las instalaciones. PS6.3 PS4,PS5 PS4.1,PS5.1, PS8.1 PE-4 ,PS8 Control de acceso Control: La entidad controla el acceso físico al medio de a las líneas de transmisión y distribución de transmisión datos del sistema de información dentro de las instalaciones de la entidad. PS4,PS5 PS4.2, PS5.3 Control de acceso Control: La entidad controla el acceso físico al medio de a los dispositivos que despliegan información despliegue. del Sistema para prevenir que personas no autorizadas observen el despliegue de las salidas. PE-5 Página 105 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA PS4,PS5 PS4.2,PS5.3 PE-6 Monitoreo de acceso físico Control: La entidad monitorea el acceso físico al sistema de información para detectar y responder a incidentes de seguridad física. Mejoras al control: (1) La entidad monitorea alarmas de intrusión física en tiempo real y equipos de vigilancia. (2) La entidad emplea mecanismos automáticos para reconocer intrusiones potenciales e iniciar acciones de respuesta apropiadas. PS4,PS5 PS4.2,PS5.3 PE-7 Control de visitantes Control: La entidad controla el acceso físico al sistema de información autenticando a los visitantes antes de autorizar el acceso a las instalaciones controladas donde reside el sistema de información. Mejoras al control: (1) La entidad escolta a los visitantes y monitorea las actividades de estos cuando se requiera. PS4,PS5 PS4.2,PS5.3 PE-8 Registros de acceso Control: La entidad mantiene registros de acceso de visitantes a las instalaciones controladas donde reside el sistema de información que incluyen: (i) nombre y empresa del visitante; (ii) firma del visitante; (iii) forma de identificación; (iv) fecha de acceso; (v) hora de entrada y salida; (vi) propósito de la visita; y (vii) nombre y empresa de la persona visitada. Las personas designadas revisan periódicamente los registros de acceso de los visitantes. Mejoras al control: (1) La entidad emplea mecanismos automáticos para facilitar el mantenimiento y revisión de los registros de acceso. (2) La entidad mantiene un registro del acceso físico de visitantes y personal autorizado. PS6 PE-9 Equipo de suministro de energía y cableado de energía. PS6.3 Página 106 de 207 Control: La entidad protege el equipo de suministro de energía y el cableado de energía para el sistema de información contra daño y destrucción. INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA PS6 PS6.2 PE-10 Apagado de emergencia PS6 PS6.2 PE-11 Suministro alterno Control: La entidad dispone de una UPS para de energía facilitar el apagado ordenado del sistema de información en el evento de una pérdida de la fuente primaria de energía. Mejoras al control: (1) La entidad dispone de una fuente alterna de energía de larga duración para el sistema de información que permita una capacidad mínima operacional requerida en el evento de una pérdida prolongada de la fuente primaria de energía. PS6 PS6.2 PE-12 Luces de emergencia Página 107 de 207 Control: La entidad provee capacidad de apagado remoto de cualquier componente del sistema de información que pueda estar funcionando incorrectamente o esté amenazado. Mejoras al control: (1) La entidad protege la capacidad de apagado de emergencia de activación accidental o no autorizada. Control: La entidad utiliza y mantiene un sistema automático de luces de emergencia que se activan en el evento de una interrupción de energía y cubre salidas de emergencia y rutas de evacuación. INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA PS6 PE6.3 PE-13 Protección contra incendios Control: La entidad utiliza y mantiene sistemas de detección y extinción de incendios que pueden ser activados en caso de incendio. Mejoras al control: (1) La entidad utiliza sistemas de detección de fuego que se activan automáticamente y notifican a la entidad y al equipo de respuesta a emergencias. (2) La entidad utiliza sistemas de extinción de incendios que suministran notificación automática de cualquier activación a la entidad y al equipo de respuesta a emergencias. (3) La entidad dispone de capacidad automática de extinción de incendios en las instalaciones donde no hay frecuente disponibilidad de personal. PS6 PE6.3 PE-14 Controles de humedad y temperatura Control: La entidad monitorea y mantiene dentro de niveles aceptables la temperatura y humedad dentro de las instalaciones donde reside el sistema de información. PS6 PE6.3 PE-15 Protección contra fugas de agua Control: La entidad protege el sistema de información contra daños ocasionados por el agua resultante de tuberías rotas u otras fuentes de escape de agua manteniendo válvulas maestras que son accesibles, trabajan adecuadamente y son conocidas por el personal clave. Mejoras al control: (1) La entidad utiliza mecanismos automáticos que protegen el sistema de información de daños ocasionados por fugas de agua significativas. PS4 PS4.2 PE-16 Ingreso y retiro Control: La entidad autoriza y controla el ingreso y salida de los ítems relacionados con el sistema de información dentro de las instalaciones y mantiene registros apropiados de dichos eventos. Página 108 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA PS6 PS6.3 PE-17 Sitio de trabajo alterno Control: La entidad mantiene controles administrativos, operacionales y técnicos del sistema de información en el sitio alterno. PS6 PS6.3 PE-18 Ubicación de los componentes del sistema de información Control: La entidad ubica de manera segura los componentes del sistema de información para minimizar el daño potencial de amenazas físicas y ambientales y acceso no autorizado. Mejoras al control: (1) La entidad planea las condiciones de seguridad del sitio de ubicación del sistema de información considerando las amenazas físicas y ambientales y actualiza su estrategia de mitigación del riesgo. Planeació n PS1-PS9 PS1.1 - PS9.1 PL-1 Política y procedimientos de planeación de la seguridad PS1-PS9 PS1.1 - PS9.1 PL-2 Plan de seguridad Control: La entidad desarrolla e implementa del sistema un plan de seguridad para el sistema de información que incluye una revisión de los requisitos de seguridad para el sistema y una descripción de los controles de seguridad implementados o planeados para reunir los requerimientos. Nombra al personal encargado de revisar y aprobar el plan. Página 109 de 207 Control: La entidad desarrolla, divulga, revisa y actualiza periódicamente: (i) una política formal y documentada de planeación de la seguridad que incluye el propósito, alcance, roles , responsabilidades, compromiso de la administración, coordinación entre entidades organizacionales y cumplimiento; y (ii) procedimientos formales y documentados para facilitar la implementación de la política y los controles relacionados. INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA PS1-PS9 PS1.1 - PS9.1 PL-3 Actualización del Control: La entidad revisa por lo menos plan de seguridad anualmente, el plan de seguridad del sistema de información para identificar necesidades de cambio organizacional o del sistema durante la implementación del plan o en las evaluaciones de seguridad. PS1 PS1.1 PL-4 Reglas de comportamiento Control: La entidad establece y divulga un conjunto de reglas que describen las responsabilidades y comportamiento esperado con relación a la información y al uso del sistema de información. Los usuarios firman un documento de compromiso que indica que han leído, que entienden y que están de acuerdo con las reglas de comportamiento antes de autorizar el acceso al sistema de información. PS4 PS4.1,PS4.2 PL-5 Evaluación del impacto a la privacidad Control: La entidad lleva a cabo una evaluación del impacto a la privacidad en el sistema de información según la ley de habeas data (Ley 1266 31 diciembre de 2008) PS8 PS8.1 PL-6 Planeación de las actividades relacionadas con la seguridad Control: La entidad planea y coordina las actividades relacionadas con la seguridad que afectan el sistema de información antes de ejecutar dichas actividades con el fin de reducir el impacto en las operaciones, en los activos de información y en las personas. Seguridad del personal Página 110 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA PS1-PS9 PS1.1 - PS9.1 PS-1 Política y procedimientos para seguridad del personal Control: La entidad desarrolla, divulga, revisa y actualiza periódicamente: (i) una política formal y documentada de seguridad del personal que incluye: propósito, alcance, roles, responsabilidades, compromiso de la administración, coordinación entre áreas organizacionales, y cumplimiento; y (ii) procedimientos formales y documentados para facilitar la implementación de la política de seguridad del personal y los controles relacionados. PS1-PS9 PS1.1 - PS9.1 PS-2 Categorización del cargo Control: La entidad define riesgos de los cargos y establece criterios para la selección y contratación del personal para dichos cargos. La entidad revisa dichos cargos con una frecuencia establecida. PS1-PS9 PS1.1 - PS9.1 PS-3 Verificación del personal Control: La entidad realiza revisiones de verificación del personal que requiere acceso a la información empresarial y a los sistemas de información antes de autorizar el acceso. PS1-PS9 PS1.1 - PS9.1 PS-4 Terminación del contrato laboral Control: La entidad retira el acceso a los sistemas de información antes de la terminación del contrato laboral, realiza entrevistas de retiro, gestiona la devolución de activos y autoriza al personal apropiado para revisar los registros creados en el sistema de información por parte del personal que se retira. PS1-PS9 PS1.1 - PS9.1 PS-5 Transferencia del personal Control: La entidad revisa las autorizaciones de acceso al sistema de información cada vez que se presenta una reasignación o transferencia del personal a otro cargo. PS1-PS9 PS1.1 - PS9.1 PS-6 Acuerdos de confidencialidad Control: La entidad establece acuerdos de confidencialidad firmados por los usuarios que requieren acceder la información organizacional y los sistemas de información antes de autorizar su acceso y efectúa revisiones periódicas a dichos acuerdos. Página 111 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA PS1-PS9 PS1.1 - PS9.1 PS-7 Seguridad del personal de terceras partes Control: La entidad establece requerimientos de seguridad del personal incluyendo roles y responsabilidades para contratistas y proveedores y monitorea su cumplimiento. PS1-PS9 PS1.1 - PS9.1 PS-8 Sanciones al personal Control: La entidad adopta un proceso disciplinario formal para el personal que viole el cumplimiento de las políticas y procedimientos de seguridad de la información. Evaluació n del riesgo PS1-PS9 PS1.1 - PS9.1 RA-1 Política y procedimientos de evaluación del riesgo Control: La entidad desarrolla, divulga, revisa y actualiza periódicamente: (i) una política formal y documentada de evaluación del riesgo que incluya el propósito, alcance, roles, responsabilidades, compromiso de la gerencia, coordinación entre áreas organizacionales y cumplimiento; y (ii) procedimientos formales y documentados para facilitar la implementación de la política de evaluación del riesgo y los controles relacionados. PS1-PS9 PS1.1 - PS9.1 RA-2 Categorías de seguridad Control: La entidad categoriza el sistema de información y la información procesada, almacenada o transmitida por el sistema de acuerdo con la reglamentación, políticas, estándares y guías aplicables y documenta los resultados en el plan de seguridad del sistema. Designa a personal apropiado para revisar las categorías de seguridad. PS1-PS9 PS1.1 - PS9.1 RA-3 Evaluación del riesgo Control: La entidad realiza evaluaciones del riesgo y análisis de impacto del daño resultante de acceso, uso, revelación, interrupción, modificación, destrucción no autorizada de la información y de los sistemas de información que soportan los servicios de Página 112 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA gobierno en línea. PS1-PS9 PS1.1 - PS9.1 RA-4 Actualización de la evaluación del riesgo Control: La entidad revisa periódicamente la evaluación de riesgos o siempre que se efectúen cambios significativos en los sistemas de información, las instalaciones donde reside el sistema o que existan otras condiciones que pueden impactar la seguridad o el estado de acreditación del sistema. PS8 RA-5 Escaneo de vulnerabilidades Control: La entidad escanea periódicamente las vulnerabilidades del sistema de información o siempre que se identifiquen y reporten nuevas amenazas que puedan impactar el sistema. Mejoras al control: (1) La entidad utiliza herramientas de escaneo de vulnerabilidades que incluyen capacidad para actualizar la lista de vulnerabilidades escaneadas. (2) La entidad actualiza periódicamente la lista de vulnerabilidades escaneadas o cuando nuevas vulnerabilidades son identificadas y reportadas. (3) La entidad implementa procedimientos de escaneo de vulnerabilidades que pueden demostrar la cobertura y profundidad del escaneo incluyendo el checkeo de vulnerabilidades a los componentes de sistema de información. PS8.1 Adquisici ón de sistemas y servicios Página 113 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA PS1-PS9 PS1.1 - PS9.1 SA-1 Política y procedimientos de adquisición de sistemas y servicios Control: La entidad desarrolla, divulga, revisa y actualiza periódicamente: (i) una política formal y documentada de adquisición de sistemas y servicios que contempla consideraciones de seguridad de la información y que incluye el propósito, alcance, roles, responsabilidades, compromiso de la gerencia, coordinación entre áreas de la entidad y cumplimiento; y (ii) procedimientos formales y documentados para facilitar la implementación de la política de adquisición de sistemas y servicios y los controles relacionados. PS1-PS9 PS1.1 - PS9.1 SA-2 Distribución de recursos Control: La entidad determina, documenta y distribuye como parte de la planeación y control de inversiones los recursos requeridos para proteger adecuadamente el sistema de información. PS8 SA-3 Ciclo de vida del soporte Control: La entidad administra el sistema de información adoptando una metodología para el ciclo de desarrollo de los sistemas de información que incluye consideraciones de seguridad de la información. SA-4 Adquisiciones Control: La entidad incluye las especificaciones de seguridad en los contratos de adquisición de los sistemas de información basados en un proceso de evaluación del riesgo y conforme a las regulaciones, políticas y estándares aplicables. Mejoras al control: (1) La entidad solicita la documentación que describa en detalle la funcionalidad de los controles de seguridad del sistema de información para permitir analizar y probar dichos controles. (2) La entidad solicita la documentación detallada del diseño y detalles de implementación de los controles de seguridad del sistema para permitir analizar y probar dichos controles (incluyendo interfaces entre componentes). PS8.1 PS1-PS9 PS1.1 - PS9.1 Página 114 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA PS8 PS8.1 SA-5 Documentación de los sistemas de información Control: La entidad obtiene, protege y mantiene disponible al personal autorizado la documentación del sistema de información. Mejoras al control: (1) La entidad obtiene además de las guías del usuario y del administrador, la documentación detallada de la funcionalidad de los controles de seguridad del sistema de información para permitir análisis y prueba de los controles. (2) La entidad obtiene además de las guías de usuario y del administrador, la documentación detallada del diseño de los controles de seguridad del sistema de información para permitir análisis y prueba de los controles. PS8 PS8.1 SA-6 Restricciones de uso del software Control: La entidad cumple con las restricciones de uso del software. PS8 PS8.1 SA-7 Software instalado por los usuarios Control: La entidad forza al cumplimiento de reglas explicitas que gobiernan la instalación de software por parte de los usuarios. PS8 PS8.1 SA-8 Principios de ingeniería de seguridad Control: La entidad designa e implementa el sistema de información utilizando principios de ingeniería de seguridad. PS8 PS8.1 SA-9 Servicios de desarrollo, mantenimiento y soporte externo del sistema de información Control: La entidad: (i) requiere que los proveedores de servicio adopten controles de seguridad de conformidad con la reglamentación, políticas y estándares aplicables y según los ANS establecidos; y (ii) monitoree el cumplimiento de los controles de seguridad. PS8 PS8.1 SA-10 Administración de Control: La entidad exige a los la configuración desarrolladores del sistema de información del desarrollador crear e implementar un plan de configuración que controle los cambios al sistema durante el desarrollo, rastree las fallas de seguridad y documente el plan y su implementación. Página 115 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA PS8 PS8.1 SA-11 Pruebas de seguridad del desarrollador Control: La entidad exige al desarrollador del sistema crear un plan de evaluación y pruebas de seguridad, implementar el plan, y documentar los resultados. Protecció n del sistema y las comunica ciones PS8 PS8.1 PS1,PS8 PS1.2,PS8.1 SC-1 Política y procedimientos de protección del sistema y las comunicaciones Control: La entidad desarrolla, divulga, revisa y actualiza periódicamente: (i) una política formal y documentada de protección del sistema y las comunicaciones que incluye: el propósito, alcance, roles, responsabilidades, compromiso de la gerencia, coordinación entre áreas de la entidad y cumplimiento; y (ii) procedimientos formales y documentados para facilitar la implementación de la política de protección del sistema y las comunicaciones y los controles relacionados. SC-2 Particionar la aplicación Control: Las funciones del usuario y las funciones administrativas del sistema se encuentran separadas en el sistema de información. Página 116 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA PS1,PS8 PS1.2,PS8.1 SC-3 Aislamiento de la función de seguridad Control: Se aíslan en el sistema de información las funciones de seguridad de las otras funciones. Mejoras al control: (1) En el sistema de información se utilizan mecanismos de separación del hardware para facilitar el aislamiento de la función de seguridad. (2) En el sistema de información se aíslan las funciones de seguridad críticas (por ejemplo: control de acceso y control del flujo de información) de las funciones de seguridad y demás funciones. (3) En el sistema de información es mínimo el número de funciones que no son de seguridad incluidas en la frontera de aislamiento que contiene las funciones de seguridad. (4) En el sistema de información las funciones de seguridad se implementan como módulos independientes grandes de manera que eviten interacciones innecesarias entre módulos. (5) En el sistema de información se implementan las funciones de seguridad con una estructura de capas de manera que minimice las interacciones entre capas del diseño evitando dependencia funcional de capas más bajas o correcciones en las capas más altas. PS4 SC-4 Revelación de información Control: el sistema de información previene de transferencia no autorizada de información a través de recursos del sistema compartidos. PS4.1,PS4.2 Página 117 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA PS6,PS8 PS6.1,PS8.1 SC-5 Protección contra denegación del servicio Control: El sistema de información protege o limita los efectos de los ataques de denegación. Mejora al control: (1) Se restringe en el sistema de información la capacidad de los usuarios para generar ataques de denegación del servicio contra otros sistemas de información o redes. (2) Se gestiona en el sistema el exceso de capacidad, ancho de banda u otra redundancia para limitar los efectos de ataques de denegación del servicio. PS8 SC-7 Protección de fronteras Control: En el sistema de información se monitorean y controlan las comunicaciones entre las fronteras externas del sistema y las fronteras internas. Mejoras al control: (1) La entidad físicamente distribuye los componentes del sistema accesibles para separar las subredes de las interfaces de red físicas. (2) La entidad previene de acceso público en las redes internas de la entidad con excepciones plenamente justificadas. (3) La entidad limita el número de puntos de acceso al sistema de información para permitir un mejor monitoreo del tráfico entrante y saliente de la red. (4) La entidad implementa una interfase administrada a través de un servicio de telecomunicaciones externas, implementando controles apropiados para proteger la integridad y la confidencialidad de la información a ser transmitida. (5) El sistema de información restringe el tráfico de red por default y permite el tráfico de red por excepción. (6) La entidad previene de la salida no autorizada de información fuera de las fronteras del sistema de información cuando existe una falla de los mecanismos de protección de fronteras. PS8.1 Página 118 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA PS5 PS5.1 SC-8 Integridad de la transmisión Control: El sistema de información protege la integridad de la información transmitida. Mejoras al control: (1) La entidad emplea mecanismos criptográficos para reconocer cambios a la información durante la transmisión a menos que existan otros mecanismos físicos alternos de protección. PS4 PS4.1 SC-9 Confidencialidad de la transmisión Control: El sistema de información protege la confidencialidad de la información transmitida. Mejoras al control: (1) La entidad utiliza mecanismos criptográficos para prevenir de revelación no autorizada de información durante la transmisión a menos que existan mecanismos físicos alternos de protección. PS8 PS8.1 SC-10 Desconexión de la red Control: El sistema de información finaliza una conexión de red al final de la sesión o después de un periodo de tiempo de inactividad. PS3,PS8 PS3.1, PS8.1 SC-12 Gestión de llaves criptográficas Control: La entidad establece y gestiona las llaves criptográficas mediante mecanismos automáticos y la implementación de procedimientos. PS4 SC-13 Uso de criptografía Control: El sistema de información implementa mecanismos criptográficos que cumplen con la reglamentación, políticas, estándares y guías aplicables. Protección del acceso público Control: El sistema de información protege la integridad y disponibilidad de la información y aplicaciones públicamente disponibles. PS4.2 PS4,PS5 PS4.2,PS5.3, PS8.1 SC-14 ,PS8 Página 119 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA PS8 PS8.1 SC-15 Computación colaborativa Control: el sistema de información prohíbe la activación remota de mecanismos de computación colaborativa y provee una indicación clara de uso solo para usuarios locales. Mejoras al control: (1) El sistema de información suministra desconexión física de cámaras y micrófonos de manera que soporte facilidad de uso. PS2 PS2.1 - PS2.4 SC-17 Certificados de infraestructura de clave pública Control: La entidad emite certificados de clave pública mediante una política de certificados apropiada u obtiene certificados de clave pública a través de un proveedor de servicios aprobado. PS8 PS8.1 SC-18 Código Móvil Control: La entidad : (i) establece restricciones de uso y guía de implementación para las tecnologías de código móvil basadas en el potencial para causar daño al sistema de información si se usa inadecuadamente; y (ii) autoriza, monitorea y controla el uso de código móvil dentro del sistema de información. PS8 PS8.1 SC-19 Protocolos de voz Control: La entidad (i) establece restricciones sobre Internet de uso y guía de implementación para tecnologías de protocolos de voz sobre Internet (VoIP) basadas en el potencial para causar daño al sistema de información si se usan indebidamente y (ii) autoriza, monitorea y controla el uso VoIP dentro del sistema de información. PS8 PS8.1 SC-20 Servicios de resolución de nombres y direcciones (fuente autorizada) Página 120 de 207 Control: El sistema de información proporciona servicios de resolución de nombres además del dato de origen y el artefacto de integridad junto con el dato de respuesta a la resolución de los queries (ver más detalle en SP 800-81). INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA PS8 PS8.1 SC-21 Servicios de resolución de nombres y direcciones(Resol ución recursiva o de Caché) PS8 PS8.1 SC-22 Arquitectura y prestación de los servicios de resolución de nombres y direcciones PS2 PS2.1 - PS2.4 SC-23 Autenticidad de las sesiones Integridad del sistema y de la informaci ón Página 121 de 207 Control: El sistema de información provee servicios de resolución de nombres y direcciones para clientes locales y desarrolla autenticación del origen de datos y verificación de la integridad de los datos en las respuestas de resolución que recibe de fuentes autorizadas cuando son requeridas por los clientes del sistema. Mejoras al control: (1) El sistema de información desarrolla autenticación del origen del dato y verificación de la integridad de la información en todas las respuestas de resolución ya sean o no clientes locales que requieren explícitamente el servicio. Control: El sistema de información que provee servicios de resolución de nombres y direcciones son tolerantes a fallas e implementan separación de roles. Control: El sistema de información provee mecanismos para proteger la autenticidad de las sesiones. INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA PS5 PS5.1 - PS5.4 SI-1 Política y procedimientos de integridad del sistema y de la información Control: La entidad desarrolla, divulga, revisa y actualiza periódicamente: (i) una política formal y documentada de integridad del sistema y de la información que incluya el propósito, alcance, roles, responsabilidades, compromiso de la gerencia, coordinación entre áreas de la entidad y cumplimiento; y (ii) procedimientos formales y documentados que faciliten la implementación de la política y los controles relacionados. PS8 PS8.1 SI-2 Corrección de errores Control: La entidad identifica, reporta y corrige los errores en el sistema de información. Mejoras al control: (1) La entidad administra centralizadamente el proceso de corrección de errores e instala automáticamente las versiones de actualización. (2) La entidad utiliza mecanismos automáticos para determinar periódicamente o por demanda, el estado de los componentes del sistema de información con relación a la corrección de los errores. PS8 PS8.1 SI-3 Protección contra código malicioso Control: El sistema de información tiene implementado protección contra código malicioso. Mejoras al control: (1) La entidad administra centralizadamente los mecanismos de protección contra código malicioso. (2) el sistema de información actualiza automáticamente los mecanismos de protección contra código malicioso. Página 122 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA PS8,PS9 PS8.1, PS9.1 SI-4 Herramientas y técnicas de monitoreo del sistema de información Control: La entidad utiliza herramientas y técnicas para monitorear los eventos en el sistema de información, detectar ataques, y proveer identificación de uso no autorizado del sistema.Mejoras al control:(1)La entidad interconecta y configura las herramientas de detección de intrusión individual con el sistema de detección e intrusión general de la entidad utilizando protocolos comunes.