ENTREGABLES 3, 4, 5 y 6: INFORME FINAL – MODELO DE

Anuncio
ENTREGABLES 3, 4, 5 y 6: INFORME FINAL – MODELO DE SEGURIDAD DE
LA INFORMACIÓN – SISTEMA SANSI - SGSI MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE
GOBIERNO EN LÍNEA
ÁREA DE INVESTIGACIÓN Y PLANEACIÓN
© República de Colombia - Derechos Reservados
Bogotá, D.C., Diciembre de 2008
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
FORMATO PRELIMINAR AL DOCUMENTO
Título:
INFORME FINAL –MODELO DE SEGURIDAD DE LA INFORMACIÓN –
SISTEMA SANSI – SGSI -MODELO DE SEGURIDAD DE LA
INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA
Fecha elaboración
aaaa-mm-dd:
26 – Diciembre – 2008
Sumario:
Palabras Claves:
CORRESPONDE A LOS ENTREGABLES 3, 4, 5 y 6: SISTEMA DE
GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN - DISEÑO DEL
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA
DE GOBIERNO EN LÍNEA
Sistema Administrativo, Modelo de Seguridad, Arquitectura Institucional,
Ciclo PHVA, C-SIRT, Gestión de Seguridad Informática, SGSI, mejores
prácticas, ISO, CobIT, madurez
Formato:
Dependencia:
Código:
Lenguaje:
Castellano
Investigación y Planeación
Versión:
3
Estado:
Categoría:
Autor (es):
Equipo consultoría Digiware
Revisó:
Juan Carlos Alarcon
Aprobó:
Ing. Hugo Sin Triana
Firmas:
Información Adicional:
Ubicación:
Página 2 de 207
Documento para
revisión por parte del
Supervisor del
contrato
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
CONTROL DE CAMBIOS
VERSIÓN
0
1
FECHA
02/12/2008
04/12/2008
No. SOLICITUD
RESPONSABLE
Ing. Jairo Pantoja M.
Equipo del proyecto
2
17/12/2008
Ing. Jairo Pantoja M.
3
26/12/2008
Ing. Fabiola Parra
DESCRIPCIÓN
Sistema SANSI para el Modelo de Seguridad de la Información
Revisión interna conjunta equipo consultoría Digiware
Actualización según discusiones internas del equipo de trabajo en
cuanto a las funciones de los entes participadores del SANSI
Modelo SGSI para el Sistema SANSI –Controles
Página 3 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
TABLA DE CONTENIDO
1.
AUDIENCIA ...............................................................................................................................................................10
2.
INTRODUCCIÓN........................................................................................................................................................11
3.
MARCO DE REFERENCIA -SISTEMA DE GESTIÓN EN SEGURIDAD DE LA INFORMACIÓN -SGSI ...............................12
3.1. SEGURIDAD DE LA INFORMACIÓN .................................................................................................................................12
3.2. ISO (INTERNATIONAL ORGANIZATION FOR STANDARDIZATION).........................................................................................12
3.3. ESTÁNDAR ................................................................................................................................................................13
3.4. ICONTEC...................................................................................................................................................................13
3.5. NORMA ISO27001 ...................................................................................................................................................14
3.5.1. SERIE ISO27000 ...................................................................................................................................................14
3.5.2. RELACIÓN DE LA NORMA ISO27001 CON OTROS ESTÁNDARES DE SEGURIDAD DE LA INFORMACIÓN ....................................15
3.6. SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN -SGSI..................................................................................15
3.6.1. BENEFICIOS DE LA IMPLANTACIÓN DE UN SGSI ............................................................................................................16
3.6.2. JUSTIFICACIÓN DE LA IMPLEMENTACIÓN DE UN SGSI....................................................................................................16
4.
COMPONENTES PRINCIPALES DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN –SGSI .......18
5.
ESTRUCTURA INSTITUCIONAL..................................................................................................................................21
5.1. INTRODUCCIÓN .........................................................................................................................................................21
5.2. SISTEMA ADMINISTRATIVO NACIONAL DE SEGURIDAD DE LA INFORMACIÓN -SANSI.............................................................22
5.3. COMISIÓN NACIONAL DE SEGURIDAD DE LA INFORMACIÓN ..............................................................................................24
5.4. GRUPO TÉCNICO DE APOYO ........................................................................................................................................30
5.4.1. DIRECCIÓN NACIONAL DE SEGURIDAD DE LA INFORMACIÓN ..........................................................................................31
5.5. RELACIONES DE DESARROLLO EMPRESARIAL CON ENTIDADES PÚBLICAS Y PRIVADAS .............................................................35
5.6. FUNCIONES DE LOS ACTORES DEL SANSI -ENFOQUE BASADO EN EL PROCESO PHVA.............................................................35
5.6.2. MEJORA DEL SGSI..................................................................................................................................................49
5.7. SEGURIDAD APLICADA A LA COMUNIDAD – HIGIENE EN SEGURIDAD ...................................................................................49
6.
6.1.
6.2.
6.3.
MODELO DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN SGSI .........................................................................51
ALCANCE Y LÍMITES DEL SISTEMA..................................................................................................................................51
OBJETIVOS DEL SISTEMA .............................................................................................................................................53
POLÍTICA DEL SISTEMA DE GESTIÓN. .............................................................................................................................53
Página 4 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
6.4. POLÍTICAS Y OBJETIVOS DE SEGURIDAD DE LA INFORMACIÓN ............................................................................................54
6.4.1. PS1 – POLÍTICA DE CONTROL DE ACCESO ...................................................................................................................54
6.4.2. PS2 - POLÍTICA DE NO REPUDIACIÓN.........................................................................................................................56
6.4.3. PS3 - POLÍTICA DE SERVICIOS CONFIABLES ..................................................................................................................56
6.4.4. PS4 – POLÍTICA DE PRIVACIDAD Y CONFIDENCIALIDAD .................................................................................................57
6.4.5. PS5 - POLÍTICA DE INTEGRIDAD ................................................................................................................................57
6.4.6. PS6 – POLÍTICA DE DISPONIBILIDAD DEL SERVICIO .......................................................................................................58
6.4.7. PS7 – POLÍTICA DE DISPONIBILIDAD DE LA INFORMACIÓN .............................................................................................58
6.4.8. PS8 – POLÍTICA DE PROTECCIÓN DEL SERVICIO............................................................................................................59
6.4.9. PS9 - POLÍTICA DE REGISTRO Y AUDITORIA .................................................................................................................59
6.4.10. ALINEAMIENTO DE LAS POLÍTICAS DE SEGURIDAD CON NORMAS Y MEJORES PRÁCTICAS DE LA INDUSTRIA .............................60
6.5. CLASIFICACIONES DE SEGURIDAD DEL MODELO SGSI .......................................................................................................67
6.5.1. CLASIFICACIÓN DE ENTIDADES POR GRUPO O NATURALEZA DEL SERVICIO..........................................................................67
6.5.2. NIVELES DE MADUREZ DE LOS CONTROLES DE SEGURIDAD RECOMENDADOS .....................................................................69
6.5.3. REGISTRO DE SEGURIDAD DE LA INFORMACIÓN RSI - GRADUACIÓN ................................................................................70
6.5.4. CONTROLES DE DE SEGURIDAD DE LA INFORMACIÓN RECOMENDADOS POR GRUPO ...........................................................74
6.6. METODOLOGÍA DE CLASIFICACIÓN Y CONTROL DE ACTIVOS. ...........................................................................................198
6.7. ENFOQUE PARA LA GESTIÓN DEL RIESGO. ....................................................................................................................198
6.8. RECOMENDACIONES GENERALES PARA LA GESTIÓN DE CONTINUIDAD DEL NEGOCIO...........................................................198
6.9. DEFINICIÓN DEL SISTEMA DE GESTIÓN DOCUMENTAL ....................................................................................................198
6.10. RECOMENDACIONES PARA LA IMPLEMENTACIÓN DEL MODELO DE SEGURIDAD DE LA INFORMACIÓN .....................................201
6.10.1. APOYO POR PARTE DE LA ALTA DIRECCIÓN .............................................................................................................201
6.10.2. COMPROMISO DE LA ALTA DIRECCIÓN ...................................................................................................................201
6.10.3. FORMACIÓN Y SENSIBILIZACIÓN ............................................................................................................................202
6.10.4. REVISIÓN (AUDITORIAS) DEL SGSI ........................................................................................................................203
Página 5 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
LISTA DE FIGURAS
ILUSTRACIÓN 1: RELACIÓN ENTRE AMENAZAS – ACTIVOS – RIESGOS – CONTROLES .......................................................................................... 17
ILUSTRACIÓN 2: PUNTOS IMPORTANTES PARA LA DECLARACIÓN DE APLICABILIDAD -SOA. TOMADO DE ESTRATEGIAS CLAVE PARA LA IMPLANTACIÓN DE
ISO 27001, POR KK MOOKHEY Y KHUSHBU JITHRA. ........................................................................................................................... 19
ILUSTRACIÓN 3: PRINCIPALES COMPONENTES DE UN SGSI. DERECHOS RESERVADOS ANDRÉS VELÁSQUEZ.
[email protected] ............................................................................................................................................... 20
ILUSTRACIÓN 4: SISTEMA ADMINISTRATIVO NACIONAL DE SEGURIDAD DE LA INFORMACIÓN -SANSI....................................................... 23
ILUSTRACIÓN 5: COMISIÓN NACIONAL DE SEGURIDAD DE LA INFORMACIÓN ............................................................................................. 24
ILUSTRACIÓN 6: ESTRUCTURA GRUPO TÉCNICO DE APOYO............................................................................................................................. 31
ILUSTRACIÓN 7: CICLO DE VIDA PHVA PARA EL SISTEMA ADMINISTRATIVO NACIONAL DE SEGURIDAD DE LA INFORMACIÓN Y SUS ACTORES
................................................................................................................................................................................................. 36
ILUSTRACIÓN 8: CICLO P-H-V-A. IMPLANTACIÓN Y GESTIÓN DE UN SISTEMA SGSI. COPYRIGHT © 2007 ISECT LTD. WWW.ISO27001SECURITY.COM . 37
ILUSTRACIÓN 9: GESTIÓN DE RIESGOS........................................................................................................................................................ 42
ILUSTRACIÓN 10: ESTRUCTURA DEL MODELO DE SEGURIDAD ......................................................................................................................... 44
ILUSTRACIÓN 11: CMM NIVELES DE MADUREZ. COBIT 4.0. IT GOVERNANCE INSTITUTE................................................................................. 70
Página 6 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
LISTA DE TABLAS
TABLA 1: RELACIÓN DE LAS POLÍTICAS Y OBJETIVOS DE CONTROL DEL MODELO DE SEGURIDAD SGSI PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA CON LAS
NORMAS Y MEJORES PRÁCTICAS DE LA INDUSTRIA. ............................................................................................................................... 67
TABLA 2: CLASIFICACIÓN DE GRUPOS SEGÚN LA NATURALEZA DE LA ENTIDAD..................................................................................................... 68
TABLA 3: CLASIFICACIÓN DE CONTROLES SEGÚN EL GRUPO AL QUE PERTENEZCA LA ENTIDAD................................................................................. 68
TABLA 4: CONTROLES DE SEGURIDAD RECOMENDADOS PARA LAS ENTIDADES DEL GRUPO 1.................................................................................. 76
TABLA 5: CONTROLES DE SEGURIDAD RECOMENDADOS PARA EL GRUPO 2. ..................................................................................................... 129
TABLA 6: CONTROLES DE SEGURIDAD RECOMENDADOS PARA LAS ENTIDADES DEL GRUPO 3................................................................................ 197
Página 7 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
DERECHOS DE AUTOR
Este documento pertenece a la Estrategia de Gobierno en Línea del Ministerio de Comunicaciones de
Colombia, esta prohibida la reproducción total o parcial del contenido de este documento sin la
autorización expresa de la Estrategia de Gobierno en Línea.
Todas las referencias con derechos reservados.
Página 8 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
CRÉDITOS
Este documento fue generado a partir de los resultados de la consultoría llevada a cabo para el diseño del
modelo de seguridad de la información para la Estrategia de Gobierno en Línea. El desarrollo del proyecto
estuvo a cargo del grupo de consultores contratados por Gobierno en Línea y el aporte de los
responsables de la supervisión del contrato y demás grupos asesores de la Estrategia de Gobierno en
Línea.
Página 9 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
1. AUDIENCIA
La Dirección del Proyecto, entidades públicas de orden nacional y territorial y entidades privadas,
proveedores de servicios de Gobierno en Línea y la comunidad académica en general, que contribuirán con
sus comentarios, observaciones y retro-alimentación a este documento cuyo propósito es plantear las
mejores prácticas y recomendaciones para la creación del Modelo de Seguridad de la Información acorde
con los objetivos y lineamientos de la Estrategia de Gobierno en Línea.
Página 10 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
2. INTRODUCCIÓN
En esta versión final del documento, se plantea la estructura institucional recomendada que deberá tener
el modelo de seguridad de la información para la estrategia de Gobierno en Línea respaldado por los
instrumentos normativos que le permitan tener vida y ser aplicado por las diferentes entidades públicas y
privadas, incluyendo los proveedores que pertenezcan a la cadena de prestación de servicios de Gobierno
en Línea (ver documento “Instrumentos normativos proyectados”).
Como se verá en el capítulo 5, el modelo de seguridad se apoyará en un Sistema Administrativo Nacional
de Seguridad de la Información –SANSI, para que sus diferentes componentes, realicen tareas y
actividades relacionadas con el ciclo de vida propuesto para el modelo, incentiven su implementación y
mejora continua cuando sea adoptado por las entidades destinatarias.
Parte fundamental de la arquitectura institucional planteada, es la creación de un CSIRT Colombiano, para
el cual, en este proyecto, se tienen propuestos tres diferentes modelos según la naturaleza del CSIRT a
implementar: a) público -dependiendo del Ministerio de Comunicaciones, b) como Asociación sin ánimo de
lucro del sector público y c) como Asociación sin ánimo de lucro con participación Mixta (ver documento
“Diseño de un CSIRT Colombiano”).
Finalmente, este documento detalla el Modelo de gestión de seguridad de la información SGSI propiamente
dicho, que será parte de la estructura planteada y que se integrará al ciclo de vida PHVA para que, además
de ser un mecanismo de cumplimiento del modelo, le permita a las diferentes entidades destinatarias
ceñirse a sus políticas, objetivos de control y controles planteados, y de esta forma, mejorar su nivel de
seguridad de la información, para que sean competitivas y al mismo tiempo, provean mayor confianza a los
ciudadanos que hagan uso de sus productos y servicios.
Página 11 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
3. Marco de Referencia -Sistema de Gestión en Seguridad de la
Información -SGSI
3.1. Seguridad de la Información
La seguridad de la información es la preservación de los principios básicos de la confidencialidad,
integridad y disponibilidad de la misma y de los sistemas implicados en su tratamiento. Estos tres pilares se
definen1 como:
•
Confidencialidad: Acceso a la información por parte únicamente de quienes estén autorizados.
•
Integridad: Mantenimiento de la exactitud y completitud de la información y sus métodos de
proceso.
•
Disponibilidad: Acceso a la información y los sistemas de tratamiento de la misma por parte de
los usuarios autorizados cuando lo requieran.
En la seguridad de la información, no solo intervienen los aspectos tecnológicos, sino también los procesos,
los ambientes (centro de cómputo, ubicación de oficinas) y principalmente las personas.
3.2. ISO (International Organization for Standardization)
La ISO es una federación internacional con sede en Ginebra (Suiza) de los institutos de normalización de
157 países (uno por cada país). Es una organización no gubernamental (sus miembros no son delegados
de gobiernos nacionales), puesto que el origen de los institutos de normalización nacionales es diferente en
cada país (entidad pública, privada).
1 Tomado de
“Preguntas más Frecuentes, doc_faq_all.pdf pág. 9”, www.iso27000.es.
Página 12 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
La ISO desarrolla estándares requeridos por el mercado que representan un consenso de sus miembros
(previo consenso nacional entre industrias, expertos, gobierno, usuarios, consumidores) acerca de
productos, tecnologías, sistemas y métodos de gestión, entre otros. Estos estándares, por naturaleza, son
de aplicación voluntaria, ya que el carácter no gubernamental de ISO no le da autoridad legal para forzar
su implantación. Sólo en aquellos casos en los que un país ha decidido adoptar un determinado estándar
como parte de su legislación, puede convertirse en obligatorio.
La ISO garantiza un marco de amplia aceptación mundial a través de sus 3.000 grupos técnicos y más de
50.000 expertos que colaboran en el desarrollo de estándares.
3.3. Estándar
Publicación que recoge el trabajo en común de los comités de fabricantes, usuarios, organizaciones,
departamentos de gobierno y consumidores, que contiene las especificaciones técnicas y mejores prácticas
en la experiencia profesional con el objeto de ser utilizada como regulación, guía o definición para las
necesidades demandadas por la sociedad y tecnología.
3.4. Icontec2
El Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC), es un organismo de carácter
privado, sin ánimo de lucro, que trabaja para fomentar la normalización, la certificación, la metrología y la
gestión de la calidad en Colombia. Está conformado por la vinculación voluntaria de representantes del
Gobierno Nacional, de los sectores privados de la producción, distribución y consumo, el sector tecnológico
en sus diferentes ramas y por todas aquellas personas jurídicas y naturales que tengan interés en
pertenecer a él.
En el campo de la normalización, la misión del Instituto es promover, desarrollar y guiar la aplicación de
Normas Técnicas Colombianas (NTC) y otros documentos normativos, con el fin de alcanzar una economía
óptima de conjunto, el mejoramiento de la calidad y también facilitar las relaciones cliente-proveedor, en el
ámbito empresarial nacional o internacional.
ICONTEC, como Organismo Nacional de Normalización (ONN) representa a Colombia ante organismos de
normalización internacionales y regionales como la Organización Internacional de Normalización (ISO), la
2 Tomado de www.icontec.org “Quienes Somos”.
Página 13 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Comisión Electrotécnica Internacional (IEC), y la Comisión Panamericana de Normas de la Cuenca del
Pacífico (COPANT).
3.5. Norma ISO27001
Es un estándar ISO que proporciona un modelo para establecer, implementar, utilizar, monitorizar, revisar,
mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). Se basa en el ciclo de
vida PDCA (Planear-Hacer-Verificar-Actuar; o ciclo de Deming) de mejora continua, al igual que otras
normas de sistemas de gestión (ISO 9001 para calidad, ISO 14001 para medio ambiente, etc.).
Este estándar es certificable, es decir, cualquier organización que tenga implantado un SGSI según este
modelo, puede solicitar una auditoria externa por parte de una entidad acreditada y, tras superar con éxito
la misma, recibir la certificación en ISO 27001.
El origen de la Norma ISO27001 está en el estándar británico BSI (British Standards Institution) BS7799Parte 2, estándar que fue publicado en 1998 y era certificable desde entonces. Tras la adaptación
pertinente, ISO 27001 fue publicada el 15 de Octubre de 2005.
Puede consultar la historia de ISO27001 en el siguiente link:
http://www.iso27000.es/download/HistoriaISO27001.pps
3.5.1. Serie ISO27000
ISO ha reservado la serie de numeración 27000 para las normas relacionadas con sistemas de gestión de
seguridad de la información. En el 2005 incluyó en ella la primera de la serie (ISO 27001), las demás son:
•
ISO27000 (términos y definiciones),
•
ISO27002 (objetivos de control y controles),
•
ISO27003 (guía de implantación de un SGSI),
•
ISO27004 (métricas y técnicas de medida de la efectividad de un SGSI),
•
ISO27005 (guía para la gestión del riesgo de seguridad de la información) y
•
ISO27006 (proceso de acreditación de entidades de certificación y el registro de SGSI).
Página 14 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
3.5.2. Relación de la Norma ISO27001 con otros estándares de seguridad de la
Información
Existen otros estándares internacionalmente aceptados relacionados con seguridad de la información
(COBIT3, NIST4, AS/NZ43605, entre otros), que la enfocan desde diferentes puntos de vista como controles
de seguridad, buen gobierno, gestión de riesgo etc. Para este particular, se ha realizado un informe de
interrelación de estándares de seguridad recomendados y se incluye un mapa que detalla estas relaciones
tomando como pivote la mencionada norma ISO27001. Ver “Anexo 1 -Mapa de Interrelación de Estándares
de Seguridad de la Información”.
3.6. Sistema de Gestión de la Seguridad de la Información -SGSI
Un SGSI es un Sistema de Gestión de la Seguridad de la Información o ISMS por sus siglas en inglés
(Information Security Management System). Este sistema consiste de una serie de actividades de gestión
que deben realizarse mediante procesos sistemáticos, documentados y conocidos por una organización o
entidad.
3 COBIT: Los Objetivos de Control para la Información y la Tecnología relacionada (COBIT®) brindan buenas prácticas a través de un marco de trabajo de
dominios y procesos, y presenta las actividades en una estructura manejable y lógica. Las buenas prácticas de COBIT representan el consenso de los
expertos. Están enfocadas fuertemente en el control y menos en la ejecución. Estas prácticas ayudarán a optimizar las inversiones facilitadas por la TI,
asegurarán la entrega del servicio y brindarán una medida contra la cual juzgar cuando las cosas no vayan bien. El Instituto ITGI Governance Institute
(www.itgi.org) diseñó y creó esta publicación titulada COBIT® como un recurso educacional para los directores ejecutivos de información, para la dirección
general, y para los profesionales de administración y control de TI. Más información en la página www.itgi.org
4 NIST: National Institute of Standards and Technology, Elabora y promueve patrones de medición, estándares y tecnología con el fin de realzar la
productividad, facilitar el comercio y mejorar la calidad de vida. Destinados principalmente para el Gobierno de EE.UU. las fuerzas militares y el sector
comercial, pero pueden ser adaptados a cualquier contexto. Las publicaciones del NIST, son estándares concisos y claros, disponibles de forma gratuita. NIST
tiene una división especial destinada para publicaciones relacionadas en seguridad de la información: Computer Security Division –Resource Center
http://csrc.nist.gov/
5 AS/NZ4360: Norma Australiana – Neocelandesa que suministra orientaciones genéricas para la gestión de riesgos. Puede aplicarse a una gran variedad de
actividades, decisiones u operaciones de cualquier entidad pública, privada o comunitaria, grupos o individuos. Se trata de una instrucción amplia pero que
permite la definición de objetivos específicos de acuerdo con las necesidades de cada implementación. La aplicación de la norma AS/NZS 4360, le garantiza a
la organización una base sólida para la aplicación de cualquier otra norma o metodología de gestión de riesgos específica para un determinado segmento. Ver
más información en: http://www.riskmanagement.com.au/
Página 15 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
El propósito6 de un sistema de gestión de la seguridad de la información no es garantizar la seguridad –
que nunca podrá ser absoluta- sino garantizar que los riesgos de la seguridad de la información son
conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada,
sistemática, estructurada, continua, repetible, eficiente y adaptada a los cambios que se produzcan en la
organización, los riesgos, el entorno y las tecnologías.
El SGSI protege los activos de información de una organización, independientemente del medio en que se
encuentren; p. ej., correos electrónicos, informes, escritos relevantes, páginas web, imágenes,
documentos, hojas de cálculo, faxes, presentaciones, contratos, registros de clientes, información
confidencial de trabajadores y colaboradores, entre otros.
3.6.1. Beneficios de la implantación de un SGSI
Aplica una arquitectura de gestión de la seguridad que identifica y evalúa los riesgos que afectan al
negocio, con el objetivo de implantar contramedidas, procesos y procedimientos para su apropiado control,
tratamiento y mejora continua.
Ayuda a las empresas a gestionar de una forma eficaz la seguridad de la información, evitando las
inversiones innecesarias, ineficientes o mal dirigidas que se producen por contrarrestar amenazas sin una
evaluación previa, por desestimar riesgos, por la falta de contramedidas, por implantar controles
desproporcionados y de un costo más elevado del necesario, por el retraso en las medidas de seguridad en
relación a la dinámica de cambio interno de la propia organización y del entorno, por la falta de claridad en
la asignación de funciones y responsabilidades sobre los activos de información, por la ausencia de
procedimientos que garanticen la respuesta puntual y adecuada ante incidencias o la propia continuidad
del negocio, etc.
3.6.2. Justificación de la implementación de un SGSI
La información, junto a los procesos, personas y sistemas que hacen uso de ella, son activos muy
importantes dentro de una organización. La confidencialidad, integridad y disponibilidad de información
sensitiva son elementos esenciales para mantener los niveles de competitividad, rentabilidad, conformidad
legal e imagen empresarial necesarios para lograr los objetivos de la organización y asegurar beneficios
económicos.
Las organizaciones y sus sistemas de información están expuestos a un número cada vez más elevado de
amenazas que, aprovechando cualquiera de las vulnerabilidades existentes –inherentes a los activos,
pueden someter a los mismos a diversas formas de fraude, espionaje, sabotaje o vandalismo, entre
otros. Los virus informáticos, el “hacking” o los ataques de negación de servicio son algunos ejemplos
comunes y conocidos, pero también se deben considerar los riesgos de sufrir incidentes de seguridad
causados voluntaria o involuntariamente desde dentro de la propia organización o aquellos provocados
accidentalmente por catástrofes naturales y fallas técnicos.
6 Tomado de
“Preguntas más Frecuentes, doc_faq_all pág. 8”, www.iso27000.es
Página 16 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
El cumplimiento de la legalidad, la adaptación dinámica y puntual a las condiciones variables del
entorno, la protección adecuada de los objetivos de negocio para asegurar el máximo beneficio o
el aprovechamiento de nuevas oportunidades de negocio, son algunos de los aspectos
fundamentales en los que el SGSI es una herramienta de gran utilidad y de importante
ayuda para la gestión de las organizaciones.
El nivel de seguridad alcanzado por medios y controles técnicos es limitado e insuficiente. En la gestión
efectiva de la seguridad, debe tomar parte activa toda la organización apoyada por la Alta Dirección,
tomando en consideración también a clientes y proveedores de bienes y servicios. El modelo de
gestión de la seguridad debe contemplar políticas y procedimientos adecuados y la planificación e
implantación de controles de seguridad basados en una evaluación de riesgos y en una medición de la
eficacia de los mismos.
Ilustración 1: Relación entre amenazas – activos – riesgos – controles
El Modelo de gestión de seguridad de la información (SGSI) ayuda a establecer estas políticas y
procedimientos en relación a los objetivos de negocio de la organización, con objeto de mantener un nivel
de exposición siempre menor al nivel de riesgo que la propia organización ha decidido asumir.
Con un sistema SGSI, la organización conoce los riesgos a los que está sometida su información y
activos y los asume, minimiza, transfiere o controla mediante una metodología definida,
documentada y conocida por todos, que se revisa y mejora constantemente.
Página 17 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
4. Componentes Principales de un Sistema de Gestión de la Seguridad
de la Información –SGSI
De manera específica, ISO 27001 indica que un SGSI debe estar formado por los siguientes
documentos (en cualquier formato o tipo de medio):
•
Alcance del SGSI: ámbito de la organización que queda sometido al SGSI, incluyendo una
identificación clara de las dependencias, relaciones y límites que existen entre el alcance y aquellas
partes que no hayan sido consideradas (en aquellos casos en los que el ámbito de influencia del
SGSI considere un subconjunto de la organización como delegaciones, divisiones, áreas, procesos,
sistemas o tareas concretas).
•
Política y objetivos de seguridad: documento de contenido genérico que establece el
compromiso de la Alta Dirección y el enfoque de la organización en la gestión de la seguridad de la
información.
•
Estándares, Procedimientos, y Guías que soportan el SGSI: aquellos documentos y
mecanismos que regulan el propio funcionamiento del SGSI. Documentación necesaria para
asegurar la planificación, operación y control de los procesos de seguridad de la información, así
como para la medida de la eficacia de los controles implantados -Métricas.
•
Metodología de Evaluación de riesgos: descripción de la metodología a emplear (cómo se
realizará la evaluación de las amenazas, vulnerabilidades, probabilidades de ocurrencia e impactos
en relación a los activos de información contenidos dentro del alcance seleccionado), tratamiento y
desarrollo de criterios de aceptación de riesgo y fijación de niveles de riesgo aceptables.
•
Informe de evaluación de riesgos –Risk Assessment: estudio resultante de aplicar la
metodología de evaluación anteriormente mencionada a los activos de información de la
organización.
•
Plan de tratamiento de riesgos: documento que identifica las acciones de la Alta Dirección, los
recursos, las responsabilidades y las prioridades para gestionar los riesgos de seguridad de la
información, en función de las conclusiones obtenidas de la evaluación de riesgos, de los objetivos
de control identificados, de los recursos disponibles, etc.
Página 18 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
•
Registros: documentos que proporcionan evidencias de la conformidad con los requisitos y del
funcionamiento eficaz del SGSI.
•
Declaración de aplicabilidad: (SOA -Statement of Applicability-, en sus siglas en inglés);
documento que contiene los objetivos de control y los controles contemplados por el SGSI, basado
en los resultados de los procesos de evaluación y tratamiento de riesgos, justificando inclusiones y
exclusiones.
Ilustración 2: Puntos importantes para la Declaración de Aplicabilidad -SOA. Tomado de Estrategias clave
para la implantación de ISO 27001, por Kk Mookhey y Khushbu Jithra.
•
Control de la documentación: Para los documentos generados y que hacen parte del sistema
SGSI se debe establecer, documentar, implantar y mantener un procedimiento que defina las
acciones de gestión necesarias para:
La Alta Dirección debe aprobar documentos antes de su publicación.