(2)La entidad utiliza herramientas automáticas para soportar análisis de eventos en tiempo real. (3)La entidad utiliza herramientas automáticas para integrar las herramientas de detección de intrusión con los mecanismos de control de acceso y control de flujo de información para una rápida respuesta ante ataques permitiendo la reconfiguración de estos mecanismos para aislar y eliminar los ataques.(4)El sistema de información monitorea las comunicaciones entrantes y salientes para detectar actividades o condiciones inusuales o no autorizadas.(5)El sistema de información suministra alertas en tiempo real cuando ocurre un compromiso de la seguridad. PS8 PS8.1 SI-5 Control: la entidad recibe continuamente Alertas de seguridad y reportes de alertas y recomendaciones de recomendaciones seguridad y los envía al personal apropiado para que se tomen las acciones pertinentes. Mejoras al control: (1) La entidad utiliza mecanismos automáticos para hacer que las alertas y recomendaciones de seguridad estén disponibles para toda la entidad en la medida en que se requieran. Página 123 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA PS8 PS8.1 PS5,PS8 PS5.3, PS8.1 PS8 PS8.1 SI-6 Verificación de la funcionalidad de la seguridad SI-7 Integridad del software y de la información SI-8 Protección contra spam Página 124 de 207 El sistema de información verifica periódicamente la operación correcta de las funciones de seguridad (Ej.: start y restart y comandos de usuarios con privilegio apropiado) y ejecuta una lista de acciones posibles tales como: notificar al administrador del sistema, apagar el sistema o reiniciar el sistema cuando se detectan anomalías. Mejoras al control: (1) La entidad utiliza mecanismos automáticos que notifican las fallas en las pruebas de seguridad. (2) La entidad utiliza mecanismos automáticos para soportar la administración de las pruebas de seguridad distribuidas. Control: El sistema de información detecta y protege contra cambios no autorizados al software y a la información. Mejoras al control: (1) La entidad evalúa periódicamente la integridad del software y de la información mediante escanéos de integridad del sistema. (2) La entidad utiliza herramientas automatizadas para notificar al personal apropiado sobre las discrepancias identificadas durante la verificación de la integridad. (3) La entidad utiliza administración centralizada de las herramientas de verificación de integridad. Control: El sistema de información tiene implementado protección contra spam. Mejoras al control: (1) La entidad administra centralizadamente los mecanismos de protección contra spam. (2) El sistema de información actualiza automáticamente los mecanismos de protección contra spam. INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA PS8 PS8.1 SI-9 Restricciones en el ingreso de datos PS8 PS8.1 SI-10 Chequeo de Control: El sistema de información chequea información exacta, completa, que la información sea exacta, completa válida y auténtica valida y auténtica. PS8 PS8.1 SI-11 Manejo de errores Control: El sistema de información identifica y maneja las condiciones de error de manera sencilla sin suministrar información adicional que pueda ser aprovechada por atacantes. SI-12 Manejo y retención de las salidas de información Control: La entidad maneja y retiene las salidas del sistema de acuerdo con la reglamentación, políticas, estándares, guías aplicables y los requerimientos operacionales. PS4,PS5 PS4.2,PS5.4 PS8 PS8 Control: La entidad limita la capacidad de entrada de datos al sistema de información sólo al personal autorizado. Proteger las comunica ciones electrónic as PS8.1 CE-1 Política y procedimientos de uso aceptable de las comunicaciones electrónicas Página 125 de 207 Control: La entidad desarrolla, divulga, revisa y actualiza periódicamente: (i) una política formal y documentada de uso aceptable y protección de las comunicaciones electrónicas que incluya el propósito, alcance, roles, responsabilidades, compromiso de la gerencia, coordinación entre áreas de la entidad y cumplimiento; y (ii) procedimientos formales y documentados que faciliten la implementación de la política y los controles relacionados. INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA PS8 PS8.1 CE-2 Aprobación de uso Control: Exigir aprobación del uso de las comunicaciones electrónicas (correo electrónico, la mensajería instantánea, el acceso a Internet, red de VoIP, acceso inalámbrico) por el nivel de autoridad apropiado PS8 PS8.1 CE-3 Guías de uso de correo Control: Incluir en el procedimiento o guía para el uso del correo electrónico lo siguiente: a) el uso de correo para el desempeño de las funciones asignadas y prohibir el uso para fines personales b) identificar los tipos de correo permitidos (por ejemplo, servicios corporativos tales como Lotus Notes o Microsoft Exchange) c) guías de uso aceptable del correo (por ejemplo, prohibir el uso de declaraciones ofensivas, ) d) incluir en las guías una lista de prohibiciones (por ejemplo, prohibir el uso del Web mail, propaganda no autorizada, abril archivos adjuntos de fuentes desconocidas, encripción privada de correos o archivos adjuntos, reenvió automático de correos internos a direcciones de correo externas) d)dar detalles de las actividades de monitoreo que se realizan e) el correo personal debe estar etiquetado como "personal" y debe estar sujeto a los acuerdos de uso establecidos f) dar pautas sobre cómo proteger la confidencialidad e integridad de los mensajes(por ejemplo, mediante el uso de encriptación, certificados digitales y firmas digitales). Página 126 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA PS8 PS8.1 CE-4 Guías de uso de mensajería instantánea Página 127 de 207 Control: Incluir en el procedimiento o guía para el uso de la mensajería instantánea lo siguiente: a) el uso de mensajería para el desempeño de las funciones asignadas y prohibir el uso para fines personales b) identificar los tipos de mensajería permitidos (por ejemplo, servicios públicos tales como AOL, Google Talk, Windows Messenger y !Yahoo o servicios internos tales como Lotus Sametime, Windows Meeting Space, WebEx y Jabber) c) usar guías de uso aceptable (por ejemplo, prohibir el uso de declaraciones ofensivas ) d) dar detalles de las actividades de monitoreo que se realizan e) el uso personal de la mensajería debe estar etiquetado como "personal" y debe estar sujeto a los acuerdos de uso establecidos f) dar pautas sobre cómo proteger la confidencialidad e integridad de los mensajes(por ejemplo, mediante el uso de encriptación, certificados digitales y firmas digitales). INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA PS8 PS8.1 CE-5 Guías de uso seguro de Internet Página 128 de 207 Control: Definir estándares para el acceso a Internet (por ejemplo, web browser de Mozilla, Firefox, Microsoft Internet Explorer, Opera or Apple Safari) y generar guías que incluyan lo siguiente: a) protección de estaciones de trabajo con acceso a Internet (por ejemplo, control de acceso, protección de malware, firewall personal y copias de respaldo) b) identificar los tipos de servicios de Internet permitidos c) usar guías de uso aceptable (por ejemplo, prohibir el uso de declaraciones ofensivas y prohibir para uso personal) d) dar detalles de las actividades de monitoreo que se realizan e) aplicar actualizaciones del software rápida y eficientemente f) restringir la descarga de código móvil (por ejemplo, excluir las categorías de software ejecutable usando un firewall personal o equivalente) g) usar firewall personal h) instalar software de detección e intrusión de host (HIDS) i) Advertir a los usuarios sobre las siguientes amenazas: - peligros de descargar código móvil (por ejemplo, Java applets, MS ActiveX, JavaScripts, VBScript) - implicaciones de aceptar o rechazar ‘cookies’ - abrir archivos descargados de Internet INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA PS8 PS8.1 CE-6 Guías de uso de redes de voz sobre IP Control: Definir estándares para los servicios VoIP(por ejemplo, la aplicación e infraestructura de soporte) y generar guías que incluyan lo siguiente: a) guías para el uso del negocio y uso personal (por ejemplo, usarlo para uso personal fuera del horario laboral) b) identificar los tipos de servicios de VoIP permitidos (por ejemplo servicios tales como Skype y Google Talk o servicios internos de proveedores tales como Avaya, Cisco y 3Com) c) usar guías de uso aceptable (por ejemplo, voice-mail, servicios de conferencias y mensajería unificada) d) dar detalles de las actividades de monitoreo que se realizan e) Advertir a los usuarios sobre los riesgos específicos del software de VoIP PS8 PS8.1 CE-7 Guías de acceso inalámbrico Control: Definir estándares para el acceso inalámbrico (por ejemplo, el software y la infraestructura de soporte) y generar guías que incluyan lo siguiente: a) guías para el uso sólo en el desempeño de las funciones y prohibirlo para uso personal b) identificar los tipos de servicios de acceso permitidos (por ejemplo, permitir conexión a puntos de acceso inalámbrico corporativo o conectarse a la red corporativa usando VPN cuando se trabaje en sitios remotos) c) usar guías de uso aceptable (por ejemplo, prohibir conectarse desde equipos personales o no autorizados) d) dar detalles de las actividades de monitoreo que se realizan e) advertir a los usuarios sobre: - las amenazas asociadas con el acceso inalámbrico (por ejemplo, monitoreo de tráfico de red, romper claves de encripción inalámbricas, interceptación e interferencia) - los pasos para minimizar los riesgos asociados con el acceso inalámbrico (por ejemplo, activar la tarjeta de interfase de red inalámbrica cuando se requiera, usar encripción tal como WPA o WPA2 y proteger los detalles de autenticación tales como la encripción de claves, contraseñas y tokens) Tabla 16: Controles de seguridad recomendados para el Grupo 2. Página 129 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 6.5.4.3. Controles para entidades clasificadas en Grupo 3 (Entidades privadas que pertenezcan a la cadena de prestación de servicios de Gobierno en Línea): # Nombre del Control Control Descripción GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN SM1 Direccionamiento estratégico SM1.1 SM1.1.1 Compromiso de la dirección SM1.1.2 Control: La dirección debe tener un alto nivel de compromiso para: a) Alcanzar altos estándares de gobierno corporativo b) enfocar la seguridad de la información como un asunto de la empresa c) crear un entorno positivo de seguridad d) demostrar a terceros que la empresa se ocupa de la seguridad de la información de manera profesional. Control: La dirección debe tener un alto nivel de compromiso con la aplicación de los principios fundamentales, que incluyen: a) asumir la responsabilidad de los controles internos de la organización b) garantizar que los controles sobre la información y los sistemas son proporcionales al riesgo c) asignar la responsabilidad para identificar, clasificar y salvaguardar la información y los sistemas a propietarios individuales d) garantizar el acceso a la información y los sistemas de acuerdo con criterios explícitos. Página 130 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA SM1.1.3 Control: La dirección debe demostrar su compromiso con la seguridad de la información para: a) asignar la responsabilidad general de la seguridad de la información a un órgano de nivel ejecutivo o equivalente (por ejemplo, un Oficial de Seguridad de la Información) b) compartir aspectos claves de seguridad de la información con grupos de trabajo, comités o su equivalente c) monitorear las condiciones de seguridad de la información de la organización d) asignar recursos suficientes para la seguridad de la información. SM1.1.4 Control: La dirección debe demostrar su compromiso aprobando la documentación de alto nivel que incluye: a) la estrategia para la seguridad de la información b) la política de seguridad de la información c) la arquitectura de seguridad para la organización SM1.2 Política de seguridad de la información SM1.2.1 Control: Se debe documentar y aprobar el documento de la política de seguridad de la información para ser aplicada en toda la empresa. Se debe asignar la responsabilidad por el mantenimiento de la política. SM1.2.2 Control: La política de seguridad de la información debe definir las responsabilidades asociadas con la seguridad de la información y los principios de seguridad que debe seguir todo el personal. SM1.2.3 Control: La política de seguridad de la información debe exigir que: a) se clasifique la información de manera que indique la importancia para la organización b) se nombre a los dueños de la información y sistemas críticos (por lo general son las personas encargadas de los procesos de negocio que dependen de la información y los sistemas) c) se realice un análisis de riesgos sobre la información y los sistemas de manera periódica d) el personal adquiera conciencia en seguridad de la información e) se cumpla con el licenciamiento de software y con otras disposiciones legales, reglamentarias y contractuales f) se comunican las brechas de seguridad de la información y la sospecha de debilidades de seguridad de la información g) se protege la información en términos de los requisitos de confidencialidad, integridad y disponibilidad Página 131 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA SM1.2.4 Control: La política de seguridad de la información debe: a) estar alineada con otras políticas de alto nivel (por ejemplo, las relativas a los recursos humanos, la salud y la seguridad, las finanzas y la tecnología de la información) b) ser comunicada a todos los funcionarios y personas externas con acceso a la información o a los sistemas de la organización y revisarse periódicamente según un proceso de revisión determinado c) ser revisada para que se tenga en cuenta los cambios en el entorno (por ejemplo, nuevas amenazas, vulnerabilidades y riesgos, la reorganización de la empresa, los cambios contractuales, legales y los requisitos reglamentarios, o cambios en la infraestructura de TI). SM1.2.5 Control: La política de seguridad de la información debería: a) ser apoyada por métodos para evaluar el cumplimiento b) advertir que se pueden tomar las acciones disciplinarias contra las personas que violen sus disposiciones. Control: La política debería instruir a los usuarios para: a) asegurar los medios removibles y la documentación que contenga información privada cuando no esté en uso b) salir o bloquear la sesión del sistema cuando se deja la Terminal abandonada SM1.2.6 SM1.2.6 Control: La política de seguridad debería prohibir: a) el uso no autorizado de la información y los sistemas de la empresa b) la utilización de la información y los sistemas para fines diferentes a los laborales c) la discriminación sexual, racista u otras declaraciones que sean ofensivas (por ejemplo, al utilizar el correo electrónico, la mensajería instantánea, el Internet o el teléfono) hacer obsceno, discriminatorio o de acoso declaraciones, que puede ser ilegal (por ejemplo, al utilizar el correo electrónico, al instante mensajería, Internet o teléfono) d) la descarga de material ilegal (por ejemplo, con contenido obsceno o discriminatorio) e) el retiro de información o equipos fuera de las instalaciones sin la debida autorización f) usar sin autorización software, equipos y dispositivos removibles( por ejemplo, software de terceros, USB y otros dispositivos removibles) g) la copia no autorizada de información o software h) la revelación de contraseñas i) la utilización de información de identificación personal a menos que exista una autorización expresa j) comentar sobre la información de la empresa en sitios públicos k) manipular la evidencia en el caso de incidentes de Página 132 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA seguridad de la información que requieran una investigación forense. SM1.3 SM1.3.1 Acuerdos con el personal Control: Las responsabilidades de seguridad de la información para todo el personal de la empresa debe estar especificado en las descripciones del puesto y en los términos y condiciones del empleo (por ejemplo, en el contrato de trabajo). SM1.3.2 Control: Los términos y condiciones del empleo deberían: a) declarar que las responsabilidades de seguridad de la información se extienden fuera de las horas normales de trabajo y continúan después de la terminación del empleo. b) explicar las responsabilidades legales y derechos del empleado incluyendo la cláusula de confidencialidad y no revelación. SM1.3.3 Control: Los empleados, contratistas y personal de terceros deberían aceptar y firmar los acuerdos de confidencialidad. SM1.3.4 Control: Debería establecerse un requisito documentado para revocar inmediatamente los privilegios de acceso cuando un usuario autorizado ya no requiere el acceso a la información o a los sistemas como parte de su trabajo, o cuando se retira de la empresa. SM1.3.5 Control: Se deben verificar los antecedentes de los aspirantes a ser empleados, contratistas o usuarios de terceros antes de la contratación laboral. SM1.3.6 Control: Los documentos del personal clave tales como las políticas o las descripciones del puesto, deben ser revisados por un especialista en seguridad de la información y aprobados por la dirección y mantenerse actualizados. SM1.3.7 Control: Al terminar la contratación laboral, los empleados y el personal de terceros debería documentar la información relacionada con los procesos que maneja y que son críticos para la empresa y devolver: a) el equipo que pertenece a la empresa b) la información importante ya sea en formato electrónico o en copia dura c) el software d) el hardware de autenticación (por ejemplo, las smartcards y tokens) SM2 Organización de seguridad SM2.1 SM2.1.1 Control de Alto nivel Control: Se debería asignar la responsabilidad general por la seguridad de la información a un ejecutivo de alto nivel o su equivalente. Página 133 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA SM2.1.2 Control: Se debería establecer un grupo de trabajo de alto nivel técnico o un comité u organismo equivalente para coordinar las actividades de seguridad en toda la organización. El grupo debería reunirse de forma periódica (por ejemplo, tres o más veces al año) y documentar las acciones acordadas en las reuniones. SM2.1.3 Control: El grupo coordinador de la seguridad debería estar conformado por: a) un miembro de la dirección b) uno o más dueños de aplicaciones y procesos c) el jefe de seguridad de la información, o su equivalente (por ejemplo, el Oficial Jefe de Seguridad de la Información) d) representantes de otras funciones relacionadas con la seguridad (por ejemplo, accesoria legal, riesgo operacional, auditoria interna, seguros, recursos humanos y seguridad física) e) el jefe de tecnología de la información (o equivalente). SM2.1.4 Control: El grupo coordinador de la seguridad debe ser responsable de: a) considerar la seguridad de la información en toda la empresa b) asegurar que la seguridad de la información se enfoca de manera coherente y consistente c) aprobar las políticas de seguridad de la información así como las normas y procedimientos d) monitorear la exposición de la empresa a amenazas de seguridad de la información e) Monitorear el desempeño de la seguridad de la información (por ejemplo, analizar el actual estado de seguridad, manejo de incidentes de seguridad de la información, y los costos) f) aprobar y dar prioridad a las actividades de mejora de seguridad de la información g) garantizar que la seguridad de la información se enfoca en los procesos de planeación de Ti de la empresa h) enfatizar la importancia de la seguridad de la información en la organización. SM2.2 SM2.2.1 Función de seguridad de la información Control: La organización debe estar apoyada por una función de seguridad de la información (o equivalente), que tiene la responsabilidad para la promoción de buenas prácticas en seguridad de la información en toda la empresa. El jefe de la función de seguridad de la información debería tener dedicación de tiempo completo a la seguridad de la información Página 134 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA SM2.2.2 SM2.2.3 Control: La función de seguridad de la información debería: a) desarrollar y mantener una estrategia de seguridad de la información b) coordinar la seguridad de la información a través de la organización c) definir un conjunto de servicios de seguridad (por ejemplo, servicios de identidad, servicios de autenticación, cifrado de servicios), que proporcionan una gama coherente de capacidades de seguridad d) desarrollar normas, procedimientos y guías de seguridad de la información e) proveer consejo especializado en todos los aspectos de la seguridad de la información (por ejemplo, información de análisis de riesgos, la seguridad de la información, administración de incidentes y protección contra malware) f) supervisar la gestión de incidentes de seguridad de la información g) ejecutar uno o más programas de sensibilización sobre la seguridad de la información y desarrollar habilidades en seguridad para todo el personal de la empresa h) evaluar las implicaciones de seguridad de las iniciativas de negocio especializadas (por ejemplo, la subcontratación, iniciativas de comercio electrónico y de intercambio de información) i) supervisar la eficacia de los acuerdos de