Revisar y actualizar documentos cuando sea necesario y renovar su validez.
Garantizar que los cambios y el estado actual de revisión de los documentos están
identificados.
Garantizar que las versiones relevantes de documentos vigentes están disponibles en los
lugares de empleo.
Garantizar que los documentos se mantienen legibles y fácilmente identificables.
Página 19 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Garantizar que los documentos permanecen disponibles para aquellas personas que los
necesiten y que son transmitidos, almacenados y finalmente destruidos acorde con los
procedimientos aplicables según su clasificación.
Garantizar que los documentos procedentes del exterior están identificados.
Garantizar que la distribución de documentos está controlada.
Prevenir la utilización de documentos obsoletos.
Aplicar la identificación apropiada a documentos que son retenidos con algún propósito.
Ilustración 3: Principales componentes de un SGSI. Derechos reservados Andrés Velásquez.
[email protected]
Página 20 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
5. ESTRUCTURA INSTITUCIONAL
5.1. Introducción
Gobierno en Línea es una estrategia del Ministerio de Comunicaciones de Colombia7 establecido como una
política de estado, dirigida a contribuir con un sector productivo más competitivo, un estado moderno y
una comunidad con mayores oportunidades para el desarrollo, al aprovechar las ventajas que las nuevas
tecnologías ofrecen. La estrategia de Gobierno en Línea contribuye mediante el aprovechamiento de las
Tecnologías de la Información y las Comunicaciones -TIC, a la construcción de un Estado más eficiente,
más transparente, más participativo y en el que se presten mejores servicios a los ciudadanos y a las
empresas.
En este sentido, la Estrategia Gobierno en Línea persigue tres objetivos estratégicos:
•
Mejorar la provisión de servicios a los ciudadanos y a las empresas
•
Fortalecer la transparencia del Estado y la participación ciudadana
•
Mejorar la eficiencia del Estado
Para dar cumplimiento a sus objetivos estratégicos, la Estrategia de Gobierno en Línea está organizado por
los procesos necesarios para promover en la administración pública el aprovechamiento de las TIC, a fin de
desarrollar conjuntamente con las instituciones, y de manera gradual, servicios electrónicos dirigidos a la
ciudadanía, las empresas y el Estado.
7
Tomado de: http://www.gobiernoenlinea.gov.co/home_principal.aspx. Fecha de acceso: 2008/10/10. Publicado por el Ministerio de
Comunicaciones. Autor: No determinado.
Página 21 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Estos tres últimos aspectos se definen de la siguiente manera8;
•
Comunidad: Fomentar el uso de las Tecnologías de la Información para mejorar la calidad de vida de
la comunidad, ofreciendo un acceso equitativo a las oportunidades de educación, trabajo, justicia,
cultura, recreación, entre otros.
•
Sector Productivo: Fomentar el uso de las tecnologías de la información y las comunicaciones como
soporte al crecimiento y aumento de la competitividad, el acceso a mercados para el sector productivo,
y como refuerzo a la política de generación de empleo.
•
Estado: Proveer al Estado la conectividad que facilite la gestión de los organismos gubernamentales y
apoye la función de servicio al ciudadano.
A través de este programa, el Gobierno Nacional brindará en primera instancia, la información necesaria
para difundir el conocimiento e incentivar la apropiación de las tecnologías de la información hacia las
comunidades, de tal forma que estas, al ser quienes mejor conocen sus necesidades, intereses y
perspectivas, participen activamente en el proceso mediante la formulación de requerimientos puntuales
aplicables para su propio progreso.
5.2. Sistema Administrativo Nacional de Seguridad de la Información -SANSI
El Modelo de Seguridad de la Información para la Estrategia de Gobierno en Línea, se apoya en la creación
del Sistema Administrativo Nacional de Seguridad de la Información –SANSI, institución que le da la
facultad al Presidente de la República de conformar la Comisión Nacional de Seguridad de la Información
para tomar acciones estratégicas y definir los lineamientos que permitan la implementación, seguimiento y
mantenimiento de las políticas y controles del Modelo de Seguridad9 en cada una de las entidades públicas
de orden nacional y territorial y en las entidades privadas que pertenezcan a la cadena de prestación de
8Tomado
de: Agenda de Conectividad, CONPES 3072.
9 Modelo de Seguridad: Cabe aclarar que existen dos connotaciones para el término dentro de este documento. En los capítulos 1, 2 y 3, se hace
referencia al modelo en cuanto a que el objetivo de la consultoría es definir un modelo de seguridad como “un todo” para la estrategia de gobierno
en línea. A partir del numeral 3.2; se hace referencia al “modelo de seguridad” como un producto del sistema SANSI, entendiendo el modelo en su
definición técnica como el conjunto de políticas estratégicas que soportan los objetivos de Gobierno en Línea; estas políticas a su vez, son
soportadas por controles. Este conjunto de políticas y controles que conforman el modelo de seguridad, deberá ser implementado por cada una de
las entidades objetivo, convirtiendo a este modelo en un sistema de gestión SGSI. Para mayor información del modelo de seguridad técnico,
remitirse al capítulo número 6. Modelo SGSI.
Página 22 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
servicios de Gobierno en Línea y en las entidades privadas que provean acceso a Internet a los ciudadanos
que ingresen a los servicios de Gobierno en Línea.
Gracias a mecanismos normativos que se están planteando en el marco de esta consultoría, se podrán
sentar las herramientas para la creación del Sistema Administrativo Nacional de Seguridad de la
Información, lo cual constituye un paso muy importante para el cumplimiento de los principios definidos en
la Estrategia de Gobierno en Línea que corresponden a la "Protección de la información del individuo" y la
"Credibilidad y confianza en el Gobierno en Línea".
En particular, para lograr el cumplimiento de estos principios, se requiere que tanto los Servicios de
Gobierno en Línea como la Intranet Gubernamental y las entidades que participen en la cadena de
prestación de los servicios de Gobierno en Línea cumplan con los tres elementos fundamentales de la
Seguridad de la Información a saber: disponibilidad de la información y los servicios; integridad de la
información y los datos; y, confidencialidad de la información. Para la correcta administración de la
Seguridad de la Información, se deben establecer y mantener programas y mecanismos que busquen
cumplir con los tres requerimientos mencionados.
Es así, como producto de esta consultoría, se propone la creación del Sistema Administrativo Nacional de
Seguridad de la Información (SANSI), cuyo eje central es la Comisión Nacional de seguridad de la
Información (CNSI) (ver Ilustración 4). El SANSI surge, entonces, como un sistema institucional que reúne
a todos los actores públicos, privados, la academia y la sociedad civil involucrados en la seguridad nacional
de la información. Así mismo, incorpora el conjunto de reglas y normas que rigen las interacciones entre
estos actores.
En este sentido, el SANSI coordinará las actividades relacionadas con la formulación, ejecución,
seguimiento y mantenimiento de las políticas y lineamientos necesarios para fortalecer la adecuada gestión
de la seguridad de la información nacional:
Ilustración 4: Sistema Administrativo Nacional de Seguridad de la Información -SANSI
Página 23 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Finalmente, el Sistema Administrativo Nacional de Seguridad de la Información -SANSI, es el conjunto
sistematizado de Lineamientos, Políticas, Normas, Procesos e Instituciones que proveen y promueven la
puesta en marcha, supervisión y control del modelo de Seguridad de la Información para la Estrategia de
Gobierno en Línea.
A continuación, se detallan cada una de las características de cada uno de los actores que componen el
sistema SANSI:
5.3. Comisión Nacional de Seguridad de la Información
La Comisión Nacional de Seguridad de la Información (CNSI) es el órgano asesor del Gobierno
Nacional y de concertación entre éste, las entidades destinatarias y la sociedad civil en temas relacionados
con la seguridad de la información del país y de sus territorios, con el fin de generar credibilidad y
confianza en Gobierno en Línea protegiendo la información de las entidades y de los ciudadanos. La
Comisión apoyará al Presidente de la República en la dirección del SANSI.
Como se puede observar en la ilustración 5, el componente principal del sistema SANSI es la Comisión
Nacional de Seguridad de la Información, la cual, provee un espacio de encuentro de todos los actores
involucrados en temas de Seguridad Nacional para aprobar las políticas en materia de seguridad de
información nacional, definir el curso de acciones a seguir y hacer seguimiento para asegurar su
cumplimiento y su mantenimiento:
Ilustración 5: Comisión Nacional de Seguridad de la Información
Página 24 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
El modelo de seguridad de la información planteado obedece las directrices establecidas por la Comisión
Nacional de Seguridad de la Información, compuesta por representantes de los diferentes sectores
responsables e interesados en la seguridad nacional y cuya función es asesorar al Presidente de la
República y al Gobierno Nacional en la formulación y adopción de los lineamientos del Modelo de Seguridad
de la Información, en concordancia con los planes y programas de la Estrategia de Gobierno en Línea.
La Comisión Nacional de Seguridad de la Información, está compuesta por los siguientes miembros que
tendrán voz y voto10:
o
El Presidente de la República, quien la presidirá.
Justificación: Es el jefe de Estado, jefe del gobierno y suprema autoridad
administrativa, tiene las competencias para tomar decisiones estratégicas
relacionadas con la seguridad de la información nacional. Aprueba leyes, decretos y
actos jurídicos para dar soporte y cumplimiento al sistema SANSI.
o
El Ministro de Comunicaciones, quien ejercerá la coordinación general.
Justificación: Dado que el sistema SANSI y sus diferentes componentes son adscritos
al Ministerio de Comunicaciones, este último coordinará las actividades al interior de
la Comisión. Junto con el Director Nacional de Seguridad de la Información,
presentará los informes, las políticas, los controles y resultados del modelo de
seguridad, y sus ajustes propuestos, para que sean estudiados y sometidos a
aprobación por parte de la Comisión. Los ajustes del modelo de seguridad
aprobados por la Comisión, serán incluidos en la nueva versión del modelo a ser
implementado en el siguiente ciclo de vida del sistema SANSI.
o
El Ministro del Interior y de Justicia, como representante del gobierno.
Justificación: Jefe superior de las entidades del gobierno y legales adscritas al
ministerio. Actúa en representación del Presidente de la República en las funciones
que el le delegue o la ley le confiera. Participa en la orientación, coordinación y
control de las entidades adscritas y vinculadas pertenecientes al Sector
Administrativo del Interior y de Justicia. Formula las políticas sectoriales, planes
generales, programas y proyectos del Sector Administrativo del Interior y de
Justicia, bajo la dirección del Presidente de la República. Representa, en los asuntos
de su competencia, al Gobierno Nacional en la ejecución de tratados y convenios
10 Para la justificación de cada miembro de la Comisión, se tomaron algunas funciones que aparecen publicadas en las páginas Internet oficiales de cada
entidad.
Página 25 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
internacionales, de acuerdo con las normas legales sobre la materia. Coordina la
actividad del Ministerio, en lo relacionado con su misión y objetivos, con las
Entidades Públicas del orden nacional y descentralizado territorialmente y por
servicios, el Congreso de la República, la Rama Judicial, la Registraduría Nacional
del Estado Civil y los organismos de control. Imparte instrucciones a la Policía
Nacional para la conservación y el restablecimiento del orden público interno en
aquellos asuntos cuya dirección no corresponda al Ministro de Defensa Nacional.
Planea, coordina, formula políticas y traza directrices que orienten los rumbos del
sistema jurídico del país y del sistema de justicia. Prepara e impulsa proyectos de
ley y actos legislativos ante el Congreso de la República. Promueve dentro de las
instancias respectivas y con la colaboración de las entidades estatales competentes,
la cooperación internacional en los asuntos de su competencia.
o
El Ministro de Defensa Nacional, como responsable de la Seguridad Nacional.
Justificación: Participa en la definición, desarrollo y ejecución de las políticas de
defensa y seguridad nacionales, para garantizar la soberanía nacional, la
independencia, la integridad territorial y el orden constitucional, el mantenimiento
de las condiciones necesarias para el ejercicio y el derecho de libertades públicas, y
para asegurar que los habitantes de Colombia convivan en paz. Contribuye con los
demás organismos del Estado para alcanzar las condiciones necesarias para el
ejercicio de los derechos, obligaciones y libertades públicas. Coadyuva al
mantenimiento de la paz y la tranquilidad de los colombianos en procura de la
seguridad que facilite el desarrollo económico, la protección y conservación de los
recursos naturales y la promoción y protección de los Derechos Humanos. Orienta,
coordina y controla, en la forma contemplada por las respectivas leyes y estructuras
orgánicas, las superintendencias, las entidades descentralizadas y las sociedades de
economía mixta que a cada uno de ellos estén adscritas o vinculadas.
o
El Ministro de Comercio, Industria y Turismo, rector del desarrollo empresarial y
normalización del país, además lidera el tema de competitividad.
Justificación: Participa en la formulación de la política, los planes y programas de
desarrollo económico y social. Formula la política en materia de desarrollo
económico y social del país relacionada con la competitividad, integración y
desarrollo de los sectores productivos de bienes y servicios de tecnología para la
micro, pequeña y mediana empresa, el comercio interno y el comercio exterior.
Formula las políticas para la regulación del mercado, la normalización, evaluación de
la conformidad, calidad, promoción de la competencia, protección del consumidor y
propiedad industrial. Desarrolla la estrategia de desarrollo empresarial, de
productividad y competitividad, de Mipymes y regulación, de conformidad con los
lineamientos señalados por los Consejos Superiores de Micro y de Pequeña y
Mediana Empresa y el Ministro. Establece mecanismos permanentes y eficaces que
garanticen la coordinación y la mayor participación del sector privado. Formula y
adopta la política, los planes, programas y reglamentos de normalización. Ejerce la
coordinación necesaria para mejorar el clima para la inversión tanto nacional como
extranjera en el país y para incrementar la competitividad de los bienes y servicios
colombianos. Formula dentro del marco de su competencia las políticas relacionadas
Página 26 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
con los instrumentos que promuevan la productividad, la competitividad y el
comercio exterior.
o
El Ministro de Relaciones Exteriores, para garantizar el cumplimiento de acuerdos
internacionales.
Justificación: Dirige y coordina la estrategia de comunicación que promueva la
generación de una cultura corporativa en pro del desarrollo de la misión institucional
y que brinde apoyo y asistencia técnica en materia de comunicaciones a todas las
dependencias del Ministerio que lo requieran.
o
El Departamento Nacional de Planeación, encargado de la implantación de las
políticas, ente rector de la planeación del país.
Justificación: Coordina a todas las entidades y organismos públicos para garantizar el
debido cumplimiento y ejecución de las políticas, los programas y los proyectos
contenidos en el Plan Nacional de Desarrollo. Promueve, elabora y coordina estudios
e investigaciones atinentes a la modernización y tecnificación de la macro-estructura
del Estado. Participa en el diseño de la política para la prestación de servicios
públicos domiciliarios, a través de las Comisiones de Regulación, y promueve su
adopción por parte de las empresas de servicios públicos. Traza las políticas
generales y desarrolla la planeación de las estrategias de control y vigilancia, para la
adecuada y eficiente prestación de los servicios públicos domiciliarios. Participa en el
diseño, seguimiento y evaluación de la política para el desarrollo de la ciencia, la
tecnología y la innovación.
o
El Departamento Administrativo de Seguridad DAS, Seguridad Nacional.
Justificación: Produce la inteligencia de Estado que requiere el Gobierno Nacional y
formula políticas del sector administrativo en materia de inteligencia para garantizar
la seguridad nacional interna y externa del Estado colombiano. Participa en el
desarrollo de las políticas diseñadas por el Gobierno Nacional en materia de
seguridad. Obtiene y procesa información en los ámbitos nacional e internacional,
sobre asuntos relacionados con la seguridad nacional, con el fin de producir
inteligencia de Estado, para apoyar al Presidente de la República en la formulación
de políticas y la toma de decisiones. Coordina el intercambio de información y
cooperación con otros organismos nacionales e internacionales que cumplan
funciones afines.
o
La Superintendencia Financiera, por la Ley de Habeas Data y la inspección y control del
sector financiero.
Justificación: Propone las políticas y mecanismos que propendan por el desarrollo y el
fortalecimiento del mercado de activos financieros y la protección al consumidor
financiero. Instruye a las instituciones vigiladas y controladas sobre la manera como
deben cumplirse las disposiciones que regulan su actividad, fija los criterios técnicos
Página 27 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
y jurídicos que faciliten el cumplimiento de tales normas y señala los procedimientos
para su cabal aplicación, así como instruye a las instituciones vigiladas sobre la
manera como deben administrar los riesgos implícitos en sus actividades.
o
La Superintendencia de Industria y Comercio, Salvaguarda la Ley de Habeas Data.
Justificación: Vela por la observancia de las disposiciones sobre protección al
consumidor. Impone, previas explicaciones, de acuerdo con el procedimiento
aplicable, las sanciones que sean pertinentes por violación de las normas sobre
protección al consumidor, así como por la inobservancia de las instrucciones
impartidas por la Superintendencia. Fija el término de la garantía mínima presunta
para bienes o servicios. Fija requisitos mínimos de calidad e idoneidad para
determinados bienes y servicios. Asesora al Gobierno Nacional y participa en la
formulación de las políticas en todas aquellas materias que tengan que ver con la
protección al consumidor, la promoción de la competencia y la propiedad industrial
y en las demás áreas propias de sus funciones. Realiza las actividades de
verificación de cumplimiento de las normas técnicas obligatorias o reglamentos
técnicos sometidos a su control. Salvaguarda la ley de Habeas Data: Ley 1266 del
31 de diciembre de 2008.
o
Comisión de Regulación de las Telecomunicaciones –CRT, como ente regulador del
sector.
Justificación: Promueve la competencia en el sector de las telecomunicaciones.
Define los criterios de eficiencia y desarrolla los indicadores y modelos para evaluar
la gestión financiera, técnica y administrativa de las empresas de
telecomunicaciones. Prepara proyectos de ley para presentar ante el Congreso
Nacional relacionados con la prestación del servicio de telecomunicaciones. Fija las
normas de calidad que deben cumplir las empresas que prestan el servicio.
Adicionalmente, la Comisión Nacional de Seguridad de la Información podrá convocar a los
siguientes organismos para participar en las sesiones de la Comisión, cuando su presencia sea
requerida en función de los temas a tratar, los cuales tendrán voz pero no voto:
o
Fiscalía General de la Nación, como representante de la Rama Judicial y unidad
especializada en delitos de telecomunicaciones y la administración pública. Posee la
Dirección Nacional del Cuerpo Técnico de Investigación –CTI.
Justificación: Investiga los delitos, califica los procesos y acusa ante los jueces y
tribunales competentes, a los presuntos infractores de la ley penal, ya sea de oficio
o por denuncia. Posee la Dirección Nacional del Cuerpo Técnico de Investigación –
CTI, que asesora al Fiscal General en la definición de políticas y estrategias
asociadas con las funciones de Policía Judicial, en los temas de investigación
criminal, servicios forenses, de genética y en la administración de la información
técnica y judicial que sea útil para la investigación penal. Además, planea, organiza,
dirige, controla y ejecuta las funciones de Policía Judicial de la Fiscalía, organiza y
controla el cumplimiento de las políticas y estrategias de investigación, servicios
Página 28 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
forenses, de genética y de administración de la información útil para la investigación
penal en el CTI. Asesora al Fiscal General en el diseño y planeación de estrategias y
procedimientos en materia de seguridad y de comunicaciones requeridos en los
distintos niveles territoriales de la Entidad, así como también promover el
intercambio de información entre los distintos organismos de seguridad del Estado,
para la programación y el desarrollo de operaciones contra la delincuencia.
o
Procuraduría General de la Nación, como entidad de vigilancia, control y protección de
los derechos de los ciudadanos.
Justificación: La función preventiva, empeñada en “prevenir antes que sancionar”,
vigila el actuar de los servidores públicos y advierte cualquier hecho que pueda ser
violatorio de las normas vigentes, sin que ello implique coadministración o
intromisión en la gestión de las entidades estatales. La función de intervención, en
la que interviene ante las jurisdicciones Contencioso Administrativa, Constitucional y
ante las diferentes instancias de las jurisdicciones penal, penal militar, civil,
ambiental y agraria, de familia, laboral, ante el Consejo Superior de la Judicatura y
las autoridades administrativas y de policía. La intervención es imperativa y se
desarrolla de forma selectiva cuando el Procurador General de la Nación lo
considere necesario y cobra trascendencia siempre que se desarrolle en defensa de
los derechos y las garantías fundamentales de los ciudadanos. La función
disciplinaria, inicia, adelanta y falla las investigaciones que por faltas disciplinarias
se adelanten contra los servidores públicos y contra los particulares que ejercen
funciones públicas o manejan dineros del estado.
o
Superintendencia de Servicios Públicos Domiciliarios, que vela por la adecuada
prestación de los servicios a los ciudadanos.
Justificación: Vigila y controla el cumplimiento de las leyes y actos administrativos a
los que estén sujetos quienes presten servicios públicos, en cuanto el cumplimiento
afecte en forma directa e inmediata a usuarios determinados y sancionar sus
violaciones. Adelanta las investigaciones cuando las Comisiones de Regulación se lo
soliciten. Señala, de conformidad con la Constitución y la ley, los requisitos y
condiciones para que los usuarios puedan solicitar y obtener información completa,
precisa y oportuna, sobre todas las actividades y operaciones directas o indirectas
que se realicen para la prestación de los servicios públicos. Da concepto a las
Comisiones de Regulación y a los Ministerios sobre las medidas que se estudien en
relación con los servicios públicos. Efectúa recomendaciones a las Comisiones de
Regulación en cuanto a la regulación y promoción del balance de los mecanismos de
control y en cuanto a las bases para efectuar la evaluación de la gestión y
resultados de las personas prestadoras de los servicios públicos sujetos a su control,
inspección y vigilancia. Proporciona a las autoridades territoriales el apoyo técnico
necesario, la tecnología, la capacitación, la orientación y los elementos de difusión
necesarios para la promoción de la participación de la comunidad en las tareas de
vigilancia.
Página 29 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
o
Registraduría Nacional del Estado Civil, Entidad encargada de la identificación de las
personas.
Justificación: Atiende el manejo, clasificación, archivo y recuperación de la
información relacionada con el registro civil. Responde a las solicitudes de personas
naturales o jurídicas y organismos de seguridad del Estado o de la rama judicial en
cuanto a identificación, identificación de necrodactilias y demás requerimientos.
Atiende todo lo relativo al manejo de la información, las bases de datos, el Archivo
Nacional de Identificación y los documentos necesarios par el proceso técnico de la
identificación de los ciudadanos. Adopta las políticas y procedimientos para el
manejo del Registro del Estado Civil en Colombia, asegurando la inscripción
confiable y efectiva de los hechos, actos y providencias sujetos a registro.
Las funciones de la Comisión Nacional de Seguridad de la información están orientadas hacia una
metodología basada en el proceso Planear – Hacer – Verificar – Actuar de un sistema de
gestión. Para ver la información sobre las funciones de esta Comisión, remitirse al numeral 5.6.1.1.1.
5.4. Grupo Técnico de Apoyo
La Comisión Nacional de Seguridad de la información, es asesorada por el Grupo Técnico de Apoyo,
(ilustración 8), cuya función principal es definir y mantener el Modelo de Seguridad de la información a
nivel táctico y técnico especificando las políticas, objetivos de control y controles propuestos para que sean
implementados por cada una de las entidades destinatarias. El Grupo Técnico de Apoyo, somete a
consideración de la Comisión, la aprobación del Modelo de Seguridad de la Información y sus ajustes
posteriores. De esta forma, el Modelo de Seguridad de la Información para la Estrategia de Gobierno en
Línea, servirá a las entidades que no han implementado aún un Sistema de Gestión en Seguridad de la
información –SGSI basado en las mejores prácticas y estándares internacionales; y como referente para
aquellas entidades que ya cuentan con un SGSI implementado y que necesitará ser ajustado para apoyar
los servicios de la Estrategia de Gobierno en Línea.
Es el Grupo encargado de la preparación de los documentos, políticas, lineamientos y controles
recomendados que son avalados por la Comisión. Asesora a las Entidades en su implementación y
proporciona apoyo técnico y jurídico para la operatividad del modelo. Además, coordina las actividades del
portafolio de servicios en seguridad de la información (soporte especializado, capacitación, concienciación)
realizadas por el grupo CSIRT (ver documento “Diseño de un CSIRT Colombiano”).
Página 30 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Ilustración 6: Estructura Grupo Técnico de Apoyo
Las funciones del Grupo Técnico de Apoyo están orientadas hacia una metodología basada en el proceso
Planear – Hacer – Verificar – Actuar de un sistema de gestión. Para ver la información sobre las
funciones de este Grupo, remitirse a los numerales 5.6.1.1.2 (Funciones Planear) y 5.6.1.4. (Funciones
Actuar) del presente documento.
5.4.1. Dirección Nacional de Seguridad de la Información
Encabeza el Grupo Técnico de Apoyo y depende del Ministerio de Comunicaciones. Articula la Comisión
Nacional de Seguridad de la Información con el Grupo Técnico de Apoyo. Coordina las acciones tanto a
nivel técnico como jurídico, los entes policivos y lo concerniente al grupo CSIRT (ver documento “Diseño de
un CSIRT Colombiano”).
5.4.1.1.
•
Funciones de la Dirección Nacional de Seguridad de la Información
Aprobar y publicar el reporte anual de seguridad de la información en Colombia (estadísticas,
métricas, indicadores, etc.).
Página 31 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
•
Convocar expertos técnicos en seguridad de la información pertenecientes a la academia y al sector
privado, con el objeto de plantear mejoras para el modelo de seguridad de la información (MSI).
•
Coordinar acuerdos de cooperación con los entes policivos competentes para la provisión de
servicios de asistencia ante incidentes de Seguridad de la Información en las entidades. Las
siguientes son las entidades policivas contempladas:
La Policía Nacional, como parte integrante de las autoridades de la República.
Recomienda las políticas del estado en materia de seguridad de la comunidad,
estableciendo planes y responsabilidades entre las diferentes entidades comprometidas.
DAS (ver numeral 5.3. de este documento).
La Fiscalía General de la Nación –CTI (ver numeral 5.3. de este documento).
DIJIN -Dirección de Investigación Criminal, contribuye a la seguridad y convivencia
ciudadana, mediante el desarrollo efectivo de la investigación criminal judicial,
criminalística, criminológica y el manejo de la información delincuencial orientada a brindar
el apoyo oportuno a la administración de justicia.
DIPOL – Dirección de Inteligencia Policial, unidad especializada que tiene la misión de
recolectar información y producir inteligencia en relación con los actores y factores de
perturbación del orden público, la defensa y la seguridad nacional.
•
Proponer ante la Comisión, los cambios y mejoras al modelo de seguridad de la información.
•
Realizar la presentación ejecutiva anual ante la Comisión Nacional de Seguridad, con los resultados
y la evolución del modelo de seguridad en las Entidades.
•
Coordinar esfuerzos y acuerdos de cooperación con otros grupos CSIRT tanto públicos como
privados.
•
Coordinar esfuerzos y acuerdos de cooperación con las entidades de Vigilancia y Control para
realización de verificaciones y auditorias en las entidades que deban cumplir con el Modelo de
Seguridad de la Información.
•
Coordinar esfuerzos y acuerdos de cooperación con entes de certificación que verifiquen el
cumplimiento adecuado del Modelo de Seguridad de la Información en las entidades.
5.4.1.2.
Grupo de Estudios Técnicos
Define los lineamientos y la política de seguridad, prepara estudios técnicos, realiza presentaciones
ejecutivas ante la Comisión, prepara el documento del Modelo de Seguridad, recibe información a nivel
de seguridad proveniente del Grupo CSIRT entre otras funciones se encuentran:
Página 32 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
•
Definir lineamientos, políticas y controles que forman parte del modelo de seguridad de la
información, los cuales deberán ser cumplidos por las Entidades (Nivel Estratégico).
•
Elaborar y publicar estudios e informes propios en materia de seguridad de la Información en
Colombia (principales amenazas, probabilidades e impactos), basados en estadísticas, métricas,
indicadores, provistos por el Grupo CSIRT y otras fuentes.
•
Analizar los reportes estregados por el Grupo CSIRT, para determinar nuevas acciones a proponer a
la Comisión Nacional de Seguridad.
5.4.1.3.
Grupo Técnico - Jurídico
Define los lineamientos normativos requeridos para la gestión de la política de seguridad de la
información. Apoyo experto en respuesta a incidentes, delito informático y ciencias forenses. Otras
Funciones:
•
Asesorar a la Dirección Nacional de Seguridad de la Información, en temas legales y técnico –
jurídicos relacionados con seguridad de la información.
•
Gestionar y aplicar el conocimiento legal en materia de Seguridad de la Información, derecho
informático, Habeas Data y ciencias forenses.
•
Proveer soporte técnico - jurídico en temas relacionados con la recopilación de pruebas forenses,
primer respondiente, capacitación y entrenamiento.
•
Diseñar el catálogo de términos de seguridad de la información, guías legales y modelos
contractuales en materia de derecho informático.
5.4.1.4.
CSIRT
El grupo CSIRT es un pilar decisivo dentro del Sistema Administrativo de Seguridad de la Información SANSI, ya que es el ente que permite dar operatividad al Modelo de Seguridad, proporcionando un
completo portafolio de servicios especializados en seguridad de la información centrado en el soporte y la
asistencia a las entidades tanto públicas como privadas, así como también, recopilando estadísticas,
indicadores y métricas en seguridad de la información para su posterior análisis y toma de decisiones por
parte de la Dirección Nacional de Seguridad de la Información.
Para mayor información concerniente al CSIRT, ver documento “Diseño de un CSIRT Colombiano”.
5.4.1.5.
Relación con otros Órganos Técnicos
5.4.1.5.1. Autoridades de Vigilancia y Control
Tanto para el sector público como para el sector privado, la Contraloría, las
Superintendencias, la Fiscalía, la Procuraduría y los entes policivos, ejercerán
Página 33 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
las labores de vigilancia (auditoria) y validación de la implantación de las
disposiciones, lineamientos, políticas y controles relacionados con seguridad
de la información plasmada en el Modelo. Estas autoridades forman parte de
la fase VERIFICAR del ciclo PHVA del Sistema. Más información en el
numeral 5.3. de este documento.
5.4.1.5.2. Organismos de Certificación
Los organismos de certificación, son personas jurídicas (o morales) que tienen
por objeto realizar tareas de certificación: evaluar que un producto, proceso,
sistema, servicio, establecimiento o persona se ajusta a las normas,
lineamientos o reconocimientos de organismos dedicados a la normalización
nacionales o internacionales. En este caso, los organizamos verificarán que las
entidades cumplan con el Modelo de seguridad de la Información. Estos
organismos, formarán parte de la fase VERIFICAR del ciclo PHVA del
Sistema. Más información en el numeral 5.3. de este documento. Estas
Autoridades, adicionalmente, tendrán las siguientes funciones:
o
Establecer acuerdos de cooperación con el SANSI a través del Grupo Técnico
de Apoyo.
o
Realizar auditorias de cumplimiento del Modelo de Seguridad en las
entidades que lo soliciten.
o
Informar a la Dirección Nacional de Seguridad de la Información sobre las no
conformidades y observaciones relacionadas con el cumplimiento del Modelo
de Seguridad de la Información en las entidades auditadas.
5.4.1.5.3. Proveedores de Servicios Relacionados con la Seguridad de la
Información
El CSIRT como órgano coordinador de los procesos de incidentes relacionados
con la seguridad de la información, demanda la permanente relación con los
proveedores tanto nacionales como internacionales de los servicios
relacionados con la seguridad de la información, manteniendo una base de
datos actualizada y un estrecho relacionamiento para garantizar la oportuna
actuación y prevención en incidentes relacionados con la seguridad de la
información en las entidades.
5.4.1.5.4. La Academia
Definitivamente la academia deberá estar incluida no solo en los procesos de
diseño e implementación del CSIRT, sino que debe ser tenida en cuenta para
asesorar al Grupo Técnico de Apoyo y en general al Sistema SANSI ya que
son entes que poseen un amplio conocimiento y disponibilidad de
Página 34 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
información, lo cual puede permitir tener oportunidades de mejora del
sistema, sus políticas, lineamientos y controles.
5.5. Relaciones de Desarrollo Empresarial con Entidades Públicas y Privadas
Las relaciones con la industria deberán partir de una sola filosofía, promover su desarrollo, dando
visibilidad a la industria de seguridad de la información mediante un espacio (medios técnicos y humanos
altamente especializados) en el que puedan ponerse en contacto la oferta y la demanda y en el que se
colabora a impulsar la innovación del sector privado en seguridad de la información. Se da visibilidad tanto
nacional como internacional a la industria de seguridad de la información en Colombia, se analiza la
demanda y la oferta de productos/servicios de seguridad disponibles y se sensibiliza por ejemplo a la PYME
en el uso de esos servicios y productos, dinamizando de este modo la demanda.
5.6. Funciones de los actores del SANSI -Enfoque basado en el proceso PHVA
El Sistema Administrativo Nacional de Seguridad de la Información -SANSI, adopta un enfoque basado en
procesos, para establecer, implementar, operar, hacer seguimiento, mantener y mejorar el Modelo de
Seguridad de la Información para la Estrategia de Gobierno en Línea, pero esta vez no orientado hacia una
organización en particular sino a todos los actores y entidades involucradas:
Página 35 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Ilustración 7: Ciclo de Vida PHVA para el Sistema Administrativo Nacional de Seguridad de la Información y
sus Actores
Como se puede observar en la ilustración 7, se propone enfocar el Sistema Administrativo Nacional de
Seguridad de la Información SANSI hacia un sistema de Gestión auto-sostenible, que funcione eficazmente
y que tome como entradas al sistema:
•
Los instrumentos normativos para apoyar la implementación del Modelo de Seguridad,
•
Los lineamientos, requerimientos y la política del modelo de seguridad de la información para la
estrategia de Gobierno en Línea que plasmen las expectativas de seguridad de la información.
Como todo Sistema de Gestión, se recomienda que el SGSI a ser diseñado e implementado por cada una
de las entidades participantes en la cadena de prestación de servicios de Gobierno en Línea se fundamente
con base en la ISO 27001, por medio del uso del ciclo continuo PHVA (Planear – Hacer – Verificar –
Actuar):
Página 36 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Ilustración 8: Ciclo P-H-V-A. Implantación y Gestión de un sistema SGSI. Copyright © 2007 IsecT Ltd.
www.ISO27001security.com
•
Planear: establecer el SGSI.
•
Hacer: implementar y utilizar el SGSI.
•
Verificar: monitorear y revisar el SGSI.
•
Actuar: mantener y mejorar el SGSI.
A continuación, se detallan las funciones a realizar para cada uno de los actores del sistema SANSI, tanto a
alto nivel (Comisión y Grupo Técnico de Apoyo), como para las entidades destinatarias al implementar el
modelo SGSI:
Página 37 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
5.6.1.1.
FASE PLANEAR CICLO PHVA - COMISIÓN NACIONAL DE SEGURIDAD DE LA
INFORMACIÓN Y GRUPO TÉCNICO DE APOYO
A ALTO NIVEL –SANSI:
5.6.1.1.1. Funciones de la Comisión Nacional de Seguridad de la Información:
La Comisión es la máxima autoridad Nacional de Seguridad de la Información y se convierte en el
escenario ideal para que los responsables por la Seguridad Nacional discutan y articulen los planes y
estrategias de acción para garantizar adecuadamente la seguridad de la información nacional a través
del Modelo de Seguridad para la Estrategia de Gobierno en Línea. Así mismo, permitirá la aprobación
de políticas, acciones y controles a ser implementados por las entidades destinatarias para fortalecer su
postura en seguridad de la información, permitiendo de esta forma, generar confianza y proteger
adecuadamente la información de los ciudadanos.
Reuniones: Por convocatoria del Ministro de Comunicaciones que actuará como Coordinador General,
la Comisión, sesionará de manera ordinaria una (1) vez al año, y de manera extraordinaria con la
frecuencia necesaria para el cabal cumplimiento de su agenda de trabajo.
Funciones Fase Planear Ciclo PHVA:
•
Apoyar y divulgar a alto nivel la seguridad de la información nacional, el modelo de seguridad, sus
políticas y controles
•
Aprobar y generar los instrumentos normativos pertinentes para viabilizar la implementación del
modelo de seguridad en las entidades destinatarias
•
Tomar decisiones estratégicas para el SANSI y el modelo de seguridad
•
Impulsar, mantener y mejorar el SANSI y el modelo de seguridad
•
Estudiar los cambios y ajustes propuestos para el modelo de seguridad
•
Presentar propuestas al Gobierno Nacional para la adopción de medidas relacionadas con el
mejoramiento de la seguridad de la información
•
Asesorarse de grupos técnicos de apoyo para tener una adecuada coherencia a nivel técnico de los
temas de seguridad de la información y en consecuencia, mejorar el desempeño de sus
responsabilidades.
La Comisión Nacional de Seguridad de la Información ejercerá adicionalmente las siguientes funciones:
Página 38 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
•
Establecer los lineamientos del Sistema Administrativo Nacional de Seguridad de la Información y
aprobar el Modelo de Seguridad de la Información en concordancia con los planes y programas de
desarrollo tecnológico del país y de la Estrategia de Gobierno en Línea.
•
Apoyar la articulación de las iniciativas y acciones que se adelanten en las diferentes entidades
públicas y privadas relacionadas con Seguridad de la Información.
•
Aprobar el Modelo de Seguridad de la Información (MSI) que incluya las políticas, objetivos y
controles; la metodología de medición y seguimiento de Indicadores de seguridad; la revisión
periódica del estado de cumplimiento del Modelo.
•
Aprobar los mecanismos normativos recomendados por el Grupo Técnico de Apoyo a través del
Grupo Técnico - Jurídico, los cuales permitan el cumplimiento e implementación del modelo por
parte de la Entidades.
•
Aprobar las nuevas versiones del modelo de seguridad de la información (MSI) para la Estrategia
de Gobierno en Línea, a ser cumplido por parte de las Entidades destinatarias.
•
Presentar propuestas al Gobierno Nacional para la adopción de medidas tendientes a lograr el
mejoramiento de la seguridad de la información a nivel nacional en el sector público y privado.
•
Estudiar los temas que propongan sus miembros en relación con los objetivos de la Comisión.
•
Crear los comités técnicos de apoyo que considere necesarios para el mejor desempeño de sus
responsabilidades.
•
Disponer la formación de comités consultivos o técnicos, integrados por el número de miembros
que determine, para que asesoren técnicamente a la Comisión Nacional de Seguridad de la
Información en determinados asuntos.
•
Presentar propuestas al Gobierno Nacional para la adopción de medidas tendientes a lograr el
mejoramiento de la seguridad de la información del país, de las entidades y de los ciudadanos.
•
Proponer acciones para la modernización de las entidades destinatarias y generar normas que
mejoren el estado actual de la seguridad de la información.
•
Propender por el desarrollo de una cultura e higiene de seguridad de la información como factor
determinante para mejorar el estado actual de la seguridad de la información de las entidades y de
los ciudadanos.
•
Las demás inherentes al cumplimiento de los objetivos del Sistema Administrativo Nacional de
Seguridad de la Información.
Página 39 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
5.6.1.1.2.
Funciones del Grupo Técnico de Apoyo
Fase Planear Ciclo PHVA:
•
Plantear las políticas y controles que componen el Modelo de Seguridad de la información
•
Coordinar tareas al interior del grupo relacionadas con acuerdos de cooperación con diferentes
entidades.
•
Proveer el soporte técnico para asesorar adecuadamente a la Comisión.
A NIVEL DE LAS ENTIDADES DESTINATARIAS –SGSI (ver ilustración 8):
Funciones Fase Planear Ciclo PHVA:
1. Obtener Soporte de la Alta Dirección: El apoyo de la Alta Dirección – Gerencia de la entidad es
vital para el éxito de la implementación del sistema SGSI.
2. Establecimiento del SGSI: La alta dirección debe definir el alcance y límites del SGSI en términos
de la estrategia de Gobierno en Línea: procesos de negocio, áreas, servicios. No es necesario
que el SGSI abarque toda la organización, puede empezar por un proceso o área y avanzar
paulatinamente cubriendo mas procesos o áreas.
3. Realizar un inventario de activos: La organización debe realizar un levantamiento de información
orientado a los activos que soportan los procesos de negocio que componen el alcance del
SGSI, es decir, que activos soportan los sistemas de información y aplicaciones, que a su vez,
soportan los procesos de negocio de la entidad.
La herramienta de Autoevaluación11, presenta un formulario de ingreso de información para que
el responsable por parte de la entidad, identifique los activos que están dentro del alcance del
SGSI y a sus responsables directos, denominados propietarios. Adicionalmente, calificará el
grado de criticidad o importancia de cada activo en relación con el apoyo al modelo de
seguridad de la información para la Estrategia de Gobierno en Línea. Esta calificación la
11 Ver mayor información de la herramienta de auto-evaluación en el documento: “Entregable 7 –Sistema Autoevaluación”.
Página 40 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
realizará la entidad en la herramienta seleccionando en un rango de 1 a 5 donde 1 es una
criticidad muy baja, 2 criticidad baja, 3 criticidad media, 4 criticidad alta y 5 criticidad muy alta.
4. Realizar la evaluación del riesgo en seguridad: Una vez el levantamiento de información de los
activos parte del alcance del SGSI está realizado, se debe hacer la evaluación del riesgo
asociado a dichos activos, especificando las áreas de preocupación, amenazas, vulnerabilidades,
escenarios de riesgo, probabilidad de ocurrencia de la amenaza e impacto si llega a
materializarse la amenaza a los activos que soportan los sistemas de información, aplicaciones y
en consecuencia, los procesos de negocio o áreas parte del alcance. La entidad puede hacer uso
de cualquier metodología de gestión, evaluación y análisis del riesgo que considere conveniente,
no hay necesidad de usar una específica, lo importante es que tenga los elementos
recomendados en la norma ISO27001. Como parte de la presente consultoría, se entrega un
documento con la metodología de evaluación del riesgo propuesta. Ver documento “Entregable
4 - Anexo 2: Metodología de gestión del riesgo”. De igual forma, existen metodologías de
gestión del riesgo recomendadas como la AS/NZ4360, la ISO27005:2008 y la SP800-30 (del
instituto NIST http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf).
5.a. Preparar y elaborar la Declaración de Aplicabilidad (o en sus términos en inglés: Statement of
Agreement –SOA): Cada entidad, según su naturaleza, y objetivos de negocio, seleccionará cuales
de los dominios y objetivos de control de las normas ISO27001/27002 aplican y no aplican para su
entidad. Para los seleccionados como “No Aplica”, la entidad deberá justificar detalladamente la
exclusión; además, deberá tener en cuenta:
•
Los objetivos de control y controles seleccionados y los motivos para su elección;
•
Los objetivos de control y controles que actualmente ya están implantados;
•
La exclusión de cualquier objetivo de control y controles deberán estar
justificados apropiadamente.
El modelo de Seguridad para la Estrategia de Gobierno en Línea, propone un listado de políticas,
objetivos de control y controles, producto de un análisis detallado de las normas internacionales
recomendadas como la (ISO27001/27002, CobIT, NIST, AS/NZ4360)12 y que en un mayor grado,
apoyan los objetivos de la Estrategia de Gobierno en Línea. Ver numeral 6.5. de este documento
para mayor información.
Por medio de la Herramienta de Auto-evaluación, el usuario designado por cada entidad revisará los
dominios y objetivos de control propuestos en la interfaz de la herramienta para que luego de un
análisis interno con la Alta Dirección de su Entidad, seleccione cuales aplica y cuáles no. Para los
que excluya, deberá digitar y adjuntar (la herramienta podrá permitir ingresar anexos) toda la
12 Para mayor información ver numeral 3.5.2. de este documento.
Página 41 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
información relevante y detallada justificando el por qué de esta decisión. Al finalizar, deberá
aceptar que la aplicación envíe el informe de “Declaración de Aplicabilidad” a Gobierno en Línea.
Con esta información, Gobierno en Línea o quién esta delegue, analizará la información, verificará si
las justificaciones cumplen y para cualquier inquietud, se comunicará con el encargado de cada
entidad para obtener aclaraciones con respecto a la Declaración de Aplicabilidad de la entidad. Una
vez este proceso se haya cumplido, Gobierno en Línea activará la aplicación para que el encargado
diligencie la información relacionada con los controles. El proceso de validación del SOA por parte
de Gobierno en Línea es un mecanismo que permitirá detectar posibles omisiones involuntarias/no
justificadas con suficiencia. Ver mayor información de la herramienta de auto-evaluación en el
documento: “Entregable 7 –Sistema Autoevaluación”.
5.b. Preparar y realizar el Plan de Tratamiento del Riesgo: Una vez la entidad ha definido el alcance
del SGSI, y la Declaración de Aplicabilidad (SOA); a través de la herramienta de autoevaluación,
deberá revisar los controles propuestos y responder si los tiene implementados y en que grado de
madurez. Si no los tiene implementados, a través de la herramienta, la entidad especificará las
acciones, prioridades, recursos, responsables y fecha de compromiso para la implementación de los
controles, lo que consistirá en el Plan de Tratamiento del Riesgo, ya que la entidad se compromete
a mitigar los riesgos en seguridad de la información implementando dichos controles
recomendados. La entidad también podrá elegir si trasfiere el riesgo a terceros (p. ej., compañías
aseguradoras o proveedores de outsourcing) o lo asume, en cuyo caso, deberá dejar constancia de
la alta dirección justificando esta decisión, lo cual deberá también estar detallado en la herramienta
para que Gobierno en Línea sea notificado de esta decisión.
Ilustración 9: Gestión de Riesgos
Página 42 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
5.6.1.2.
FASE HACER CICLO PHVA – ENTIDADES DESTINATARIAS
Las Entidades públicas y privadas, y las Organizaciones que hagan parte de la cadena de prestación
de servicios en Línea, deberán implementar y operar (fase HACER del ciclo PHVA) la política, las
recomendaciones y los controles definidos en el modelo para dar cumplimiento a la normatividad, a
los requerimientos y expectativas definidos, elementos que a su vez, les permitirán ser más
competitivos y ofrecer mejores y más seguros servicios para proveer mayor confianza a los
ciudadanos que hagan uso de sus servicios y productos. Deberán tener las siguientes funciones:
•
Tomar el Modelo de Seguridad de la Información como Referente.
•
Establecer comunicación con el CSIRT y los entes policivos para efectos de obtener soporte en
el manejo de incidentes de seguridad de la información.
•
Acorde con la naturaleza de los servicios provistos por la entidad, clasificarse en uno de los
grupos de entidades destinatarias en los que se divide el Modelo SGSI para la estrategia de
Gobierno en Línea. Ver numeral 6.5. de este documento para mayor información.
•
Implementar y operar la política, los objetivos de control y los controles recomendados de
acuerdo con grupo en el que se encuentre la entidad para dar cumplimiento al Modelo SGSI, ver
mayor información en el numeral 6.5 del presente documento.
•
Alimentar, actualizar y usar las recomendaciones e indicadores generados por la herramienta de
auto-evaluación13 para mejorar su nivel de cumplimiento con el Modelo y por ende, su postura
en seguridad de la información.
Funciones Fase HACER – Entidades destinatarias – Modelo SGSI (ver ilustración 8):
Con relación a las actividades puntuales de implementación del Modelo SGSI, las entidades
destinatarias deberán:
13 La herramienta de auto-evaluación, se provee como un sub-producto de la presente consultoría. El objetivo de esta herramienta, es ayudar a las entidades a
implementar el Modelo de Seguridad, presentándoles, según el grupo en el que la entidad de clasifique, las políticas y controles recomendados para que sean
implementados en caso que no existan. Al final, la herramienta realizará cálculos de indicadores de seguridad basándose en los controles alimentados por la
entidad, permitiéndole a esta última, conocer el estado actual de cumplimiento del modelo y comparar su estado con el de otras entidades del mismo grupo.
Para mayor información sobre la herramienta de auto-evaluación, favor remitirse a documento “Entregable 7 –Sistema de Auto-evaluación”.
Página 43 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
6 y 7. Implementar el Modelo SGSI: Las entidades deberán implementar las políticas, objetivos de
control y controles relacionados en el Plan de Tratamiento del riesgo aprobado por parte de la alta
dirección de cada entidad según las fechas estipuladas en el plan. Cualquier cambio o modificación
al plan, deberá ser notificado a Gobierno en Línea a través de la herramienta de autoevaluación.
8 y 9. Definir una política de seguridad que apoye los objetivos estratégicos de Gobierno en Línea,
ver numeral 6.3. Política del Sistema de Gestión. A su vez, esta política deberá ser apoyada por:
•
Políticas y Objetivos de Seguridad de la Información, ver numeral 6.4. de este
documento.
•
Esté aprobada por la alta dirección.
•
La política de seguridad tendrá la siguiente estructura básica:
Políticas
Objetivos de Control
Controles
Justificación
Ilustración 10: Estructura del Modelo de Seguridad
Es decir, la política de seguridad que apoya la Estrategia de Gobierno en Línea, es respaldada por
objetivos de control, que son las áreas de cumplimiento a las que las entidades destinatarias deben
ceñirse. Para materializar este cumplimiento al interior de cada entidad, se han definido una serie
de controles asociados a cada objetivo de control para que las entidades los verifiquen e
implementen si no lo han hecho. En caso que la entidad decida no implementarlo (por que no es su
naturaleza, por presupuesto, etc.), deberá justificar detalladamente la excepción. Ver mayor
información en el numeral 6.4. de este documento.
La Estrategia de Gobierno en Línea apoyará simultáneamente a las entidades en cuanto a:
•
Implementar programas de formación y sensibilización en relación a la seguridad de la información
para las entidades destinatarias y para la comunidad en general.
•
A través del Grupo Técnico de Apoyo, Gobierno en Línea gestionará las operaciones del Modelo de
Seguridad SGSI a través de la interfaz de la herramienta de auto evaluación (en modo de
administración). Este administrador, apoyará a las entidades y aclarará sus dudas con respecto al
modelo y su implementación, entre otras funciones.
•
Gobierno en Línea implantará procedimientos y controles que permitan una rápida detección y
respuesta a los incidentes de seguridad en las entidades a través del portafolio de servicios del
CSIRT y su modelo de negocios (ver documento “Diseño de un CSIRT Colombiano”).
Página 44 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
5.6.1.3.
FASE VERIFICAR – Entidades destinatarias, Organismos de certificación y
autoridades de vigilancia y control
En la fase VERIFICAR del ciclo PHVA, en el que se realizará la revisión y seguimiento de la
implementación y cumplimiento del Modelo de Seguridad tomarán parte:
A ALTO NIVEL –SANSI:
•
Los Organismos de certificación que promoverán el cumplimiento del modelo de seguridad
otorgando certificaciones para incentivar a las entidades que evidencien una gestión efectiva del
mismo, realizando los correctivos y mejoras propuestos por el sistema y la revisión del mismo.
Estos Organismos, podrán ser llamados por las entidades para que realicen dichas auditorias. Los
organismos de certificación tendrán que ser proveedores autorizados por el SANSI para prestar
servicios de auditoria y certificación del modelo de seguridad.
•
Las autoridades de vigilancia y control como la Contraloría, así como también las
Superintendencias y comisiones auditarán y revisarán el cumplimiento del modelo de seguridad
SGSI por parte de las entidades. Estas autoridades:
o
Determinarán si las acciones realizadas para resolver las brechas de seguridad de
la información encintradas fueron efectivas.
o
Revisar regularmente la efectividad del Modelo SGSI, atendiendo al cumplimiento
de la política, objetivos y revisión de los controles de seguridad, los resultados de
auditorias de seguridad – herramientas de vulnerabilidad automatizadas,
incidentes, resultados de los indicadores, sugerencias y observaciones de todas
las partes implicadas.
o
Medir la efectividad de los controles para verificar que se cumple con los
requisitos de seguridad, para esto se tendrá una visión orientada a niveles de
madurez.
o
Revisar regularmente en intervalos/periodos planificados, los riesgos residuales y
sus niveles aceptables, teniendo en cuenta los posibles cambios que hayan
podido producirse en las entidades, la tecnología, los objetivos y procesos
misionales, las amenazas identificadas, la efectividad de los controles
implementados y el ambiente -requerimientos legales y obligaciones
contractuales, entre otros.
o
Realizar periódicamente auditorias del Modelo SGSI en intervalos planificados.
Las siguientes son entidades con competencias para realizar las revisiones:
Contraloría General de la República, máximo órgano de control fiscal del Estado. Como tal,
tiene la misión de procurar el buen uso de los recursos y bienes públicos y contribuir a la
Página 45 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
modernización del Estado, mediante acciones de mejoramiento continuo en las distintas
entidades públicas.
Superintendencia financiera (ver numeral 5.3. de este documento).
Superintendencia de industria y comercio (ver numeral 5.3. de este documento).
Superintendencia de servicios públicos domiciliarios (ver numeral 5.3. de este documento).
Comisión de Regulación de Telecomunicaciones (ver numeral 5.3. de este documento).
A NIVEL DE LAS ENTIDADES DESTINATARIAS – Modelo SGSI (ver ilustración 8):
10. Las entidades Públicas y Privadas realizarán su auto-evaluación del nivel de cumplimiento del
modelo a través de la herramienta de Autoevaluación:
•
Realizar periódicamente auditorias y verificaciones internas de cumplimiento del Modelo de
Seguridad.
•
Apoyarse en organismos de certificación que acrediten el cumplimiento del Modelo de
Seguridad (opcional).
•
Someterse a la auditoria a realizar por parte de las autoridades de vigilancia y control.
•
Cada entidad deberá revisar periódicamente el Modelo SGSI implementado para garantizar
que el alcance definido sigue siendo el adecuado y que las mejoras en el proceso del SGSI
son evidentes.
•
Cada entidad deberá actualizar sus planes de seguridad en función de las conclusiones y
nuevos hallazgos encontrados durante las actividades de seguimiento y revisión.
•
Con relación a la herramienta de autoevaluación:
La herramienta de autoevaluación, mostrará el porcentaje de cumplimiento a partir de
los controles implementados, los porcentajes de riesgo a partir de los controles no
implementados, el porcentaje de aceptación del riesgo a partir de los controles no
tratados, fecha de implementación – periodo y responsable de implementación.
Cada control podrá ser calificado de la siguiente forma:
o
Existe -> Nivel de madurez del control (calificación 1-5)
Página 46 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
o
No existe -> Fecha de implementación y responsable (calificación = 0)
Los porcentajes serán calculados usando métodos cuantitativos para generar el nivel
de cumplimiento o % riesgo de la Entidad a partir de los controles implementados y no
implementados de la siguiente forma:
o
Porcentaje de cumplimiento = [(Sumatoria niveles de madurez de los Controles
implementados) / (sumatoria total de Controles aplicables en nivel 5 de
madurez)] x 100%
o
Porcentaje de riesgo = [(# Controles no implementados) / (# Total Controles
aplicables)] x 100%
La herramienta puede de igual forma, mostrar el nivel de cumplimiento y el nivel de
riesgo de forma cualitativa por medio de una tabla de equivalencia que clasificará a la
entidad en los siguientes niveles:
o
Porcentaje alto de cumplimiento -> nivel bajo de riesgo
o
Porcentaje medio de cumplimiento -> nivel medio de riesgo
o
Porcentaje bajo de cumplimiento -> nivel alto de riesgo
La herramienta utilizará colores para una fácil identificación y comparación de entidades
dependiendo de la calificación a nivel cualitativo con respecto al cumplimiento del
modelo y con respecto a las demás entidades.
Adicionalmente, la herramienta proporcionará gráficos generados de forma automática que
medirán la evolución o involución del modelo de seguridad de una entidad de acuerdo con las
calificaciones del periodo inmediatamente anterior, las entidades podrán ver estas gráficas,
compararse con el modelo y compararse entre ellas mismas.
5.6.1.4.
FUNCIONES FASE ACTUAR CICLO PHVA - GRUPO TÉCNICO DE APOYO –
ENTIDADES DESTINATARIAS
Finalmente, en la fase ACTUAR del ciclo PHVA, en el que se realizarán mejoras al modelo, tomarán
parte no solo las entidades destinatarias que deberán ejecutar acciones de mejora ante la autoevaluación realizada y/o las auditorias externas e internas para implementar controles de seguridad
que permitan mejorar su nivel de cumplimiento del modelo de seguridad y por ende, su postura en
seguridad de la información, sino también, tomará parte el Grupo Técnico de Apoyo para evidenciar
ajustes, nuevos controles, procesos, lineamientos y políticas que serán puestos a consideración y
aprobación por parte de la Comisión Nacional de Seguridad de la Información para que sean
parte de la nueva versión del Modelo a ser implementado en el siguiente ciclo de vida del sistema:
A ALTO NIVEL –SANSI:
Página 47 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
•
Analizar, consolidar y publicar los indicadores, métricas y estadísticas del Sistema y del
Modelo de Seguridad implementado en las entidades.
•
Proponer ante la Comisión los ajustes al Modelo de Seguridad acorde con su evolución e
implementación en las entidades destinatarias.
•
Coordinar las actividades del portafolio de servicios en seguridad de la información (soporte
especializado, capacitación, sensibilización) realizadas por el grupo CSIRT (ver documento
“Diseño de un CSIRT Colombiano”).
A NIVEL DE LAS ENTIDADES DESTINATARIAS –Modelo SGSI (ver Ilustración 8):
11. Acciones Correctivas: Mantener y mejorar el SGSI:
Las entidades destinatarias deberán regularmente:
•
Actualizar los planes de seguridad en función de las conclusiones y nuevos hallazgos
encontrados durante las actividades de seguimiento y revisión.
•
Verificar que el modelo SGSI se implanta con las mejoras identificadas.
•
Emprender acciones preventivas y correctivas adecuadas según los resultados de las
auditorias, los resultados de la revisión por la dirección y de las lecciones aprendidas de
experiencias propias y de otras entidades para lograr la mejora continúa del SGSI.
•
Asegurarse que las mejoras introducidas alcanzan los objetivos previstos.
•
Comunicar las acciones y mejoras a las partes interesadas
•
Resolver los hallazgos encontrados tanto en las auditorias internas como en las externas.
•
Mejorar los indicadores y métricas del Modelo de Seguridad de la Información, apoyándose
en la herramienta de auto-evaluación (ver documento “Entregable 7 –Sistema
Autoevaluación”, aumentando la madurez de los controles recomendadas por el Modelo de
seguridad, que son mostrados por la herramienta de auto-evaluación (ver numeral 6.5. de
este documento). Lo anterior, permitirá que las entidades evolucionen y maduren el Modelo
de Seguridad de la información, mejorando su nivel de seguridad de la información
permitiéndoles tener ventajas competitivas, entre otros beneficios.