seguridad de la información Control: La función de seguridad de la información debería proveer soporte para: a) las actividades de análisis de riesgos de información b) importantes proyectos relacionados con la seguridad c) los requisitos de seguridad de los principales proyectos de TI d) auditorias y revisiones de seguridad e) clasificar la información y los sistemas de acuerdo con su importancia para la organización f) el uso de la criptografía g) la inclusión de los requisitos de seguridad de la información en los documentos de acuerdos(por ejemplo, contratos o acuerdos de niveles de servicios) i) el desarrollo de planes de continuidad de negocio Página 135 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA SM2.2.4 Control: La función de seguridad de la información debería monitorear: a) las tendencias generales de los negocios (por ejemplo, las perspectivas de crecimiento, la internacionalización, el comercio electrónico y la contratación externa) b) los avances tecnológicos (por ejemplo, la tecnología basada en la web, arquitectura orientada a servicios (SOA) y Voz sobre IP) c) las amenazas nuevas y emergentes (por ejemplo, el robo de identidad, ataques de phishing y Bluetooth) d) nuevas vulnerabilidades en los principales sistemas operativos, aplicaciones y otros programas (por ejemplo, utilizando los sitios web de proveedores y listas de correo) e) nuevas soluciones de seguridad de la información (por ejemplo, la gestión de derechos digitales y de prevención de intrusiones) f) los estándares emergentes de la industria relacionadas con la seguridad de la información (por ejemplo, las Normas de Buenas Prácticas ISO / IEC 27002 (17799), y COBIT v4.1) g) las nuevas leyes o reglamentación relacionada con la seguridad de la información (por ejemplo, los relacionados con la privacidad de los datos, digital signatures and industry-specific standards such as Basel II 1998 and the Payment Card Industry (PCI) Estándar de seguridad de datos). Control: La función de seguridad de la información debería: a) contar con recursos suficientes con respecto al número de personas, su rango y nivel de habilidades, herramientas o técnicas (por ejemplo, información de metodologías de análisis de riesgos, software de investigación forense y una arquitectura de seguridad empresarial) b) tener suficiente impacto en la organización y un fuerte apoyo de la dirección, de los gerentes de negocio y gerentes de TI. y los administradores de TI c) mantener el contacto con sus homólogos en el mundo comercial, el gobierno, las entidades de control y los expertos en seguridad informática / empresas de software y proveedores de servicios d) ser revisado de forma periódica SM2.2.5 SM2.3 SM2.3.1 Coordinación local de seguridad Control: Se debe asignar la responsabilidad por la seguridad de la información a cada jefe de unidad de negocio o departamento. Página 136 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA SM2.3.2 Control: Los coordinadores locales de seguridad de la información deben ser designados para coordinar la seguridad de la información en la empresa incluyendo las aplicaciones comerciales, de instalaciones de computación, los ambientes de red, las actividades de desarrollo del sistema y ambientes de usuario final. SM2.3.3 Control: Los coordinadores locales de seguridad de la información deben tener: a) una clara comprensión de sus roles y responsabilidades b) suficientes conocimientos técnicos, tiempo, herramientas necesarias (por ejemplo, listas de verificación y especialistas en productos de software) y la autoridad para llevar a cabo sus funciones asignadas c) acceso a expertos internos o externos en seguridad de la información d) normas y procedimientos documentados para apoyar el día a día las actividades de seguridad de la información e) información actualizada sobre técnicas (por ejemplo, información de metodologías de análisis de riesgos, de investigación forense, arquitectura de seguridad empresarial) relacionados con la seguridad de la información. SM2.3.4 Control: La información acerca de la condición de seguridad de la información debería ser: a) reportada al jefe de la función de seguridad de la información b) presentada periódicamente de manera consistente SM2.4 SM2.4.1 Conciencia de seguridad Control: Se deben desarrollar actividades específicas para promover conciencia de seguridad en toda la empresa. Estas actividades deben ser: a) aprobadas por la dirección b) responsabilidad de una persona en particular, de una unidad de la organización, de un grupo de trabajo o comité c) apoyado por un conjunto de objetivos documentado d) entregadas como parte de un programa de conciencia en seguridad e) sujetas a disciplinas de gestión de proyectos f) mantenerse actualizadas con las prácticas y requisitos actuales g) basadas en los resultados de un análisis de riesgos de información documentado h) orientadas a reducir la frecuencia y magnitud de los incidentes de seguridad de la información i) medibles. Página 137 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA SM2.4.2 Control: La conciencia de seguridad debe ser promovida: a) por la dirección, los gerentes, el personal de TI y asesores externos b) en conjunto con el entrenamiento en seguridad (por ejemplo, utilizando técnicas tales como presentaciones y entrenamiento basado en computadores (CBT)) c) mediante el suministro de material de sensibilización, tales como folletos, fichas, carteles y documentos electrónicos en la intranet. Control: Se debería entregar al personal guías que le ayuden a comprender: a) el significado de seguridad de la información (es decir, la protección de la confidencialidad, integridad y disponibilidad de información) b) la importancia de cumplir con las políticas de seguridad de la información y la aplicación de las correspondientes normas y procedimientos c) sus responsabilidades personales por la seguridad de la información (por ejemplo, la presentación de reportes sobre incidentes de seguridad de la información) SM2.4.3 SM2.4.4 Control: Se debe monitorear la efectividad de la conciencia en seguridad: a) midiendo el nivel de conciencia de seguridad del personal b) revisar periódicamente el nivel de conciencia de seguridad de la información c) midiendo los beneficios de las actividades de sensibilización (por ejemplo, monitorear la frecuencia y magnitud de los incidentes de seguridad de la información). SM2.4.5 Control: El comportamiento positivo en seguridad debería ser promovido por: a) entrenamiento obligatorio en toma de conciencia en seguridad b) divulgación de los éxitos y fallas de seguridad en toda la organización c) vincular la seguridad a los objetivos de desempeño y evaluaciones del personal SM2.5 SM2.5.1 Educación y entrenamiento en seguridad Control: La educación y entrenamiento en seguridad debería proporcionar al personal las habilidades que necesitan para: a) evaluar los requisitos de seguridad b) proponer los controles de seguridad de la información c) garantizar que los controles de seguridad funcionan de manera eficaz en los ambientes en los que se aplican Página 138 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA SM2.5.2 Control: La educación y el entrenamiento en seguridad debería proporcionar a los usuarios las habilidades necesarias para: a) usar correctamente los sistemas b) aplicar los controles de seguridad de la información SM2.5.3 Control: La educación y entrenamiento en seguridad debería proporcionar al personal de TI las habilidades que necesitan para: a) diseñar y desarrollar los controles de seguridad de los sistemas de manera disciplinada b) aplicar controles de seguridad de la información c) operar correctamente las instalaciones de TI y aplicar de manera efectiva los controles de seguridad d) operar correctamente las redes y aplicar los controles de seguridad requeridos SM2.5.4 Control: La educación y entrenamiento en seguridad debería ser proporcionada para permitir a especialistas de seguridad de la información: a) comprender el entorno empresarial b) ejecutar proyectos relacionados con la seguridad c) comunicarse de manera eficaz (por ejemplo, hacer presentaciones, facilitar o influir en la gestión de reuniones) d) realizar actiivdades especiales de seguridad (por ejemplo, análisis de riesgos de información, investigación forense y planeación de continuidad del negocio) SM3 Requerimientos de seguridad SM3.1 SM3.1.1 Clasificación de información SM3.1.2 Control: Se debería aplicar un sistema de clasificación de la información en toda la empresa que: a) tenga en cuenta el impacto potencial en el negocio ante la pérdida de confidencialidad de la información b) se utiliza para determinar distintos niveles de confidencialidad de la información (por ejemplo, top secret, en confianza y pública) Control: El sistema de clasificación de la información que se establezca debe clasificar: a) la información almacenada en papel (por ejemplo, contratos, planos y documentación sobre el sistema, celebrada en forma impresa) b) la información almacenada en formato electrónico (archivos creados en bases de datos, procesadores de palabra, hojas de cálculo, etc.) c) las comunicaciones electrónicas (por ejemplo, los mensajes enviados por e-mail, mensajería instantánea) Página 139 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA SM3.1.3 Control: El esquema de clasificación de la información debería exigir: a) que la información esté protegida de conformidad con su clasificación de información b) que sea aprobada por el dueño del negocio la clasificación asignada a la información c) que las clasificaciones se revisen y actualicen periódicamente y cuando surjan cambios SM3.1.4 Control: El esquema de clasificación de la información debería: a) proporcionar orientación sobre los requisitos de manejo de cada clasificación (por ejemplo, cuando se copia, almacena y destruye la información) b) explicar cómo resolver los conflictos de las clasificaciones SM3.1.5 Control: El sistema de clasificación de la información debería aplicarse a la información asociada con: a)aplicaciones de negocio b) instalaciones informáticas c) redes d) sistemas en desarrollo e) entornos de usuario final SM3.1.6 Control: Se deben aprobar los métodos de etiquetado de la información clasificada para: a) la información almacenada en papel (por ejemplo, utilizando sellos de goma de tinta, etiquetas adhesivas, hologramas) b) la información almacenada en formato electrónico (por ejemplo, marcas de agua electrónicas, etiquetas de encabezados y pies de página, uso de convenciones para nombres de archivo) c) comunicaciones electrónicas (por ejemplo, utilizando la firma digital e identificando claramente la clasificación en las cabeceras de los mensajes de correo electrónico) SM3.1.7 Control: Se debería mantener un inventario de los detalles de las clasificaciones de la información (por ejemplo, en una base de datos, mediante un software especializado, o en papel) SM3.1.8 Control: Los detalles de la clasificación de información registrada deben incluir: a) la clasificación de la información b) la identidad del propietario de la información c) una breve descripción de la información clasificada. SM3.2 SM3.2.1 Propiedad Control: Se debe asignar la propiedad de los sistemas y la información crítica y documentar las responsabilidades de los propietarios. Se deben comunicar las responsabilidades para proteger la información y los sistemas a los propietarios y ser aceptadas por ellos Página 140 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA SM3.2.2 Control: Las responsabilidades de los propietarios deberían incluir: a) identificar los requisitos del negocio (incluyendo la seguridad de la información) y aprobarlos b) garantizar la protección de la información y los sistemas de conformidad con la importancia para la organización c) la definición de los acuerdos de intercambio de información (o equivalente) d) el desarrollo de acuerdos de nivel de servicio (SLA) e) autorizar nuevos o significativos cambios en los sistemas f) participar en auditorias y revisiones de seguridad SM3.2.3 Control: Las responsabilidades de los propietarios deberían involucrar: a) determinar cuales usuarios son autorizados para acceder la información y los sistemas bajo su control b) aprobar los privilegios de acceso para casa usuario o grupo de usuarios c) asegurar que los usuarios sean concientes de sus responsabilidades con respecto a la seguridad y las asuman SM3.2.4 Control: Se debería establecer un proceso para: a) proveer a los propietarios de los conocimientos necesarios, las herramientas, el personal y la autoridad para cumplir con sus responsabilidades b) asignar responsabilidades para la protección de los sistemas y la información cuando el propietario no esté disponible c) reasignar la propiedad cuando un propietario cambia o deja sus funciones SM3.3 SM3.3.1 Administrar el análisis de riesgos de la información Control: Quienes toman las decisiones (incluida la dirección, los jefes de unidades de negocio y departamentos, y los propietarios de las aplicaciones del negocio, de las instalaciones informáticas, las redes, los sistemas en desarrollo y los entornos de usuario final) deberían ser conscientes de la necesidad de aplicar el análisis de riesgos de información para entornos críticos dentro de la organización. Página 141 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA SM3.3.2 Control: Las normas y procedimientos para realizar análisis de riesgos de información deberán ser documentados. Se debería exigir que los riesgos sean analizados para: a) la información y los sistemas que son importantes para la organización b) los sistemas en una fase temprana de su desarrollo c) los sistemas sujetos a importantes cambios, en una fase temprana en el proceso de cambio d) la introducción de nuevas tecnologías (por ejemplo, redes inalámbricas, la mensajería instantánea y voz sobre IP) e) las solicitudes para permitir el acceso desde sitios externos f) las solicitudes para permitir el acceso a los sistemas y a la información para personas externas a la organización (por ejemplo, consultores, contratistas, y personal de terceros) SM3.3.3 Control: Las normas y procedimientos deberían especificar que el análisis de riesgos: a) se lleve a cabo periódicamente b) involucre a los dueños de los negocios, los especialistas en TI, los principales representantes de los usuarios, los expertos en análisis de riesgos y los especialistas en seguridad de la información SM3.3.4 Control: Los resultados del análisis de riesgos deben ser: a) reportados a la dirección b) utilizados para ayudar a determinar programas de trabajo en seguridad de la información (por ejemplo, la acciones correctivas y las nuevas iniciativas en materia de seguridad) c) integrados con otras actividades de gestión del riesgo (por ejemplo, la gestión de riesgo operativo) SM3.4 SM3.4.1 Metodologías de análisis de riesgos de información Control: Los riesgos asociados con la información y los sistemas de la organización deben ser analizados utilizando metodologías estructuradas de análisis de riesgos información Página 142 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA SM3.4.2 Control: Las metodología de análisis de riesgos debería ser: a) documentada b) aprobada por la dirección c) consistente en toda la organización d) automatizado (por ejemplo, utilizando herramientas de software especializado) e) revisarse periódicamente para garantizar que cumplen las necesidades del negocio f) aplicable a sistemas de diferentes tamaños y tipos g) comprensible para los representantes de las unidades negocio. SM3.4.3 Control: La metodología de análisis de riesgos de información debe exigir que todos los análisis de riesgo tengan un alcance claramente definido. SM3.4.4 Control: La metodología de análisis de riesgos de información debe determinar el riesgo evaluando: a) el impacto potencial para el negocio asociadas con el sistema, la red, o las instalaciones de computación b) las amenazas intencionales a la confidencialidad, integridad y disponibilidad de la información y los sistemas (por ejemplo, llevar a cabo ataques de denegación de servicio, el malware, la instalación de software no autorizado, mal uso de los sistemas para cometer un fraude) c) las amenazas accidentales a la confidencialidad, integridad y disponibilidad de la información y los sistemas (por ejemplo, la interrupción del suministro de energía, mal funcionamiento del sistema o del software) d) las vulnerabilidades ocasionadas por deficiencias de control e) las vulnerabilidades debidas a situaciones que aumentan la probabilidad de ocurrencia de un grave incidente de seguridad de la información (por ejemplo, el uso de Internet, permitir el acceso a terceros o la ubicación de un servidor en una zona propensa a terremotos o inundaciones) SM3.4.5 Control: La metodología de análisis de riesgos debería tener en cuenta: a) los requisitos de cumplimiento (por ejemplo, con la legislación, la reglamentación, las cláusulas contractuales, las normas de la industria y políticas internas) b) los objetivos de la organización c) los requisitos de clasificación de la información d) el análisis de riesgos previo de la aplicación, la red o la instalación de computo que se está evaluando e) las características del ambiente operativo de la aplicación, la red o la instalación de computo que se está evaluando Página 143 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA SM3.4.6 Control: La metodología de análisis de riesgos debe asegurar que los resultados del análisis de riesgos se documenten e incluyan: a) una clara identificación de los principales riesgos b) una evaluación del impacto potencial de cada riesgo para el negocio c) acciones recomendadas para reducir el riesgo a un nivel aceptable SM3.4.7 Control: La metodología de análisis de riesgos debería ser utilizada para ayudar: a) a seleccionar los controles de seguridad que reduzcan la probabilidad de ocurrencia de graves incidentes de seguridad de la información b) a seleccionar los controles de seguridad que satisfagan los requisitos de cumplimiento c) a evaluar las fortalezas y debilidades de los controles de seguridad d) a determinar los costos de la aplicación de controles de seguridad (por ejemplo, los costos relacionados con: diseño, compra, aplicación y seguimiento de los controles de hardware y software, formación, gastos generales, tales como instalaciones; y honorarios de consultoría) e) a identificar controles de seguridad especializados requeridos por los ambientes (por ejemplo, el cifrado de datos o fuerte autenticación) SM3.4.8 Control: La metodología de análisis de riesgos debería asegurar que los resultados del análisis sea: a) comunicado a los dueños de los procesos o de la información o de los sistemas b) aprobado por los dueños c) comparado con el análisis de riesgos realizado en otras áreas de la organización SM3.5 SM3.5.1 Cumplimiento legal y regulatorio Control: Los requisitos legales y regulatorios que afectan la seguridad de la información deben ser reconocidos por: a) la dirección b) los dueños de los negocios c) el jefe de seguridad de la información (o equivalente) d) los representantes de otras funciones relacionadas con la seguridad (por ejemplo, accesoria legal, el riesgo operacional, la auditoria interna, seguros, recursos humanos y la seguridad física) Página 144 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA SM3.5.2 Control: Se debe establecer un proceso para asegurar cumplimiento con los requisitos legales y regulatorios que afectan la seguridad de la información y debe considerar: a) la legislación específica sobre seguridad de la información (por ejemplo, la ley de delitos informáticos, ley de habeas data, ley de comercio electrónico) b) la legislación general que tiene implicaciones para la seguridad (por ejemplo, la constitución nacional, la ley de habeas data, la ley de propiedad intelectual, etc.) c)las regulaciones (por ejemplo, la circular 052 de la Superfinanciera, el lavado de activos, la regulación ambiental, regulación de la industria de tarjetas de pago (PCI), etc.). SM3.5.3 Control: El proceso de cumplimiento debe permitir a quienes toman decisiones: a) descubrir las leyes y reglamentos que afectan la seguridad de la información b) interpretar las implicaciones de seguridad de la información de estas leyes y reglamentos c) identificar el posible incumplimiento legal y reglamentario d) determinar acciones sobre el posible incumplimiento SM3.5.4 Control: El proceso de cumplimiento debe ser documentado, aprobado por la dirección, y mantenerse actualizado SM3.5.5 Control: Una revisión del cumplimiento de los requisitos legales y reglamentarios debe ser: a) realizado periódicamente o cuando nueva legislación o requisitos reglamentarios entren en vigencia b) llevada a cabo por representantes de las principales áreas de la organización (por ejemplo, la dirección, los propietarios de los negocios, el departamento legal, la administración de TI, y la función de seguridad de la información) SM3.5.6 Control: Se debe considerar la actualización de las normas y procedimientos de seguridad de la información como resultado de la revisión del cumplimiento legal y regulatorio SM4 Ambiente seguro SM4.1 SM4.1.1 Arquitectura de Seguridad Control: Se debe establecer una arquitectura de seguridad integrada con la arquitectura empresarial de la organización (o su equivalente) Página 145 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA SM4.1.2 Control: El desarrollo de la arquitectura de seguridad debería involucrar: a) una evaluación de los requisitos de seguridad para el negocio b) el uso de un modelo de arquitectura de seguridad en capas (por ejemplo, las capas conceptual, lógica y física) c) la definición de los principios de la arquitectura de seguridad d) la identificación de los componentes de seguridad que pueden incluirse en la arquitectura de seguridad (por ejemplo, los controles de seguridad, los servicios de seguridad y tecnologías de seguridad) e) el desarrollo de herramientas y recursos que se utilizarán para ayudar a administrar la arquitectura de seguridad (por ejemplo, repositorios de soluciones, patrones de diseño, ejemplos de código y de interfaces de programación de aplicaciones (API)) SM4.1.3 Control: El desarrollo de la arquitectura de seguridad debería incluir: a) el aporte de especialistas internos pertinentes (por ejemplo, un arquitecto de seguridad, arquitecto técnico o especialista en seguridad de la información) b) uso de un especialista externo en arquitectura de seguridad c) la capacitación de las personas que necesitan utilizar la arquitectura de seguridad (por ejemplo, especialistas en seguridad de la información, desarrolladores de software e implementadores de TI) d) la introducción de un método para medir la adopción de la arquitectura de seguridad en toda la organización SM4.1.4 Control: La arquitectura de seguridad debería ser aplicada para: a) el desarrollo de aplicaciones de negocio (por ejemplo, para ayudar a administrar la complejidad y escala, tomar decisiones efectivas de diseño y mejorar la calidad y la seguridad de las aplicaciones de negocio) b) ayudar a gestionar la infraestructura de TI (por ejemplo, para ayudar en el desarrollo de una infraestructura de TI segura, y ayudar en la revisión y análisis de la actual infraestructura de TI) c) los principales proyectos de TI (por ejemplo, para ayudar a hacer frente a la complejidad, los nuevos riesgos de información y ambientes de gran escala) Página 146 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA SM4.1.5 Control: La arquitectura de seguridad debería ser : a) documentada (por ejemplo en forma de blueprints, diseños, diagramas, tablas o modelos) b) aprobada por el negocio, por la TI y por los administradores de seguridad de la información c) asignada a un propietario (por ejemplo, un arquitecto o un grupo de alto nivel, tales como una Junta de Arquitectura, o equivalente) d) mejorada (por ejemplo, mediante revisiones, manejo de excepciones y administración de cambios) SM4.1.6 Control: Debe haber un proceso para implementar de manera coherente y consistente los servicios de seguridad (por ejemplo, servicios de identidad, servicios de autenticación y servicios de cifrado) y el establecimiento de interfaces de usuario y de programación de aplicaciones (API). SM4.1.7 Control: Se deben establecer acuerdos a nivel empresa para: a) minimizar la diversidad de hardware y software utilizado b) proporcionar la funcionalidad de seguridad coherente a través de las diferentes plataformas de hardware y software c) integrar los controles de seguridad en la aplicación, en el ambiente del computador y en la red d) aplicar técnicas criptográficas consistentes e) implementar convenciones de nomenclatura común f) segregar los ambientes con diferentes requisitos de seguridad (por ejemplo, mediante la creación de dominios de seguridad "confiables" y "no confiables") g) controlar el flujo de información entre los diferentes ambientes SM4.2 SM4.2.1 SM4.2.2 Privacidad de la información Control: Se debe establecer un comité directivo que será responsable por la gestión de privacidad de la información y debe designarse a una persona que coordine la actividad de privacidad de la información (por ejemplo, un Oficial de Privacidad o un administrador de protección de datos) Control: El comité directivo debería ser conciente de: a) la ubicación (s) de la información de identificación personal de las personas b) cómo y cuándo usar la información de identificación personal Página 147 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA SM4.2.3 Control: Se deben establecer procedimientos para manejar la privacidad de la información el cual cubre: a) uso aceptable de la información de identificación personal b) los derechos de las personas sobre los cuales se tiene la información de identificación personal c) la evaluación de la privacidad, los programas de conciencia y cumplimiento d) los requerimientos legales y regulatorios para la privacidad SM4.2.4 Control: En caso de que la información de identificación personal se almacene o transforme, deben existir procesos para asegurar que ésta es: a) adecuada, pertinente y no excesiva para los fines para los que se recolecta b) exacta (es decir, registrada correctamente y actualizada) c) mantenerse confidencial, procesada legalmente y utilizada sólo para los propósitos explícitos y legítimos especificados d) manejada en un formato que permita la identificación de personas sólo por el tiempo necesario e) sólo entregada a terceros, siempre que éstos puedan demostrar el cumplimiento de requerimientos legales y regulatorios para el manejo de la información de identificación personal f) recuperable en el caso de una solicitud legítima de acceso SM4.2.5 Control: A las personas dueñas de la información de identificación personal se les debería: a) solicitar su probación antes de que la información sea recogida, almacenada, procesada o revelada a terceros b) informar de cómo se utilizará esta información, permitir que se compruebe su exactitud y tener sus registros corregidos o eliminados Control: La información de identificación personal debe ser tratada de conformidad con la legislación vigente Control: Se debe designar a una persona o un grupo para: a) realizar una evaluación de la privacidad (por ejemplo, para determinar el nivel de cumplimiento con la legislación pertinente y las políticas internas) b) implementar un programa de cumplimiento de la privacidad c) hacer que el personal y los terceros (por ejemplo, clientes, clientes y proveedores), sean conscientes de la importancia de la privacidad de la información SM4.2.6 SM4.2.7 SM4.3 Gestión de activos Página 148 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA SM4.3.1 Control: Deberían existir procedimientos documentados para la gestión de activos, que incluyan: a) la adquisición de software y hardware b) el licenciamiento de software c) el registro de activos en un inventario (o equivalente) d) el archivo de la información importante SM4.3.2 Control: Cuando se adquiera hardware y software se debería: a) seleccionar una lista de proveedores aprobados b) considerar los requisitos de seguridad c) debe darse alta prioridad a la confiabilidad d) acordar los términos contractuales con los proveedores. SM4.3.3 Control: Se debe reducir el riesgo de debilidades de seguridad del hardware y software mediante: a) la obtención de las evaluaciones externas por parte de fuentes de confianza b) la identificación de las deficiencias de seguridad (por ejemplo, inspección detallada, la referencia a las fuentes publicadas, o mediante la participación de los usuarios o grupos de discusión) c) considerar métodos alternativos para proporcionar el nivel necesario de seguridad SM4.3.4 Control: La adquisición de hardware y software debe ser revisado por el personal que tenga las habilidades necesarias para evaluar el proceso y se debe contar con la aprobación del representante del negocio apropiado. SM4.3.5 Control: Se deben cumplir con los requisitos de licenciamiento para el uso previsto del software y el suministro de prueba de propiedad del software SM4.3.6 Control: El Hardware y software (incluyendo aplicaciones de escritorio críticas) se deben registrar en los inventarios que especifican una única descripción de hardware / software en uso, junto con su versión y la ubicación. Control: El inventario de Hardware y software debería ser: a) protegido contra cambios no autorizados b) verificado periódicamente contra los activos físicos c) mantenido al día d) revisado independientemente. Control: La información importante debería ser retenida de conformidad con los requisitos jurídico y reglamentarios SM4.3.7 SM4.3.8 SM4.4 SM4.4.1 SM4.4.2 Gestión de identidad y de acceso Control: Se deben establecer procesos de gestión de identidad y de acceso en toda la empresa Control: Se deben establecer acuerdos para la gestión de identidad y acceso y ser incorporados en una solución empresarial y estos acuerdos deben aplicarse para nuevas aplicaciones. Página 149 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA SM4.4.3 Control: Los acuerdos de gestión de identidad y acceso deben: a) incluir un método de validación de las identidades de los usuarios antes de activar las cuentas de usuario b) mantener un número mínimo de cuentas de usuario para inicio de sesión SM4.4.4 Control: Los acuerdos de gestión de identidad y acceso deben proveer un conjunto consistente de métodos para: a) la identificación de los usuarios (por ejemplo, utilizando únicas user ID). Autenticación de usuarios (por ejemplo, utilizando contraseñas, fichas o datos biométricos) el usuario de inicio de sesión en proceso se autoriza a los usuarios privilegios de acceso administrar los privilegios de acceso de usuario. SM4.4.5 Control: Se deben desarrollar acuerdos de administración de identidad y de acceso para mejorar la integridad de la información del usuario para: a) que la información esté disponible para que sea validada por lo usuarios b) permitir a los usuarios corregir sus propia información c) mantener un número limitado de almacenamientos de identidad(es decir, el lugar donde la información de autenticación de usuario se almacena, como una base de datos, X500 / servicio de directorio Lightweight Directory Access Protocol (LDAP), o productos comerciales de gestión de identidad y acceso) d) utilizar un sistema automatizado de dotación (en virtud del cual se crean cuentas de usuario para todos los sistemas, siguiendo la creación de una entrada inicial de un usuario en una aplicación central de gestión de identidad y acceso) e) utilizar un sistema centralizado de gestión del cambio SM4.4.6 Control: Los acuerdos de gestión de identidad y acceso deben permitir: a) que los derechos de acceso sean rápida y fácilmente concedidos, modificado o eliminados para un gran número de usuarios (por ejemplo, instalando derechos de acceso basado en roles) b) que la gestión de privilegios de acceso de los usuarios sea realizada por los propietarios de los sistema SM4.5 SM4.5.1 Protección Física Control: Deben existir normas y procedimientos para la protección física en las zonas donde se alojan los servicios de TI críticos dentro de la organización Página 150 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA SM4.5.2 Control: Los estándares y procedimientos deben cubrir la protección de: a) edificios contra el acceso no autorizado (por ejemplo, mediante el uso de candados, los guardias de seguridad y vigilancia por vídeo) b) documentos importantes y medios de almacenamiento removible (por ejemplo CD, DVD y USB de memoria) contra el robo o copiado c) áreas de almacenamiento (por ejemplo, que podrían ser utilizados para almacenar los activos de la organización, equipo y medios de almacenamiento o documentos importantes en papel) d) personal vulnerables a la intimidación por parte de terceros malintencionados SM4.5.3 Control: Se deben proteger los edificios que albergan las instalaciones de TI críticas contra acceso no autorizado mediante: a)suministro de cerraduras, tornillos (o equivalente) en puertas y ventanas vulnerables b) el empleo de guardias de seguridad c) la instalación de un circuito cerrado de televisión (CCTV), o su equivalente SM4.5.4 Control: Se deben proteger los documentos importantes y medios de almacenamiento extraíbles (por ejemplo CD, DVD y USB de memoria) contra robo o copiado mediante: a) almacenamiento de material sensitivo en gabinetes bajo llave (o similar) cuando no están en uso (por ejemplo, mediante la aplicación de una política de escritorio limpio) b) la restricción del acceso físico a importantes puntos post o de fax c) la localización de equipos usados para material sensitivo impreso en áreas físicas seguras Control: El personal debe estar protegido contra la intimidación por parte de terceros malintencionados proporcionando alarmas de coacción en áreas públicas susceptibles y estableciendo un proceso para responder a situaciones de emergencia. SM4.5.5 SM4.6 SM4.6.1 Gestión de incidentes de seguridad de la información Control: Se debe establecer capacidad para el gobierno de la gestión de incidentes de seguridad de la información que comprometan la confidencialidad, integridad o disponibilidad de la información Página 151 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA SM4.6.2 Control: La gestión de incidentes de seguridad de la información debe ser respaldada por normas y procedimientos documentados los cuales deben: a) cubrir la participación de los interesados pertinentes (por ejemplo, departamento legal, relaciones públicas, recursos humanos, los organismos de control, los reguladores de la industria) b) detallar los tipos de información necesarios para apoyar la gestión de incidentes de seguridad de la información (por ejemplo, los registros de eventos de seguridad, los diagramas de configuración de la red y los detalles de clasificación de la información) c) especificar las herramientas necesarias para apoyar la gestión de incidentes de seguridad de la información (por ejemplo, listas de chequeo, formatos y plantillas, los analizadores de logs, software de seguimiento de incidentes y software de análisis forense) SM4.6.3 Control: Las normas y procedimientos de gestión de incidentes de seguridad de la información deben ser: a) aprobados por la dirección b) revisados periódicamente c) mantenidos al día SM4.6.4 Control: Debe haber un proceso para la gestión de los incidentes de seguridad de la información, que incluya: a) la identificación de incidentes de seguridad de la información (por ejemplo, la recepción de informes de incidentes de seguridad de la información, la evaluación del impacto sobre el negocio, la categorización y clasificación de los incidentes de seguridad de la información, y el registro de la información sobre el incidente de seguridad de la información) b) la respuesta a los incidentes de seguridad de la información (por ejemplo, el escalamiento al equipo de gestión de incidentes de seguridad de la información, la investigación, contención y erradicación de la causa del incidente de seguridad de la información) c) la recuperación después de un incidente de seguridad de la información (por ejemplo, la reconstrucción de los sistemas y la restauración de datos, y el cierre del incidente de seguridad de la información) d) el seguimiento de los incidentes de seguridad de la información (por ejemplo, las actividades posteriores a los incidentes, tales como el análisis de causa raíz, la investigación forense y la presentación de informes al negocio) Página 152 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA SM4.6.5 Control: Debe existir una persona o equipo responsable de la gestión de incidentes de seguridad de la información, que tenga: a) sus funciones y responsabilidades definidas b) suficientes competencias y experiencia en la gestión de incidentes de seguridad de la información c) autoridad para tomar decisiones críticas para negocio d) métodos para involucrar a los interesados directos internos y externos (por ejemplo, departamento legal, relaciones públicas, recursos humanos, los organismos de control y los reguladores de la industria) SM4.6.6 Control: La información pertinente para la gestión de incidentes de seguridad de la información (por ejemplo, diagramas de red, los registros de sucesos, los procesos de los negocios y los informes de auditoria de seguridad) debe estar disponible para ayudar al personal a seguir, y tomar decisiones importantes durante el proceso de gestión de incidentes de seguridad de la información SM4.6.7 Control: Las personas responsables de la gestión de incidentes de seguridad de la información se deben apoyar en herramientas (por ejemplo, software para la gestión de seguridad de la información, el manejo de evidencia, las copias de respaldo y recuperación, y la investigación forense) para ayudar a completar cada etapa del proceso de gestión de incidentes de seguridad SM4.7 SM4.7.1 Continuidad del negocio Control: Deben existir normas y procedimientos para desarrollar planes de continuidad de negocios que especifiquen que los planes son: a) suministrados a todas las partes críticas de la organización b) basados en los resultados de un análisis de riesgos de información documentado c) distribuidos a las personas que lo requieran en caso de emergencia d) mantenidos al día y sujetos a prácticas de administración de cambios e) sujetos a copias de respaldo y las copias almacenadas fuera del sitio Página 153 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA SM4.7.2 Control: Los planes de continuidad del negocio deben incluir: a) las guías para garantizar la seguridad de las personas b) una lista de los servicios y la información que debe recuperarse, en orden de prioridad c) un programa de tareas y actividades que se llevarán a cabo, la identificación de responsabilidades para cada tarea d) las guías a seguir en la realización de tareas y actividades, incluyendo procedimientos de emergencia, y procedimientos de reanudación e) suficiente detalle para que puedan ser seguidas por personas que no suelen llevarlos a cabo f) detalle de las tareas que se emprenderán después de la recuperación y restauración (por ejemplo, comprobar que los sistemas se restauren al mismo estado que tenían antes de que el plan de continuidad fuera invocado) SM4.7.3 Control: Se deben documentar las normas y procedimientos para los acuerdos de continuidad del negocio (por ejemplo instalaciones de procesamiento separadas, acuerdos de reciprocidad con otra organización o un contrato con un proveedor especialista en acuerdos de continuidad del negocio) SM4.7.4 Control: Los acuerdos de continuidad del negocio deben cubrir la indisponibilidad prolongada de: a) personas clave (por ejemplo, debido a enfermedad, lesiones, vacaciones o viaje) b) ingreso a las oficinas (por ejemplo, debido a acciones de la policía, el ejército o las acciones terroristas, desastres naturales, o retiro de los servicios de transporte) c) los sistemas o software de aplicaciones d) la información del negocio (en papel o en formato electrónico) e) el computador, las comunicaciones y los equipos de control ambiental f) los servicios de red (por ejemplo, debido a la pérdida de voz, datos u otras comunicaciones g) los servicios esenciales (por ejemplo, electricidad, gas o agua). SM4.7.5 Control: Los acuerdos de continuidad del negocio deben cubrir: a) aplicaciones del negocio b) las áreas del negocio (por ejemplo, centros de control de procesos y centros de llamadas) Página 154 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA SM4.7.6 Control: Los acuerdos de continuidad del negocio deben ser probados periódicamente, utilizando simulaciones realistas (que implican tanto a los usuarios como al personal de TI), para demostrar si el personal es capaz de recuperar la información crítica y los sistemas dentro de escalas de tiempo críticas. SM4.7.7 Control: Los acuerdos de continuidad del negocio deben exigir que el personal apropiado esté informado sobre las responsabilidades en la continuidad del negocio y esté entrenado para asumirlas SM5 Ataques maliciosos SM5.1 Protección general contra malware SM5.1.1 Control: Deben existir normas y procedimientos documentados los cuales: a) proporcionan a los usuarios información sobre los programas maliciosos b) adviertan a los usuarios la manera de reducir el riesgo de infección de malware SM5.1.2 Control; Los usuarios deberían ser: a) advertidos sobre la prevalencia de los programas maliciosos y los peligros que plantea b) educados con respecto a la forma en que el malware puede instalarse en las estaciones de trabajo c) informados de los síntomas más comunes de los programas maliciosos (por ejemplo, pobre rendimiento del sistema, comportamiento inesperado de la aplicación, terminación repentina de una aplicación) d) notificados rápidamente de nuevos e importantes riesgos relacionados con el malware (por ejemplo, por correo electrónico o a través de una intranet) e) instruidos para reportar programas maliciosos a un único punto de contacto para soporte (por ejemplo, un servicio de mesa de ayuda ) f) apoyados por especialistas de soporte técnico las veces que sea necesario (por ejemplo, las 24 horas del día, 365 días al año) SM5.1.3 Control: El riesgo de infección por virus debería reducirse alertando a los usuarios para no: a) instalar el software de fuentes no confiables b) abrir archivos adjuntos no confiables c) hacer clic en enlaces dentro de correos electrónicos o documentos d) intentar resolver manualmente problemas de malware Página 155 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA SM5.1.4 SM5.2 Control: La protección contra virus debería incluir: a) la aplicación de procedimientos de emergencia para hacer frente a incidentes relacionados con programas maliciosos b) el monitoreo de fuentes externas para obtener conocimiento sobre nuevas amenazas de malware c) informar a los terceros sobre las normas y procedimientos de protección contra malware Software de protección contra el malware (por ejemplo: virus, gusanos, caballos troyanos, spyware, adware, código móvil malicioso) SM5.2.1 Control: Deben existir normas y procedimientos documentados relacionados con la protección contra software malicioso que especifiquen: a) los métodos para instalar y configurar el software de protección contra programas maliciosos (por ejemplo, software de protección antivirus, software antispyware) b) los mecanismos para la actualización de software de protección contra programas maliciosos (incluyendo actualizaciones automáticas). SM5.2.2 Control: Se debe instalar el software de protección contra el malware en sistemas que son susceptibles a los programas maliciosos como son: a) los servidores (por ejemplo, los servidores de archivos, servidores de impresión, servidores de aplicaciones, servidores web y servidores de bases de datos) b) gateways de mensajería (por ejemplo, los que exploran el tráfico de la red y mensajes electrónicos en tiempo real) c) computadores de escritorio (desktop computers) d) computadores portátiles (laptop computers) e) dispositivos de computación manuales (hand-held) (por ejemplo, teléfonos móviles basados en WAP, teléfonos inteligentes y asistentes digitales personales (PDA)). Control: El software de protección contra el malware debe distribuirse automáticamente, y dentro de los plazos definidos con el fin de reducir el riesgo de exposición al malware más reciente (incluidos los que están asociados con ataques del "Día cero" ) SM5.2.3 SM5.2.4 Control: El software de protección contra el malware debe proteger contra todas las modalidades de programas maliciosos (por ejemplo, virus informáticos, gusanos, caballos de troya, spyware, adware y código malicioso móvil) Página 156 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA SM5.2.5 Control: El software de protección contra el malware debe estar configurado para escanear o explorar: a) la memoria del computador b) los archivos ejecutables (incluidos las macros del software de oficina) c) los archivos protegidos (por ejemplo, los archivos comprimidos y los protegidos con contraseña) d) los medios de almacenamiento extraíbles (por ejemplo CD, DVD y dispositivos de almacenamiento USB) e) el tráfico entrante de la red corporativa (incluyendo el correo electrónico y descargas de Internet) f) el tráfico saliente de la red corporativa (incluyendo el correo electrónico) SM5.2.6 Control: El software de protección contra el malware debe estar configurado para: a) estar activo en todo momento b) proporcionar una notificación cuando se identifique malware sospechoso (por ejemplo, producir un log de eventos de entrada y el suministro de alertas) c) dejar en cuarentena los archivos sospechosos de contener malware (por ejemplo, para una investigación posterior) d) eliminar el malware y los archivos asociados o restablecer la configuración del sistema e) garantizar que la configuración no se pueda desactivar o reducir al mínimo la funcionalidad. SM5.2.7 Control: Se deben efectuar revisiones periódicas de los servidores, computadoras de escritorio, computadoras portátiles y dispositivos de computación manuales para garantizar que: a) el software de protección contra el malware no ha sido desactivado b) la configuración del software de protección contra el malware es correcta c) las actualizaciones se aplican dentro de los plazos definidos d) se han establecido los procedimientos de emergencia para manejar los incidentes relacionados con el malware Página 157 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA SM5.2.8 SM5.3 SM5.3.1 Control: Se debe reducir el riesgo de descargar malware mediante: a) la restricción de las fuentes donde se pueda descargar el código móvil (por ejemplo, proporcionando una lista negra de sitios web prohibidos) b) la prevención de descarga de determinados tipos de código móvil (por ejemplo, los relacionados con vulnerabilidades conocidas tales como controles ActiveX, JavaScript y objetos de ayuda del navegador) c) la configuración de los navegadores web para que los usuarios se les pregunte si desean instalar el código móvil d) la descarga de código móvil confiable (es decir, firmado con un certificado digital de confianza) e) la ejecución de código móvil en un entorno protegido (por ejemplo, un área de cuarentena, tales como Java 'sandbox' o un servidor proxy en una "zona desmilitarizada" (DMZ)) Detección de intrusos Control: Deben emplearse mecanismos de detección de intrusos para redes y sistemas críticos con el fin de identificar previamente los nuevos tipos de ataque. SM5.3.2 Control: Deben existir normas y procedimientos documentados para detección de intrusos que incluyan: a) métodos de identificación de la actividad no autorizada b) análisis de las intrusiones sospechosas c) respuesta apropiada a los distintos tipos de ataque (por ejemplo, mediante un proceso de gestión de incidentes de seguridad de la información) SM5.3.3 Control: Los métodos de detección de intrusos deben identificar: a) el acceso no autorizado a los sistemas y a la información b) el comportamiento inesperado del usuario o de la aplicación c) la terminación no planeada de los procesos o aplicaciones d) la actividad típicamente asociada con el malware SM5.3.4 Control: Se debe contar con software especializado para la detección de intrusos tales como host de sistemas de detección de intrusiones (HIDS) y sistemas de detección de intrusiones de red (NIDS). Este software debe ser evaluado antes de la compra. SM5.3.5 Control: Se deben proteger los sensores de detección de intrusión en la red (es decir, hardware especializado que sirve para identificar la actividad no autorizada en el tráfico de la red) contra ataques (por