El ciclo PHVA es un ciclo de vida continuo, lo cual quiere decir que la fase de Actuar lleva de
nuevo a la fase de Planear para iniciar un nuevo ciclo de cuatro fases. Téngase en cuenta que no es
necesario llevar una secuencia estricta de las fases, sino que, pueden haber actividades de implantación
que ya se lleven a cabo cuando otras de planificación aún no han finalizado; o que se monitoreen
controles que aún no están implantados en su totalidad.
Página 48 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
5.6.2. Mejora del SGSI:
•
El sistema SANSI y sus diferentes actores, deben mejorar continuamente la eficacia del modelo
SGSI mediante el uso de una política de seguridad de la información estratégica y orientada a los
servicios de Gobierno en Línea, los objetivos, los resultados de los análisis y resultados obtenidos
por medio de la herramienta de auto valoración, el análisis de los eventos e incidentes a los que les
ha hecho seguimiento, las acciones correctivas y preventivas y las revisiones por la Alta Dirección.
•
Ejecutar acciones correctivas para eliminar la causa de las no conformidades asociadas con los
requisitos del modelo SGSI en las entidades, con el fin de prevenir que ocurran nuevamente.
•
Ejecutar acciones preventivas para eliminar la causa de no conformidades potenciales con los
requisitos del modelo SGSI y evitar que ocurran. Las acciones preventivas tomadas deben estar
acorde con el impacto de los problemas potenciales.
5.7. Seguridad aplicada a la Comunidad – Higiene en Seguridad
El Modelo de Seguridad de la Información para la Estrategia de Gobierno en Línea apoyado a alto nivel por
el Sistema Nacional de Seguridad – SANSI, servirá como referente a las entidades destinatarias (tanto
públicas como privadas) para mejorar la seguridad de sus servicios y en consecuencia, lograr que el
ciudadano y la comunidad tengan mayor confianza al momento de realizar trámites y usar los servicios y
sistemas de las entidades del Estado y de Gobierno en Línea.
El Modelo de Seguridad contribuirá asimismo a mejorar la cultura en seguridad de la información de los
ciudadanos impulsando por medio de campañas y planes de capacitación y sensibilización, el uso correcto
de herramientas como Internet, los dispositivos y medios de almacenamiento, los computadores, entre
otros, y formulando recomendaciones, precauciones y buenos hábitos (higiene) que deben tener al hacer
uso de los mismos, dependiendo del entorno en el que se encuentren: hogar, oficina, cafés Internet, etc.
El plan de capacitación y sensibilización realizado como parte de esta consultoría (ver documento
Capacitación y sensibilización Modelo de Seguridad), refuerza los conceptos importantes a tener en cuenta
en una adecuada higiene en seguridad de la información centrándose en la comunidad y los ciudadanos:
•
Sensibilizar sobre los peligros y riesgos al hacer uso de Internet
•
Instalar software de fuentes no confiables que introduzcan vulnerabilidades a los computadores y a
los sistemas de información
•
Peligros ocasionados con el uso de sistemas operativos, navegadores de Internet y aplicaciones de
oficina desactualizados
Página 49 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
•
Carencia de controles de seguridad en los computadores que expongan al usuario a contenido
inapropiado como pornografía, racismo, etc.
•
Uso del computador de la casa para realizar asuntos laborales, lo que expone la información de las
organizaciones a nuevos riesgos
•
Exposición a robo de información personal o de trabajo a través de virus, spyware, spam, phising y
otros ataques.
Página 50 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
6. MODELO DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN SGSI
6.1. Alcance y límites del Sistema.
El Modelo de gestión de seguridad de la información para la estrategia de Gobierno en Línea se aplica a los
siguientes servicios y productos:
Servicios de Gobierno en Línea
o Información y servicios
o Portales de acceso
o Trámites en línea
o Sistemas sectoriales
o Compras públicas
o Sistemas transversales
Intranet Gubernamental
o Plataforma de inter-operabilidad (estándares y políticas, núcleo transaccional)
o Infraestructura tecnológica de comunicaciones (RAVEC)
o Infraestructura tecnológica de computación (Centro de Datos)
o Infraestructura tecnológica de contacto(Centro Interacción Multimedia)
Los participantes en la cadena de prestación de servicios de Gobierno en Línea los conforman:
o
o
o
o
o
o
o
o
o
Comité Nacional de Seguridad de la Información
Equipo Técnico de Apoyo
CSIRT
Proveedores de servicios de Gobierno en Línea(entidades públicas del orden nacional y territorial)
Proveedores de servicios de Internet (ISP)
Proveedores de servicios de acceso a Internet (Café internet, telecentros)
Proveedores de Servicios de la intranet gubernamental
Proveedores de servicios de seguridad
Clientes: Ciudadanos, funcionarios públicos, empresas
Página 51 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
El Modelo de gestión de seguridad de la información propuesto es lo suficientemente estratégico para
contemplar las diferentes fases de implementación de la Estrategia de Gobierno en Línea14:
o
o
o
o
o
Fase de Información en línea: Proveer información en línea con esquemas de búsqueda básica
(Entidades del orden nacional, EON: junio 2008, Entidades del orden territorial, EOT: noviembre
2008).
Fase de Interacción en línea: Habilitar comunicación entre ciudadanos, empresas y servidores
públicos (EON: diciembre 2008, EOT: diciembre 2009).
Fase de transacción en línea: Proveer transacciones electrónicas para la obtención de productos
y servicios (EON: diciembre 2009, EOT: diciembre 2010).
Fase de transformación en línea: Organizar servicios alrededor de necesidades de ciudadanos y
empresas a través de ventanillas únicas virtuales utilizando la intranet gubernamental (EON: junio
2010, EOT: diciembre 2011)
Fase de democracia en línea: Incentivar a la ciudadanía a participar de manera activa en la
toma de decisiones del Estado y la construcción de políticas públicas aprovechando las TIC´s (EON:
diciembre 2010, EOT: diciembre 2012).
14 Tomado de artículos 5 y 8 del decreto 1151 de 2008.
Página 52 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
6.2. Objetivos del Sistema
El objetivo principal del Modelo de gestión de seguridad de la información es mantener un ambiente
razonablemente seguro que permita proteger los activos de información que componen la estrategia de
Gobierno en Línea para asegurar credibilidad y confianza en los ciudadanos, en los funcionarios públicos,
terceras partes y en general, todos los que participan en la cadena de prestación de servicios de Gobierno
en Línea.
Como objetivos estratégicos del Modelo SGSI se plantean los siguientes:
•
Establecer una guía para manejar todos los aspectos de seguridad que afecten la estrategia de
Gobierno en Línea, su estructura de operación y gestión y todos los servicios que se derivan de la
estrategia.
•
Definir guías y lineamientos para asegurar que toda la información sensitiva que se pueda manejar
como parte de los servicios de Gobierno en Línea esté protegida contra el riesgo de divulgación
accidental o intencional, fraude, modificación, apropiación indebida, uso indebido, sabotaje o
espionaje.
•
Proteger al personal de exposiciones innecesarias en relación con el uso indebido de los recursos de
Gobierno en Línea durante el desempeño de sus funciones.
•
Proteger las operaciones de procesamiento de información de incidentes de hardware, software o
fallas de red como resultado de errores humanos por descuido o uso indebido accidental por falta
de entrenamiento y capacitación o uso indebido intencional de los sistemas y aspectos tecnológicos
que componen la infraestructura de servicios de Gobierno en Línea.
•
Asegurar la continuidad de los servicios de Gobierno en Línea mediante el establecimiento de
buenas prácticas de continuidad de negocio (ver documento “Entregable 4 - Anexo 3:
Recomendaciones generales de continuidad negocio”).
•
Proteger a las entidades del Estado que ofrecen sus servicios de Gobierno en Línea de posibles
demandas o sanciones ante un evento que comprometa la seguridad de los activos de información
o ante un desastre.
6.3. Política del Sistema de Gestión.
La Estrategia de Gobierno en Línea requiere que la información que se gestiona a través de los servicios y
trámites disponibles para los ciudadanos, funcionarios públicos y entidades públicas y privadas esté
adecuadamente asegurada con el fin de proteger los intereses públicos y nacionales, y preservar la
Página 53 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
privacidad personal (Ley 1266 de 2008 -Habeas data). Esta política, se enfoca a la protección de la
confidencialidad, integridad, disponibilidad y no repudiación de la información y servicios electrónicos que
ofrecen las entidades públicas del orden nacional y territorial en cumplimiento del decreto 1151 de 2008.
El representante legal de las entidades públicas y privadas que participan en la cadena de prestación de
servicios para la Estrategia de Gobierno en Línea, es responsable por implementar los requerimientos de
seguridad que se plantean en la política con el fin proteger la información y los activos que la procesan. El
nivel de seguridad que cada entidad debe implementar para proteger la información y los servicios de la
Estrategia de Gobierno en Línea, debe corresponder a un proceso de análisis y evaluación de riesgos.
La gestión del riesgo es un requerimiento del Modelo SGSI. Este proceso se ha fortalecido en las entidades
públicas como resultado de la implantación del sistema integrado de gestión y control MECI y del sistema
de gestión de la calidad NTC GP 1000:2004 para las entidades públicas.
El Modelo de gestión de seguridad de la información para la estrategia de Gobierno en Línea es
complementario con los sistemas de calidad, control interno y desarrollo administrativo. Es posible, para
una entidad, adaptar su(s) sistema(s) de gestión y control existente(s) para que cumplan con los requisitos
de este modelo. En la implementación del modelo de seguridad, se debe tener especial cuidado en la
identificación de los elementos comunes, para evitar que se dupliquen esfuerzos.
6.4. Políticas y Objetivos de Seguridad de la Información
Las políticas de seguridad que se plantean en este documento, se basan en un análisis estratégico acorde
con cada una de las fases de la Estrategia de Gobierno en Línea. Estas políticas representan directrices
generales de alto nivel que deben ser adoptadas por todos los participantes en la cadena de prestación de
servicios durante las fases de la evolución de la Estrategia de Gobierno en Línea.
Para asegurar el cumplimiento de las políticas de seguridad para Gobierno en Línea, se establecieron
objetivos de control asociados a cada política:
6.4.1. PS1 – Política de Control de Acceso
Las entidades que provean servicios de Gobierno en Línea que requieran mayor nivel de seguridad como
resultado de un análisis y evaluación del riesgo, deben implementar mecanismos y controles que aseguren
un efectivo registro, identificación y autenticación de los clientes y usuarios de dichos servicios. Así mismo,
deben implementar mecanismos y controles que aseguren el acceso bajo el principio del menor privilegio,
necesario para realizar únicamente las labores que a cada cliente o usuario de dichos servicios
corresponden. Igualmente, se deben implementar controles para realizar una efectiva administración de
usuarios y derechos de acceso.
Objetivos de Control:
Página 54 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
PS1.1 Otorgar acceso a servicios que requieren mayor nivel de seguridad o que involucran medios de
pago sólo para usuarios autorizados. Se requiere limitar el acceso solo para usuarios identificados
y autenticados apropiadamente.
PS1.2 Otorgar los mínimos privilegios de acceso a servicios que requieren mayor nivel de seguridad. Se
requiere minimizar el daño potencial causado por usuarios autorizados lo cual implica establecer
segregación de funciones para separar usuarios de los servicios y usuarios con roles
administrativos.
PS1.3 Otorgar acceso a servicios que requieren mayor nivel de seguridad condicionado a la presentación
de un token de acceso15 expedido por un tercero en representación de la entidad de gobierno
proveedora del servicio. Se debe fortalecer el control de acceso para las transacciones que
requieran mayor nivel de seguridad.
PS1.4 Otorgar acceso a servicios que requieren mayor nivel de seguridad condicionado a la presentación
de información que soporte la identidad del individuo que requiere el acceso y sus credenciales de
autenticación. Se debe implementar la autenticación personal más allá de la posesión del token.
PS1.5 Otorgar privilegios de acceso a servicios de Gobierno en Línea sólo cuando se satisfaga la
verdadera identidad del usuario, es decir que el usuario sea quien realmente dice que es y no esté
registrado bajo otra identidad con un acceso legítimo. Se debe prevenir la creación de múltiples
identidades. Un usuario puede tener múltiples roles con respecto a los servicios de Gobierno en
Línea pero solo puede poseer una única identidad.
PS1.6 Otorgar acceso a los usuarios sobre los servicios y o activos necesarios para soportar el servicio
específico requerido. Se deben fortalecer los controles de acceso a nivel de objeto o aplicación, de
manera que un usuario legítimo, una vez otorgado el acceso, no pueda alterar datos no requeridos
por el servicio solicitado.
PS1.7 Implementar una administración efectiva de los derechos de acceso de usuarios y asignar dicha
responsabilidad al personal apropiado (administradores de accesos).
PS1.8 Implementar la vigencia de los derechos de acceso y su revocación, una vez finalice el período
asignado, o haya pérdida de las credenciales, o se detecte uso indebido de los recursos por parte
de los usuarios. Las credenciales de acceso y los tokens deben quedar inválidos ante eventos de
revocación.
15 Token de acceso: es un medio físico que un usuario posee y/o controla y lo utiliza para autenticar su identidad.
Página 55 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
6.4.2. PS2 - Política de no repudiación
Las entidades que provean servicios de transacciones electrónicas, que requieran mayor nivel de
seguridad, deben garantizar la no repudiación de las transacciones implementando mecanismos de
seguridad que permitan crear un ambiente de confianza entre los clientes (ciudadanos, funcionarios
públicos, empresas), los proveedores de servicios, los organismos de certificación y la entidad estatal, con
relación a la autenticidad, trazabilidad y no repudiación de las transacciones electrónicas.
Objetivos de Control:
PS2.1 Proveer evidencia del origen y la integridad del mensaje, es decir, se deben implementar
mecanismos en el servicio para crear una prueba de origen de manera que se pueda evitar que
una de las partes (usuario o servicio de gobierno electrónico) niegue su responsabilidad en el
envío del mensaje. Así mismo, se deben implementar mecanismos para probar si el mensaje ha
sido alterado.
PS2.2 Proveer evidencia del acuse del mensaje, es decir, se deben implementar mecanismos en el
servicio para crear una prueba de recibo y almacenarla para su recuperación posterior en caso de
una disputa entre las partes (usuario y servicio de gobierno electrónico).
PS2.3 Proveer evidencia que el servicio es proporcionado realmente por una entidad pública. Se deben
implementar credenciales del servicio y ser presentadas al cliente para la autenticación del sistema
de acceso al cliente.
PS2.4 Proveer evidencia de la fecha y hora de la transacción electrónica efectuada a través del servicio.
6.4.3. PS3 - Política de servicios confiables
Las entidades que provean servicios de transacciones electrónicas que requieran mayor nivel de
seguridad, deben implementar mecanismos que aseguren a sus clientes que los compromisos realizados
no son vulnerables a robo o fraude. Además, se deben establecer acuerdos con los clientes para que
manejen con seguridad las credenciales 16y otra información personal relevante para el servicio.
16 Credencial: conjunto de información utilizada por un usuario para establecer una identidad electrónica como parte del proceso de autenticación.
Página 56 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Objetivos de Control:
PS3.1 Asegurar que las tarjetas débito, crédito u otros instrumentos de compromiso de los clientes serán
protegidos por el servicio contra robo o fraude. Se deben implementar las tecnologías de
seguridad más apropiadas en el servicio según el nivel de seguridad requerido para conducir
transacciones electrónicas seguras.
PS3.2 Proveer evidencia de los compromisos ejecutados a través del servicio, de manera que en el
evento de una disputa, sea posible demostrar la historia de las transacciones a un auditor externo.
6.4.4. PS4 – Política de Privacidad y Confidencialidad
Los datos personales de los clientes, ciudadanos y demás información enviada a través de los servicios de
Gobierno en Línea, deben ser protegidos y manejados de manera responsable y segura.
Objetivos de Control:
PS4.1
Proveer protección adecuada de la información personal y privada contra divulgación no
autorizada cuando se transmite a través de redes vulnerables.
PS4.2 Proteger la información personal y privada de uso indebido y divulgación no autorizada cuando se
procesa y almacena dentro del dominio de implementación de los servicios de Gobierno en Línea.
6.4.5. PS5 - Política de Integridad
La información que se recibe o se envía a través de los servicios de Gobierno en Línea, debe conservar
los atributos de correcta y completa durante la transmisión, el procesamiento y el almacenamiento. Se
debe garantizar la integridad de la información.
Objetivos de Control:
PS5.1 Proteger la información que se transmite a través de redes públicas contra modificación, borrado o
repetición accidental o intencional. Se debe asegurar la fuerte integridad de las comunicaciones
para prevenir contra manipulación de datos en transito o contra pérdida y corrupción causada por
fallas de equipos y comunicaciones.
PS5.2 Proteger la información que se almacena en el dominio del cliente contra modificación accidental o
intencional. Se deben implementar mecanismos para prevenir que usuarios y atacantes manipulen
Página 57 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
la información del servicio almacenada en su estación de trabajo con el fin de obtener algún
beneficio.
PS5.3 Proteger la información almacenada dentro de los servicios de Gobierno en Línea contra
modificación o destrucción intencional por parte de atacantes externos. Se deben implementar
fuertes medidas para frustrar la alteración mal intencionada de los datos de usuarios o de
información de dominio público que puedan disminuir la confianza de los servicios. Los
proveedores de servicios tienen la obligación del debido cuidado (due care) para asegurar que la
información proporcionada a los clientes sea veraz.
PS5.4 Proteger la información trasmitida o almacenada dentro del servicio de Gobierno en Línea contra
pérdida o corrupción accidental. Se deben implementar procedimientos probados de respaldo y
recuperación de datos y asegurar que se mantienen las listas de usuarios y clientes autorizados.
6.4.6. PS6 – Política de Disponibilidad del Servicio
Las entidades que provean servicios de Gobierno en Línea deben asegurar la disponibilidad continua de
los servicios bajo su control.
Objetivos de Control:
PS6.1 Proteger los servicios de Gobierno en Línea contra daños o negación del servicio (DoS –Denial of
service) por parte de atacantes externos.
PS6.2 Proteger los servicios de Gobierno en Línea contra daños o provisión intermitente del servicio por
fallas internas de los equipos y/o redes. Se deben implementar mecanismos de redundancia y alta
disponibilidad acordes con la criticidad de la provisión continua del servicio y la capacidad para
realizar reparaciones rápidas.
PS6.3
Proteger los servicios de Gobierno en Línea contra pérdida de datos, pérdida de equipos y otros
eventos adversos. Se debe implementar un plan de continuidad del negocio (BCP –Business
Continuity Plan), para asegurar que se toman las medidas necesarias y evitar en lo posible, la
pérdida de información por ocurrencia de incidentes.
6.4.7. PS7 – Política de Disponibilidad de la Información
Las entidades que provean servicios de Gobierno en Línea, deben asegurar que los datos de los usuarios
y clientes se mantienen protegidos contra pérdida, alteración o divulgación por actos accidentales o
malintencionados, o por fallas de los equipos y/o redes.
Página 58 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Objetivos de Control:
PS7.1 Recuperar los datos personales o críticos que han sido dañados, destruidos, alterados o
modificados por acciones malintencionadas o accidentales. Se deben implementar procedimientos
de copias de respaldo y recuperación, para asegurar que exista recuperación de los datos
sensitivos y que puedan ser restaurados en el evento de una falla. También se deben implementar
mecanismos para que los datos personales no sean divulgados sin autorización expresa del dueño
de la información.
PS7.2 Recuperar la información protegida en el evento que un cliente u otro usuario no puedan suministrar
las credenciales de acceso necesarias. Se deben implementar procedimientos para recuperar
datos de usuario en el evento que un token de acceso o la contraseña se pierdan. Esto permite
soportar investigaciones de posible uso indebido del sistema.
6.4.8. PS8 – Política de Protección del Servicio
Las entidades que provean servicios de Gobierno en Línea, deben asegurar que los servicios y sus activos
de información relacionados, estén adecuadamente protegidos contra ataques externos o internos.
Objetivo de Control:
PS8.1 Proteger los sistemas de información, equipos y redes que soportan los servicios de Gobierno en
Línea contra ataques a la provisión continua y segura del servicio. Se deben asegurar los equipos
y las redes implementando medidas tales como aseguramiento de servidores, implementación de
topologías seguras de red y escaneo de vulnerabilidades. Los sistemas de información y las
aplicaciones, deben ser diseñados e implementados de manera que se minimicen las
vulnerabilidades y los ataques externos e internos se reduzcan a un nivel aceptable.
6.4.9. PS9 - Política de Registro y Auditoria
Las entidades que provean servicios de Gobierno en Línea, deben mantener y proteger los registros de
las transacciones electrónicas como evidencia para los requerimientos de las auditorias (internas o
externas) y como mecanismo para establecer responsabilidades de los clientes y usuarios.
Objetivo de Control:
PS9.1 Mantener un registro de transacciones que pueda ser requerido después del análisis de eventos
y/o incidentes. Se deben mantener registros y pistas de auditoria con el fin de establecer
responsabilidad por las transacciones, reconstruir transacciones fallidas y suministrar registros
Página 59 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
apropiados en caso de conflictos o disputas por el servicio. Debe existir trazabilidad de los
registros de transacciones según sea apropiado.
6.4.10.
Alineamiento de las políticas de seguridad con normas y mejores prácticas de
la industria
Considerando que las entidades del estado como parte del proceso de modernización de la gestión
pública se encuentran implementado el sistema de gestión integrado de control interno MECI y el sistema
de gestión de calidad NTC GP 1000:2004, se hace necesario identificar donde sea aplicable, elementos de
dichos sistemas de gestión, que permitan o faciliten la implementación de los requerimientos de seguridad
de la información del Modelo de Seguridad SGSI propuesto por esta consultoría con el fin de evitar
duplicación de esfuerzos.
Igualmente, es necesario tener presente las iniciativas de las entidades públicas y privadas encaminadas a
implementar estándares y mejores prácticas tales como: Sistema de Gestión de Seguridad de la
Información SGSI (ISO27001), Gobierno de tecnología de la información (COBIT), Prestación de Servicios
de TI (ITIL) entre otros. En ese sentido, a continuación se identifica la alineación y armonización de los
requerimientos de seguridad del presente Modelo SANSI-SGSI con dichas mejores prácticas:
Política
MECI
NTC GP 1000
ISO27001
COBIT
ITIL
4.1 g)
Identificar y
diseñar puntos
de control
sobre los
riesgos
4.2.1
Establecimiento del
SGSI literales c) al
h)
AI1.2 Reporte de
análisis de riesgos
SO 4.5
Administración del
acceso
SANSI-SGSI
PS1 - Política de
Control de
Acceso
1.1 Ambiente de
control
1.3 Administración
del riesgo
2.1 Actividades de
Control
2.2.3 sistemas de
Información
5 Roles y
responsabilidades
5.6.2 h)
Riesgos
actualizados e
identificados
para la entidad
A11.1 Requisito del
negocio para el
control de acceso
A.11.2 Gestión del
acceso de usuarios
A.11.3
Responsabilidades
de los usuarios
A.11.4 Control de
DS5.2 Plan de
seguridad de TI
DS5.3
Administración de
identidad
DS5.4
Administración de
cuentas del
usuario
DS5.7 Protección
de la tecnología
SO 5.3
Administración de
mainframe
SO 5.4
Administración y
soporte de
servidores
SO 5.5
Administración de
la red
SO 5.7
Administración de
Página 60 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
acceso a las redes
de seguridad
bases de datos
A.11.5 Control de
acceso al sistema
operativo
DS5.8
Administración de
llaves
criptográficas
SO 5.8
Administración de
servicios de
directorio
DS5.10 Seguridad
de la red
SO 5.10
Administración del
middleware
A.11.6 Control de
acceso a las
aplicaciones y a la
información.
A.11.7 Computación
móvil y trabajo
remoto
DS5.11
Intercambio de
datos sensitivos
SO 5.11
Administración de
Internet y servicios
web
A.12.1 Requisitos
de seguridad de los
sistemas de
información
A.12.3 Controles
criptográficos
PS2 - Política de
no repudiación
1.3 Administración
del riesgo
2.2.3 sistemas de
Información
4.1 g)
Identificar y
diseñar puntos
de control
sobre los
riesgos
5.6.2 h)
Riesgos
actualizados e
identificados
para la entidad
4.2.1
Establecimiento del
SGSI, literales c)al
h)
A 10.9 Servicios de
comercio
electrónico
A12.1 Requisitos de
seguridad de los
sistemas de
información
A.12.3 Controles
criptográficos
AC6 Autenticidad
e integridad de las
transacciones
SO 5.10
Administración del
middleware
AI2.4 Seguridad y
disponibilidad de
las aplicaciones.
SD 3.6.1 Diseño
de las soluciones
del servicio
DS5.7 Protección
de tecnologías de
seguridad
SD 5.2
Administración de
información y
datos
DS5.8
Administración de
llaves
criptográficas
DS5.11
Intercambio de
datos sensitivos
DS11.6
Requerimientos de
seguridad para
administración de
datos
Página 61 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
PS3 - Política de
servicios
confiables
1.3 Administración
del riesgo
2.2.3 sistemas de
Información
4.1 literal g)
Identificar y
diseñar puntos
de control
sobre los
riesgos
5.6.2 h)
Riesgos
actualizados e
identificados
para la entidad
4.2.1
Establecimiento del
SGSI, literales c)al
h)
A 10.9 Servicios de
comercio
electrónico
A12.1 Requisitos de
seguridad de los
sistemas de
información
A.12.3 Controles
criptográficos
AC6 Autenticidad
e integridad de las
transacciones
SO 5.10
Administración del
middleware
AI2.4 Seguridad y
disponibilidad de
las aplicaciones.
SD 3.6.1 Diseño
de las soluciones
del servicio
DS5.7 Protección
de tecnologías de
seguridad
SD 5.2
Administración de
información y
datos
DS5.8
Administración de
llaves
criptográficas
DS5.11
Intercambio de
datos sensitivos
DS11.6
Requerimientos de
seguridad para
administración de
datos
PS4 - Política de
privacidad y
confidencialidad
1.1 Ambiente de
control
1.3 Administración
del riesgo
2.1 Actividades de
Control
2.2.3 sistemas de
Información
5 Roles y
responsabilidades
4.1 subnumeral
g) Identificar y
diseñar puntos
de control
sobre los
riesgos
5.6.2 h)
Riesgos
actualizados e
identificados
para la entidad
A.10.2 Gestión de la
prestación del
servicio por terceras
partes
A.10.6 Gestión de la
seguridad de las
redes
A.10.8 Intercambio
de la información
A10.9 Servicios de
Comercio
Electrónico
A.11.1 Requisito del
negocio para el
control de acceso
A.11.2 Gestión del
Página 62 de 207
AC6 Autenticidad
e integridad de las
transacciones
SO 4.5
Administración del
acceso
PO2.3 Esquema
de clasificación de
datos
SO 5.3
Administración de
mainframe
PO3.4 Estándares
tecnológicos
SO 5.4
Administración y
soporte de
servidores
PO6.2 Riesgo
Corporativo y
Marco de
Referencia de
Control Interno de
TI
AI1.2 Reporte de
análisis de riesgos
SO 5.5
Administración de
la red
SO 5.6
Almacenamiento y
archivo
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
acceso de usuarios
A.11.3
Responsabilidades
de los usuarios
A.11.4 Control de
acceso a las redes
A.11.5 Control de
acceso al sistema
operativo
A.11.6 Control de
acceso a las
aplicaciones y a la
información.
A.11.7 Computación
móvil y trabajo
remoto
A.12.1 Requisitos
de seguridad de los
sistemas de
información
A.12.3 Controles
criptográficos
AI2.3 Control y
auditabilidad de
las aplicaciones
SO 5.7
Administración de
bases de datos
AI2.4 Seguridad y
disponibilidad de
las aplicaciones.
SO 5.8
Administración de
servicios de
directorio
DS11.1
Requerimientos
del negocio para
administración de
datos
SO 5.10
Administración del
middleware
DS5.2 Plan de
seguridad de TI
SO 5.11
Administración de
Internet y servicios
web
DS5.3
Administración de
identidad
DS5.4
Administración de
cuentas del
usuario
DS5.7 Protección
de la tecnología
de seguridad
DS5.8
Administración de
llaves
criptográficas
DS5.10 Seguridad
de la red
DS5.11
Intercambio de
datos sensitivos
DS11.1
Requerimientos
del negocio para
administración de
datos
DS11.2 Acuerdos
de
almacenamiento y
conservación
DS11.3 Sistema
Página 63 de 207
SD 3.6.1 Diseño
de las soluciones
del servicio
SD 5.2
Administración de
información y
datos
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
de administración
de librerías de
medios
DS11.4
Eliminación
DS11.5 Backup y
restauración
DS11.6
Requerimientos de
seguridad para
administración de
datos
PS5 - Política de
integridad
1.3 Administración
del riesgo
2.2.3 sistemas de
Información
4.1 literal g)
Identificar y
diseñar puntos
de control
sobre los
riesgos
5.6.2 h)
Riesgos
actualizados e
identificados
para la entidad
4.2.1
Establecimiento del
SGSI, literales c)al
h)
AC4 Integridad y
validez del
procesamiento de
datos
A 10.9 Servicios de
comercio
electrónico
AC6 Autenticidad
e integridad de las
transacciones
A12.1 Requisitos de
seguridad de los
sistemas de
información
PO6.2 Riesgo
Corporativo y
Marco de
Referencia de
Control Interno de
TI
A.12.3 Controles
criptográficos
AI1.2 Reporte de
análisis de riesgos
AI2.3 Control y
auditabilidad de
las aplicaciones
AI2.4 Seguridad y
disponibilidad de
las aplicaciones.