ejemplo, limitando la transmisión de cualquier tráfico de red externo, o mediante un dispositivo de red, network tap, para ocultar la presencia del sensor). Página 158 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA SM5.3.6 Control: El software de detección de intrusos debe ser: a) actualizado automáticamente y dentro de plazos definidos (por ejemplo, la distribución de archivos de firmas de ataque para los sensores de detección de intrusos a través de una consola de administración central) b) configurado para proporcionar alertas cuando se detectan actividades sospechosas (por ejemplo, a través de una consola de administración, mensajes de correo electrónico o mensajes de texto SMS para teléfonos móviles) SM5.3.7 Control: Se deben realizar revisiones periódicas para asegurar que: a) la configuración del software de detección de intrusión cumple las normas internas b) el software de detección de intrusiones no ha sido desactivado c) las actualizaciones se han aplicado dentro de los plazos definidos SM5.3.8 Control: Se deben analizar las intrusiones sospechosas y evaluar el impacto potencial para el negocio. El análisis debe incluir: a) confirmar si un ataque se está produciendo realmente (por ejemplo, mediante la eliminación de falsos positivos) b) determinar el tipo de ataque (por ejemplo, los gusanos, los ataques por desbordamiento de búfer o de denegación del servicio) c) identificar el punto de origen de un ataque d) cuantificar el impacto de un posible ataque. SM5.3.9 Control: Se debe evaluar el estado de un ataque en términos de: a) el tiempo transcurrido desde el inicio del ataque y desde la detección del ataque b) la escala (por ejemplo, sistemas y redes afectadas) SM5.3.10 Control: Se deben documentar los métodos para reportar los ataques serios (por ejemplo, para un equipo de respuesta a emergencias) SM5.4 SM5.4.1 SM5.4.2 Respuesta a emergencias Control: Debe existir un proceso de respuesta a emergencias para manejar ataques serios Control: El proceso de respuesta a emergencias debe ser apoyado por un equipo de alto nivel que incluya a personas calificadas para responder a los ataques graves y además a un representante de la dirección Página 159 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA SM5.4.3 Control: El proceso de respuesta a los ataques graves debe incluir: a) una definición de la situación de emergencia b) la asignación de funciones y responsabilidades c) la definición de un método para que se tomen decisiones crítica lo más rápidamente posible d) la definición clara de los pasos que deben tomarse en situaciones de emergencia e) la ejecución de los pasos f) los detalles de contacto de las personas claves (incluso los relacionados con los terceros) g) los métodos de tratar con terceros SM5.4.4 Control: El proceso debe incluir métodos para: a) permitir a los investigadores reaccionar rápidamente en caso de emergencia b) obtener la aprobación de las medidas recomendadas dentro de un plazo de tiempo crítico SM5.4.5 Control: El proceso debe asegurar que después de la ocurrencia de un ataque: a) los computadores afectados por el ataque se les hace una labor de limpieza (por ejemplo, los programas maliciosos y los archivos relacionados son removidos del computador) b) se minimiza la probabilidad de ataques similares c) se revisan los controles de seguridad SM5.5 SM5.5.1 SM5.5.2 Investigaciones forenses Control: Se debe establecer un proceso para manejar incidentes de seguridad de la información que puedan requerir investigación forense Control: Deben existir normas y procedimientos documentados para manejar los incidentes de seguridad de la información que requieran la investigación forense, los cuales deben cubrir: a) la protección inmediata de las pruebas ante un incidente de seguridad de la información b) cumplir con la norma o código de práctica para la recuperación de la evidencia admisible c) mantener un registro de las pruebas recuperadas y los procesos de investigación emprendidas d) la necesidad de buscar asesoría jurídico sobre la evidencia que se recuperó e) las acciones que deben ser objeto de seguimiento durante la investigación Página 160 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA SM5.5.3 Control: La evidencia debe ser recolectada: a) con la intención de posibles acciones legales b) con el respeto por la privacidad de los individuos y los derechos humanos c) a partir de fuentes de TI relevantes para el incidente de seguridad de la información (por ejemplo, archivos activos, temporales y borrados, los archivos eliminados, el uso del correo electrónico o uso de Internet, memoria cachés y registros de la red) d) a partir de fuentes diferentes de TI que sean relevantes para el incidente de seguridad de la información (por ejemplo, grabaciones de CCTV, los registros de acceso a las instalaciones, las revelaciones de testigos) SM5.5.4 Control: Durante una investigación forense se deben seguir pasos para: a) establecer y documentar una secuencia cronológica de eventos b) registrar las acciones de investigación c) demostrar que la evidencia apropiada se ha recogido, preservado y que no ha sido modificada d) proteger los equipos informáticos contra el acceso no autorizado y la posible manipulación de las pruebas e) analizar las pruebas en un ambiente controlado (por ejemplo, utilizando una copia o "imagen" de la computadora para evitar la corrupción del original) f) examinar las pruebas por un experto independiente e imparcial que cumple con los requisitos legales y reglamentarios g) garantizar que los procesos utilizados para crear y preservar las pruebas se puede repetir por una tercera parte independiente h) limitar la información sobre una investigación a unos pocas personas asignadas y garantizar que la información se mantiene confidencial SM5.5.5 Control: Los resultados de una investigación forense se deben comunicar a la gerencia apropiada (por ejemplo, la dirección y los jefes de las unidades de negocio) y a los organismos judiciales y regulatorios apropiados. SM5.6 SM5.6.1 Gestión de parches Control: Deben existir normas y procedimientos documentados para gestión de parches que indiquen: a) los requisitos para parchar los equipos, las aplicaciones de negocio, los sistemas operativos, el software y los componentes de la red b) el enfoque de la organización para la gestión de e parches c) los requisitos de pruebas d) la revisión de los métodos de distribución de parches Página 161 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA SM5.6.2 Control: Las normas y procedimientos para parches deben incluir un método para: a) la definición de roles y responsabilidades en la gestión de parches b) determinar la importancia de los sistemas (por ejemplo, sobre la base de la información que se maneja, los procesos de negocio soportados y los ambientes en los que se utilizan) c) registrar los parches que se han aplicado (por ejemplo, utilizando un inventario de los activos que incluya las versiones de los parches) SM5.6.3 Control: Se debe establecer un proceso de gestión de parches para regular la aplicación de parches en el día a día. El proceso debe estar documentado y aprobado por la gerencia correspondiente, y se debe asignar un dueño de este proceso. SM5.6.4 Control: El proceso de gestión de parches debería: a) determinar los métodos de obtención de los parches b) especificar los métodos de validación de los parches (por ejemplo, garantizando que el parche es de una fuente autorizada) c) identificar las vulnerabilidades que son aplicables a las aplicaciones y sistemas utilizados por la organización d) evaluar el impacto que tiene para la empresa la aplicación de parches (o la no aplicación de un parche específico) e) garantizar que los parches se prueban contra criterios conocidos f) describir los métodos de instalar los parches (por ejemplo, utilizando las herramientas de distribución de software) g) informar sobre el estado de instalación de parches en toda la organización h) incluir la aplicación de métodos para manejar las fallas en la instalación de un parche SM5.6.5 Control: Se deben establecer métodos para proteger la información y los sistemas si no hay parches disponibles para vulnerabilidades identificadas (por ejemplo, la desactivación de servicios y agregar controles de acceso adicionales) SM6 Tópicos especiales SM6.1 Soluciones criptográficas Página 162 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA SM6.1.1 Control: La criptografía debe ser utilizada en toda la empresa para: a) proteger la confidencialidad de la información sensible (por ejemplo, mediante el uso de la codificación) b) determinar si la información crítica se ha modificado (por ejemplo, mediante la realización de funciones de hash) c) proporcionar autenticación fuerte para los usuarios de sistemas y aplicaciones (por ejemplo, utilizando certificados digitales y tarjetas inteligentes) d) permitir la prueba de la identidad del autor de la información crítica (por ejemplo, utilizando la firma digital para no-repudio. SM6.1.2 Control: Se deben establecer y documentar las normas y procedimientos para criptografía que cubran: a) la definición de las circunstancias en que se debe utilizar la criptografía (por ejemplo, para transacciones de alto valor que involucran organismos externos o para transmitir información confidencial a través de redes abiertas tales como Internet) b) la selección de algoritmos criptográficos aprobados (por ejemplo, Advanced Encryption Standard (AES) para confidencialidad, y SHA-1 o MD5 para la integridad) c) la gestión (incluida la protección), de claves criptográficas d) las restricciones en el uso de soluciones de cifrado e) la idoneidad de las soluciones de cifrado utilizadas (incluidos los algoritmos y longitudes de claves de encriptación) SM6.1.3 Control: Se deben definir claramente las responsabilidades para la gestión de claves criptográficas y la gestión de licencias asociadas con el uso de soluciones criptográficas internacionales SM6.1.4 Control: Los directivos apropiados deben tener acceso a: a) consejo de expertos técnicos y asesoría jurídica sobre la utilización de la criptografía b) una lista de soluciones criptográficas c) un inventario actualizado (o equivalente) donde se detallan las soluciones criptográficas que se aplican en la organización SM6.2 Infraestructura de clave pública Página 163 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA SM6.2.1 Control: La organización que hace uso de una infraestructura de clave pública (PKI), debe establecer y documentar normas y procedimientos que definan: a) el proceso necesario para la gestión de claves criptográficas y certificados digitales dentro de la PKI b) los métodos necesarios para el funcionamiento del PKI c) las medidas que deben adoptarse en caso de un compromiso o una sospecha de compromiso de la PKI Control: Los usuarios de PKI deben ser conscientes del propósito y función de la PKI, y su responsabilidad para proteger las claves privadas y para utilizar la firma digital SM6.2.2 SM6.2.3 Control: Una Autoridad de Certificación (CA) está compuesto por las personas, los procesos y las herramientas que son responsables de la creación, generación y administración de los certificados de clave pública que se utilizan dentro de una PKI. Donde una PKI es soportada por una CA interna la cual debe estar protegida por: a) la restricción de acceso a personas autorizadas (por ejemplo, utilizando mecanismos de control de acceso y autenticación fuerte) b) el aseguramiento del sistema operativo que lo soporta (por ejemplo, mediante la eliminación de todas las vulnerabilidades conocidas) c) el empleo de otros controles generales (por ejemplo, la gestión de cambios) de manera organizada SM6.2.4 Control: Los planes de contingencia para las aplicaciones que se soportan en PKI deberían incluir los métodos para la recuperación de la PKI en el evento de un desastre SM6.3 SM6.3.1 Correo electrónico Control: Se deben establecer y documentar normas y procedimientos para la provisión y uso del correo electrónico, los cuales deben especificar métodos para: a) configurar los servidores de correo (por ejemplo, para limitar el tamaño de los mensajes o buzones de usuario) b) escanear los mensajes de correo electrónico (por ejemplo, para el malware, cadenas de mensajes o el contenido ofensivo) c) mejorar la seguridad de los mensajes de correo electrónico (por ejemplo, mediante la utilización de descargos de responsabilidad, algoritmos de hashing, cifrado o técnicas de no-repudio) d) hacer que los usuarios sean más conscientes de las consecuencias de sus acciones al utilizar el correo electrónico Página 164 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA SM6.3.2 Control: Los servidores de correo deben estar configurados para prevenir que el sistema de mensajería está sobrecargado estableciendo limites en el tamaño de los mensajes o los buzones de usuario, restringiendo el uso de grandes listas de distribución e identificando y cancelando automáticamente los loops del correo electrónico SM6.3.3 Control: Los sistemas de correo electrónico deben revisarse periódicamente para garantizar que se satisfacen los requisitos de oportunidad y disponibilidad futura SM6.3.4 Control: Los mensajes de correo electrónico deben escanear: a) los archivos adjuntos que pueden contener código malicioso (por ejemplo, el código malicioso oculto en el auto-extracción de archivos zip o videoclips MPEG) b) las palabras prohibidas (por ejemplo, palabras que son racistas, ofensivas, difamatorias u obscenas) c) las frases asociadas con el malware (por ejemplo, las de uso común en los virus hoax o cadenas de mensajes) SM6.3.5 Control: Los sistemas de correo electrónico deben suministrar protección mediante: a) el bloqueo de los mensajes considerados indeseables b) el uso de firmas digitales para determinar si los mensajes de correo electrónico han sido modificados en el tránsito, y la encriptación de los mensajes de correo sensitivos o confidenciales c) la garantía de no repudio de origen para los mensajes de correo más importantes (por ejemplo, utilizando la firma digital) d) el suministro de no repudio en el recibo de mensajes importantes SM6.3.6 Control: Se debe proteger la integridad mediante: a) la inserción de información legal y detalles de la dirección de retorno para el correo empresarial b) la advertencia a los usuarios que el contenido de los mensajes de correo electrónico pueden ser contractual y jurídicamente vinculantes y que el uso del correo electrónico puede ser monitoreado SM6.3.7 Control: La organización debe prohibir: a) el uso del correo de los sitios web b) el desvío automático de correo electrónico a direcciones externas c) la publicidad no autorizada d) la encriptación privada del correo electrónico o archivos adjuntos e) la apertura de archivos adjuntos de fuentes desconocidas o no confiables Página 165 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA SM6.3.8 SM6.4 SM4.6.1 Control: El uso personal del correo electrónico de la empresa debe estar claramente etiquetado como personal y sujeto a los términos de los acuerdos para usuarios de correo Trabajo remoto Control: El trabajo remoto debe estar soportado por normas y procedimientos que cubran: a) los requisitos de seguridad asociados con el trabajo remoto b) los tipos de dispositivo que pueden ser utilizados por el personal que trabaja en lugares remotos (por ejemplo, computadores portátiles, dispositivos manuales como el PDA, los teléfonos inteligentes) c) la implementación y mantenimiento de equipos remotos d) el suministro de software para proteger las estaciones de trabajo (por ejemplo, herramientas de administración de sistemas, mecanismos de control de acceso, software de protección contra el malware y las capacidades de cifrado) e) la configuración del software f) la protección contra código móvil malicioso (por ejemplo, los applets de Java, ActiveX, JavaScript o VBScript que se han escrito deliberadamente para realizar funciones no autorizadas) g) la autorización de un representante del nivel apropiado para la persona que requiere trabajar remotamente SM4.6.2 Control: Al personal que requiere trabajar remotamente se le debe suministrar computadores que sean: a) adquiridos a partir de proveedores aprobados b) soportados por acuerdos de mantenimiento c) protegidos por controles físicos (por ejemplo, cerraduras, alarmas y marcas indelebles) SM4.6.3 Control: Los computadores utilizados por el personal que trabaja en lugares remotos se les debe instalar o aplicar: a) configuraciones técnicas estándar b) un conjunto completo de herramientas de administración del sistema (por ejemplo, utilidades de mantenimiento y copias de respaldo) c) mecanismos de control de acceso para restringir el acceso al equipo remoto d) el software de protección contra malware, para proteger contra virus, gusanos, troyanos, software espía y adware e) el software de encriptación para proteger la información almacenada en el computador (por ejemplo, utilizando cifrado del discos duro) o transmitida por el equipo (por ejemplo, utilizando una red privada virtual (VPN) para conectarse a la red de la organización) Página 166 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA SM4.6.4 Control: Se debe restringir el acceso a las computadoras utilizadas en lugares remotos mediante la encriptación de contraseñas y la prevención de acceso lógico a la capacidad de las computadoras personales desatendidas (por ejemplo, mediante el bloqueo de clave o contraseña) SM4.6.5 Control: El personal que trabaja en ubicaciones remotas, incluidas las zonas públicas (por ejemplo, hoteles, trenes, aeropuertos y cafés de Internet) o en el hogar, debe estar: a) autorizado para trabajar sólo en determinadas localidades b) equipados con las destrezas necesarias para realizar tareas de seguridad necesarias (por ejemplo, restringir el acceso, sacar copias de respaldo y la encriptación de archivos de claves) c) consciente de los riesgos adicionales relacionados con el trabajo remoto (incluido el aumento de la probabilidad de robo de los equipos o revelación de información confidencial) d) apoyado con soporte técnico adecuado (por ejemplo, a través de un servicio de mesa de ayuda) e) en cumplimiento con los requisitos legales y reglamentarios f) respaldado con acuerdos de trabajo alternativos en caso de emergencia SM4.6.6 Control: Los computadores y dispositivos portátiles deben estar protegidos contra robo mediante: a) el suministro a los usuarios con candados físicos o dispositivos de seguridad equivalente b) etiquetas de identificación c) el uso de marcas indelebles SM4.6.7 Control: Se deben implementar controles adicionales que deben aplicarse en las estaciones de trabajo con la capacidad de conectarse a la Internet mediante: a) el uso de navegadores web con una configuración estándar b) la prevención de los usuarios con la desactivación o modificación de las opciones de seguridad en los navegadores web c) la aplicación de las actualizaciones del software de navegador web con rapidez y eficacia d) la utilización de software tal como un firewall personal y protección contra malware e) la advertencia a los usuarios de los peligros de descargar código móvil y las consecuencias de aceptar o rechazar "Cookies" f) la restricción de descarga de código móvil para bloquear determinados tipos de ejecutables SM6.5 Acceso a terceros Página 167 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA SM6.5.1 Control: La prestación de acceso a terceros debe ser apoyado por las normas y procedimientos documentados que especifican que, antes de la conexión: a) se deben evaluar los riesgos del negocio asociados con el acceso a terceros b) se asigne la responsabilidad para la autorización de acceso a terceros al personal apropiado c) se realice la debida diligencia y se implementen los controles de seguridad acordados d) se efectúen pruebas e) se formalicen los acuerdos en los contratos SM6.5.2 Control: Se deben aplicar métodos para: a) garantizar que los controles de terceros sean proporcionales a los riesgos del negocio b) proteger los intereses de la organización en relación con la propiedad de la información y los sistemas c) limitar los pasivos de la organización a terceros (por ejemplo, mediante el uso de las condiciones contractuales y advertencias que aparecen en la pantalla) d) cumplir con las obligaciones legales e) hacer responsables a los terceros por sus acciones Control: Cuando se trata de conexiones individuales a terceros, se debe establecer un proceso para: a) lograr la compatibilidad técnica b) proteger la información sensible almacenada en los sistemas o en su tránsito hacia instalaciones de terceros c) mantener registros de actividades (por ejemplo, para ayudar a rastrear las transacciones individuales y hacer cumplir la rendición de cuentas) d) proporcionar un único punto de contacto para la atención de problemas (por ejemplo, un servicio de mesa de ayuda o centro de llamadas) SM6.5.3 SM6.5.4 Control: El acceso de terceros a través de las conexiones debe ser administrado mediante: a) la restricción de métodos de conexión (por ejemplo, define los puntos de entrada sólo a través de firewalls) b) la autenticación de usuarios alineado con la función que desempeñan c) la restricción de los tipos de acceso permitido (es decir, en términos de información, capacidades de la aplicación y privilegios de acceso) d) el otorgamiento de acceso a la información y los sistemas de la organización bajo el principio de "el mínimo acceso" e) la terminación de conexiones cuando no se necesitan SM6.5.5 Control: Las conexiones que proporcionan el acceso a terceros se deben identificar individualmente, deben ser aprobadas por el dueño del negocio, deben ser registradas y acordadas por las partes en un contrato documentado Página 168 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA SM6.5.6 SM6.6 SM6.6.1 Control: Las personas responsables por la administración de conexiones a terceros deben tener acceso a: a) la información sobre los riesgos asociados con el acceso a terceros b) las normas y procedimientos que ilustran las medidas que se deben adoptar para lograr conexiones seguras c) las herramientas de soporte (por ejemplo, listas de chequeo, muestras de contratos y acuerdos de niveles de servicio) d) las fuentes de conocimiento para obtener consejo y accesoria de especialistas (por ejemplo, la función de seguridad de la información) Comercio electrónico Control: Se debe responsabilizar a un gerente de alto nivel para todo lo relacionado con las iniciativas de comercio electrónico SM6.6.2 Control: Se debe establecer un comité directivo o grupo directivo para coordinar las iniciativas de comercio electrónico que incluya representantes de las áreas claves de la organización que participan en las iniciativas de comercio electrónico (por ejemplo, la alta dirección, los propietarios de negocio, el departamento jurídico, la administración de TI, y la función de seguridad de la información) SM6.6.3 Control: Los riesgos asociados con iniciativas de comercio electrónico deben ser objeto de un análisis de riesgos de información SM6.6.4 Control: Se deben establecer y documentar normas y procedimientos para administrar las iniciativas de comercio electrónico las cuales requieren que: a) las buenas prácticas de seguridad de la información no se sacrifiquen en aras de la velocidad de entrega b) las iniciativas estén impulsadas por los requerimientos del negocio c) se minimice la dependencia de la tecnología inmadura d) se evalúen las implicaciones de seguridad al implementar las soluciones de proveedores SM6.6.5 Control: Se debe establecer un proceso para asegurar que los tomadores de decisiones: a) comprendan las necesidades de seguridad de los clientes b) sean conscientes de los riesgos asociados con el comercio electrónico y no pasen por alto las principales amenazas técnicas c) aprueban los riesgos residuales d) identifican las competencias necesarias de seguridad para apoyar las iniciativas de comercio electrónico y emplean al personal suficiente con las habilidades necesarias (por ejemplo, utilizando terceros que sean expertos o capacitando al personal interno) Página 169 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA SM6.6.6 Control: Antes de instalarse en producción, las iniciativas de comercio electrónico deben ser rigurosamente probadas, revisadas por un