DS11.1
Requerimientos
del negocio para
administración de
datos
DS5.2 Plan de
seguridad de TI
Página 64 de 207
SD 3.6.1 Diseño
de las soluciones
del servicio
SD 5.2
Administración de
información y
datos
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
DS5.8
Administración de
llaves
criptográficas
DS11.1
Requerimientos
del negocio para
administración de
datos
DS11.6
Requerimientos de
seguridad para
administración de
datos
PS6 - Política de
disponibilidad
del servicio
1.3 Administración
del riesgo
2.2.3 sistemas de
Información
4.1 literal g)
Identificar y
diseñar puntos
de control
sobre los
riesgos
5.6.2 h)
Riesgos
actualizados e
identificados
para la entidad
4.2.1
Establecimiento del
SGSI, literales c)al
h)
A.10.3
Planificación y
aceptación del
sistema
DS3 Administrar el
desempeño y la
capacidad
SO 4.1
Administración de
eventos
DS4 Garantizar la
continuidad del
servicio
SD 4.3
Administración de
la capacidad
SD 4.4
Administración de
la disponibilidad
A12.1 Requisitos de
seguridad de los
sistemas de
información
SD 4.4.5.2
Actividades de
administración de
la disponibilidad
A.14.1 Aspectos
de seguridad de la
información, de la
gestión de la
continuidad del
negocio.
SD 4.5
Administración de
la continuidad del
servicio
SO 5.2.3 Copia de
respaldo y
restauración
SD Apéndice K
Contenido de un
plan de
recuperación de
desastres
PS7 - Política de
disponibilidad
1.3 Administración
4.1 literal g)
Identificar y
diseñar puntos
4.2.1
Establecimiento del
SGSI, literales c)al
Página 65 de 207
DS4.9
Almacenamiento
de respaldos fuera
SO 5.2.3 Copia de
respaldo y
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
de la
información
del riesgo
2.2.3 sistemas de
Información
h)
de control
sobre los
riesgos
de las
instalaciones
A.10.5 Respaldo
DS11.2 Acuerdos
de
almacenamiento y
conservación
5.6.2 h)
Riesgos
actualizados e
identificados
para la entidad
restauración
SD 5.2
Administración de
información y
datos
DS11.5 Respaldo
y restauración
DS11.6
Requerimientos de
seguridad para la
administración de
datos
PS8 - Política de
protección del
servicio
1.3 Administración
del riesgo
2.2.3 sistemas de
Información
4.1 literal g)
Identificar y
diseñar puntos
de control
sobre los
riesgos
A.10.6 Gestión de la
seguridad de las
redes
5.6.2 h)
Riesgos
actualizados e
identificados
para la entidad
A.12.1 Requisitos
de seguridad de los
sistemas de
información
7.1
Planificación de
la realización
del producto o
prestación del
servicio
7.2 Procesos
relacionados
con el cliente
7.3 Diseño y
desarrollo
A.10.10 Monitoreo
A.12.5 Seguridad en
los procesos de
desarrollo y soporte
A.12.6 Gestión de la
vulnerabilidad
técnica
A.13.2 Gestión de
los incidentes y las
mejoras en la
seguridad de la
información
7.5 Producción
y prestación del
servicio
7.5.1 literal g)
Los riesgos de
mayor
probabilidad
Página 66 de 207
PO6.2 Riesgo
Corporativo y
Marco de
Referencia de
Control Interno de
TI
PO8.3 Estándares
de desarrollo y de
adquisición
AI1.2 Reporte de
análisis de riesgos
AI2 Adquirir y
mantener software
aplicativo
AI6 Administrar
cambios
DS2 Administrar
los servicios de
terceros
DS 5 Garantizar la
seguridad de los
sistemas
DS8 Administrar la
mesa de servicio y
los incidentes
SD 3.6.1
Diseñando
soluciones y
servicios
SO 4.1
Administración de
eventos
SO 4.2
Administración de
incidentes
SO 4.5
Administración del
acceso
SD 4.6
Administración de
la seguridad de la
información
SO5.13
Administración de
la seguridad de la
información y de la
operación de los
servicios
SO 5.5
Administración de
la red
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
PS8 - Política de
registro y
auditoria
3.1 Autoevaluación
3.2 Evaluación
independiente
3.3 Planes de
mejoramiento
7.5.2 Validación
de los procesos
de producción y
de la prestación
del servicio
8 Medición,
análisis y
mejora
A.10.10.1 Registro
de auditorias
A.10.10.4 Registros
del administrador y
del operador
A.10.10.5 Registro
de fallas
A.10.10.6
Sincronización de
relojes
AI2.3 Control y
auditabilidad de
las aplicaciones
DS5.5 Pruebas,
vigilancia y
monitoreo de la
seguridad
ME1.2 Definición y
recolección de
datos de
monitoreo
SO 5.1 Monitoreo
y control
CSI 4.1 Los siete
pasos del proceso
de mejoramiento
del servicio
CSI 8 Implementar
mejoramiento
continuo del
servicio
ME2.2 Revisiones
de Auditoria
ME2.5
Aseguramiento del
control interno
ME4.7
Aseguramiento
independiente.
Tabla 11: Relación de las políticas y objetivos de control del Modelo de seguridad SGSI para la Estrategia
de Gobierno en Línea con las normas y mejores prácticas de la industria.
6.5. Clasificaciones de seguridad del Modelo SGSI
6.5.1. Clasificación de entidades por grupo o naturaleza del servicio
El Modelo de Seguridad de la Información para la Estrategia de Gobierno en Línea, realmente consiste en
tres versiones del mismo, ya que las entidades no son similares en sus recursos, criticidad de su
información y los procesos de negocio, por lo que deben clasificarse en uno de los siguientes grupos que
están categorizados por la naturaleza del servicio que prestan. El Modelo de Seguridad, aplicará una
versión distinta en cuanto a los controles recomendados dependiendo del grupo al que pertenezca la
entidad.
Los siguientes son los grupos en los que se dividen las entidades destinatarias según su naturaleza del
servicio:
Página 67 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
GRUPO 1
Cafés Internet, Telecentros y Compartel
GRUPO 2
Entidades públicas de orden nacional y
territorial
GRUPO 3
Entidades privadas que pertenezcan a la
cadena de prestación de servicios de
Gobierno en Línea (como los ISP).
Tabla 12: Clasificación de grupos según la naturaleza de la entidad.
El Modelo de seguridad SGSI propuesto para la Estrategia de Gobierno en Línea, se presenta a las
entidades destinatarias en forma de políticas, objetivos de control y controles recomendados para su
implementación y mejoramiento. Las Políticas y objetivos de control, dado que son estratégicos y de
alto nivel, serán los mismos para todo el universo de entidades independiente del grupo al que
pertenezcan; los controles recomendados, si dependerán de la clasificación del grupo, es decir, las
entidades del grupo 1 tendrán que cumplir ciertos controles básicos, las del grupo 2 controles básicos
mas controles adicionales, y las del grupo 3, controles avanzados, asi:
GRUPO 1
Controles
básicos
Cafés Internet, Telecentros y Compartel
GRUPO 2
Entidades públicas de orden nacional y territorial
Controles
medios
GRUPO 3
Entidades privadas que pertenezcan a la cadena de prestación de servicios de
Gobierno en Línea (como los ISP).
Controles
avanzados
Tabla 13: Clasificación de controles según el grupo al que pertenezca la entidad.
Página 68 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
6.5.2. Niveles de madurez de los controles de seguridad recomendados
Independiente del grupo y de los controles que las entidades deban aplicar, cada control tiene un nivel
de madurez en seguridad de la información categorizado de 0 a 5, que la entidad deberá implementar
para evidenciar la mejora contínua del Modelo de seguridad SGSI para la Estrategia de Gobierno en
Línea. El Modelo fija niveles mínimos y óptimos de madurez para obtener los registros de seguridad de
la información –RSI que serán otorgados a las entidades que cumplan con estos niveles requeridos. Ver
mayor información relacionada con los registros RSI en el numeral 6.5.3. del presente documento.
Los niveles de madurez de la seguridad de la información de los controles recomendados por el Modelo
SGSI, son adaptados del Modelo CMM de CobIT versión 4.017, que los clasifican en los siguientes
niveles:
Nivel 0 No Existente: No hay políticas, procesos, procedimientos, o controles en seguridad
de la información. La entidad no reconoce los riesgos en seguridad de la información y por ende
la necesidad de su tratamiento.
Nivel 1 Inicial: La entidad reconoce que los riesgos en seguridad de la información deben ser
tratados/mitigados. No existen políticas ni procesos estandarizados sino procedimientos o
controles particulares aplicados a casos individuales.
Nivel 2 Repetible: Se desarrollan procesos y procedimientos en seguridad de la información
de forma intuitiva. No hay una comunicación ni entrenamiento formal y la responsabilidad de la
seguridad de la información recae en el sentido común de los empleados. Hay una excesiva
confianza en el conocimiento de los empleados, por tanto, los errores en seguridad de la
información son comunes.
Nivel 3 Definido: Los procesos y las políticas se definen, documentan y se comunican a través
de un entrenamiento formal. Es obligatorio el cumplimiento de los procesos y las políticas y por
tanto, la posibilidad de detectar desviaciones es alta. Los procedimientos por si mismos no son
sofisticados pero se formalizan las prácticas existentes.
Nivel 4 Administrado: Existen mediciones y monitoreo sobre el cumplimiento de los
procedimientos en seguridad de la información. Los procedimientos están bajo constante
17 Ver mayor información en www.isaca.org
http://www.isaca.org/Content/ContentGroups/Research1/Deliverables/COBIT_Mapping_Mapping_SEI’s_CMM_for_Software_With_COBIT_4_0.htm
Página 69 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
mejoramiento y proveen buenas
automatizadas para la medición.
practicas.
Normalmente
requiere
de
herramientas
Nivel 5 Optimizado: Los procesos, políticas y controles en seguridad de la información se
refinan a nivel de buenas prácticas con base en los resultados del mejoramiento continuo y los
modelos de madurez de otras empresas. Normalmente se cuenta con herramientas
automatizadas que apoyan a la gestión de la seguridad de la información.
La siguiente ilustración, muestra la representación gráfica de los modelos de madurez planteados
para el Modelo de Seguridad:
Ilustración 14: CMM Niveles de madurez. CobIT 4.0. IT Governance Institute.
6.5.3. Registro de Seguridad de la Información RSI - Graduación
El Modelo de Seguridad SGSI determina, de igual forma, la graduación de las entidades destinatarias
según el cumplimiento de los controles recomendados en los niveles de madurez requeridos, es decir,
independiente del grupo al que pertenezcan las entidades, podrán ser graduadas18 con registros de
18 Esta graduación la otorga el CSIRT como una de sus funciones. Para mayor información, ver el documento “Diseño de un CSIRT Colombiano, numeral 4.3.
Graduación”.
Página 70 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
seguridad de la información “RSI” en grados 1, 2 o 3, dependiendo de la madurez en la que se
encuentren implementados sus controles, así:
•
Entidades con controles en niveles de madurez 0 y 1: Registro RSI Grado 1,
•
Entidades con controles en niveles de madurez 2 y 3: Registro RSI Grado 2,
•
Entidades con controles en niveles de madurez 4 y 5: Registro RSI Grado 3.
La clasificación anterior se denomina “Graduación en el Sistema”. De tal forma, que si una entidad en
RSI 1 madura sus controles a nivel 3, podrá ser promocionada a RSI grado 2. Así mismo, el sistema
contempla la promoción de entidades de RSI 2 a RSI 3 si la madurez de los controles pasa a nivel 4 o
superior.
También se puede dar el caso que una entidad descuide los controles, por tanto, baje la madurez, y en
consecuencia, el sistema lo degrade a un grado RSI inferior o no genere el registro correspondiente.
En cuanto a la seguridad de la información, se puede hacer un diagnóstico de la situación actual según el
grado RSI de la entidad:
ESTADO DE LA SEGURIDAD DE LA INFORMACIÓN EN UNA ENTIDAD EN RSI GRADO 1:
Se identifican en forma general los activos de la organización.
Se observan eventos que atentan contra la seguridad de la información, los activos
y la continuidad del negocio, pero no se le da la debida importancia.
Los empleados no tienen conciencia de la seguridad de la información (prestan sus
claves, dejan sus equipos sin cerrar sesión, etc.).
Se responde reactivamente a las amenazas de intrusión, virus, robo de equipos y de
información.
ESTADO DE LA SEGURIDAD DE LA INFORMACIÓN EN UNA ENTIDAD EN RSI GRADO 2:
Se genera un inventario del hardware y software que hay en la organización a partir de
la identificación de los activos.
Página 71 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Se identifican riesgos asociados con la información, los equipos de cómputo y las
aplicaciones, así mismo, se identifican vulnerabilidades por medio de trabajos no periódicos
en seguridad informática (pruebas de vulnerabilidad).
Se empiezan a elaborar informes de los incidentes de seguridad ocurridos.
Se tienen en cuenta algunos procedimientos de seguridad de la información (por ej.
creación de contraseñas seguras, administración segura de usuarios, clasificación de la
información, desarrollo seguro de software, etc.) pero aún no se han formalizado en los
sistemas de gestión documental o de calidad de la organización.
Se empieza a observar en los empleados una conciencia de la seguridad de la
información, pero aún no demuestran un compromiso con ella.
Se diseña e implementa el sistema de gestión de seguridad de la información SGSI.
Se definen las Políticas de Seguridad de la Información de la organización
basadas en la Norma ISO27001 debido a que se incrementa el interés por
buscar las causas
que
originaron
la
ocurrencia
de
los
eventos
que
atentaron contra la información, los activos y la continuidad del negocio.
Se divulgan las Políticas de Seguridad de la Información en toda la organización.
Se crean indicadores y métricas de seguridad para medir la evolución y mejora del sistema
SGSI.
Se realiza la clasificación de los activos y de la información de la entidad los equipos
aplicaciones, para así poder dar protección adecuada a cada uno de ellos.
y
Se cuentan con Planes de continuidad del negocio enfocados únicamente a la
infraestructura tecnológica (DRP – Planes de recuperación ante desastres), no obstante,
se dejan de lado los procesos críticos de la organización.
Se crean planes de acción y de tratamiento del riesgo con responsables y fechas de
cumplimiento.
Se incluyen dentro de los procesos de negocio de la organización, las normas de
seguridad de la información (por ej. mejores prácticas en centros de cómputo).
Se empieza a observar un compromiso de los empleados con la seguridad de la
información.
Se establecen controles y medidas básicas para disminuir los incidentes y prevenir su
ocurrencia en el futuro.
Página 72 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Se cuenta con procedimientos que enseñan a los empleados
información y los equipos de cómputo en forma segura.
Se monitorea la red de la organización,
intrusiones, o infecciones de virus.
como
una
a manejar
la
medida preventiva contra
ESTADO DE LA SEGURIDAD DE LA INFORMACIÓN EN UNA ENTIDAD EN RSI GRADO 3:
Se realizan periódicamente auditorias internas al sistema SGSI.
Se crea el comité de seguridad interdisciplinario con el cuál se busca tratar temas
Seguridad de la Información que sean de interés para la organización.
de
Se analizan los indicadores y métricas para medir el cumplimiento del sistema SGSI con
relación a las normas internacionales en seguridad de la información para establecer si las
Políticas de Seguridad de la organización (incluyendo los contratos con empleados y
terceros), están siendo acatadas correctamente.
Los roles del área de Seguridad de la información están bien definidos y se lleva un
registro de las actividades que realiza cada rol.
Se
cuenta
con
Planes
de
continuidad
del
negocio (BCP) que contemplan
solo los procesos críticos del negocio (los que garantizan la continuidad del
mismo), no obstante se dejan otros procesos de la organización por fuera.
Se implementan los controles de seguridad técnicos y no técnicos recomendados en los
planes de acción.
Se monitorean periódicamente los activos de la organización.
Se realizan de manera sistemática pruebas a los controles, para determinar si están
funcionando correctamente.
Se hacen simulacros de incidentes de seguridad, para probar la efectividad de los
planes BCP – DRP y de respuesta a incidentes.
Se realizan pruebas a las aplicaciones, para verificar el cumplimiento de los
requisitos
de seguridad definidos en las políticas y controles de seguridad de la
organización.
Página 73 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Se hacen pruebas de intrusión periódicas a los equipos críticos de la organización,
para detectar, claves débiles o fáciles de adivinar, y accesos a ciertos sistemas por
usuarios no autorizados.
El sistema SGSI evoluciona sus indicadores y métricas de seguridad, evidencia la
implementación de planes de mitigación del riesgo con la puesta en producción de controles
recomendados y realiza auditorias periódicas de cumplimiento.
Los empleados apoyan y
información en la organización.
contribuyen
al
mejoramiento
de
la seguridad de la
La organización aprende continuamente sobre los incidentes de seguridad presentados.
Se analizan las recomendaciones arrojadas por las auditorias y consultorías de seguridad
de la información para que se puedan definir acciones preventivas más efectivas.
Se incluyen todas las áreas y procesos de la organización
críticos), en los planes de continuidad y de respuesta a incidentes.
(críticos
y
no
En el documento “Diseño de un CSIRT Colombiano”, numeral 10 –Presupuesto preliminar de inversión y
funcionamiento, se puede obtener mayor información con respecto a las condiciones económicas
planteadas para la graduación de las entidades en el Modelo SGSI según su grado RSI.
6.5.4. Controles de de Seguridad de la información recomendados por Grupo
Dado que las políticas estratégicas de seguridad planteadas en este documento, necesitan ser aplicadas
por las entidades destinatarias según su agrupación dentro del Modelo de seguridad, se proponen una
serie de controles de seguridad de la información clasificados en diferentes niveles según el grupo al
que pertenezca la entidad, para lo cual, se ha establecido la siguiente tabla de controles, que serán
verificados por cada una de las entidades a través de la herramienta de auto-evaluación:
Página 74 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
6.5.4.1.
Controles para entidades clasificadas en Grupo 1 (Cafés Internet, Telecentros
y Compartel):
# Control
1
2
3
Control
Planeación
Identificación de la
legislación aplicable
Gestión de riesgos
Políticas
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
Inventario de activos
Conciencia en
seguridad de
información
Descripción
Elaborar y documentar los planes para mantener y mejorar
el servicio
Identificar la reglamentación existente para el servicio
ofrecido
Elaborar y mantener actualizado un mapa de riesgos
Establecer políticas para el uso adecuado de los recursos,
protección de derechos de autor y protección contra
pornografía infantil
Elaborar y mantener un inventario actualizado de los
activos
Entrenar al administrador y al personal de apoyo del
centro de servicios (café Internet, Telecentro) en
fundamentos básicos de seguridad. Preparar y comunicar
guías básicas para clientes sobre Internet seguro y uso
aceptable de servicios ofrecidos
Servicios de suministro Proteger los equipos contra fallas en el suministro de
energía
Seguridad del
Proteger el cableado de energía y de red contra daños
cableado
Protección contra
Suministrar equipo apropiado contra incendios
incendios
Seguridad de oficinas, Tener presente los reglamentos y normas sobre seguridad
recintos e instalaciones y salud (por ejemplo, ergonomía en el sitio de trabajo,
limpieza)
Mantenimiento de los
equipos
Proteger contra código
malicioso
Registro de fallas
Sincronización de
relojes
Derechos de propiedad
intelectual
Uso de firewall
Estándar de
configuración
Programar mantenimiento preventivo y correctivo de los
equipos
Instalar software antivirus y mantenerlo actualizado
Registrar y analizar las fallas de los equipos
Sincronizar los relojes de los equipos con la hora
establecida en la página de la SIC
Usar software protegido con las debidas licencias
Instalar un firewall personal en cada estación de trabajo
Definir e implementar un estándar para configurar los
equipos del centro de servicios de manera que controle la
descarga e instalación de software y los cambios en la
configuración del sistema
Respaldo
Mantener copias de respaldo de la configuración de
equipos y de la red local
Seguridad de oficinas, Tener presente los reglamentos y normas sobre seguridad
recintos e instalaciones y salud (por ejemplo, ergonomía en el sitio de trabajo,
limpieza)
Página 75 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
Monitoreo y control de
recursos
Administrar parches
20
21
Control de acceso
Acuerdos de servicio
22
23
Evaluación del servicio
24
Controlar uso de los recursos del centro de servicios
Implementar procedimiento para instalar parches de los
sistema operativos
Controlar el ingreso y salida de personal
Establecer acuerdos de servicio con proveedores (ISP,
proveedores de equipos y software, mantenimiento de
equipos, etc.).
Programar encuestas entre los usuarios para evaluar el
servicio
Tabla 15: Controles de seguridad recomendados para las entidades del Grupo 1
6.5.4.2.
Política
Controles para entidades clasificadas en Grupo 2 (Entidades públicas de orden
nacional y territorial):
Objetivo de
Control
# Control
Nombre del
Control
Descripción
Control de
Acceso
PS1
PS1.1-PS1.8
AC-1
Política y
procedimientos
de control de
acceso
Página 76 de 207
Control: La entidad desarrolla, divulga, revisa
y actualiza periódicamente: (i) una política de
control de acceso formal y documentada, que
incluye el propósito, alcance, roles,
responsabilidades, compromiso de la
administración, coordinación entre entidades
organizacionales y cumplimiento. (ii)
procedimientos formales, documentados para
facilitar la implementación de la política de
control de acceso y controles asociados.
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
PS1
PS1.1, PS1.7
AC-2
Administración de Control: La entidad administra las cuentas de
cuentas
acceso a los sistemas de información y
servicios de TI e incluye el establecer, activar,
modificar, revisar, desactivar y remover
cuentas. La entidad revisa las cuentas de los
sistemas de información según una
frecuencia definida, por lo menos cada 6
meses.
Mejoras en el control:
(1)
La entidad utiliza mecanismos automatizados
para apoyar la administración de cuentas del
sistema de información y servicios de TI.
(2)
Se desactivan automáticamente las cuentas
temporales y de emergencia después de un
periodo de tiempo definido para cada tipo de
cuenta.
(3)
Se desactivan automáticamente las cuentas
inactivas después de un período de tiempo
establecido.
(4)
La entidad utiliza mecanismos automatizados
para auditar las acciones de creación,
modificación, desactivación y terminación de
cuentas y notifica a los usuarios en la medida
en que se requiera.
PS1
PS1.2
AC-3
Forzar el acceso
Control: Se establecen las autorizaciones
asignadas para controlar el acceso al sistema
según la política aplicable.
Mejoras en el control:
(1)
Se restringe el acceso a funciones
privilegiadas (instaladas en el hardware,
software y firmware) y a la información de
seguridad importante al personal autorizado.
PS1
PS8.1
AC-4
Restringir el flujo
de información
Control: Se establecen las autorizaciones
asignadas para controlar el flujo de
información dentro del sistema y entre
sistemas interconectados de acuerdo con la
política aplicable.
PS1
PS1.2
AC-5
Segregación de
funciones
Página 77 de 207
Control: Se establece segregación de
funciones a través de autorizaciones de
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
acceso asignadas.
PS1
PS1.2, PS1.6
AC-6
Principio del
mínimo privilegio
Control: Se establece el conjunto de
derechos y privilegios más restrictivo o los
accesos mínimos necesarios de los
usuarios(o procesos actuando en
representación de los usuarios) para el
desempeño de las tareas específicas.
PS1
PS1.8
AC-7
Intentos de login
fallidos
Control: Se establece un número límite de
intentos de acceso fallidos durante un periodo
de tiempo. Automáticamente se bloquea la
cuenta por sobrepasar el límite de intentos de
acceso fallidos durante un periodo de tiempo
definido.
PS1
PS1.8
AC-8
Notificación de
uso del sistema
Control: Se despliega un mensaje de
notificación de uso del sistema antes de
autorizar el acceso informando al usuario
potencial: (i)que el usuario está accesando un
servicio o trámite de Gobierno en Línea; (ii) el
uso del sistema puede ser monitoreado,
grabado, y sujeto a auditoria; (iii) que el uso
no autorizado del sistema está prohibido y
sujeto a acción penal y civil; y (iv) que el uso
del sistema indica que hay consenso para
monitorear y grabar. El sistema que usa
mensajes de notificación proporciona alertas
de privacidad y seguridad apropiadas y
permanecen desplegadas en la pantalla hasta
que el usuario ingresa al sistema.
PS1
PS1.8
AC-9
Notificación de
logon previos
Control: Se notifica al usuario, la fecha y la
hora del último ingreso exitoso, y el número
de intentos de ingreso fallidos desde el último
logon exitoso.
PS1
PS1.8
AC-10
Control de
sesiones
concurrentes
Control: Se limita el número de sesiones
concurrentes para cada usuario según un
número establecido por la entidad.
Página 78 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
PS1
PS1.8
AC-11
Bloqueo de la
sesión
PS1
PS1.8
AC-12
Terminación de la Control: El sistema de información
sesión
automáticamente termina una sesión remota
después de un período de tiempo de
inactividad establecido por la entidad.
Mejoras al control:
(1)
La terminación automática de la sesión aplica
para sesiones locales y remotas.
PS1
PS1.1, PS1.2
AC-13
Control: La entidad supervisa y revisa las
Supervisión y
revisión del
actividades de los usuarios con respecto a
control de acceso reforzar y usar los controles de acceso del
sistema de información y servicios de TI.
Mejoras al control:
(1)
Las entidad utiliza mecanismos
automatizados para facilitar la revisión de las
actividades de los usuarios.
PS1
PS1.1
AC-14
Acciones
permitidas sin
identificación o
autenticación
Control: La entidad identifica y documenta
las acciones específicas del usuario que
pueden ser desarrolladas en el sistema de
información sin identificación o autenticación.
Mejoras al control:
(1)
La entidad permite que se ejecuten algunas
acciones sin identificación o autenticación
sólo bajo autorización y bajo el principio de
necesidad de conocer, es decir, lo mínimo
necesario para el cumplimiento de una labor.
PS4
PS4.1, PS4.2
AC-15
Marcación
automatizada
Control: El sistema de información marca las
salidas de información usando convenciones
de nombres estándar para identificar
instrucciones de divulgación, manejo o
distribución especial.
Página 79 de 207
Control: Después de un período de tiempo
de inactividad se bloquea la sesión y se obliga
a iniciar una nueva sesión. El bloqueo
permanece hasta que el usuario se identifique
y autentique nuevamente.
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
PS1
PS1.1, PS1.2,PS8.1 AC-17
Acceso remoto
Control: La entidad autoriza, monitorea y
controla todos los métodos de acceso remoto
al sistema de información.
Mejoras al control:
(1)
La entidad utiliza mecanismos automatizados
para facilitar el monitoreo y control de los
métodos de acceso remoto.
(2)
La entidad utiliza criptografía para proteger la
confidencialidad e integridad de las sesiones
de acceso remoto.
(3)
La entidad controla todos los acceso remotos
mediante un número limitado de puntos de
control de acceso administrados.
(4)
La entidad permite acceso remoto para
funciones privilegiadas solo para necesidades
operacionales y se documenta y justifica tal
acceso en el plan de seguridad del sistema de
información.
PS1
PS1.1,PS1.2,PS8.1
Restricciones de
acceso
inalámbrico
Control: La entidad: (i) establece restricciones
de uso y guías de implementación para
tecnologías inalámbricas y (ii) autoriza,
monitorea y controla el acceso inalámbrico al
sistema de información.
Mejoras al control:
(1)
La entidad utiliza autenticación y encripción
para proteger el acceso inalámbrico al
sistema de información.
(2)
La entidad escanea los puntos de acceso
inalámbrico no autorizados con una
frecuencia establecida y toma las acciones
apropiadas en caso de encontrar tales puntos
de acceso.
PS1
PS1.1,PS1.2, PS8.1 AC-19
Control de acceso
para dispositivos
móviles y
portátiles.
Control: La entidad: (i) establece
restricciones para el uso y una guía de
implementación para los dispositivos móviles
y portátiles; y (ii) autoriza, monitorea y
controla el acceso de los dispositivos móviles
a los sistemas de información.
AC-18
Página 80 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
PS1
PS1.1,PS1.2, PS8.1 AC-20
Uso de sistemas
de información
externos
Control: La entidad establece términos y
condiciones para usuarios autorizados al: (i)
acceder el sistema de información desde un
sistema de información externo; y (ii)
procesar, almacenar y /o transmitir
información controlada por la organización
mediante un sistema de información externo.
Mejoras al control:
(1)
La entidad prohíbe a los usuarios autorizados
por el sistema de información externo acceder
el sistema de información interno o procesar,
almacenar, o transmitir información controlada
por la organización excepto en situaciones
donde la entidad: (i) pueda verificar el empleo
de controles de seguridad requeridos en el
sistema externo según lo especificado en la
política de seguridad de la información de la
entidad y en el plan de seguridad de
sistemas; o (ii) ha aprobado la conexión al
sistema de información o acuerdos de
procesamiento con la entidad que hospeda el
sistema de información externo.
Identificac
ión y
autenticac
ión
PS1
PS1.3, PS1.4,
PS1.5
IA-1
Política y
procedimientos
de identificación y
autenticación
Página 81 de 207
Control: La entidad desarrolla, divulga y
revisa o actualiza periódicamente: (i) una
política formal, documentada de identificación
y autenticación que incluye el el propósito,
alcance, roles, responsabilidades,
compromiso de la administración,
coordinación entre entidades
organizacionales y cumplimiento; y (ii)
procedimientos formales y documentados
para facilitar la implementación de la política
de identificación y autenticación y los
controles asociados.
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
PS1
PS1.3, PS1.4,PS1.5 IA-2
Identificación y
autenticación de
usuarios
Control: Se identifican y autentican usuarios
únicos (o procesos actuando en nombre de
usuarios).
Mejoras al control:
(1)
Se emplea en los sistemas de información el
factor de autenticación múltiple nivel 3 o 4
para acceso remoto al sistema, según la
publicación NIST 800-63.
(2)
Se emplea en los sistemas de información el
factor de autenticación múltiple nivel 3 o 4
para acceso local al sistema, según la
publicación NIST 800-63.
(3)
Se emplea en los sistemas de información el
factor de autenticación múltiple nivel 4 para
acceso remoto al sistema, según la
publicación NIST 800-63.
PS1
PS1.3, PS1.4,PS1.5 IA-3
Dispositivos de
identificación y
autenticación
Control: Se identifican y autentican los
dispositivos específicos antes de establecer
una conexión.
PS1
PS1.4,PS1.5,PS1.7
IA-4
Gestión de
identificadores
Control: La entidad administra los
identificadores de usuario mediante:
(i)identificación único de usuario; (ii)
verificando la identidad de cada usuario; (iii)
recibiendo autorización para emitir
identificador de usuario de un ente oficial
aprobado; (iv) entrega del identificador de
usuario a la parte interesada; (v) deshabilitar
el identificador de usuario después de un
periodo de inactividad y (vi) archivar los
identificadores de usuario deshabilitados.
PS1
PS1.4,PS1.5,PS1.7
IA-5
Gestión de
autenticadores
Control: La entidad administra los
autenticadores de los sistemas de información
: (i) definiendo un contenido inicial del
autenticador; (ii) estableciendo
procedimientos administrativos para
distribución del autenticador inicial , en caso
de pérdida, compromiso o daño del
autenticador o para revocar los
autenticadores; (iii) cambiar los
autenticadores default después de la
instalación del sistema de información ; y (iv)
Página 82 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
cambiar los autenticadores periódicamente.
PS1
PS1.4,PS1.5
IA-6
Ocultamiento del
autenticador
Control: La información de autenticación no
es visible durante el proceso de autenticación
para evitar posible acceso no autorizado.
PS1
PS1.4,PS1.5
IA-7
Autenticación con Control: Se emplean métodos de
módulo
autenticación que reúnen los requerimientos
criptográfico
de políticas, regulaciones, estándares y guías
para autenticar con un módulo criptográfico.
Concienci
ay
entrenami
ento
PS4,PS6 PS4.1,
AT-1
,PS7
PS4.2,PS6.1,PS6.2,
PS6.3,PS7.1,PS7.2
Política y
procedimientos
en conciencia y
entrenamiento en
seguridad
Control: La entidad desarrolla, divulga, revisa
y actualiza periódicamente : (i) una política
formal y documentada de conciencia y
entrenamiento en seguridad de la información
que incluye el propósito, el alcance, roles,
responsabilidades , compromiso de la
administración, coordinación entre entidades
organizacionales y cumplimiento; y (ii)
procedimientos formales y documentados
para facilitar la implementación de la política
de conciencia y entrenamiento en seguridad y
los controles asociados.
PS4,PS6 PS4.1,
AT-2
,PS7
PS4.2,PS6.1,PS6.2,
PS6.3,PS7.1,PS7.2
Conciencia en
seguridad
Control: La entidad suministra entrenamiento
básico en conciencia de seguridad a todos los
usuarios de los sistemas de información
(incluyendo administradores y ejecutivos
senior) antes de autorizar el acceso al
sistema, cuando se requiera por cambios en
el sistema o regularmente según un período
establecido.
Página 83 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
PS8
PS8.1
AT-3
Entrenamiento en Control: La entidad identifica al personal que
seguridad
tiene roles y responsabilidades de seguridad
de los sistemas de información durante el
ciclo de desarrollo del sistema, documenta
dichos roles y responsabilidades y suministra
apropiado entrenamiento en seguridad de la
información: (i) antes de autorizar el acceso a
los sistemas y antes de ejecutar las funciones
asignadas; (ii) cuando se requiera por
cambios en el sistema; y (iii) regularmente
con una periodicidad establecida.
PS9
PS9.1
AT-4
Registros de
entrenamiento en
seguridad
Control: La entidad documenta y monitorea
las actividades de entrenamiento en
seguridad del sistema de información
incluyendo entrenamiento básico y especifico.
PS8
PS8.1
AT-5
Contactos con
grupos de interés
y asociaciones de
seguridad
Control: La entidad establece y mantiene
contacto con grupos de interés especiales,
foros especializados, asociaciones
profesionales, grupos de seguridad,
profesionales de seguridad y organizaciones
similares para mantenerse actualizado con las
últimas prácticas o técnicas y tecnologías de
seguridad y compartir información relacionada
con seguridad incluyendo amenazas,
vulnerabilidades e incidentes.
Auditoria
y
rendición
de
cuentas
Página 84 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
PS9
PS9.1
AU-1
Política y
procedimientos
de auditoria y
rendición de
cuentas
Control: La entidad desarrolla, divulga, revisa
y actualiza periódicamente: (i) una política
formal y documentada de auditoria y rendición
de cuentas que incluye el propósito, alcance,
roles y responsabilidades, compromiso de la
administración, coordinación entre entidades
organizacionales y cumplimiento; y (ii)
procedimientos formales y documentados
para facilitar la implementación de la política y
los controles asociados.
PS9
PS9.1
AU-2
Eventos
auditables
Control: Se generan registros de auditoria de
los siguientes eventos:
Mejoras al control:
(1)
El sistema de información suministra la
capacidad de compilar los registros de
auditoria a partir de múltiples componentes
del sistema en un archivo de auditoria
correlacionado con el tiempo.
(2)
El sistema de información provee la
capacidad de administrar la selección de
eventos a ser auditados.
(3)
La entidad revisa y actualiza periódicamente
la lista de eventos auditables de la
organización.
PS9
PS9.1
AU-3
Contenido de los
registros de
auditoria
Control: Los registros de auditoria generados
por el sistema de información contienen la
información suficiente para establecer qué
eventos ocurrieron, las fuentes de los eventos
y los consecuencias de los eventos.
Mejoras al control:
(1)
La entidad provee la capacidad de incluir
información más detallada en los registros de
auditoria para eventos identificados por tipo,
ubicación o sujeto.
(2)
El sistema de información provee la
capacidad para administrar centralizadamente
el contenido de los registros de auditoria
generados por componentes individuales a
través del sistema.
Página 85 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
PS6,PS9 PS6.2, PS9.1
AU-4
Capacidad de
almacenamiento
de la auditoria
Control: La entidad asigna suficiente
capacidad de almacenamiento para los
registros de auditoria y configura la auditoria
de manera que se reduzca la probabilidad de
que se exceda tal capacidad.
PS9
PS9.1
AU-5
Respuesta a
fallas en la
auditoria al
procesamiento
Control: El sistema de información alerta al
responsable apropiado en el evento de una
falla de procesamiento y ejecuta las posibles
acciones siguientes: shutdown, sobre escribe
el registro de auditoria más viejo, para la
generación de los registros de auditoria).
Mejoras al control:
(1)
El sistema de información despliega una
alerta cuando el volumen de almacenamiento
de los registros de auditoria llega a la
capacidad máxima definida.
(2)
El sistema de información genera una alerta
en tiempo real cuando los eventos de falla de
auditoria ocurren.
PS9
PS9.1
AU-6
Monitoreo,
análisis y reporte
de auditoria
Control: La entidad revisa y analiza
regularmente los registros de auditoria de los
sistemas de información para obtener
indicaciones de actividad no usual o
inapropiada, investigar actividad sospechosa
o violaciones a la seguridad, reporta hallazgos
al personal apropiado y ejecuta las acciones
pertinentes.
Mejoras al control:
(1)
La entidad utiliza mecanismos automáticos
para integrar el monitoreo de auditoria, el
análisis y el reporte en un proceso global
para investigación y respuesta ante
actividades sospechosas.
(2)
La entidad utiliza mecanismos automáticos
para alertar al personal de seguridad de las
actividades inapropiadas o inusuales.
Página 86 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
PS9
PS9.1
AU-7
Parametrización
de la auditoria y
generación de
reporte
Control: El sistema de información permite
disminuir los parámetros de auditoria y
generar reporte.
Mejoras al control:
(1)
El sistema de información provee la
capacidad para procesar automáticamente los
registros de auditoria para eventos de interés
basados en criterios seleccionables.
PS9
PS9.1
AU-8
Estampación
electrónica
Control: El sistema de información provee
estampación electrónica en la generación de
los registros de auditoria.
Mejoras al control:
(1)
La entidad sincroniza los relojes internos de
los sistemas de información con una
frecuencia establecida.
PS9
PS9.1
AU-9
Protección de la
información de
auditoria
Control: Se protege la información y las
herramientas de auditoria contra acceso no
autorizado, modificación o borrado.
PS9
PS9.1
AU-10
No repudiación
Control: El sistema de información provee la
capacidad para determinar si un usuario en
particular ejecuta una acción específica.
PS9
PS9.1
AU-11
Retención de
registros de
auditoria
Control: La entidad define un periodo de
retención de los registros de auditoria para
proporcionar soporte ante investigaciones de
incidentes de seguridad y cumplir con los
requerimientos regulatorios de retención de la
información organizacional.
Certificaci
ón,
acreditaci
ón y
evaluacio
nes de
Página 87 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
seguridad
PS9
PS9.1
CA-1
Certificación,
acreditación y
seguridad
Control: La entidad desarrolla, divulga, revisa
y actualiza periódicamente: (i) políticas
formales y documentadas de certificación,
acreditación y evaluación de seguridad de la
información que incluye el propósito, alcance,
roles y responsabilidades, compromiso de la
administración, coordinación entre entidades
organizacionales y cumplimiento; y (ii)
procedimientos formales y documentados
para facilitar la implementación de las
políticas y sus controles asociados.
PS9
PS9.1
CA-2
Evaluaciones de
seguridad
Control: La entidad lleva a cabo evaluación
de los controles de seguridad del sistema de
información con una frecuencia establecida
(por lo menos una vez al año) para determinar
si los controles están implementados
correctamente, son efectivos y producen los
resultados deseados con respecto a reunir los
requisitos de seguridad para el sistema.
PS9
PS9.1
CA-3
Interfaces del
sistema de
información
Control: La entidad autoriza todas las
conexiones del sistema de información con
otros sistemas externos mediante el uso de
acuerdos de conexión a sistemas y monitoreo
y control de las conexiones de manera
continúa.
PS9
PS9.1
CA-4
Certificación de
seguridad
Control: La entidad lleva a cabo una
evaluación de los controles de seguridad en el
sistema de información para determinar si
están implementados correctamente según
los requisitos de seguridad del sistema.
Mejoras al control:
(1)
La entidad se apoya en una entidad o equipo
de certificación independiente para conducir
una evaluación de los controles de seguridad
en el sistema de información.
Página 88 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
PS9
PS9.1
CA-5
Plan de acción y
puntos de control
Control: La entidad desarrolla y actualiza un
plan de acción y los puntos de control para el
sistema de información y documenta las
acciones de remediación planeadas,
implementadas y evaluadas para corregir las
deficiencias encontradas durante la
evaluación de los controles de seguridad y
reducir o eliminar las vulnerabilidades
conocidas en el sistema.
PS9
PS9.1
CA-6
Acreditación de
seguridad
Control: La entidad acredita al sistema de
información antes de su entrada en operación
y actualiza la autorización en un periodo
establecido o cuando surjan cambios
significativos. Un oficial senior de la entidad
firma y aprueba la acreditación de seguridad.
PS9
PS9.1
CA-7
Monitoreo
continuo
Control: La entidad monitorea los controles
de seguridad en el sistema de información de
manera periódica.
Administr
ación de
la
configura
ción
PS8
PS8.1
CM-1
Política y
procedimientos
de administración
de configuración
Página 89 de 207
Control: La entidad desarrolla, divulga,
revisa y actualiza periódicamente: (i) una
política formal y documentada de
administración de la configuración e incluye el
propósito, alcance, roles, responsabilidades,
compromiso de la administración,
coordinación entre entidades
organizacionales y cumplimiento; y (ii)
procedimientos formales y documentados
para facilitar la implementación de la política y
los controles asociados.
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
PS8
PS8.1
CM-2
Configuración
básica
Control: La entidad desarrolla, documenta y
mantiene una configuración básica del
sistema de información.
Mejoras al control:
(1)
La entidad actualiza la configuración básica
del sistema de información con parte integral
de la instalación de los componentes del
sistema de información.
(2)
La entidad utiliza mecanismos automáticos
para mantener actualizada, completa, exacta
y disponible la configuración básica del
sistema de información.
PS8
PS8.1
CM-3
Control de
cambios a la
configuración
Control: La entidad autoriza, documenta y
controla los cambios al sistema de
información.
Mejoras al control:
(1)
Le entidad utiliza mecanismos automáticos
para: (i) documentar los cambios propuestos
al sistema de información; (ii) notificar a la
administración responsable de aprobación
apropiada; (iii) Alertar sobre las aprobaciones
que no se han recibido de manera oportuna;
(iv) posponer los cambios hasta que se
reciban las aprobaciones necesarias; y (v)
documentar los cambios al sistema de
información.
PS8
PS8.1
CM-4
Monitorear los
cambios a la
configuración
Control: La entidad monitorea los cambios al
sistema de información y conduce un análisis
de impacto a la seguridad para determinar los
efectos de los cambios.
PS8
PS8.1
CM-5
Restricciones de
acceso para
cambios
Control: La entidad: (i) aprueba los privilegios
de acceso individuales y establece
restricciones de acceso lógico y físico
asociados con cambios al sistema de
información; y (ii) genera, retiene y revisa los
registros que reflejan todos los cambios.
Mejoras al control:
(1)
La entidad utiliza mecanismos automáticos
para forzar restricciones de acceso y soportar
la auditoria de las acciones.
Página 90 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
PS8
PS8.1
CM-6
Estándares de
configuración
Control: La entidad (i) establece estándares
de configuración obligatorios para los
productos de TI utilizados en el sistema de
información; (ii) configura los estándares de
seguridad al modo mas restrictivo posible
según los requisitos operacionales; (iii)
documenta los estándares de configuración;
y (iv) forza los estándares de configuración
en todos los componentes del sistema de
información.
Mejoras al control:
(1)
La entidad utiliza mecanismos automáticos
para administrar centralizadamente, aplicar y
verificar los estándares de configuración.
PS8
PS8.1
CM-7
Mínima
funcionalidad
Control: La entidad configura el sistema de
información para proveer solo las
capacidades esenciales y prohíbe o restringe
el uso de funciones, puertos, protocolos, y o
servicios adicionales.
Mejoras al control:
(1)
Le entidad revisa periódicamente el sistema
de información para identificar y eliminar
funciones, puertos, protocolos, y o servicios
innecesarios.
PS8
PS8.1
CM-8
Inventario de
componentes del
sistema de
información
Control: La entidad desarrolla, documenta y
mantiene un inventario actualizado de los
componentes del sistema de información y la
información relevante de los dueños.
Mejoras al control:
(1)
La entidad actualiza el inventario de los
componentes del sistema de información
como parte de las instalaciones de los
componentes del sistema.
(2)
La entidad utiliza mecanismos automáticos
para ayudar a mantener actualizado,
completo, exacto y disponible el inventario de
componentes del sistema de información.
Plan de
contingen
Página 91 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
cias
PS6
PS6.1, PS6.2,
PS6.3
CP-1
Política y
procedimientos
del plan de
contingencias
Control: La entidad desarrolla, divulga, revisa
y actualiza periódicamente: (i) una política
formal y documentada de planeación de
contingencias que incluye el propósito,
alcance, roles, responsabilidades,
compromiso de la administración,
coordinación entre entidades
organizacionales y cumplimiento; y (ii)
procedimientos formales y documentados
para facilitar la implementación de la política
del plan de contingencia y los controles
asociados.
PS6
PS6.3
CP-2
Plan de
contingencias
Control: La entidad desarrolla e implementa
un plan de contingencias para el sistema de
información que incluye roles y
responsabilidades, personal asignado con
información de contacto y actividades
asociadas con la restauración del sistema
después de una interrupción o falla. Se
nombra a los coordinadores del plan dentro
de la entidad encargados de revisar y aprobar
el plan y distribuir las copias al personal clave
de contingencias.
Mejoras al control:
(1)
La entidad coordina el desarrollo del plan de
contingencias con las áreas responsables de
los planes relacionados.
(2)
La entidad conduce una planeación de la
capacidad de manera que se asegure la
existencia de la capacidad necesaria para el
procesamiento de la información, las
telecomunicaciones y el soporte ambiental
durante las situaciones de crisis.
Página 92 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
PS6
PS6.3
CP-3
Entrenamiento en Control: La entidad entrena al personal en
contingencias
los roles y responsabilidades de contingencia
con relación al sistema de información y
provee capacitación por lo menos
anualmente.
Mejoras al control:
(1)
La entidad incorpora eventos simulados en
entrenamiento de contingencias para facilitar
respuesta efectiva por el personal en
situaciones de crisis.
(2)
La entidad utiliza mecanismos automáticos
para proveer un ambiente de entrenamiento
más real.
PS6
PS6.3
CP-4
Pruebas y
simulacros del
plan de
contingencias
Página 93 de 207
Control: La entidad: (i) prueba y /o realiza
simulacros del plan de contingencias para el
sistema de información por lo menos
anualmente. y (ii) revisa los resultados de las
pruebas al plan y las acciones correctivas
pertinentes.
Mejoras al control:
(1)
La entidad coordina las pruebas al plan de
contingencias con el personal de las áreas
responsables por los planes relacionados.
Ejemplos de planes relacionados son: los
planes de continuidad de negocio, plan de
recuperación de desastres, plan de
continuidad de las operaciones, plan de
recuperación del negocio, plan de respuesta a
incidentes y plan de acción de emergencias.
(2)
La entidad prueba el plan de contingencias en
un sitio de procesamiento alterno para
familiarizar al personal de contingencias con
las instalaciones y los recursos disponibles y
evaluar las capacidades del sitio para
soportar las operaciones de contingencia.
(3)
La entidad emplea mecanismos automáticos
para realizar pruebas efectivas al plan de
contingencias y proveer un cubrimiento más
completo a los ambientes y escenarios de
pruebas.
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
PS6
PS6.3
CP-5
Actualización del
plan de
contingencias
Control: La entidad revisa el plan de
contingencias para el sistema de información
por lo menos anualmente para incluir los
cambios al sistema o cambios en la
organización o problemas encontrados
durante la implementación, ejecución o
pruebas al plan.
PS6
PS6.3
CP-6
Sitio de
almacenamiento
alterno
Control: La entidad identifica un sitio de
almacenamiento alterno e inicia los acuerdos
necesarios para permitir almacenamiento de
los backups del sistema de información.
Mejoras al control:
(1)
La entidad identifica un sitio de
almacenamiento alterno que está
geográficamente separado del sitio de
almacenamiento primario de manera que no
esté expuesto a las mismas amenazas.
(2)
La entidad configura el sitio de
almacenamiento alterno para facilitar la
oportuna y efectiva operación de
recuperación.
(3)
La entidad identifica problemas potenciales de
acceso al sitio de almacenamiento alterno en
el evento de una interrupción o desastre y
define acciones de mitigación.
Página 94 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
PS6
PS6.3
CP-7
Sitio de
procesamiento
alterno
Página 95 de 207
Control: La entidad identifica un sitio de
procesamiento alterno e inicia los acuerdos
necesarios para permitir la restauración de las
operaciones del sistema de información para
las funciones de misión crítica dentro de un
periodo establecido cuando la capacidad
primaria de procesamiento no está disponible.
Mejoras al control:
(1)
La entidad identifica un sitio de procesamiento
alterno que está geográficamente separado
del sito de procesamiento primario de manera
que no esté expuesto a las mismas
amenazas.
(2)
La entidad identifica problemas potenciales de
acceso al sitio de procesamiento alterno en el
evento de una interrupción o desastre y
establece las acciones de mitigación.
(3)
La entidad desarrolla acuerdos para el sitio de
procesamiento alterno que contienen
prioridad en la provisión del servicio de
acuerdo con los requisitos de disponibilidad
de la entidad.
(4)
La entidad realiza una configuración completa
del sitio de procesamiento alterno de manera
que esté listo para ser usado como el sitio de
soporte operacional según la mínima
capacidad operacional requerida.
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
PS6
PS6.1,PS6.2
CP-8
Servicios de
telecomunicacion
es
Página 96 de 207
Control: La entidad identifica servicios de
telecomunicaciones primarias y alternas para
soportar el sistema de información y los
acuerdos necesarios para restaurar las
operaciones para las funciones de misión
crítica en un periodo definido cuando la
capacidad de las telecomunicaciones
primarias no está disponible.
Mejoras al control:
(1)
La entidad desarrolla acuerdos de servicios
de telecomunicaciones primarios y alternos
que priorizan la provisión del servicio de
acuerdo con los requisitos de disponibilidad
de la entidad.
(2)
La entidad obtiene servicios de comunicación
alterna que no comparten el mismo punto de
falla con los servicios de telecomunicaciones
primarias.
(3)
La entidad acuerda con los proveedores de
servicios de telecomunicaciones alterno de
manera que estén separados suficientemente
de los proveedores de servicio de
telecomunicaciones primario de manera que
no estén expuestos a las mismas amenazas.
(4)
La entidad solicita a los proveedores de
servicio de telecomunicaciones primaria y
alterna que tengan planes de contingencia
apropiados.
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
PS6
PS6.3
CP-9
Backup del
sistema de
información
Control: La entidad realiza backup periódicos
a nivel del usuario y a nivel del sistema y
protege la información de backups en el sitio
de almacenamiento.
Mejoras al control:
(1)
La entidad prueba periódicamente las copias
para verificar la confiabilidad de la media y la
integridad de la información almacenada.
(2)
La entidad utiliza selectivamente los backups
en la restauración de las funciones del
sistema de información como parte de las
pruebas al plan de contingencias.
(3)
La entidad almacena las copias del backup
del sistema operacional y otros sistemas de
información críticos en un ambiente separado
o en un contenedor independiente del
software operacional.
(4)
La entidad protege los backups de
modificación no autorizada.
PS6
PS6.3
CP-10
Recuperación del
sistema de
información
Control: La entidad utiliza mecanismos con
procedimientos de soporte que permitan
recuperar el sistema de información y sea
restablecido a un estado conocido seguro
después de la interrupción o falla.
Mejoras al control:
(1)
La entidad incluye una restauración completa
y restablecimiento del sistema de información
como parte de las pruebas al plan de
contingencias.
Respuesta
a
incidentes
Página 97 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
PS8
PS8.1
IR-1
Política y
procedimientos
de respuesta a
incidentes
PS8
PS8.1
IR-2
Entrenamiento en Control: La entidad entrena al personal en
respuesta a
los roles y responsabilidades de respuesta a
incidentes
incidentes con respecto al sistema de
información y provee re entrenamiento con
una periodicidad establecida.
Mejoras al control:
(1)
Las entidad incorpora simulación de eventos
en el entrenamiento de respuesta a incidentes
para facilitar una respuesta efectiva del
personal en situaciones de crisis.
(2)
La entidad utiliza mecanismos automatizados
para proveer un ambiente de entrenamiento
más ajustado a la realidad.
PS8
PS8.1
IR-3
Pruebas y
simulacros de
respuesta a
incidentes
Página 98 de 207
Control: La entidad, desarrolla, divulga,
revisa y actualiza periódicamente: (i) una
política formal y documentada de respuesta a
incidentes que incluye el propósito, roles,
responsabilidades, compromiso de la
administración, coordinación entre entidades
organizacionales y cumplimiento; y (ii)
procedimientos formales y documentados
para facilitar la implementación de la política
de respuesta a incidentes y los controles
asociados.
Control: La entidad prueba periódicamente
(por lo menos una vez al año), la capacidad
de respuesta a incidentes del sistema de
información para determinar la efectividad de
la respuesta al incidente y documenta los
resultados.
Mejoras al control:
(1)
La entidad utiliza mecanismos automáticos
para probar la capacidad de respuesta a los
incidentes.
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
PS8
PS8.1
IR-4
Manejo de
incidentes
Control: La entidad implementa una
capacidad de manejo de incidentes para
incidentes de seguridad de manera que
incluya: preparación, detección, análisis,
contención, erradicación y recuperación.
Mejoras al control:
(1)
La entidad emplea mecanismos automáticos
para apoyar el proceso de manejo de
incidentes.
PS8
PS8.1
IR-5
Monitoreo de
incidentes
Control: La entidad registra y documenta los
incidentes de seguridad de la información de
manera continua.
Mejoras al control:
(1)
La entidad utiliza mecanismos automáticos
para apoyar en el registro de los incidentes de
seguridad y en la colección y análisis de la
información del incidente.
PS8
PS8.1
IR-6
Reporte de
incidentes
Control: La entidad dispone de un función de
soporte de respuesta a incidentes que presta
soporte y asistencia a los usuarios del
sistema de información para el reporte y
manejo de los incidentes de seguridad.
Mejoras al control:
(1)
La entidad emplea mecanismos automáticos
para incrementar la disponibilidad de la
información de respuesta a incidentes
relacionados y el soporte.
PS8
PS8.1
IR-7
Asistencia en
respuesta a
incidentes
Control: La entidad reporta oportunamente la
información del incidente a los niveles
apropiados.
Mejoras al control:
(1)
La entidad utiliza mecanismos automáticos
para incrementar la disponibilidad de la
información de respuesta a incidentes
relacionados y el soporte.
Mantenimi
Página 99 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
ento
PS6,PS8 PS6.2,PS8.1
MA-1
Control: La entidad desarrolla, divulga, revisa
Política y
procedimientos
y actualiza periódicamente: (i) una política
de mantenimiento formal y documentada de mantenimiento del
sistema de información que incluye el
propósito, alcance, roles, responsabilidades,
compromiso de la administración,
coordinación entre entidades
organizacionales y cumplimiento; y (ii)
procedimientos formales y documentados
para facilitar la implementación de la política
de mantenimiento del sistema de información
y los controles relacionados.
PS6,PS8 PS6.2,PS8.1
MA-2
Mantenimiento
controlado
Página 100 de 207
Control: La entidad programa, desarrolla,
documenta, y revisa los registros de las
rutinas de mantenimiento preventivo y
correctivo de los componentes del sistema de
información según las especificaciones del
fabricante o vendedor y los requisitos de la
entidad.
Mejoras al control:
(1)
La entidad mantiene registros de
mantenimiento para el sistema de información
que incluyen: (i) fecha y hora del
mantenimiento; (ii) nombre de quien realiza el
mantenimiento; (iii) nombre de quien lo
escolta, si aplica; (iv) una descripción del
mantenimiento realizado; y (v) una lista de
equipos retirados o reemplazados (incluyendo
número de identificación si aplica).
(2)
La entidad utiliza mecanismos automáticos
para programar y conducir el mantenimiento
requerido y mantener actualizados, exactos,
completos y disponibles los registros de todas
las acciones de mantenimiento realizadas.
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
PS6,PS8 PS6.2,PS8.1
MA-3
Herramientas de
mantenimiento
Página 101 de 207
Control: La entidad aprueba, controla y
monitorea el uso de las herramientas de
mantenimiento del sistema de información de
manera continua.
Mejoras al control:
(1)
La entidad inspecciona todas las
herramientas de mantenimiento que están
bajo custodia del personal de mantenimiento
para identificar modificación inapropiada.
(2)
La entidad chequea contra código malicioso
todos los programas de prueba y diagnóstico
antes de ser utilizados para el mantenimiento
del sistema.
(3)
La entidad chequea todo el equipo en
mantenimiento y su capacidad de retención
de información de manera que la información
de la empresa sea saneada; si el equipo no
puede ser saneado, éste permanece en las
instalaciones o es destruido a menos que
haya una autorización expresa de no hacerlo.
(4)
La entidad emplea mecanismos automáticos
para restringir el uso de herramientas de
mantenimiento sólo al personal autorizado.
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
PS6,PS8 PS6.2,PS8.1
MA-4
Mantenimiento
remoto
Control: La entidad autoriza, monitorea y
controla las actividades de mantenimiento y
diagnóstico remotas.
Mejoras al control:
(1)
La entidad audita todas las sesiones de
mantenimiento y diagnóstico remoto y el
personal apropiado de la entidad revisa los
registros de mantenimiento de las sesiones
remotas.
(2)
La entidad incluye la instalación y uso de
mantenimiento remoto y links de diagnóstico
en el plan de seguridad para el sistema de
información.
(3)
La entidad no permite servicios de
mantenimiento o diagnostico remoto de un
proveedor de servicios que no implemente en
su propio sistema de información un nivel de
seguridad igual o superior al implementado en
el sistema de información sujeto a
mantenimiento, a menos que los
componentes del sistema de información que
contengan información organizacional sean
removidos o saneados(eliminar información
organizacional y cheque de software
malicioso) antes de la ejecución del servicio y
sean saneados antes de ser reconectados al
sistema de información.
PS6
PS6.2,PS8.1
MA-5
Personal de
mantenimiento
Control: La entidad solo permite que el
personal autorizado realice el mantenimiento
al sistema de información.