especialista en seguridad de la información y aprobadas por la dirección Control: Debe existir un proceso que garantice que: a) los registros importantes de nombres de dominio son renovados (por ejemplo, cada dos años) b) los nombres de dominio que pueden ser utilizado para ocultar la organización son registrados por la organización c) se monitorean los sitios web que pueden haber sido instalados usando los nombres de dominio similares a los utilizados por la organización d) los sitios web ilegítimos son cerrados con la mayor rapidez posible e) las relaciones con los proveedores de servicios de Internet están cubiertos por acuerdos de niveles de servicio (SLA) SM6.6.7 SM6.7 SM6.7.1 Outsourcing Control: Se debe establecer un procedimiento documentado para regular la selección de proveedores de outsourcing y la transferencia de las actividades hacia ellos SM6.7.2 Control: Al determinar los requisitos para el outsourcing, la organización debería: a) evaluar los riesgos de información asociados con los acuerdos de outsourcing y las funciones de la empresa que pueden ser contratadas b) Identificar los ambientes sensitivos o críticos c) evaluar las prácticas y normas de seguridad de la información de los posibles proveedores de outsourcing d) considerar las interdependencias entre la función a ser contratada y las otras funciones del negocio e) desarrollar estrategias para finalizar las relaciones ante la eventualidad de una terminación anticipada de los acuerdos SM6.7.3 Control: Antes de transferir la administración de un ambiente particular, el dueño del negocio debe aprobar la transferencia y se deben acordar los controles de seguridad de la información con el proveedor de outsourcing. Página 170 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA SM6.7.4 Control: Se deben establecer y documentar los acuerdos que obligan a los proveedores a : a) cumplir con las buenas prácticas para la seguridad de la información b) facilitar información sobre incidentes de seguridad de la información c) mantener la confidencialidad de la información obtenida a través del contrato de outsourcing d) proteger la integridad de la información utilizada en el desempeño de los trabajos e) garantizar la disponibilidad de la información y los sistemas SM6.7.5 Control: Los acuerdos deben exigir que los proveedores: a) limiten el acceso a los activos de la organización sólo para el personal autorizado b) protejan la información de identificación personal c) proporcionen los acuerdos de continuidad del negocio d) cumplan con los requisitos legales y reglamentarios e) garanticen la calidad y exactitud del trabajo realizado f) devolver o destruir la información, el software o equipo en una fecha convenida, o previa solicitud g) definir la forma en que el proveedor se le permite contratar con terceros h) seguir un proceso de gestión del cambio i) proporcionar una eficaz gestión de incidentes de seguridad de la información SM6.7.6 Control: Se debe establecer un proceso para hacer frente a los problemas de seguridad mediante unos puntos de contacto del proveedor de outsourcing SM6.7.7 Control: Los acuerdos deben especificar: el derecho a auditar las actividades del proveedor, los detalles de los acuerdos de licenciamiento y la propiedad de la información y de los derechos de propiedad intelectual SM6.7.8 Control: Se deben implementar las medidas de contingencia para administrar los ambientes contratados en el evento en que el proveedor no esté disponible (por ejemplo, debido a un desastre o conflicto) SM6.8 SM6.8.1 Mensajería instantánea Control: Se deben establecer y documentar normas y procedimientos para los servicios de mensajería instantánea que incluyan: a) guías para el uso en el trabajo y el uso personal b) los tipos de servicios de mensajería instantánea permitidos (por ejemplo, los servicios públicos, como AOL, Google Talk, Windows Messenger y Yahoo!, O los servicios internos tales como Lotus Sametime, Windows Meeting Space, Webex y Jabber) c) guías para usuarios sobre el uso aceptable (por ejemplo, la prohibición de las declaraciones ofensivas) d) detalles de cualquier actividad de seguimiento a realizar Página 171 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA SM6.8.2 Control: Se debe mejorar la seguridad de las aplicaciones de mensajería instantánea mediante: a) la desactivación de características no adecuadas (por ejemplo, el uso compartido de archivos, video y audio) b) el uso de la encriptación para proteger el contenido de los mensajes sensibles c) el chequeo de malware en las estaciones de trabajo d) el registro de eventos claves e) dirigir el tráfico de mensajería instantánea a través de un filtro de contenido SM6.8.3 Control: Se debe proteger la mensajería instantánea mediante: a) el empleo de un estándar de configuración del cliente para la aplicación de mensajería instantánea b) el aseguramiento de los servidores de mensajería instantánea c) la configuración de firewall para bloquear el tráfico no autorizado de mensajes instantáneos SM7 Revisión de la Gerencia SM7.1 Revisión y auditoria de seguridad SM7.1.1 Control: Se deben realizar periódicamente revisiones y auditorias de seguridad para ambientes críticos de la organización, que incluyan: a) aplicaciones de negocio b) instalaciones de computación y redes c) actividades de desarrollo de sistemas d) actividades de seguridad claves para la empresa (por ejemplo, la gestión de una arquitectura de seguridad, ejecutar programas de sensibilización o la supervisión de los acuerdos de seguridad de la información) e) entornos de usuario final Página 172 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA SM7.1.2 Control: Las auditorias y revisiones de seguridad deben ser: a) acordadas con los dueños de los ambientes sujetos a revisión b) realizadas por personas que poseen las habilidades y conocimiento técnico suficiente en seguridad de la información c) llevadas a cabo a profundidad (en términos de alcance y magnitud) para garantizar que los controles de seguridad funcionan como se espera d) orientadas a comprobar que los controles son lo suficientemente efectivos para reducir el riesgo a un nivel aceptable e) apoyadas por el uso automatizado de herramientas de software f) validados por las personas competentes g) complementada por revisiones realizados por terceros independientes. SM7.1.3 Control: Las revisiones y auditorias de seguridad deben ser administradas por: para acordar los requisitos especiales o rutinas de procesamiento de las pruebas (por ejemplo, pruebas de penetración) con los propietarios de la ambientes que se examina restringir el acceso a los sistemas de auditoria y los equipos seguimiento y registro de las actividades de auditoria y los equipos la eliminación de la copia de información empresarial a los efectos de las auditorias y exámenes tan pronto como ya no es requerido protección de software de herramientas utilizadas en la realización de auditorias y exámenes (por ejemplo, por mantenerlos separados de los instrumentos / los servicios públicos utilizados en el entorno, y la celebración en las instalaciones de almacenamiento seguro, como Restringido bibliotecas de software). SM7.1.4 Control: Las recomendaciones de seguridad que resulten de las revisiones o auditorias deben ser acordadas con los dueños de los ambientes sujetos a revisión y ser reportadas a la dirección SM7.2 SM7.2.1 Monitoreo de seguridad Control: Se deben establecer acuerdos documentados con la dirección para el monitoreo de la seguridad de la información en la organización. Los monitoreos deben realizarse periódicamente. Página 173 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA SM7.2.2 Control: El análisis desarrollado como parte de los acuerdos de monitoreo de la seguridad debe ser: a) basado en métricas de seguridad cuantitativas (por ejemplo, el número, la frecuencia y el impacto para el negocio de los incidentes de seguridad de la información, los hallazgos de la auditoria, las estadísticas de seguridad operacional, los costos asociados con las pérdidas financieras, multas, fraude etc.). b) presentados en un formato estándar (por ejemplo, el tablero balanceado de gestión u otra herramienta de gestión) SM7.2.3 Control: La información recopilada como parte de las medidas de vigilancia de seguridad deberá incluir detalles sobre todos los aspectos de los riesgos de información (por ejemplo, la criticidad de la información, las vulnerabilidades identificadas y el nivel de las amenazas, el impacto potencial para el negocio y el estado de los controles de seguridad implementados) SM7.2.4 Control: Se debe informar sobre la condición de seguridad de la organización a los principales tomadores de decisiones (incluida la la dirección, los miembros del comité directivo de seguridad, y los órganos externos) SM7.2.5 Control: Los acuerdos de monitoreo de las seguridad deberían proporcionar a los tomadores de decisiones una visión de: a) la eficacia y la eficiencia de los acuerdos de seguridad de la información b) las áreas donde se requiere mejorar c) la información y los sistemas que están en un nivel inaceptable de riesgo d) el desempeño cuantitativo frente a los objetivos propuestos e) las medidas necesarias para ayudar a minimizar el riesgo SM7.2.6 Control: Los acuerdos para monitorear la seguridad deben proporcionar a los tomadores de decisiones información financiera que incluya: a) el costo de los controles de seguridad b) el impacto financiero de los incidentes de seguridad de la información c) el retorno de la inversión en seguridad (ROSI), de los controles implementados (por ejemplo, los beneficios no financieros, los beneficios financieros y los costos) Página 174 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA SM7.2.7 Control: Los acuerdos para monitorear la seguridad deben permitir a los tomadores de decisiones: a) gestionar los riesgos de información de manera efectiva b) relacionar los riesgos de información con los riesgos operacionales y del negocio c) demostrar el cumplimiento de requisitos legales y reglamentarios, y las normas y procedimientos internos de seguridad de la información Control: La información generada como resultado del monitoreo de las condiciones de seguridad de la información de la organización debe ser utilizada para medir la eficacia de la estrategia, de la política y de la arquitectura de seguridad de la información SM7.2.8 NW1 NW1.1 NW1.1.1 NW1.1.2 SEGURIDAD DE LA RED Administración de la Red Roles y responsabilidades Control: Se debe designar un dueño para gestionar la red. Las responsabilidades por las principales tareas de gestión de red deben ser claramente asignados a una o más personas capaces, que deben aceptar las responsabilidades (incluidas las los de la seguridad de la información) relacionadas con estas funciones. Control: El personal de la red debería ser: a) competente para operar la red en condiciones normales b) capacitado para hacer frente a errores, las condiciones de excepción y de emergencia c) en número suficiente para manejar la carga normal y los picos de trabajo Página 175 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA NW1.1.3 Control: Se debe reducir el riesgo de que el personal interrumpa el funcionamiento de la red, ya sea por error o por mala intención mediante: a) la separación de funciones del personal que opera la red de las funciones del personal que diseña y desarrolla la red b) garantizar que el personal interno (por ejemplo, los operadores y administradores de la red) y las personas externas (por ejemplo, consultores, contratistas, ingenieros) firmen los acuerdos de confidencialidad y no divulgación c) minimizar la dependencia de personas clave (por ejemplo, mediante la automatización de procesos, garantizar que la documentación de apoyo esté completa y exacta, y las contingencias para cubrir los puestos clave) d) la organización de funciones de manera que se reduzca al mínimo el riesgo de robo, fraude, error y cambios no autorizados a la información e) la investigación de antecedentes de los solicitantes para puestos de operación y administración de la red NW1.1.4 Control: Se deben implementar y documentar las normas y procedimientos a ser aplicados en la red, los cuales deben ser: a) consistentes con las políticas de seguridad de la información que se aplican en toda la empresa b) comunicados al personal internos y externos que participa en la gestión de la red c) aprobados por un representante del negocio, revisados periódicamente y actualizados a la fecha NW1.1.5 Control: Las actividades de las personas que operan y administran la red deben ser controladas (por ejemplo, proporcionar supervisión, registrar las actividades y mantener las pistas de auditoria) NW1.2 NW1.2.1 Diseño de la red Control: El diseño de la red debe estar apoyado en normas y procedimientos que requieren: a) que el diseño tenga en cuenta los requisitos de los usuarios de los servicios (por ejemplo, tal como se definen los acuerdos de niveles del servicio) b) que la red sea compatible con otras redes utilizados por la organización c) que la red esté configurada para hacer frente a la evolución previsible del uso de las TI en la organización Página 176 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA NW1.2.2 NW1.3.1 NW1.3.1 NW1.3.2 Control: El diseño de la red deberia: a) incorporar un conjunto integrado y coherente de normas técnicas b) apoyarse en convenciones de nomenclatura coherente (por ejemplo, cuando se asignan las direcciones IP) c) incorporar el uso de dominios de seguridad para separar los sistemas de los requisitos de seguridad d) emplear firewalls de manera que impidan que sean pasados por alto e) minimizar los puntos de falla (por ejemplo, proporcionando balance de carga, duplicar o mantener redundancia en dispositivos críticos de la red f) restringir el número de puntos de entrada a la red g) permitir la gestión de red de extremo a extremo desde una ubicación principal h) permitir que la red se pueda configurar remotamente, y monitoreada automáticamente frente a los umbrales predefinidos i) permitir que los informes de gestión de la red y los registros de auditoria se mantengan j) cumplir con la reglamentación legal y las regulaciones de la industria k) evitar que los dispositivos no autorizados sean conectados a la red (por ejemplo, forzando la autenticación a nivel de la red) l) incluir el cifrado del acceso administrativo a los dispositivos de red (por ejemplo, firewalls y sensores de detección de intrusos) Resiliencia de la red Control: Se deben identificar las instalaciones de la red que son críticas para el funcionamiento de la red Control: Los puntos simples de falla deben ser minimizados mediante: a) re-enrutamiento automático del tráfico de la red cuando los nodos críticos o los enlaces fallan b) la provisión de sitios alternos a partir de los cuales se puede administrar la red c) la instalación de redundancia en los equipos de comunicaciones críticas tales como: firewall, filtros de tráfico de la red, switches principales, y las fuentes de suministro de energía f) crítica a los equipos de comunicaciones g) acuerdos con proveedores de servicios externos para disponer de puntos de conexión y enlaces alternos Página 177 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA NW1.3.3 Control: Se deben reducir los riesgos de mal funcionamiento de los equipos de comunicaciones críticas, el software, enlaces y servicios para : a) dar alta prioridad a la fiabilidad, compatibilidad y capacidad en el proceso de adquisición b) garantizar el cumplimiento de las normas comunes o de la industria c) utilizando equipos, software, enlaces y servicios probados y actualizados d) manteniendo versiones consistentes de equipos y software a través de la red e) garantizando que los principales componentes de la red puedan ser reemplazados dentro de los plazos críticos NW1.3.4 Control: Se debe proteger la disponibilidad de los servicios de red externos mediante: a) el suministro de puntos de conexión duplicados o alternos para los transportadores de las comunicaciones externas b) el enrutamiento de enlaces críticos a más de un centro de intercambio o switcheo externo c) acuerdos para el uso de un carrier de comunicaciones alterno NW1.3.5 Control: Se debe implementar un proceso para tratar las vulnerabilidades de los firewalls que incluya: a) monitoreo de vulnerabilidades en los firewalls b) la elaboración de guías para el personal de red sobre las medidas que deben adoptarse en caso de falla de algún firewall c) el re-enrutamiento automático del tráfico de la red a otro firewall alterno d) las pruebas a los parches para los firewalls y su aplicación en el momento oportuno NW1.4 NW1.4.1 NW1.4.2 Documentación de la red Control: Se deben implementar normas y procedimientos para la red que incluyan la documentación de: a) la configuración de la red, incluyendo todos los nodos y conexiones b) los equipo, el software, los enlaces y servicios de comunicaciones c) el cableado de red Control: La documentación de la red debe incluir: a) los diagramas de configuración de la red con los nodos y conexiones b) un inventario de equipos de comunicaciones, software y servicios suministrados por terceros c) uno o más diagramas de cableado de la red Página 178 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA NW1.4.3 Control: La documentación de la red debe ser: a) actualizada b) fácilmente accesible a las personas autorizadas c) sujeta a revisiones supervisadas d) generada automáticamente, utilizando herramientas de software NW1.4.4 Control: Se deben colocar etiquetas de identificación a los equipos y cables de comunicaciones NW1.5 NW1.5.1 Proveedores de servicios Control: Se deben establecer acuerdos documentados con todos los proveedores de servicios internos y externos NW1.5.2 Control: Los acuerdos con los proveedores de servicios deben especificar: a) las personas responsables del servicio dentro de las dos partes en el acuerdo b) los requisitos de capacidad, fechas y horarios de los servicios de red que son requeridos y los plazos de tiempo críticos de la red c) las restricciones en los métodos de conexión y el acceso a determinados servicios NW1.5.3 Control: Los acuerdos con los proveedores de servicios deben especificar los requisitos para: a) garantizar la continuidad del servicio b) el parcheo de los dispositivos de red c) la protección de la información confidencial en tránsito d) la separación de los componentes de la red, tales como líneas dedicadas para el tráfico de red sensitivo e) el desempeño de la gestión de cambios y la gestión de incidentes de seguridad de la información f) la detección de interrupciones de servicio y la recuperación de los mismos g) las actividades de instalación y mantenimiento de las actividades relacionadas con la red NW1.5.4 Control: Las condiciones de los acuerdos con los proveedores de servicios deben ser aplicadas y revisadas periódicamente NW1.5.5 Control: Se deberían adoptar medidas con el proveedor de servicios (s) para hacer frente a problemas de seguridad de la información a través de un punto de contacto definido y de una persona que sea competente para tratar los problemas de seguridad de manera eficaz NW1.5.6 Control: Se deben establecer acuerdos para: a) restringir el uso de los servicios aprobados a los proveedores de la red b) obtener una confirmación independiente de los controles de seguridad aplicados por los proveedores de servicios Página 179 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA NW2 Administración del tráfico NW2.1 NW2.1.1 Configurar dispositivos de red Control: Se deben implementar normas y procedimientos para configurar los dispositivos de red los cuales deben cubrir: a) la gestión de cambios de las tablas de enrutamiento y la configuración de dispositivos de red b) la restricción del acceso a los dispositivos de red c) la prevención de actualizaciones no autorizadas o incorrectas a las tablas de enrutamiento d) la revisión periódica de la configuración de dispositivos de red NW2.1.2 Control: Los dispositivos de red deben ser configurados para: a) negar el tráfico de red por defecto b) alertar sobre la sobrecarga de la red o las condiciones de excepción cuando se producen c) registrar los eventos en una forma adecuada para su revisión y grabarlos en sistemas separados d) copiar la información de control (por ejemplo, los registros de eventos y tablas) a medios de almacenamiento extraíbles (por ejemplo, CD o cinta magnética) e) integrar con mecanismos de control de acceso en otros dispositivos (por ejemplo, para proporcionar fuerte autenticación) f) usar una configuración segura predefinida antes de su puesta en operación g) cambiar los parámetros por defecto suministrados por los proveedores h) garantizar que las contraseñas no son enviadas en forma de texto claro i) desactivar el enrutamiento de origen (para mantener el control en los dispositivos de envío de paquetes) j) desactivar los servicios que no son necesarios para el funcionamiento normal de la red (por ejemplo, RPC, rlogin, rsh, rexec y NetBIOS) NW2.1.3 Control: Se debe restringir los dispositivos de red al personal autorizado utilizando los controles de acceso que soportan la contabilidad individual y la protección contra acceso no autorizado NW2.1.4 Control: Se deben configurar los routers para prevenir actualizaciones no autorizadas o incorrectas Control: Se deben revisar periódicamente los dispositivos de red para verificar los parámetros de configuración (por ejemplo, tablas y parámetros de enrutamiento) y evaluar las actividades realizadas a través de los dispositivos de red NW2.1.5 NW2.2 Firewall Página 180 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA NW2.2.1 NW2.2.2 NW2.2.3 NW2.2.4 Control: La red debe ser protegida de otras redes o subredes (internas o externas) mediante uno o más firewalls Control: Se deben establecer normas y procedimientos para administrar firewalls que cubran: a) el filtrado de tipos específicos o fuentes de tráfico de la red (por ejemplo, direcciones IP, puertos TCP o información sobre el estado de las comunicaciones y los usuarios) b) el bloqueo o la restricción de determinados tipos u otras fuentes de tráfico de la red c) el desarrollo de normas predefinidas (o tablas) para filtrar el tráfico de la red d) la protección de firewalls contra ataques o fallas e) limitar la revelación de información acerca de la red Control: Los firewalls deben ser utilizados para chequear: a) las direcciones de destino y los puertos b) la información sobre el estado de las comunicaciones asociadas c) la información sobre el estado de los usuarios d) la validez de un servicio de red Control: Los firewalls deben ser configurados para: a) negar el tráfico de red por defecto b) proteger los protocolos de comunicación que son propensos a los abusos (por ejemplo, DNS, FTP, NNTP, RIP, SMTP, Telnet, UUCP) c) bloquear los paquetes de red usados para la ejecutar ataques de "denegación del servicio" d) negar el tráfico entrante para la dirección fuente que ha sido suplantada e) negar el tráfico saliente para la dirección que han sido suplantada NW2.2.5 Control: Los firewalls debe configurarse para bloquear o restringir las comunicaciones basadas en una fuente o destino especifico (por ejemplo, direcciones IP o puertos tales como: 20 y 21 para FTP, 23 para Telnet) NW2.2.6 Control: El filtrado del tráfico de la red debe basarse en reglas predefinidas que: a) han sido desarrollados por personal de confianza y están sujetas a revisión b) se basan en el principio del "mínimo acceso" c) se documentan y se mantienen actualizadas d) son tenidas en cuenta en una política de seguridad de la información, en las normas y procedimientos de la red y en los requisitos de los usuarios NW2.2.7 Control: Antes que se apliquen nuevas reglas o se cambien otras, se debe verificar si son fuertes y correctas y deben ser aprobadas por el dueño de la red Página 181 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA NW2.2.8 NW2.3 NW2.3.1 Control: La revelación de información sobre la red se debe limitar: a) a nivel de la red mediante el uso de traslación de direcciones de red (NAT) b) a nivel de aplicación mediante el uso de la traslación de direcciones de puerto (PAT) Acceso externo Control: Se deben documentar normas y procedimientos para controlar el acceso externo a la red, los cuales especifican: a) que se deben identificar las