PS6
PS6.2
MA-6
Mantenimiento
oportuno
Control: La entidad establece acuerdos con
el proveedor para el mantenimiento y
reemplazo de las componentes del sistema
en un período de tiempo establecido.
Protecció
n de los
medios
Página 102 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
PS4
PS4.2
MP-1
Política y
procedimientos
de protección de
los medios
Control: La entidad desarrolla, divulga, revisa
y actualiza periódicamente: (i) una política
formal y documentada que incluya el
propósito, alcance, roles, responsabilidades,
compromiso de la administración,
coordinación entre entidades
organizacionales y cumplimiento; y (ii)
procedimientos formales y documentados
para facilitar la implementación de la política
de protección de los medios y los controles
relacionados.
PS4
PS4.2
MP-2
Acceso a los
medios
Control: La entidad restringe el acceso a los
medios del sistema de información a personal
autorizado.
Mejoras al control:
(1)
La entidad utiliza mecanismos automáticos
para restringir el acceso a las áreas de
almacenamiento de los medios y audita los
intentos de acceso y los accesos otorgados.
PS4
PS4.2
MP-3
Etiquetado de los
medios
Control: La entidad : (i) coloca etiquetas
externas para los medios removibles del
sistema de información y la información de
salida indicando limitaciones en la
distribución, en el manejo de advertencias y
marcas de seguridad si aplica; y (ii)una lista
de tipos de medios o hardware exento de
etiquetas mientras permanecen en un
ambiente protegido.
PS4
PS4.2
MP-4
Almacenamiento
de los medios
Control: La entidad controla físicamente y
almacena seguramente los medios del
sistema de información dentro de áreas
controladas.
Página 103 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
PS4
PS4.1,PS4.2
MP-5
Transporte de los
medios
PS4
PS4.2
MP-6
Control: La entidad sanea los medios del
Saneamiento y
eliminación de los sistema de información antes de su
medios
eliminación o reutilización.
Mejoras al control:
(1)
La entidad registra, documenta y verifica las
acciones de saneamiento y eliminación de los
medios.
(2)
La entidad prueba periódicamente el
saneamiento de los equipos y los
procedimientos para verificar su correcto
desempeño.
Protecció
n física y
ambiental
Página 104 de 207
Control: La entidad protege y controla los
medios del sistema de información durante el
transporte fuera de las áreas controladas y
restringe las actividades relacionadas con el
transporte de los medios sólo al personal
autorizado.
Mejoras al control:
(1)
La entidad protege los medios durante el
transporte fueras de las áreas controladas
utilizando mecanismos tales como:
contenedores asegurados, o mecanismos de
criptografía.
(2)
La entidad documenta las actividades
asociadas con el transporte de los medios del
sistema de información.
(3)
La entidad utiliza un custodio identificado para
las actividades de transporte de los medios
del sistema de información.
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
PS6
PE-1
Política y
procedimientos
de protección
física y ambiental
Control: La entidad desarrolla, divulga, revisa
y actualiza periódicamente: (i) una política
formal y documentada de protección física y
ambiental que incluye el propósito, alcance,
roles, responsabilidades, compromiso de la
administración, coordinación entre entidades
organizacionales y cumplimiento; y (ii)
procedimientos formales y documentados
para facilitar la implementación de la política
de protección física y ambiental y los
controles relacionados.
PS4,PS8 PS4.2,PS8.1
PE-2
Autorización de
acceso físico
Control: La entidad desarrolla y mantiene
una lista actualizada del personal con
autorización de acceso a las instalaciones
donde reside el sistema de información y de
las credenciales de autorización. Los oficiales
de seguridad autorizados revisan y aprueban
las listas de acceso y las credenciales de
autorización.
PS4,PS5 PS4.2,PS5.2,PS8.1
,PS8
PE-3
Control de acceso Control: La entidad controla todos los puntos
físico
de acceso físico a las instalaciones donde
reside el sistema de información y verifica las
autorizaciones individuales antes de otorgar
el acceso a las instalaciones.
Mejoras al control:
(1)
La entidad controla el acceso físico al sistema
de información independiente de los controles
de acceso físico a las instalaciones.
PS6.3
PS4,PS5 PS4.1,PS5.1, PS8.1 PE-4
,PS8
Control de acceso Control: La entidad controla el acceso físico
al medio de
a las líneas de transmisión y distribución de
transmisión
datos del sistema de información dentro de
las instalaciones de la entidad.
PS4,PS5 PS4.2, PS5.3
Control de acceso Control: La entidad controla el acceso físico
al medio de
a los dispositivos que despliegan información
despliegue.
del Sistema para prevenir que personas no
autorizadas observen el despliegue de las
salidas.
PE-5
Página 105 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
PS4,PS5 PS4.2,PS5.3
PE-6
Monitoreo de
acceso físico
Control: La entidad monitorea el acceso
físico al sistema de información para detectar
y responder a incidentes de seguridad física.
Mejoras al control:
(1)
La entidad monitorea alarmas de intrusión
física en tiempo real y equipos de vigilancia.
(2)
La entidad emplea mecanismos automáticos
para reconocer intrusiones potenciales e
iniciar acciones de respuesta apropiadas.
PS4,PS5 PS4.2,PS5.3
PE-7
Control de
visitantes
Control: La entidad controla el acceso físico
al sistema de información autenticando a los
visitantes antes de autorizar el acceso a las
instalaciones controladas donde reside el
sistema de información.
Mejoras al control:
(1)
La entidad escolta a los visitantes y monitorea
las actividades de estos cuando se requiera.
PS4,PS5 PS4.2,PS5.3
PE-8
Registros de
acceso
Control: La entidad mantiene registros de
acceso de visitantes a las instalaciones
controladas donde reside el sistema de
información que incluyen: (i) nombre y
empresa del visitante; (ii) firma del visitante;
(iii) forma de identificación; (iv) fecha de
acceso; (v) hora de entrada y salida; (vi)
propósito de la visita; y (vii) nombre y
empresa de la persona visitada. Las personas
designadas revisan periódicamente los
registros de acceso de los visitantes.
Mejoras al control:
(1)
La entidad emplea mecanismos automáticos
para facilitar el mantenimiento y revisión de
los registros de acceso.
(2)
La entidad mantiene un registro del acceso
físico de visitantes y personal autorizado.
PS6
PE-9
Equipo de
suministro de
energía y
cableado de
energía.
PS6.3
Página 106 de 207
Control: La entidad protege el equipo de
suministro de energía y el cableado de
energía para el sistema de información contra
daño y destrucción.
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
PS6
PS6.2
PE-10
Apagado de
emergencia
PS6
PS6.2
PE-11
Suministro alterno Control: La entidad dispone de una UPS para
de energía
facilitar el apagado ordenado del sistema de
información en el evento de una pérdida de la
fuente primaria de energía.
Mejoras al control:
(1)
La entidad dispone de una fuente alterna de
energía de larga duración para el sistema de
información que permita una capacidad
mínima operacional requerida en el evento de
una pérdida prolongada de la fuente primaria
de energía.
PS6
PS6.2
PE-12
Luces de
emergencia
Página 107 de 207
Control: La entidad provee capacidad de
apagado remoto de cualquier componente del
sistema de información que pueda estar
funcionando incorrectamente o esté
amenazado.
Mejoras al control:
(1)
La entidad protege la capacidad de apagado
de emergencia de activación accidental o no
autorizada.
Control: La entidad utiliza y mantiene un
sistema automático de luces de emergencia
que se activan en el evento de una
interrupción de energía y cubre salidas de
emergencia y rutas de evacuación.
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
PS6
PE6.3
PE-13
Protección contra
incendios
Control: La entidad utiliza y mantiene
sistemas de detección y extinción de
incendios que pueden ser activados en caso
de incendio.
Mejoras al control:
(1)
La entidad utiliza sistemas de detección de
fuego que se activan automáticamente y
notifican a la entidad y al equipo de respuesta
a emergencias.
(2)
La entidad utiliza sistemas de extinción de
incendios que suministran notificación
automática de cualquier activación a la
entidad y al equipo de respuesta a
emergencias.
(3)
La entidad dispone de capacidad automática
de extinción de incendios en las instalaciones
donde no hay frecuente disponibilidad de
personal.
PS6
PE6.3
PE-14
Controles de
humedad y
temperatura
Control: La entidad monitorea y mantiene
dentro de niveles aceptables la temperatura y
humedad dentro de las instalaciones donde
reside el sistema de información.
PS6
PE6.3
PE-15
Protección contra
fugas de agua
Control: La entidad protege el sistema de
información contra daños ocasionados por el
agua resultante de tuberías rotas u otras
fuentes de escape de agua manteniendo
válvulas maestras que son accesibles,
trabajan adecuadamente y son conocidas por
el personal clave.
Mejoras al control:
(1)
La entidad utiliza mecanismos automáticos
que protegen el sistema de información de
daños ocasionados por fugas de agua
significativas.
PS4
PS4.2
PE-16
Ingreso y retiro
Control: La entidad autoriza y controla el
ingreso y salida de los ítems relacionados con
el sistema de información dentro de las
instalaciones y mantiene registros apropiados
de dichos eventos.
Página 108 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
PS6
PS6.3
PE-17
Sitio de trabajo
alterno
Control: La entidad mantiene controles
administrativos, operacionales y técnicos del
sistema de información en el sitio alterno.
PS6
PS6.3
PE-18
Ubicación de los
componentes del
sistema de
información
Control: La entidad ubica de manera segura
los componentes del sistema de información
para minimizar el daño potencial de
amenazas físicas y ambientales y acceso no
autorizado.
Mejoras al control:
(1)
La entidad planea las condiciones de
seguridad del sitio de ubicación del sistema
de información considerando las amenazas
físicas y ambientales y actualiza su estrategia
de mitigación del riesgo.
Planeació
n
PS1-PS9 PS1.1 - PS9.1
PL-1
Política y
procedimientos
de planeación de
la seguridad
PS1-PS9 PS1.1 - PS9.1
PL-2
Plan de seguridad Control: La entidad desarrolla e implementa
del sistema
un plan de seguridad para el sistema de
información que incluye una revisión de los
requisitos de seguridad para el sistema y una
descripción de los controles de seguridad
implementados o planeados para reunir los
requerimientos. Nombra al personal
encargado de revisar y aprobar el plan.
Página 109 de 207
Control: La entidad desarrolla, divulga,
revisa y actualiza periódicamente: (i) una
política formal y documentada de planeación
de la seguridad que incluye el propósito,
alcance, roles , responsabilidades,
compromiso de la administración,
coordinación entre entidades
organizacionales y cumplimiento; y (ii)
procedimientos formales y documentados
para facilitar la implementación de la política y
los controles relacionados.
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
PS1-PS9 PS1.1 - PS9.1
PL-3
Actualización del Control: La entidad revisa por lo menos
plan de seguridad anualmente, el plan de seguridad del sistema
de información para identificar necesidades
de cambio organizacional o del sistema
durante la implementación del plan o en las
evaluaciones de seguridad.
PS1
PS1.1
PL-4
Reglas de
comportamiento
Control: La entidad establece y divulga un
conjunto de reglas que describen las
responsabilidades y comportamiento
esperado con relación a la información y al
uso del sistema de información. Los usuarios
firman un documento de compromiso que
indica que han leído, que entienden y que
están de acuerdo con las reglas de
comportamiento antes de autorizar el acceso
al sistema de información.
PS4
PS4.1,PS4.2
PL-5
Evaluación del
impacto a la
privacidad
Control: La entidad lleva a cabo una
evaluación del impacto a la privacidad en el
sistema de información según la ley de
habeas data (Ley 1266 31 diciembre de 2008)
PS8
PS8.1
PL-6
Planeación de las
actividades
relacionadas con
la seguridad
Control: La entidad planea y coordina las
actividades relacionadas con la seguridad que
afectan el sistema de información antes de
ejecutar dichas actividades con el fin de
reducir el impacto en las operaciones, en los
activos de información y en las personas.
Seguridad
del
personal
Página 110 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
PS1-PS9 PS1.1 - PS9.1
PS-1
Política y
procedimientos
para seguridad
del personal
Control: La entidad desarrolla, divulga, revisa
y actualiza periódicamente: (i) una política
formal y documentada de seguridad del
personal que incluye: propósito, alcance,
roles, responsabilidades, compromiso de la
administración, coordinación entre áreas
organizacionales, y cumplimiento; y (ii)
procedimientos formales y documentados
para facilitar la implementación de la política
de seguridad del personal y los controles
relacionados.
PS1-PS9 PS1.1 - PS9.1
PS-2
Categorización
del cargo
Control: La entidad define riesgos de los
cargos y establece criterios para la selección
y contratación del personal para dichos
cargos. La entidad revisa dichos cargos con
una frecuencia establecida.
PS1-PS9 PS1.1 - PS9.1
PS-3
Verificación del
personal
Control: La entidad realiza revisiones de
verificación del personal que requiere acceso
a la información empresarial y a los sistemas
de información antes de autorizar el acceso.
PS1-PS9 PS1.1 - PS9.1
PS-4
Terminación del
contrato laboral
Control: La entidad retira el acceso a los
sistemas de información antes de la
terminación del contrato laboral, realiza
entrevistas de retiro, gestiona la devolución
de activos y autoriza al personal apropiado
para revisar los registros creados en el
sistema de información por parte del personal
que se retira.
PS1-PS9 PS1.1 - PS9.1
PS-5
Transferencia del
personal
Control: La entidad revisa las autorizaciones
de acceso al sistema de información cada vez
que se presenta una reasignación o
transferencia del personal a otro cargo.
PS1-PS9 PS1.1 - PS9.1
PS-6
Acuerdos de
confidencialidad
Control: La entidad establece acuerdos de
confidencialidad firmados por los usuarios que
requieren acceder la información
organizacional y los sistemas de información
antes de autorizar su acceso y efectúa
revisiones periódicas a dichos acuerdos.
Página 111 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
PS1-PS9 PS1.1 - PS9.1
PS-7
Seguridad del
personal de
terceras partes
Control: La entidad establece requerimientos
de seguridad del personal incluyendo roles y
responsabilidades para contratistas y
proveedores y monitorea su cumplimiento.
PS1-PS9 PS1.1 - PS9.1
PS-8
Sanciones al
personal
Control: La entidad adopta un proceso
disciplinario formal para el personal que viole
el cumplimiento de las políticas y
procedimientos de seguridad de la
información.
Evaluació
n del
riesgo
PS1-PS9 PS1.1 - PS9.1
RA-1
Política y
procedimientos
de evaluación del
riesgo
Control: La entidad desarrolla, divulga, revisa
y actualiza periódicamente: (i) una política
formal y documentada de evaluación del
riesgo que incluya el propósito, alcance, roles,
responsabilidades, compromiso de la
gerencia, coordinación entre áreas
organizacionales y cumplimiento; y (ii)
procedimientos formales y documentados
para facilitar la implementación de la política
de evaluación del riesgo y los controles
relacionados.
PS1-PS9 PS1.1 - PS9.1
RA-2
Categorías de
seguridad
Control: La entidad categoriza el sistema de
información y la información procesada,
almacenada o transmitida por el sistema de
acuerdo con la reglamentación, políticas,
estándares y guías aplicables y documenta
los resultados en el plan de seguridad del
sistema. Designa a personal apropiado para
revisar las categorías de seguridad.
PS1-PS9 PS1.1 - PS9.1
RA-3
Evaluación del
riesgo
Control: La entidad realiza evaluaciones del
riesgo y análisis de impacto del daño
resultante de acceso, uso, revelación,
interrupción, modificación, destrucción no
autorizada de la información y de los sistemas
de información que soportan los servicios de
Página 112 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
gobierno en línea.
PS1-PS9 PS1.1 - PS9.1
RA-4
Actualización de
la evaluación del
riesgo
Control: La entidad revisa periódicamente la
evaluación de riesgos o siempre que se
efectúen cambios significativos en los
sistemas de información, las instalaciones
donde reside el sistema o que existan otras
condiciones que pueden impactar la
seguridad o el estado de acreditación del
sistema.
PS8
RA-5
Escaneo de
vulnerabilidades
Control: La entidad escanea periódicamente
las vulnerabilidades del sistema de
información o siempre que se identifiquen y
reporten nuevas amenazas que puedan
impactar el sistema.
Mejoras al control:
(1)
La entidad utiliza herramientas de escaneo de
vulnerabilidades que incluyen capacidad para
actualizar la lista de vulnerabilidades
escaneadas.
(2)
La entidad actualiza periódicamente la lista de
vulnerabilidades escaneadas o cuando
nuevas vulnerabilidades son identificadas y
reportadas.
(3)
La entidad implementa procedimientos de
escaneo de vulnerabilidades que pueden
demostrar la cobertura y profundidad del
escaneo incluyendo el checkeo de
vulnerabilidades a los componentes de
sistema de información.
PS8.1
Adquisici
ón de
sistemas
y
servicios
Página 113 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
PS1-PS9 PS1.1 - PS9.1
SA-1
Política y
procedimientos
de adquisición de
sistemas y
servicios
Control: La entidad desarrolla, divulga,
revisa y actualiza periódicamente: (i) una
política formal y documentada de adquisición
de sistemas y servicios que contempla
consideraciones de seguridad de la
información y que incluye el propósito,
alcance, roles, responsabilidades,
compromiso de la gerencia, coordinación
entre áreas de la entidad y cumplimiento; y (ii)
procedimientos formales y documentados
para facilitar la implementación de la política
de adquisición de sistemas y servicios y los
controles relacionados.
PS1-PS9 PS1.1 - PS9.1
SA-2
Distribución de
recursos
Control: La entidad determina, documenta y
distribuye como parte de la planeación y
control de inversiones los recursos
requeridos para proteger adecuadamente el
sistema de información.
PS8
SA-3
Ciclo de vida del
soporte
Control: La entidad administra el sistema de
información adoptando una metodología para
el ciclo de desarrollo de los sistemas de
información que incluye consideraciones de
seguridad de la información.
SA-4
Adquisiciones
Control: La entidad incluye las
especificaciones de seguridad en los
contratos de adquisición de los sistemas de
información basados en un proceso de
evaluación del riesgo y conforme a las
regulaciones, políticas y estándares
aplicables.
Mejoras al control:
(1)
La entidad solicita la documentación que
describa en detalle la funcionalidad de los
controles de seguridad del sistema de
información para permitir analizar y probar
dichos controles.
(2)
La entidad solicita la documentación detallada
del diseño y detalles de implementación de
los controles de seguridad del sistema para
permitir analizar y probar dichos controles
(incluyendo interfaces entre componentes).
PS8.1
PS1-PS9 PS1.1 - PS9.1
Página 114 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
PS8
PS8.1
SA-5
Documentación
de los sistemas
de información
Control: La entidad obtiene, protege y
mantiene disponible al personal autorizado la
documentación del sistema de información.
Mejoras al control:
(1)
La entidad obtiene además de las guías del
usuario y del administrador, la
documentación detallada de la funcionalidad
de los controles de seguridad del sistema de
información para permitir análisis y prueba de
los controles.
(2)
La entidad obtiene además de las guías de
usuario y del administrador, la documentación
detallada del diseño de los controles de
seguridad del sistema de información para
permitir análisis y prueba de los controles.
PS8
PS8.1
SA-6
Restricciones de
uso del software
Control: La entidad cumple con las
restricciones de uso del software.
PS8
PS8.1
SA-7
Software
instalado por los
usuarios
Control: La entidad forza al cumplimiento de
reglas explicitas que gobiernan la instalación
de software por parte de los usuarios.
PS8
PS8.1
SA-8
Principios de
ingeniería de
seguridad
Control: La entidad designa e implementa el
sistema de información utilizando principios
de ingeniería de seguridad.
PS8
PS8.1
SA-9
Servicios de
desarrollo,
mantenimiento y
soporte externo
del sistema de
información
Control: La entidad: (i) requiere que los
proveedores de servicio adopten controles de
seguridad de conformidad con la
reglamentación, políticas y estándares
aplicables y según los ANS establecidos; y
(ii) monitoree el cumplimiento de los controles
de seguridad.
PS8
PS8.1
SA-10
Administración de Control: La entidad exige a los
la configuración
desarrolladores del sistema de información
del desarrollador crear e implementar un plan de configuración
que controle los cambios al sistema durante el
desarrollo, rastree las fallas de seguridad y
documente el plan y su implementación.
Página 115 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
PS8
PS8.1
SA-11
Pruebas de
seguridad del
desarrollador
Control: La entidad exige al desarrollador del
sistema crear un plan de evaluación y
pruebas de seguridad, implementar el plan, y
documentar los resultados.
Protecció
n del
sistema y
las
comunica
ciones
PS8
PS8.1
PS1,PS8 PS1.2,PS8.1
SC-1
Política y
procedimientos
de protección del
sistema y las
comunicaciones
Control: La entidad desarrolla, divulga, revisa
y actualiza periódicamente: (i) una política
formal y documentada de protección del
sistema y las comunicaciones que incluye: el
propósito, alcance, roles, responsabilidades,
compromiso de la gerencia, coordinación
entre áreas de la entidad y cumplimiento; y (ii)
procedimientos formales y documentados
para facilitar la implementación de la política
de protección del sistema y las
comunicaciones y los controles relacionados.
SC-2
Particionar la
aplicación
Control: Las funciones del usuario y las
funciones administrativas del sistema se
encuentran separadas en el sistema de
información.
Página 116 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
PS1,PS8 PS1.2,PS8.1
SC-3
Aislamiento de la
función de
seguridad
Control: Se aíslan en el sistema de
información las funciones de seguridad de las
otras funciones.
Mejoras al control:
(1)
En el sistema de información se utilizan
mecanismos de separación del hardware para
facilitar el aislamiento de la función de
seguridad.
(2)
En el sistema de información se aíslan las
funciones de seguridad críticas (por ejemplo:
control de acceso y control del flujo de
información) de las funciones de seguridad y
demás funciones.
(3)
En el sistema de información es mínimo el
número de funciones que no son de
seguridad incluidas en la frontera de
aislamiento que contiene las funciones de
seguridad.
(4)
En el sistema de información las funciones de
seguridad se implementan como módulos
independientes grandes de manera que
eviten interacciones innecesarias entre
módulos.
(5)
En el sistema de información se implementan
las funciones de seguridad con una estructura
de capas de manera que minimice las
interacciones entre capas del diseño evitando
dependencia funcional de capas más bajas o
correcciones en las capas más altas.
PS4
SC-4
Revelación de
información
Control: el sistema de información previene
de transferencia no autorizada de información
a través de recursos del sistema compartidos.
PS4.1,PS4.2
Página 117 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
PS6,PS8 PS6.1,PS8.1
SC-5
Protección contra
denegación del
servicio
Control: El sistema de información protege o
limita los efectos de los ataques de
denegación.
Mejora al control:
(1)
Se restringe en el sistema de información la
capacidad de los usuarios para generar
ataques de denegación del servicio contra
otros sistemas de información o redes.
(2)
Se gestiona en el sistema el exceso de
capacidad, ancho de banda u otra
redundancia para limitar los efectos de
ataques de denegación del servicio.
PS8
SC-7
Protección de
fronteras
Control: En el sistema de información se
monitorean y controlan las comunicaciones
entre las fronteras externas del sistema y las
fronteras internas.
Mejoras al control:
(1)
La entidad físicamente distribuye los
componentes del sistema accesibles para
separar las subredes de las interfaces de red
físicas.
(2)
La entidad previene de acceso público en las
redes internas de la entidad con excepciones
plenamente justificadas.
(3)
La entidad limita el número de puntos de
acceso al sistema de información para
permitir un mejor monitoreo del tráfico
entrante y saliente de la red.
(4)
La entidad implementa una interfase
administrada a través de un servicio de
telecomunicaciones externas, implementando
controles apropiados para proteger la
integridad y la confidencialidad de la
información a ser transmitida.
(5)
El sistema de información restringe el tráfico
de red por default y permite el tráfico de red
por excepción.
(6)
La entidad previene de la salida no autorizada
de información fuera de las fronteras del
sistema de información cuando existe una
falla de los mecanismos de protección de
fronteras.
PS8.1
Página 118 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
PS5
PS5.1
SC-8
Integridad de la
transmisión
Control: El sistema de información protege la
integridad de la información transmitida.
Mejoras al control:
(1)
La entidad emplea mecanismos criptográficos
para reconocer cambios a la información
durante la transmisión a menos que existan
otros mecanismos físicos alternos de
protección.
PS4
PS4.1
SC-9
Confidencialidad
de la transmisión
Control: El sistema de información protege la
confidencialidad de la información transmitida.
Mejoras al control:
(1)
La entidad utiliza mecanismos criptográficos
para prevenir de revelación no autorizada de
información durante la transmisión a menos
que existan mecanismos físicos alternos de
protección.
PS8
PS8.1
SC-10
Desconexión de
la red
Control: El sistema de información finaliza
una conexión de red al final de la sesión o
después de un periodo de tiempo de
inactividad.
PS3,PS8 PS3.1, PS8.1
SC-12
Gestión de llaves
criptográficas
Control: La entidad establece y gestiona las
llaves criptográficas mediante mecanismos
automáticos y la implementación de
procedimientos.
PS4
SC-13
Uso de
criptografía
Control: El sistema de información
implementa mecanismos criptográficos que
cumplen con la reglamentación, políticas,
estándares y guías aplicables.
Protección del
acceso público
Control: El sistema de información protege la
integridad y disponibilidad de la información y
aplicaciones públicamente disponibles.
PS4.2
PS4,PS5 PS4.2,PS5.3, PS8.1 SC-14
,PS8
Página 119 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
PS8
PS8.1
SC-15
Computación
colaborativa
Control: el sistema de información prohíbe la
activación remota de mecanismos de
computación colaborativa y provee una
indicación clara de uso solo para usuarios
locales.
Mejoras al control:
(1)
El sistema de información suministra
desconexión física de cámaras y micrófonos
de manera que soporte facilidad de uso.
PS2
PS2.1 - PS2.4
SC-17
Certificados de
infraestructura de
clave pública
Control: La entidad emite certificados de
clave pública mediante una política de
certificados apropiada u obtiene certificados
de clave pública a través de un proveedor de
servicios aprobado.
PS8
PS8.1
SC-18
Código Móvil
Control: La entidad : (i) establece
restricciones de uso y guía de implementación
para las tecnologías de código móvil basadas
en el potencial para causar daño al sistema
de información si se usa inadecuadamente; y
(ii) autoriza, monitorea y controla el uso de
código móvil dentro del sistema de
información.
PS8
PS8.1
SC-19
Protocolos de voz Control: La entidad (i) establece restricciones
sobre Internet
de uso y guía de implementación para
tecnologías de protocolos de voz sobre
Internet (VoIP) basadas en el potencial para
causar daño al sistema de información si se
usan indebidamente y (ii) autoriza, monitorea
y controla el uso VoIP dentro del sistema de
información.
PS8
PS8.1
SC-20
Servicios de
resolución de
nombres y
direcciones
(fuente
autorizada)
Página 120 de 207
Control: El sistema de información
proporciona servicios de resolución de
nombres además del dato de origen y el
artefacto de integridad junto con el dato de
respuesta a la resolución de los queries (ver
más detalle en SP 800-81).
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
PS8
PS8.1
SC-21
Servicios de
resolución de
nombres y
direcciones(Resol
ución recursiva o
de Caché)
PS8
PS8.1
SC-22
Arquitectura y
prestación de los
servicios de
resolución de
nombres y
direcciones
PS2
PS2.1 - PS2.4
SC-23
Autenticidad de
las sesiones
Integridad
del
sistema y
de la
informaci
ón
Página 121 de 207
Control: El sistema de información provee
servicios de resolución de nombres y
direcciones para clientes locales y desarrolla
autenticación del origen de datos y
verificación de la integridad de los datos en
las respuestas de resolución que recibe de
fuentes autorizadas cuando son requeridas
por los clientes del sistema.
Mejoras al control:
(1)
El sistema de información desarrolla
autenticación del origen del dato y verificación
de la integridad de la información en todas las
respuestas de resolución ya sean o no
clientes locales que requieren explícitamente
el servicio.
Control: El sistema de información que
provee servicios de resolución de nombres y
direcciones son tolerantes a fallas e
implementan separación de roles.
Control: El sistema de información provee
mecanismos para proteger la autenticidad de
las sesiones.
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
PS5
PS5.1 - PS5.4
SI-1
Política y
procedimientos
de integridad del
sistema y de la
información
Control: La entidad desarrolla, divulga,
revisa y actualiza periódicamente: (i) una
política formal y documentada de integridad
del sistema y de la información que incluya el
propósito, alcance, roles, responsabilidades,
compromiso de la gerencia, coordinación
entre áreas de la entidad y cumplimiento; y (ii)
procedimientos formales y documentados que
faciliten la implementación de la política y los
controles relacionados.
PS8
PS8.1
SI-2
Corrección de
errores
Control: La entidad identifica, reporta y corrige
los errores en el sistema de información.
Mejoras al control:
(1)
La entidad administra centralizadamente el
proceso de corrección de errores e instala
automáticamente las versiones de
actualización.
(2)
La entidad utiliza mecanismos automáticos
para determinar periódicamente o por
demanda, el estado de los componentes del
sistema de información con relación a la
corrección de los errores.
PS8
PS8.1
SI-3
Protección contra
código malicioso
Control: El sistema de información tiene
implementado protección contra código
malicioso.
Mejoras al control:
(1)
La entidad administra centralizadamente los
mecanismos de protección contra código
malicioso.
(2)
el sistema de información actualiza
automáticamente los mecanismos de
protección contra código malicioso.