conexiones externas b) que se debe configurar la red para restringir el acceso c) que sólo se permiten los tipos de dispositivos de conexión de acceso remoto autorizados d) que se deben documentar los detalles de las conexiones externas e) que se deben remover las conexiones externas cuando no sean necesarias NW2.3.2 Control: Las conexiones externas se deben identificar individualmente y ser aprobadas por el propietario de la red NW2.3.3 Control: Se debe mantener un registro de las conexiones externas que incluya: a) detalles de las personas externas autorizadas b) áreas de la infraestructura de TI a disposición de los usuarios externos NW2.3.4 Control: La red debe ser diseñada para: a) ocultar los nombres de red y topologías a partes externas b) restringir el tráfico de la red externa a sólo determinadas partes de la red c) restringir las conexiones a los puntos de entrada definidos d) verificar el origen de las conexiones externas NW2.3.5 Control: Se deben identificar las conexiones externas no autorizadas mediante: a) el desarrollo de auditorias de los equipos de la red y la documentación para identificar discrepancias con los registros de conexiones externas conocidas b) el uso de herramientas de gestión y de diagnóstico de la red c) el control de los registros contables de las facturas pagadas a los proveedores de telecomunicaciones y conciliación con las conexiones conocidas. Página 182 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA NW2.3.6 Control: Las conexiones de acceso telefónico deben ser protegidas mediante el uso de seguridad dial-back la cual debe implementarse mediante: a) la configuración dial-back obligatoria para todas las cuentas autorizadas a conectarse a través de un punto de acceso b) la desconexión de la línea en el host, en lugar de la del cliente c) desactivar el reenvío de llamadas para la línea dialback Control: El acceso externo debe ser suministrado utilizando un servidor de acceso remoto dedicado el cual: a) proporciona autenticación completa y confiable para las conexiones externas (por ejemplo, utilizando un sistema de autenticación tal como el Radius o TACACS+) b) proporciona información para solución de problemas c) registra todas las conexiones y sesiones incluyendo detalles de los tiempos de inicio y finalización de la llamada, duración, y seguimiento a usuarios d) ayuda a identificar posibles brechas de seguridad de la información NW2.3.7 NW2.3.8 NW2.4 NW2.4.1 Control: Las conexiones externas se deben eliminar cuando ya no se requieran y sus componentes deben desactivarse o eliminarse Acceso inalámbrico Control: El acceso inalámbrico a la red debe estar sujeto a un análisis de riesgos de información y ser aprobado por el dueño de la red antes de su implementación NW2.4.2 Control: Se deben establecer y documentar normas y procedimientos para controlar el acceso inalámbrico a la red los cuales incluyen: a) implementar métodos para limitar el acceso a usuarios autorizados en el proceso de instalación y configuración de los puntos de acceso inalámbrico b) usar la encriptación ( por ejemplo, WEP, WPA, WPA2) para proteger la información en tránsito c) la detección de puntos de acceso y dispositivos inalámbricos no autorizados NW2.4.3 Control: Los puntos de acceso inalámbrico deben ser: a) configurados al más bajo poder para limitar el rango b) instalados en sitios que minimicen el riesgo de interferencia c) configurados y administrados centralizadamente d) asignados a un conjunto de identificadores de servicio único (unique Service Set Identifier SSID) NW2.4.4 Control: Se debe proteger la red contra acceso inalámbrico no autorizado usando un dispositivo de filtrado (por ejemplo, un firewall o un edge server) Página 183 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA NW2.4.5 Control: El acceso inalámbrico debe estar protegido mediante el uso de: a) control de acceso a la red (por ejemplo, IEEE 802.1X) b) autenticación de dispositivo (por ejemplo, EAP-TLS) c) autenticación de usuario NW2.4.6 Control: El acceso inalámbrico debe estar protegido por: a) el uso de encriptación (por ejemplo, WEP, WPA y WPA2) entre dispositivos de computación puntos de acceso inalámbrico b) el cambio periódico de las claves de encriptación NW2.4.7 Control: Las conexiones de acceso inalámbrico críticas deben estar sujetas a controles de seguridad adicionales tales como redes virtuales privadas, VPNs NW3 Operación de la red NW3.1 NW3.1.1 Monitoreo de la red Control: El desempeño de la red debe ser monitoreado: a) frente a los objetivos acordados b) revisando la utilización actual de las facilidades de red en periodos normales y periodos pico o de mayor demanda c) usando software automatizado de monitoreo de red d) revisando periódicamente los registros de actividad de la red e) investigando problemas tales como cuellos de botella o sobrecarga NW3.1.2 Control: Se deben llevar a cabo actividades de planeación de la capacidad para permitir capacidad extra de la red antes de que ocurran incidentes como cuellos de botella y sobrecarga NW3.1.3 Control: Las actividades de monitoreo deben ser periódicas y debe incluir: a) el escaneo de vulnerabilidades para servidores y dispositivos de red usando productos especializados (por ejemplo, Nessus, Pingware o SATAN) b) la verificación de desactivación en los dispositivos de red de los comandos y utilitarios innecesarios c) la verificación de la existencia de redes inalámbricas no autorizadas (por ejemplo, usando productos de terceros tales como Netstumbler, KISMET y Airsnort) d) el descubrimiento de la existencia de sistemas no autorizados NW3.1.4 Control: Se deben utilizar mecanismos de detección e intrusión de manera que cubran: a) la detección de características de ataques conocidas b) un proceso para desarrollar actualizaciones periódicas al software de detección de intrusos c) la protección de los mecanismos de detección de intrusos contra ataques Página 184 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA NW3.1.5 Control: El uso de herramientas para análisis y monitoreo de la red debe estar restringido a personas autorizadas NW3.1.6 Control: Se deben revisar los reportes enviados por los proveedores de servicios para descubrir uso inusual de la red u otras facilidades de red NW3.1.7 Control: El dueño de la red debe revisar los resultados de las actividades de monitoreo y comunicarlos a los dueños de las aplicaciones e instalaciones para quienes se prestan los servicios NW3.2 NW3.2.1 Administración de cambios Control: Se debe establecer un proceso de gestión de cambios que cubra todos los tipos de cambios en la red (por ejemplo, actualizaciones de equipos de comunicaciones y software, la introducción de nuevos servicios de los proveedores de servicios y ajustes temporales o de emergencia a la red) NW3.2.2 Control: El proceso de gestión de cambios debe estar documentado e incluir: a) la aprobación de los cambios y las pruebas para asegurarse de que no pongan en peligro los controles de seguridad b) la realización de cambios y su aprobación para asegurarse de que se realizan correctamente y de forma segura c) la revisión de los cambios realizados para garantizar que no se aplican cambios no autorizados NW3.2.3 Control: Antes de que sean aplicados los cambios al ambiente productivo de la red se debe considerar: a) la documentación de las solicitudes de cambio y la aceptación por parte de las personas autorizadas b) los cambios deben ser aprobados por el representante del negocio apropiado c) se debe evaluar el impacto potencial para el negocio de los cambios a ser realizados d) los cambios deben ser probados e) los cambios deben ser revisados para garantizar que no comprometan los controles de seguridad f) se debe realizar un copia de respaldo de manera que se pueda restaurar la red después de cambios fallidos o resultados inesperados NW3.2.4 Control: Los cambios en la red deben ser: a) realizados por personal capacitado y competente b) supervisados por un especialista de la red c) aprobados por el representante del negocio apropiado Página 185 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA NW3.2.5 NW3.3 NW3.3.1 NW3.3.2 Control: Se deben establecer acuerdos para garantizar que una vez se apliquen los cambios: a) se mantiene un control de versiones b) se lleva un registro de los cambios que muestra lo que fue cambiado, cuándo y por quién c) se comunican los detalles de los cambios a las personas pertinentes d) se realizan verificaciones para confirmar que sólo se han hecho cambios autorizados e) se actualiza la documentación de la red Administración de incidentes de seguridad de la información Control: Se debe establecer y documentar un proceso de gestión de incidentes de seguridad para la red Control: El proceso de gestión de incidentes de seguridad debe incluir a) la identificación de incidentes de seguridad de la información b) la respuesta a los incidentes de seguridad de la información c) la recuperación de los incidentes de seguridad de la información d) el seguimiento de los incidentes de seguridad de la información. NW3.3.3 Control: Los incidentes de seguridad de la información deberían ser: a) reportados previamente a un contacto (por ejemplo, un servicio de asistencia, línea telefónica o equipo de especialistas de TI) b) grabados en un registro, o equivalente c) categorizados y clasificados NW3.3.4 Control: el impacto de los incidentes graves de seguridad relacionados con la red debe ser evaluado por parte de especialistas de la red, de los dueños de la red, de los dueños de las aplicaciones soportadas por la red y por parte de especialistas de seguridad de la información NW3.3.5 Control: La respuesta a incidentes de seguridad de la información relacionados con la red debe incluir: a) el análisis de la información disponible b) el manejo seguro de la evidencia necesaria c) la investigación de las causas del incidente de seguridad de la información d) la contención y erradicación del incidente de seguridad de la información Página 186 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA NW3.3.6 Control: La recuperación de los incidentes de seguridad relacionados con la red debe involucrar: a) la reconstrucción de las redes a un estado seguro antes conocido (es decir, el mismo estado que se encontraban antes del incidente de seguridad de la información) b) la restauración a partir de la información que no ha sido comprometida por el incidente de seguridad de la información c) el cierre del incidente de seguridad de la información NW3.3.7 Control: Después de la recuperación del incidente de seguridad de la información relacionada con la red se debe: a) investigar la causa y el efecto del incidente de seguridad y las correspondientes medidas de recuperación b) realizar la investigación forense si es necesario c) revisar los controles de seguridad para determinar si son adecuados d) se deben emprender las acciones correctivas para reducir al mínimo la probabilidad de ocurrencia de incidentes similares e) se deben documentar los detalles de los incidentes de seguridad de la información en un informe posterior al incidente NW3.4 NW3.4.1 Seguridad fisica Control: Se debe restringir el acceso físico a las áreas críticas de la red sólo a personas autorizadas. El personal externo (por ejemplo, consultores, contratistas, ingenieros) debe ser supervisado cuando tiene acceso a equipos de comunicaciones NW3.4.2 Control: Se debe proteger el acceso a las áreas críticas de la red de: a) las amenazas naturales (por ejemplo, incendios e inundaciones) b) las fallas de suministro de energía (por ejemplo, mediante el uso de sistemas de alimentación ininterrumpida (UPS) y baterías) c) los intrusos (por ejemplo, mediante la instalación de cerraduras en las puertas y persianas en las ventanas). NW3.4.3 Control: Los cables de red deben ser protegidos mediante: a) su instalación oculta b) sus conductos blindados c) inspecciones bloqueadas y puntos de terminación d) el enrutamiento e) evitar las rutas a través de zonas de acceso público Página 187 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA NW3.4.4 NW3.5 NW3.5.1 Control: Los puntos de acceso a la red deben ser protegidos mediante: a) la ubicación en entornos seguros b) la desactivación en el dispositivo de red hasta que se requiera Copias de respaldo Control: Las copias de respaldo de la información y el software importante se deben realizar con la frecuencia necesaria para satisfacer los requerimientos del negocio NW3.5.2 Control: Las copias de respaldo deben ser: a) realizadas utilizando un software de administración de copias para reforzar la seguridad de la información b) cifradadas para proteger la información importante c) grabados en un registro (o equivalente), que incluye detalles acerca de los datos contenidos en la copia de seguridad, la fecha y hora, y el medio utilizado d) verificadas para comprobar su restauración exitosa NW3.5.3 Control: Los acuerdos para las copias de seguridad deben permitir que la red sea restaurada dentro de los plazos críticos NW3.5.4 Control: Las copias de respaldo deben ser protegidas contra pérdida, daño y acceso no autorizado mediante: a) su almacenamiento en sitios seguros a prueba de fuego b) la disposición de copias alternas fuera de las instalaciones c) la restricción de acceso a personas autorizadas NW3.6 NW3.6.1 NW3.6.2 Continuidad del servicio Control: Se debe verificar si la continuidad de los servicios de red se incluye en los planes de contingencia de TI y en los pñanes de continuidad del negocio relacionados con las actividades apoyadas por los servicios de red Control: Se deben adoptar medidas para asegurar la prestación continua de los servicios críticos de la red en caso de una prolongada falta de disponibilidad de: a) el centro de operaciones de la red (s) b) los equipos de red críticos c) los enlaces de red en las instalaciones de la empresa d) el software de comunicaciones, los datos de control y la documentación e) el personal de la red f) los edificios, salas de equipo, energía y otros servicios vitales Página 188 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA NW3.6.3 Control: Los acuerdos de continuidad del servicio deben ser: a) documentados b) revisados por los representantes de los usuarios c) aprobados por el propietario de la red d) sujetos a un proceso de gestión del cambio e) probados periódicamente utilizando simulaciones realistas, y con la participación de personal de la red f) actualizados después de cambios importantes NW3.6.4 Control: Los generadores de copias de respaldo deben: a) estar disponibles para manejar una interrupción prolongada de energía en los equipos de comunicaciones críticas b) ser probados periódicamente NW3.7 NW3.7.1 Mantenimiento remoto Control: El acceso a la red de personas externas para fines de mantenimiento remoto debe ser administrado de manera que incluya: a) definir y acordar los objetivos y el alcance de trabajo previsto b) autorizar sesiones individuales c) restringir los derechos de acceso al mínimo necesario de acuerdo con los objetivos y el alcance del trabajo planeado d) registrar todas las actividades realizadas e) revocar los derechos de acceso y el cambio de contraseñas inmediatamente después de completar las tareas de mantenimiento f) desarrollar una revisión independiente de las actividades de mantenimiento remoto NW3.7.2 Control: Se deben proteger los puertos de diagnostico de la red implementando controles de acceso NW4 Administración de la seguridad local NW4.1 NW4.1.1 Coordinación Control: El propietario de la red debe tener la responsabilidad general de la seguridad de la información en relación con la red. Se debe nombrar uno más coordinadores locales de seguridad de la información, quienes son responsables de coordinar los acuerdos de seguridad de la información para la red y actuar como un único punto de contacto en asuntos sobre seguridad de la información Página 189 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA NW4.1.2 Control: Los coordinadores locales de seguridad deben tener: a) una buena comprensión de los roles y responsabilidades de la seguridad de la información b) suficientes conocimientos técnicos, el tiempo, las herramientas y la autoridad para llevar a cabo su rol asignado c) acceso a expertos internos o externos en seguridad de la información d) procedimientos y normas documentadas para apoyar las actividades diarias de seguridad e) información actualizada relacionada con seguridad de la información f) un canal de comunicación con la función de seguridad de la información NW4.1.3 Control: El coordinador local de la seguridad de la información debe reunirse periódicamente con el propietario de la red para examinar la situación de seguridad de la información y acordar las actividades de seguridad a ser desarrolladas NW4.2 NW4.2.1 Conciencia de seguridad Control: Se debe establecer una política de seguridad de la información para la red. El personal de la red debe ser consciente y cumplir con la política de seguridad de la información. NW4.2.2 Control: El personal de la red debe: a) participar en un programa de sensibilización de seguridad b) estar capacitado y entrenado en seguridad de la información c) ser dotado con material de sensibilización en seguridad NW4.2.3 Control: El personal de la red debe ser conciente de: a) el significado de la seguridad de la información b) la necesidad de la seguridad de la información para proteger la red c) la importancia de cumplir con las políticas de seguridad de la información y la aplicación de las correspondientes normas y procedimientos d) sus responsabilidades con relación a la seguridad de la información Página 190 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA NW4.2.4 Control: El personal de la red debe ser consciente de que está prohibido: a) el uso no autorizado de cualquier parte de la red b) el uso de la red para fines que no están relacionados con el trabajo c) hacer declaraciones sexuales, racistas que pueden ser ofensivos (por ejemplo, al utilizar el correo electrónico, mensajería instantánea, la Internet o el teléfono) d) hacer declaraciones obscenas, discriminatorias, o de acoso e) la descarga de material ilegal f) la utilización no autorizada de los componentes de la red (por ejemplo, utilizando software de terceros no autorizados o módems) g) la copia no autorizada de información o software h) la revelación de información confidencial a personas no autorizadas i) comprometer las contraseñas j) utilizar la información de identificación personal a menos que sea explícitamente autorizada k) la manipulación de evidencia en el caso de incidentes de seguridad de la información que puedan requerir la investigación forense NW4.2.5 Control: El personal de la red debe estar advertido de los peligros de ser escuchados cuando se discute sobre la información del negocio por teléfono o en lugares públicos NW4.3 NW4.3.1 NW4.3.2 NW4.3.3 Clasificación de información Control: La información transmitida sobre la red debe ser objeto de un método de clasificación de la información Control: El método de clasificación de la información debe: a) tener en cuenta el impacto potencial para la empresa de la pérdida de confidencialidad de la información b) ser utilizado para determinar distintos niveles de confidencialidad de la información Control: El método de clasificación de la información debe ser usado para clasificar: a) la información almacenada en papel (por ejemplo, contratos, planos y documentación del sistema, celebrada en forma impresa) b) la información transmitida a través de la red (por ejemplo, las transacciones comerciales, financieras, el diseño de productos detalles de clientes y archivos) c) la comunicación electrónica (por ejemplo, correo electrónico y mensajería instantánea) Página 191 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA NW4.3.4 Control: Las clasificaciones de la información asociadas con la red deben: a) aprobados por un representante del negocio b) revisadas periódicamente y cuando se realizan cambios a la red NW4.3.5 Control: Los detalles de clasificación de la información asociadas con la red deben ser registrados en: a) un inventario, o equivalente (por ejemplo, una base de datos, software especializado, o en papel) b) acuerdos con los proveedores de servicios (por ejemplo, acuerdos de nivel de servicio). NW4.3.6 Control: Los detalles de la clasificación de información deben incluir: a) la clasificación de la información (por ejemplo, altamente secreta, en confianza y pública) b) la identidad del propietario de la información c) una breve descripción de la información clasificada NW4.4 Análisis de riesgos de información NW4.4.1 Control: La red debe estar sujeta a un análisis de riesgos de información desarrollado según las normas y procedimientos para análisis de riesgos de la empresa y utilizando una metodología de análisis de riesgos NW4.4.2 Control: El análisis de riesgos de información debe tomar en consideración las aplicaciones críticas de negocio soportadas por la red y los acuerdos de nivel de servicio asociados NW4.4.3 Control: El análisis de riesgos debe involucrar: a) los propietarios de las aplicaciones críticas de negocio soportadas en la red b) el propietario de la red c) los especialistas de la red d) los principales representantes de los usuarios e) un experto en análisis de riesgos f) un especialista en seguridad de la información NW4.4.4 Control: El análisis de riesgos debe determinar los riesgos evaluando: a) el nivel del impacto potencial de las amenazas asociadas con la red b) las amenazas accidentales y deliberadas a la confidencialidad, integridad y disponibilidad de la información c) las vulnerabilidades debidas a deficiencias de control d) las vulnerabilidades debidas a las circunstancias que aumentan la probabilidad de ocurrencia de un grave incidente de seguridad de la información Página 192 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA NW4.4.5 Control: El análisis de riesgos de seguridad de la información debe tener en cuenta: a) el cumplimiento de requisitos b) los objetivos de la organización c) los requisitos de clasificación de la información d) el análisis de riesgos realizado en las instalación de computación a ser evaluados e) las características del entorno operativo de la aplicación y las instalaciones de computación y de la red a ser evaluadas NW4.4.6 Control: Se deben documentar los resultados del análisis de riesgos de información e incluir: a) una clara identificación de los principales riesgos b) una evaluación del impacto potencial para la empresa de cada riesgo c) las recomendaciones para las acciones requeridas para reducir los riesgos a un nivel aceptable. NW4.4.7 Control: El análisis de riesgos de información debe ser utilizado para ayudar: a) a seleccionar los controles de seguridad la información que reduzcan la probabilidad de ocurrencia de graves incidentes de seguridad de la información b) a seleccionar los controles de seguridad de la información que satisfagan los requisitos de cumplimiento c) a determinar los costos de la aplicación de controles de seguridad d) a evaluar las fortalezas y debilidades de los controles de seguridad e) a identificar los controles de seguridad especializados requeridos por la red NW4.4.8 Control: Los resultados del análisis de riesgos de información deberían ser: a) comunicados al dueño de la red y a la dirección b) aprobados por un representante del negocio NW4.4.9 Control: El análisis de riesgos de Información de la red debe realizarse periódicamente y antes de introducir cambios importantes en la red NW4.5 NW4.5.1 NW4.5.2 Revisiones de auditoria de seguridad Control: Las auditorias y revisiones de seguridad de la red deben ser independientes y realizarse periódicamente Control: Las auditorias y revisiones de seguridad de la red deben: a) evaluar los riesgos de negocio asociados con la red b) considerar los requisitos de seguridad de la información de las aplicaciones de negocios soportados por la red Página 193 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA NW4.5.3 Control: Las auditorias y revisiones de seguridad de la red deben evaluar la situación de los acuerdos de seguridad de la información en áreas claves (por ejemplo, la gestión de la red, gestión del tráfico, operaciones de red y gestión de la seguridad local) NW4.5.4 Control: Las revisiones y auditorias de seguridad deben ser: a) acordadas con el propietario de la red b) definidas en su alcance y documentadas c) realizadas por personas competentes y con las el suficiente conocimiento y habilidades técnicas en seguridad de la información d) llevadas a cabo con frecuencia y en profundidad (en términos de alcance y magnitud) para garantizar que los controles de seguridad funcionan según lo dispuesto e) centradas en garantizar que los controles son lo suficientemente efectivos para reducir los riesgos a niveles aceptables f) complementados por el uso de herramientas automatizadas de software g) validados por las personas competentes h) complementada por revisiones realizados por terceros independientes NW4.5.5 Control: Las auditorias y revisiones de seguridad deben ser administradas para: a)acordar con el dueño de la red los requisitos especiales para las pruebas o rutinas de procesamiento especial b) restringir el acceso a la red para el equipo de auditoria c) hacer seguimiento y registro de las actividades del equipo de auditoria d) la eliminación de la información copiada para propósitos de la auditoria tan pronto como ya no sea necesario e) la protección de las herramientas de software utilizadas en la ejecución de las auditorias f) la protección de documentos y archivos del sistema relacionados con la auditoria NW4.5.6 Control: Las recomendaciones resultantes de las revisiones y auditorias de seguridad de la red deben ser acordadas con el propietario de la red e informadas a la dirección NW5 Redes de voz NW5.1 Documentación de las redes de voz Página 194 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA NW5.1.1 Control: Se deben establecer normas y procedimientos para las redes de voz que cubran: a) el uso de los teléfonos de la empresa b) los movimientos y cambios de los teléfonos de los usuarios c) registro y autenticación de usuarios con acceso al buzón de voz d) manejo de llamadas telefónicas amenazantes y abusivas e) protección del sistema de correo de voz contra el acceso no autorizado NW5.1.2 Control: La configuración y ajustes para el intercambio de teléfonos internos deben ser soportados por documentación exacta y completa NW5.1.3 Control: Teléfonos de cable e inalámbricos deben estar documentados en un inventario actualizado NW5.2 NW5.2.1 Resiliencia de las redes de voz Control: El intercambio telefónico debe tener: a) suficiente capacidad para hacer frente a picos de trabajo b) las capacidades de expansión y actualización para hacer frente a la demanda proyectada c) las fuentes de alimentación alternativas, como las baterías para hacer frente a las breves cortes de energía d) un mecanismo de control y de seguimiento capaz de proporcionar informes sobre estadísticas de uso y el tráfico NW5.2.2 Control: El intercambio telefónico debe ser protegido para: a) duplicación de los procesadores y tarjetas de función b) bypass de emergencia, a fin de que puedan regresar a las llamadas directas c) duplicar grupos de intercambio de líneas el acceso a intercambios principales alternos operados por los proveedores de servicios f) una fuente de poder capaz de hacer frente a fallas prolongadas del suministro eléctrico NW5.2.3 Control: Se debe asegurar en los contratos de mantenimiento la reparación oportuna para los switches telefónicos, consolas de operador y los teléfonos de cableado e inalámbricos NW5.2.4 Control: Los switches críticos y las consolas de operador debe ser alojados en ambientes físicamente seguros NW5.2.5 Control: El cableado telefónico e inalámbrico debe ser etiquetado y protegido de daño accidental o interceptación Página 195 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA NW5.2.6 NW5.3 NW5.3.1 Control: Se deben llevar a cabo revisiones para garantizar que la continuidad de las comunicaciones de voz esté contempladas en: a) Los planes de contingencia de TI y los acuerdos relacionados con las instalaciones de TI accesibles por la red b) los planes de continuidad del negocio y los acuerdos asociados con las actividades de negocio apoyadas por la red Controles para las redes de voz Control: El acceso a las consolas de operador asociados con los switches debe ser restringido mediante el uso de contraseñas las cuales deben ser: a) cambiados en la instalación, para garantizar que las contraseñas por defecto establecidas por el proveedor no pueden ser explotadas por personas no autorizadas b) aplicados a los puertos de acceso utilizado para el diagnóstico remoto NW5.3.2 Control: Los cambios a la configuración de los switches telefónicos deben ser realizadas por personas autorizadas NW5.3.3 Control: Los patrones de uso del teléfono deben ser monitoreados para determinar lo adecuado de la capacidad de la central telefónica y los requisitos de personal para evitar sobrecargas del operador NW5.3.4 Control: Las facturas para las redes de voz facturas deben ser inspeccionadas para identificar patrones inusuales de uso lo que puede indicar fraude comportamiento impropio NW5.4 NW5.4.1 Redes de voz sobre IP Control: Se deben establecer y documentar normas y procedimientos para las redes de VoIP, que: a) cubran los controles generales de la red para VoIP b) Incluyan controles específicos para VoIP (por ejemplo, la separación de tráfico de voz utilizando redes virtuales de área local (LAN), el aseguramiento de dispositivos de VoIP, tales como teléfonos IP, IP PBX y routers, redes de exploración de vulnerabilidades de VoIP, encriptación sensibles del tráfico de VoIP, VoIP y monitoreo a registros de eventos de VoIP c) prohíban el uso no autorizado de la tecnología VoIP (por ejemplo, las conexiones no autorizadas a los servicios de VoIP externos, tales como Skype, utilizando un software telefónico) Página 196 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA NW5.4.2 Control: Los controles generales para la seguridad de VoIP deben incluir: a) el monitoreo del ancho de banda utilizando herramientas que son capaces de reconocer el tráfico de VoIP b) instalar los componentes de la red para proporcionar resistencia y redundancia c) implementar firewalls que pueden filtrar el tráfico de VoIP d) restringir el acceso a la red VoIP a dispositivos autorizados NW5.4.3 Control: Los controles específicos de VoIP deben incluir: a) la separación de tráfico de voz utilizando redes virtuales de área local (VLAN) b) el aseguramiento de los dispositivos de VoIP (por ejemplo, teléfonos IP, IP PBX y routers) c) la exploración de vulnerabilidades de redes VoIP d) la encriptación de tráfico VoIP sensitivo e) el monitoreo de los registros de eventos de VoIP Tabla 17: Controles de seguridad recomendados para las entidades del Grupo 3. Página 197 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 6.6. Metodología de Clasificación y Control de Activos. La consultoría elaboró el documento Metodología de Clasificación de Activos, ver documento “Entregable 3 - Anexo 1: Metodología de Clasificación de Activos”, el cual puede ser adoptado por las entidades proveedoras de servicios para la Estrategia de Gobierno en Línea. 6.7. Enfoque para la Gestión del Riesgo. La gestión del riesgo es un proceso fundamental en todo el ciclo de gestión de la seguridad de la información. Las entidades del estado, mediante la implantación del sistema integrado de gestión y control han logrado mejorar el proceso. Por lo tanto, cada entidad puede aplicar la metodología que tiene establecida. La consultoría sin embargo, elaboró una Metodología de Gestión de Riesgos propuesta, ver documento “Entregable 4 - Anexo 2: Metodología de Gestión del riesgo”, el cual puede ser utilizado por las entidades que lo requieran. 6.8. Recomendaciones Generales para la Gestión de Continuidad del Negocio. Asegurar la continuidad de los servicios de Gobierno en Línea es un requerimiento del presente Modelo de seguridad SGSI, por lo tanto, la consultoría elaboró una Guía para la Gestión de Continuidad del Negocio, ver documento “Entregable 4 - Anexo 3: recomendaciones generales continuidad negocio para las entidades del estado”. Adicionalmente, el ICONTEC generó la guía técnica GTC 176, Sistema de Gestión de Continuidad del Negocio, para establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorar, un sistema de gestión de la continuidad del negocio (SGCN). Estas guías se constituyen en apoyo y consejo para asegurar la continuidad de los servicios y trámites de Gobierno en Línea en las entidades públicas y privadas. 6.9. Definición del Sistema de Gestión Documental Para orientar a las entidades en la implementación de la gestión documental para el Modelo de seguridad de la información SGSI, se elaboró el siguiente cuadro resumen, basado en los requisitos de documentación de la Norma Técnica Colombiana NTC-ISO/IEC 27001 y de la Norma Técnica de Calidad para la Gestión Pública NTCGP 1000:2004: Página 198 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA CONTENIDO DEL SGSI La documentación del Modelo SGSI debe incluir: • El alcance del SGSI • La declaración documentada de la política y objetivos del SGSI • Los procedimientos y controles que apoyan el SGSI • La descripción de la metodología de evaluación de riesgos • El informe de evaluación de riesgos resultante de aplicar la metodología de evaluación de riesgos a los activos de información de los servicios de Gobierno en Línea • El plan de tratamiento de riesgos • Los registros del SGSI (tener en cuenta el requisito 4.2.4 de la norma NTCGP 1000:2004) • La declaración de aplicabilidad (SOA) que contiene los objetivos de control y los controles contemplados por el SGSI, basado en los resultados de los procesos de evaluación y tratamiento de riesgos, justificando inclusiones y exclusiones. CONTROL DE DOCUMENTOS Se debe establecer un procedimiento que defina las acciones de gestión necesarias para: • Aprobar los documentos antes de su publicación. • Revisar y actualizar los documentos cuando sea necesario y aprobarlos nuevamente. • Asegurar que se identifican los cambios y el estado de revisión actual de los documentos. • Asegurar que las versiones más recientes de los documentos pertinentes están disponibles en los puntos de uso. Página 199 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA • Asegurar que los documentos permanecen legibles y fácilmente identificables. • Asegurar que los documentos estén disponibles para quienes los necesiten y que se apliquen los procedimientos pertinentes de acuerdo con su clasificación, para su transferencia, almacenamiento y disposición final. • Asegurar que los documentos de origen externo estén identificados. • Asegurar que la distribución de documentos esté controlada. • Prevenir el uso no intencionado de documentos obsoletos y aplicarles una identificación adecuada en el caso de que se mantengan por cualquier razón. • Identificar e implementar las disposiciones legales aplicables sobre el control de documentos (Ley 594 de 2000). CONTROL DE REGISTROS Se deben controlar los registros de acuerdo con los siguientes requisitos: • Los registros deben establecerse y mantenerse para proporcionar evidencia de la conformidad con los requisitos así como de la operación eficaz, eficiente y efectiva del SGSI • Los registros deben permanecer legibles, fácilmente identificables y recuperables. • Se debe establecer un procedimiento documentado para la identificación, almacenamiento, protección, recuperación, tiempo de retención y disposición de los registros acorde con las disposiciones legales vigentes sobre la materia, por ejemplo, la Ley 594 de 2000. • Se deben llevar registros del desempeño de los procesos, y de todos los casos de incidentes de seguridad significativos relacionados con el SGSI. Página 200 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 6.10. Recomendaciones para la Implementación del Modelo de Seguridad de la Información Para una efectiva implementación del modelo de seguridad de la información para la Estrategia de Gobierno en Línea, se recomienda tener en cuenta los siguientes factores críticos de éxito que plantea la norma ISO27002, los cuales son aplicables para este contexto y se presentan a continuación: 6.10.1. Apoyo por parte de la Alta Dirección La Alta Dirección de la entidad es quién debe liderar el proceso de implantación y mejora continua del SGSI en cada entidad. Teniendo en cuenta que los riesgos que se intentan minimizar mediante un SGSI son, en primera instancia, riesgos para el negocio, es la Alta Dirección quien debe tomar decisiones sobre estos y su tratamiento o aceptación. Además, la implantación del modelo SGSI implicará cambios de mentalidad, de sensibilización, de procedimientos y planes de acción a corto, mediano y largo plazo. La Alta Dirección es la única responsable de apoyar y facilitar la implementación, gestión y mejora del Modelo SGSI en la entidad. Sin el apoyo decidido de la Alta Dirección, no es posible la implantación exitosa del Modelo de Seguridad de la Información para la Estrategia de Gobierno en Línea en la entidad. 6.10.2. Compromiso de la Alta Dirección La Alta Dirección de cada entidad debe comprometerse con el establecimiento, implementación, operación, monitoreo, revisión, mantenimiento y mejora del modelo SGSI propuesto. Para ello, debe tomar las siguientes iniciativas: • Establecer y apoyar la política de seguridad de la información. • Asegurarse de que se establecen objetivos y planes del SGSI en su entidad. • Establecer roles y responsabilidades de seguridad de la información. • Comunicar a la organización tanto la importancia de lograr los objetivos de seguridad de la información y de cumplir con la política de seguridad, como sus responsabilidades legales, contractuales y la necesidad de mejora continua. • Asignar suficientes recursos al Modelo SGSI en todas sus fases. • Decidir los criterios de aceptación de riesgos y sus correspondientes niveles. Página 201 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA • Asegurar que se realizan auditorias internas (seguimiento) y externas (autoridades de vigilancia y control). • Realizar revisiones periódicas al Modelo SGSI. • Asignación de recursos: Para el correcto desarrollo de todas las actividades relacionadas con el Modelo SGSI, es imprescindible la asignación de recursos. Es responsabilidad de la alta dirección garantizar que se asignan los suficientes para: 6.10.3. o Establecer, implementar, operar, monitorear, revisar, mantener y mejorar el Modelo SGSI. o Garantizar que los procedimientos de seguridad de la información apoyan los requerimientos de seguridad para la Estrategia de Gobierno en Línea. o Identificar y tratar todos los requerimientos legales y normativos, así como las obligaciones contractuales de seguridad. o Aplicar correctamente todos los controles implementados, manteniendo de esa forma la seguridad adecuada. o Realizar revisiones cuando sea necesario y actuar adecuadamente según los resultados de las mismas. o Mejorar la eficacia del SGSI donde sea necesario. Formación y sensibilización La formación y la sensibilización en seguridad de la información son elementos básicos para el éxito del Modelo SGSI para la Estrategia de Gobierno en Línea. Por ello, la alta dirección de cada entidad deberá asegurar que todo el personal de su organización, al que se le asignen responsabilidades definidas en el Modelo SGSI, esté suficientemente capacitado y culturizado. Se deberá: • Determinar las competencias necesarias para el personal que realiza tareas en la implementación del Modelo SGSI. • Satisfacer dichas necesidades por medio de formación o de otras acciones como, p. ej., contratación de personal ya capacitado. • Evaluar la eficacia de las acciones realizadas. • Mantener registros de estudios, formación, habilidades, experiencia y calificación. Además, la alta dirección debe asegurar que todo el personal relevante esté sensibilizado de la importancia de Página 202 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA sus actividades para la seguridad de la información y de cómo contribuye a la consecución de los objetivos del Modelo SGSI y por ende, a los de la organización. 6.10.4. Revisión (Auditorias) del SGSI A la alta dirección de la organización se le asigna también la tarea de, al menos una vez al año, revisar el Modelo SGSI, para asegurar que continúe siendo adecuado y eficaz y demuestre evolución. Para ello, debe recibir una serie de informaciones, que le ayuden a tomar decisiones, entre las que se pueden enumerar: • Resultados de auditorias y revisiones del Modelo SGSI. • Observaciones de las partes interesadas. • Técnicas, productos o procedimientos que pudieran ser útiles para mejorar el rendimiento y eficacia del SGSI. • Información sobre el estado de acciones preventivas y correctivas. • Vulnerabilidades o amenazas que no fueran tratadas adecuadamente en evaluaciones de riesgos anteriores. • Resultados de las mediciones de eficacia / métricas de seguridad. • Estado de las acciones iniciadas a raíz de revisiones anteriores de la alta dirección. • Cualquier cambio que pueda afectar al SGSI. • Recomendaciones de mejora. Basándose en toda esta información, la alta dirección debe revisar el cumplimiento actual del Modelo SGSI y tomar decisiones y acciones relativas a: • Mejora de la eficacia del SGSI –mejora de la madurez de los controles. • Actualización de la evaluación de riesgos y del plan de tratamiento de riesgos. • Modificación de los procedimientos y controles que afecten a la seguridad de la información, en respuesta a cambios internos o externos en los requisitos normativos, requerimientos de seguridad, procesos de negocio, marco legal, obligaciones contractuales, niveles de riesgo y criterios de aceptación de riesgos. Página 203 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA • Necesidades de recursos, implementación de controles recomendados. • Apoyar la implementación del plan de acción. • Disponer de políticas, objetivos y actividades de seguridad que reflejen la función misional de las entidades. • Disponer de un enfoque y un marco de trabajo para implementar, mantener, monitorear y mejorar la seguridad de la información, que sean consistentes con la cultura de la organización. Apoyarse en el software de auto-evaluación para identificar aspectos por mejorar. • Asegurar soporte y compromiso visibles en toda la organización. • Asegurar un buen entendimiento de los requisitos de seguridad de la información apoyándose en metodologías para gestión de riesgos. Las entidades del estado disponen de la Guía de Administración de Riesgos del DAFP. Existe la norma técnica NTC 5244 Gestión del riesgo. Adicionalmente, la presente consultoría pone a disposición el documento: “Entregable 4, Anexo 2: Metodología de gestión del riesgo”. En el documento “Diagnóstico de la Situación Actual” se identifican otros documentos que se relacionan con la gestión de riesgos. • Realizar un mercadeo eficaz de la seguridad de la información para todos los directores, empleados y otras partes para lograr la sensibilización adecuada. • Distribuir guías sobre la política y las normas de seguridad de la información para todos los directores, empleados y otras partes. • Obtener provisión de fondos para las actividades de gestión de seguridad de la información. • Mantener programas continuos y adecuados de formación, educación y sensibilización. Apoyarse en el material de capacitación y sensibilización entregado por la presente consultoría (ver documento “Capacitación y sensibilización para el Modelo de Seguridad”. • Establecer un proceso eficaz para la gestión de incidentes de seguridad de la información. Se dispone de la guía técnica GTC 169 Gestión de Incidentes de Seguridad de la Información. Así mismo, apoyarse en el CSIRT para una efectiva respuesta a incidentes (ver documento “Diseño de un CSIRT Colombiano”). • Implementar un sistema de medición para evaluar el desempeño en la gestión de seguridad de la información y retroalimentar sugerencias para la mejora. Apoyarse en el software de autoevaluación, así como en guías internacionales tales como el documento NIST SP 800-55 Performance Measuring Guide For Information Security. Por otra parte, la implementación de la seguridad de la información en los servicios de Gobierno en Línea requiere que se contemplen los requisitos de seguridad desde la fase de inicio de la concepción Página 204 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA del servicio. Se recomienda tener en cuenta los siguientes pasos, adoptados del documento eGovernment Strategy Framework Policy and Guidelines19: • Desarrollo del concepto del servicio. Se identifican los elementos claves del servicio y cómo se va a prestar el servicio. Se identifican los dominios de seguridad que intervienen en la prestación del servicio (dominio del cliente, dominio de los servicio de Gobierno en Línea, dominio del prestador de servicios de Internet, etc.). Se identifican los requisitos de seguridad para el servicio basado en un análisis y evaluación de riesgos. Se evalúa si el concepto de servicio es posible desde la perspectiva de seguridad. Se considera qué tan bien trabajará el servicio con otros servicios de Gobierno en Línea. • Especificación de los requisitos del servicio y revisión del cumplimiento. La revisión detallada de los requisitos de seguridad se realiza paralelamente con el desarrollo y revisión de las especificaciones del servicio. Esta fase incluye un examen detallado de la información y la prestación de servicios activos, y un análisis de las amenazas y las vulnerabilidades. Los niveles de riesgo se determinan mediante la evaluación del impacto de amenazas tales como: la apropiación indebida de identidad del mundo real20; la apropiación indebida de identidad electrónica21 o credenciales de acceso; el incumplimiento de los compromisos contraídos; la divulgación de información privada; las fallas accidentales del servicio y / o de infraestructura; un ataque electrónico malicioso o involuntario. Se deben incluir requisitos para la retención y almacenamiento seguro de la información y cumplimiento de reglamentación vigente. • Diseño, implementación y pruebas del servicio. El diseño, la implementación y prueba de los requisitos de seguridad se realiza paralelamente al diseño, implementación y prueba del servicio. El diseño de la seguridad debe tener en cuenta la mitigación de riesgos seleccionando los controles más apropiados, limitando la arquitectura de manera que cubra sólo los servicios requeridos, se evalúe el riesgo residual y se consideren más controles hasta que el riesgo residual sea aceptable. La implementación del servicio incluye: el desarrollo y configuración de las medidas de seguridad, el establecimiento de los procesos de seguridad para el funcionamiento y la gestión del servicio incluyendo la auditoria y rendición de cuentas, el desarrollo y aprobación de la documentación de seguridad, la elaboración y aprobación de las guías para el manejo de la información asociada con el servicio específico, el desarrollo de declaraciones de seguridad y consejo para los clientes del 19 http://www.govtalk.gov.uk/policydocs/policydocs_document.asp?docnum=649 último acceso 08/12/05 20 Identidad del mundo real: conjunto de atributos (nombre, fecha de nacimiento, cedula de ciudadanía) que permite identificación única entre usuarios. 21 Identidad electrónica: conjunto de atributos (nombre de usuario, identificador de certificado digital) que identifica a un único usuario en un sistema de computador. Página 205 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA servicio. Las pruebas de seguridad incluyen la comprobación de que la configuración del sistema es compatible con la política de seguridad. • Aceptación del servicio. Paralelo a la aceptación del servicio se realiza una acreditación de seguridad. • Prestación del servicio. Se debe garantizar la fiabilidad y disponibilidad del servicio en el mantenimiento rutinario del software. Se deben realizar auditorias periódicas para evaluar la efectividad de los controles e implementar las mejoras solicitadas. Se debe garantizar que se tenga en cuenta la seguridad en los cambios incrementales en el servicio. • Cierre del servicio. Se debe asegurar que los activos de información se transfieren a un nuevo servicio o se destruyen o se almacenan de forma segura de conformidad con las políticas específicas del servicio. Página 206 de 207 INFORME FINAL – MODELO DE SEGURIDAD DE LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 7. ANEXOS Página 207 de 207