Página 122 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
PS8,PS9 PS8.1, PS9.1
SI-4
Herramientas y
técnicas de
monitoreo del
sistema de
información
Control: La entidad utiliza herramientas y
técnicas para monitorear los eventos en el
sistema de información, detectar ataques, y
proveer identificación de uso no autorizado
del sistema.Mejoras al control:(1)La entidad
interconecta y configura las herramientas de
detección de intrusión individual con el
sistema de detección e intrusión general de la
entidad utilizando protocolos comunes.(2)La
entidad utiliza herramientas automáticas para
soportar análisis de eventos en tiempo real.
(3)La entidad utiliza herramientas automáticas
para integrar las herramientas de detección
de intrusión con los mecanismos de control de
acceso y control de flujo de información para
una rápida respuesta ante ataques
permitiendo la reconfiguración de estos
mecanismos para aislar y eliminar los
ataques.(4)El sistema de información
monitorea las comunicaciones entrantes y
salientes para detectar actividades o
condiciones inusuales o no autorizadas.(5)El
sistema de información suministra alertas en
tiempo real cuando ocurre un compromiso de
la seguridad.
PS8
PS8.1
SI-5
Control: la entidad recibe continuamente
Alertas de
seguridad y
reportes de alertas y recomendaciones de
recomendaciones seguridad y los envía al personal apropiado
para que se tomen las acciones pertinentes.
Mejoras al control:
(1)
La entidad utiliza mecanismos automáticos
para hacer que las alertas y recomendaciones
de seguridad estén disponibles para toda la
entidad en la medida en que se requieran.
Página 123 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
PS8
PS8.1
PS5,PS8 PS5.3, PS8.1
PS8
PS8.1
SI-6
Verificación de la
funcionalidad de
la seguridad
SI-7
Integridad del
software y de la
información
SI-8
Protección contra
spam
Página 124 de 207
El sistema de información verifica
periódicamente la operación correcta de las
funciones de seguridad (Ej.: start y restart y
comandos de usuarios con privilegio
apropiado) y ejecuta una lista de acciones
posibles tales como: notificar al administrador
del sistema, apagar el sistema o reiniciar el
sistema cuando se detectan anomalías.
Mejoras al control:
(1)
La entidad utiliza mecanismos automáticos
que notifican las fallas en las pruebas de
seguridad.
(2)
La entidad utiliza mecanismos automáticos
para soportar la administración de las pruebas
de seguridad distribuidas.
Control: El sistema de información detecta y
protege contra cambios no autorizados al
software y a la información.
Mejoras al control:
(1)
La entidad evalúa periódicamente la
integridad del software y de la información
mediante escanéos de integridad del sistema.
(2)
La entidad utiliza herramientas automatizadas
para notificar al personal apropiado sobre las
discrepancias identificadas durante la
verificación de la integridad.
(3)
La entidad utiliza administración centralizada
de las herramientas de verificación de
integridad.
Control: El sistema de información tiene
implementado protección contra spam.
Mejoras al control:
(1)
La entidad administra centralizadamente los
mecanismos de protección contra spam.
(2)
El sistema de información actualiza
automáticamente los mecanismos de
protección contra spam.
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
PS8
PS8.1
SI-9
Restricciones en
el ingreso de
datos
PS8
PS8.1
SI-10
Chequeo de
Control: El sistema de información chequea
información
exacta, completa, que la información sea exacta, completa
válida y auténtica valida y auténtica.
PS8
PS8.1
SI-11
Manejo de
errores
Control: El sistema de información identifica
y maneja las condiciones de error de manera
sencilla sin suministrar información adicional
que pueda ser aprovechada por atacantes.
SI-12
Manejo y
retención de las
salidas de
información
Control: La entidad maneja y retiene las
salidas del sistema de acuerdo con la
reglamentación, políticas, estándares, guías
aplicables y los requerimientos operacionales.
PS4,PS5 PS4.2,PS5.4
PS8
PS8
Control: La entidad limita la capacidad de
entrada de datos al sistema de información
sólo al personal autorizado.
Proteger
las
comunica
ciones
electrónic
as
PS8.1
CE-1
Política y
procedimientos
de uso aceptable
de las
comunicaciones
electrónicas
Página 125 de 207
Control: La entidad desarrolla, divulga,
revisa y actualiza periódicamente: (i) una
política formal y documentada de uso
aceptable y protección de las comunicaciones
electrónicas que incluya el propósito, alcance,
roles, responsabilidades, compromiso de la
gerencia, coordinación entre áreas de la
entidad y cumplimiento; y (ii) procedimientos
formales y documentados que faciliten la
implementación de la política y los controles
relacionados.
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
PS8
PS8.1
CE-2
Aprobación de
uso
Control: Exigir aprobación del uso de las
comunicaciones electrónicas (correo
electrónico, la mensajería instantánea, el
acceso a Internet, red de VoIP, acceso
inalámbrico) por el nivel de autoridad
apropiado
PS8
PS8.1
CE-3
Guías de uso de
correo
Control: Incluir en el procedimiento o guía
para el uso del correo electrónico lo siguiente:
a) el uso de correo para el desempeño de las
funciones asignadas y prohibir el uso para
fines personales
b) identificar los tipos de correo permitidos
(por ejemplo, servicios corporativos tales
como Lotus Notes o Microsoft Exchange)
c) guías de uso aceptable del correo (por
ejemplo, prohibir el uso de declaraciones
ofensivas, )
d) incluir en las guías una lista de
prohibiciones (por ejemplo, prohibir el uso del
Web mail, propaganda no autorizada, abril
archivos adjuntos de fuentes desconocidas,
encripción privada de correos o archivos
adjuntos, reenvió automático de correos
internos a direcciones de correo externas)
d)dar detalles de las actividades de monitoreo
que se realizan
e) el correo personal debe estar etiquetado
como "personal" y debe estar sujeto a los
acuerdos de uso establecidos
f) dar pautas sobre cómo proteger la
confidencialidad e integridad de los
mensajes(por ejemplo, mediante el uso de
encriptación, certificados digitales y firmas
digitales).
Página 126 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
PS8
PS8.1
CE-4
Guías de uso de
mensajería
instantánea
Página 127 de 207
Control: Incluir en el procedimiento o guía
para el uso de la mensajería instantánea lo
siguiente:
a) el uso de mensajería para el desempeño
de las funciones asignadas y prohibir el uso
para fines personales
b) identificar los tipos de mensajería
permitidos (por ejemplo, servicios públicos
tales como AOL, Google Talk, Windows
Messenger y !Yahoo o servicios internos tales
como Lotus Sametime, Windows Meeting
Space, WebEx y Jabber)
c) usar guías de uso aceptable (por ejemplo,
prohibir el uso de declaraciones ofensivas )
d) dar detalles de las actividades de
monitoreo que se realizan
e) el uso personal de la mensajería debe
estar etiquetado como "personal" y debe estar
sujeto a los acuerdos de uso establecidos
f) dar pautas sobre cómo proteger la
confidencialidad e integridad de los
mensajes(por ejemplo, mediante el uso de
encriptación, certificados digitales y firmas
digitales).
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
PS8
PS8.1
CE-5
Guías de uso
seguro de
Internet
Página 128 de 207
Control: Definir estándares para el acceso a
Internet (por ejemplo, web browser de Mozilla,
Firefox, Microsoft Internet Explorer, Opera or
Apple Safari) y generar guías que incluyan lo
siguiente:
a) protección de estaciones de trabajo con
acceso a Internet (por ejemplo, control de
acceso, protección de malware, firewall
personal y copias de respaldo)
b) identificar los tipos de servicios de Internet
permitidos
c) usar guías de uso aceptable (por ejemplo,
prohibir el uso de declaraciones ofensivas y
prohibir para uso personal)
d) dar detalles de las actividades de
monitoreo que se realizan
e) aplicar actualizaciones del software rápida
y eficientemente
f) restringir la descarga de código móvil (por
ejemplo, excluir las categorías de software
ejecutable usando un firewall personal o
equivalente)
g) usar firewall personal
h) instalar software de detección e intrusión
de host (HIDS)
i) Advertir a los usuarios sobre las siguientes
amenazas:
- peligros de descargar código móvil (por
ejemplo, Java applets, MS ActiveX,
JavaScripts, VBScript)
- implicaciones de aceptar o rechazar
‘cookies’
- abrir archivos descargados de Internet
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
PS8
PS8.1
CE-6
Guías de uso de
redes de voz
sobre IP
Control: Definir estándares para los servicios
VoIP(por ejemplo, la aplicación e
infraestructura de soporte) y generar guías
que incluyan lo siguiente:
a) guías para el uso del negocio y uso
personal (por ejemplo, usarlo para uso
personal fuera del horario laboral)
b) identificar los tipos de servicios de VoIP
permitidos (por ejemplo servicios tales como
Skype y Google Talk o servicios internos de
proveedores tales como Avaya, Cisco y
3Com)
c) usar guías de uso aceptable (por ejemplo,
voice-mail, servicios de conferencias y
mensajería unificada)
d) dar detalles de las actividades de
monitoreo que se realizan
e) Advertir a los usuarios sobre los riesgos
específicos del software de VoIP
PS8
PS8.1
CE-7
Guías de acceso
inalámbrico
Control: Definir estándares para el acceso
inalámbrico (por ejemplo, el software y la
infraestructura de soporte) y generar guías
que incluyan lo siguiente:
a) guías para el uso sólo en el desempeño de
las funciones y prohibirlo para uso personal
b) identificar los tipos de servicios de acceso
permitidos (por ejemplo, permitir conexión a
puntos de acceso inalámbrico corporativo o
conectarse a la red corporativa usando VPN
cuando se trabaje en sitios remotos)
c) usar guías de uso aceptable (por ejemplo,
prohibir conectarse desde equipos personales
o no autorizados)
d) dar detalles de las actividades de
monitoreo que se realizan
e) advertir a los usuarios sobre:
- las amenazas asociadas con el acceso
inalámbrico (por ejemplo, monitoreo de tráfico
de red, romper claves de encripción
inalámbricas, interceptación e interferencia)
- los pasos para minimizar los riesgos
asociados con el acceso inalámbrico (por
ejemplo, activar la tarjeta de interfase de red
inalámbrica cuando se requiera, usar
encripción tal como WPA o WPA2 y proteger
los detalles de autenticación tales como la
encripción de claves, contraseñas y tokens)
Tabla 16: Controles de seguridad recomendados para el Grupo 2.
Página 129 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
6.5.4.3.
Controles para entidades clasificadas en Grupo 3 (Entidades privadas que
pertenezcan a la cadena de prestación de servicios de Gobierno en Línea):
#
Nombre del Control
Control
Descripción
GESTIÓN DE
SEGURIDAD DE LA
INFORMACIÓN
SM1
Direccionamiento
estratégico
SM1.1
SM1.1.1
Compromiso de la dirección
SM1.1.2
Control: La dirección debe tener un alto nivel de
compromiso para:
a) Alcanzar altos estándares de gobierno corporativo
b) enfocar la seguridad de la información como un
asunto de la empresa
c) crear un entorno positivo de seguridad
d) demostrar a terceros que la empresa se ocupa de la
seguridad de la información de manera profesional.
Control: La dirección debe tener un alto nivel de
compromiso con la aplicación de los principios
fundamentales, que incluyen:
a) asumir la responsabilidad de los controles internos de
la organización
b) garantizar que los controles sobre la información y los
sistemas son proporcionales al riesgo
c) asignar la responsabilidad para identificar, clasificar y
salvaguardar la información y los sistemas a propietarios
individuales
d) garantizar el acceso a la información y los sistemas de
acuerdo con criterios explícitos.
Página 130 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
SM1.1.3
Control: La dirección debe demostrar su compromiso
con la seguridad de la información para:
a) asignar la responsabilidad general de la seguridad de
la información a un órgano de nivel ejecutivo o
equivalente (por ejemplo, un Oficial de Seguridad de la
Información)
b) compartir aspectos claves de seguridad de la
información con grupos de trabajo, comités o su
equivalente
c) monitorear las condiciones de seguridad de la
información de la organización
d) asignar recursos suficientes para la seguridad de la
información.
SM1.1.4
Control: La dirección debe demostrar su compromiso
aprobando la documentación de alto nivel que incluye:
a) la estrategia para la seguridad de la información
b) la política de seguridad de la información
c) la arquitectura de seguridad para la organización
SM1.2
Política de seguridad de la
información
SM1.2.1
Control: Se debe documentar y aprobar el documento
de la política de seguridad de la información para ser
aplicada en toda la empresa. Se debe asignar la
responsabilidad por el mantenimiento de la política.
SM1.2.2
Control: La política de seguridad de la información debe
definir las responsabilidades asociadas con la seguridad
de la información y los principios de seguridad que debe
seguir todo el personal.
SM1.2.3
Control: La política de seguridad de la información debe
exigir que:
a) se clasifique la información de manera que indique la
importancia para la organización
b) se nombre a los dueños de la información y sistemas
críticos (por lo general son las personas encargadas de
los procesos de negocio que dependen de la información
y los sistemas)
c) se realice un análisis de riesgos sobre la información y
los sistemas de manera periódica
d) el personal adquiera conciencia en seguridad de la
información
e) se cumpla con el licenciamiento de software y con
otras disposiciones legales, reglamentarias y
contractuales
f) se comunican las brechas de seguridad de la
información y la sospecha de debilidades de seguridad
de la información
g) se protege la información en términos de los requisitos
de confidencialidad, integridad y disponibilidad
Página 131 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
SM1.2.4
Control: La política de seguridad de la información debe:
a) estar alineada con otras políticas de alto nivel (por
ejemplo, las relativas a los recursos humanos, la salud y
la seguridad, las finanzas y la
tecnología de la información)
b) ser comunicada a todos los funcionarios y personas
externas con acceso a la información o a los sistemas de
la organización y revisarse periódicamente según un
proceso de revisión determinado
c) ser revisada para que se tenga en cuenta los cambios
en el entorno (por ejemplo, nuevas amenazas,
vulnerabilidades y riesgos, la reorganización de la
empresa, los cambios contractuales, legales y los
requisitos reglamentarios, o cambios en la infraestructura
de TI).
SM1.2.5
Control: La política de seguridad de la información
debería:
a) ser apoyada por métodos para evaluar el
cumplimiento
b) advertir que se pueden tomar las acciones
disciplinarias contra las personas que violen sus
disposiciones.
Control: La política debería instruir a los usuarios para:
a) asegurar los medios removibles y la documentación
que contenga información privada cuando no esté en uso
b) salir o bloquear la sesión del sistema cuando se deja
la Terminal abandonada
SM1.2.6
SM1.2.6
Control: La política de seguridad debería prohibir:
a) el uso no autorizado de la información y los sistemas
de la empresa
b) la utilización de la información y los sistemas para
fines diferentes a los laborales
c) la discriminación sexual, racista u otras declaraciones
que sean ofensivas (por ejemplo, al utilizar el correo
electrónico, la mensajería instantánea, el Internet o el
teléfono)
hacer obsceno, discriminatorio o de acoso declaraciones,
que puede ser ilegal (por ejemplo, al utilizar el correo
electrónico, al instante
mensajería, Internet o teléfono)
d) la descarga de material ilegal (por ejemplo, con
contenido obsceno o discriminatorio)
e) el retiro de información o equipos fuera de las
instalaciones sin la debida autorización
f) usar sin autorización software, equipos y dispositivos
removibles( por ejemplo, software de terceros, USB y
otros dispositivos removibles)
g) la copia no autorizada de información o software
h) la revelación de contraseñas
i) la utilización de información de identificación personal
a menos que exista una autorización expresa
j) comentar sobre la información de la empresa en sitios
públicos
k) manipular la evidencia en el caso de incidentes de
Página 132 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
seguridad de la información que requieran una
investigación forense.
SM1.3
SM1.3.1
Acuerdos con el personal
Control: Las responsabilidades de seguridad de la
información para todo el personal de la empresa debe
estar especificado en las descripciones del puesto y en
los términos y condiciones del empleo (por ejemplo, en el
contrato de trabajo).
SM1.3.2
Control: Los términos y condiciones del empleo
deberían:
a) declarar que las responsabilidades de seguridad de la
información se extienden fuera de las horas normales de
trabajo y continúan después de la terminación del
empleo.
b) explicar las responsabilidades legales y derechos del
empleado incluyendo la cláusula de confidencialidad y no
revelación.
SM1.3.3
Control: Los empleados, contratistas y personal de
terceros deberían aceptar y firmar los acuerdos de
confidencialidad.
SM1.3.4
Control: Debería establecerse un requisito documentado
para revocar inmediatamente los privilegios de acceso
cuando un usuario autorizado ya no requiere el acceso a
la información o a los sistemas como parte de su trabajo,
o cuando se retira de la empresa.
SM1.3.5
Control: Se deben verificar los antecedentes de los
aspirantes a ser empleados, contratistas o usuarios de
terceros antes de la contratación laboral.
SM1.3.6
Control: Los documentos del personal clave tales como
las políticas o las descripciones del puesto, deben ser
revisados por un especialista en seguridad de la
información y aprobados por la dirección y mantenerse
actualizados.
SM1.3.7
Control: Al terminar la contratación laboral, los
empleados y el personal de terceros debería documentar
la información relacionada con los procesos que maneja
y que son críticos para la empresa y devolver:
a) el equipo que pertenece a la empresa
b) la información importante ya sea en formato
electrónico o en copia dura
c) el software
d) el hardware de autenticación (por ejemplo, las
smartcards y tokens)
SM2
Organización de
seguridad
SM2.1
SM2.1.1
Control de Alto nivel
Control: Se debería asignar la responsabilidad general
por la seguridad de la información a un ejecutivo de alto
nivel o su equivalente.
Página 133 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
SM2.1.2
Control: Se debería establecer un grupo de trabajo de
alto nivel técnico o un comité u organismo equivalente
para coordinar las actividades de seguridad en toda la
organización. El grupo debería reunirse de forma
periódica (por ejemplo, tres o más veces al año) y
documentar las acciones acordadas en las reuniones.
SM2.1.3
Control: El grupo coordinador de la seguridad debería
estar conformado por:
a) un miembro de la dirección
b) uno o más dueños de aplicaciones y procesos
c) el jefe de seguridad de la información, o su
equivalente (por ejemplo, el Oficial Jefe de Seguridad de
la Información)
d) representantes de otras funciones relacionadas con la
seguridad (por ejemplo, accesoria legal, riesgo
operacional, auditoria interna, seguros, recursos
humanos y seguridad física)
e) el jefe de tecnología de la información (o equivalente).
SM2.1.4
Control: El grupo coordinador de la seguridad debe ser
responsable de:
a) considerar la seguridad de la información en toda la
empresa
b) asegurar que la seguridad de la información se enfoca
de manera coherente y consistente
c) aprobar las políticas de seguridad de la información
así como las normas y procedimientos
d) monitorear la exposición de la empresa a amenazas
de seguridad de la información
e) Monitorear el desempeño de la seguridad de la
información (por ejemplo, analizar el actual estado de
seguridad, manejo de incidentes de seguridad de la
información, y los costos)
f) aprobar y dar prioridad a las actividades de mejora de
seguridad de la información
g) garantizar que la seguridad de la información se
enfoca en los procesos de planeación de Ti de la
empresa
h) enfatizar la importancia de la seguridad de la
información en la organización.
SM2.2
SM2.2.1
Función de seguridad de la
información
Control: La organización debe estar apoyada por una
función de seguridad de la información (o equivalente),
que tiene la responsabilidad
para la promoción de buenas prácticas en seguridad de
la información en toda la empresa. El jefe de la función
de seguridad de la información
debería tener dedicación de tiempo completo a la
seguridad de la información
Página 134 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
SM2.2.2
SM2.2.3
Control: La función de seguridad de la información
debería:
a) desarrollar y mantener una estrategia de seguridad de
la información
b) coordinar la seguridad de la información a través de la
organización
c) definir un conjunto de servicios de seguridad (por
ejemplo, servicios de identidad, servicios de
autenticación, cifrado de servicios), que
proporcionan una gama coherente de capacidades de
seguridad
d) desarrollar normas, procedimientos y guías de
seguridad de la información
e) proveer consejo especializado en todos los aspectos
de la seguridad de la información (por ejemplo,
información de análisis de riesgos, la seguridad de la
información, administración de incidentes y protección
contra malware)
f) supervisar la gestión de incidentes de seguridad de la
información
g) ejecutar uno o más programas de sensibilización
sobre la seguridad de la información y desarrollar
habilidades en seguridad para todo el personal de la
empresa
h) evaluar las implicaciones de seguridad de las
iniciativas de negocio especializadas (por ejemplo, la
subcontratación, iniciativas de comercio electrónico y de
intercambio de información)
i) supervisar la eficacia de los acuerdos de seguridad de
la información
Control: La función de seguridad de la información
debería proveer soporte para:
a) las actividades de análisis de riesgos de información
b) importantes proyectos relacionados con la seguridad
c) los requisitos de seguridad de los principales
proyectos de TI
d) auditorias y revisiones de seguridad
e) clasificar la información y los sistemas de acuerdo con
su importancia para la organización
f) el uso de la criptografía
g) la inclusión de los requisitos de seguridad de la
información en los documentos de acuerdos(por ejemplo,
contratos o acuerdos de niveles de servicios)
i) el desarrollo de planes de continuidad de negocio
Página 135 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
SM2.2.4
Control: La función de seguridad de la información
debería monitorear:
a) las tendencias generales de los negocios (por
ejemplo, las perspectivas de crecimiento, la
internacionalización, el comercio electrónico y la
contratación externa)
b) los avances tecnológicos (por ejemplo, la tecnología
basada en la web, arquitectura orientada a servicios
(SOA) y Voz sobre IP)
c) las amenazas nuevas y emergentes (por ejemplo, el
robo de identidad, ataques de phishing y Bluetooth)
d) nuevas vulnerabilidades en los principales sistemas
operativos, aplicaciones y otros programas (por ejemplo,
utilizando los sitios web de proveedores y listas de
correo)
e) nuevas soluciones de seguridad de la información (por
ejemplo, la gestión de derechos digitales y de prevención
de intrusiones)
f) los estándares emergentes de la industria relacionadas
con la seguridad de la información (por ejemplo, las
Normas de Buenas Prácticas
ISO / IEC 27002 (17799), y COBIT v4.1)
g) las nuevas leyes o reglamentación relacionada con la
seguridad de la información (por ejemplo, los
relacionados con la privacidad de los datos,
digital signatures and industry-specific standards such as
Basel II 1998 and the Payment Card Industry (PCI)
Estándar de seguridad de datos).
Control: La función de seguridad de la información
debería:
a) contar con recursos suficientes con respecto al
número de personas, su rango y nivel de habilidades,
herramientas o
técnicas (por ejemplo, información de metodologías de
análisis de riesgos, software de investigación forense y
una arquitectura de seguridad empresarial)
b) tener suficiente impacto en la organización y un fuerte
apoyo de la dirección, de los gerentes de negocio y
gerentes de TI.
y los administradores de TI
c) mantener el contacto con sus homólogos en el mundo
comercial, el gobierno, las entidades de control y los
expertos en seguridad informática / empresas de
software y proveedores de servicios
d) ser revisado de forma periódica
SM2.2.5
SM2.3
SM2.3.1
Coordinación local de
seguridad
Control: Se debe asignar la responsabilidad por la
seguridad de la información a cada jefe de unidad de
negocio o departamento.
Página 136 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
SM2.3.2
Control: Los coordinadores locales de seguridad de la
información deben ser designados para coordinar la
seguridad de la información en la empresa incluyendo
las aplicaciones comerciales, de instalaciones de
computación, los ambientes de red, las actividades de
desarrollo del sistema y ambientes de usuario final.
SM2.3.3
Control: Los coordinadores locales de seguridad de la
información deben tener:
a) una clara comprensión de sus roles y
responsabilidades
b) suficientes conocimientos técnicos, tiempo,
herramientas necesarias (por ejemplo, listas de
verificación y especialistas en productos de software) y la
autoridad para llevar a cabo sus funciones asignadas
c) acceso a expertos internos o externos en seguridad de
la información
d) normas y procedimientos documentados para apoyar
el día a día las actividades de seguridad de la
información
e) información actualizada sobre técnicas (por ejemplo,
información de metodologías de análisis de riesgos, de
investigación forense, arquitectura de seguridad
empresarial) relacionados con la seguridad de la
información.
SM2.3.4
Control: La información acerca de la condición de
seguridad de la información debería ser:
a) reportada al jefe de la función de seguridad de la
información
b) presentada periódicamente de manera consistente
SM2.4
SM2.4.1
Conciencia de seguridad
Control: Se deben desarrollar actividades específicas
para promover conciencia de seguridad en toda la
empresa. Estas actividades deben
ser:
a) aprobadas por la dirección
b) responsabilidad de una persona en particular, de una
unidad de la organización, de un grupo de trabajo o
comité
c) apoyado por un conjunto de objetivos documentado
d) entregadas como parte de un programa de conciencia
en seguridad
e) sujetas a disciplinas de gestión de proyectos
f) mantenerse actualizadas con las prácticas y requisitos
actuales
g) basadas en los resultados de un análisis de riesgos de
información documentado
h) orientadas a reducir la frecuencia y magnitud de los
incidentes de seguridad de la información
i) medibles.
Página 137 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
SM2.4.2
Control: La conciencia de seguridad debe ser
promovida:
a) por la dirección, los gerentes, el personal de TI y
asesores externos
b) en conjunto con el entrenamiento en seguridad (por
ejemplo, utilizando técnicas tales como presentaciones y
entrenamiento basado en computadores (CBT))
c) mediante el suministro de material de sensibilización,
tales como folletos, fichas, carteles y documentos
electrónicos en la intranet.
Control: Se debería entregar al personal guías que le
ayuden a comprender:
a) el significado de seguridad de la información (es decir,
la protección de la confidencialidad, integridad y
disponibilidad
de información)
b) la importancia de cumplir con las políticas de
seguridad de la información y la aplicación de las
correspondientes normas y procedimientos
c) sus responsabilidades personales por la seguridad de
la información (por ejemplo, la presentación de reportes
sobre incidentes de seguridad de la información)
SM2.4.3
SM2.4.4
Control: Se debe monitorear la efectividad de la
conciencia en seguridad:
a) midiendo el nivel de conciencia de seguridad del
personal
b) revisar periódicamente el nivel de conciencia de
seguridad de la información
c) midiendo los beneficios de las actividades de
sensibilización (por ejemplo, monitorear la frecuencia y
magnitud de los
incidentes de seguridad de la información).
SM2.4.5
Control: El comportamiento positivo en seguridad
debería ser promovido por:
a) entrenamiento obligatorio en toma de conciencia en
seguridad
b) divulgación de los éxitos y fallas de seguridad en toda
la organización
c) vincular la seguridad a los objetivos de desempeño y
evaluaciones del personal
SM2.5
SM2.5.1
Educación y entrenamiento en
seguridad
Control: La educación y entrenamiento en seguridad
debería proporcionar al personal las habilidades que
necesitan para:
a) evaluar los requisitos de seguridad
b) proponer los controles de seguridad de la información
c) garantizar que los controles de seguridad funcionan de
manera eficaz en los ambientes en los que se aplican
Página 138 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
SM2.5.2
Control: La educación y el entrenamiento en seguridad
debería proporcionar a los usuarios las habilidades
necesarias para:
a) usar correctamente los sistemas
b) aplicar los controles de seguridad de la información
SM2.5.3
Control: La educación y entrenamiento en seguridad
debería proporcionar al personal de TI las habilidades
que necesitan para:
a) diseñar y desarrollar los controles de seguridad de los
sistemas de manera disciplinada
b) aplicar controles de seguridad de la información
c) operar correctamente las instalaciones de TI y aplicar
de manera efectiva los controles de seguridad
d) operar correctamente las redes y aplicar los controles
de seguridad requeridos
SM2.5.4
Control: La educación y entrenamiento en seguridad
debería ser proporcionada para permitir a especialistas
de seguridad de la información:
a) comprender el entorno empresarial
b) ejecutar proyectos relacionados con la seguridad
c) comunicarse de manera eficaz (por ejemplo, hacer
presentaciones, facilitar o influir en la gestión de
reuniones)
d) realizar actiivdades especiales de seguridad (por
ejemplo, análisis de riesgos de información, investigación
forense y planeación de continuidad del negocio)
SM3
Requerimientos de
seguridad
SM3.1
SM3.1.1
Clasificación de información
SM3.1.2
Control: Se debería aplicar un sistema de clasificación
de la información en toda la empresa que:
a) tenga en cuenta el impacto potencial en el negocio
ante la pérdida de confidencialidad de la información
b) se utiliza para determinar distintos niveles de
confidencialidad de la información (por ejemplo, top
secret, en confianza y pública)
Control: El sistema de clasificación de la información
que se establezca debe clasificar:
a) la información almacenada en papel (por ejemplo,
contratos, planos y documentación sobre el sistema,
celebrada en forma impresa)
b) la información almacenada en formato electrónico
(archivos creados en bases de datos, procesadores de
palabra, hojas de cálculo, etc.)
c) las comunicaciones electrónicas (por ejemplo, los
mensajes enviados por e-mail, mensajería instantánea)
Página 139 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
SM3.1.3
Control: El esquema de clasificación de la información
debería exigir:
a) que la información esté protegida de conformidad con
su clasificación de información
b) que sea aprobada por el dueño del negocio la
clasificación asignada a la información
c) que las clasificaciones se revisen y actualicen
periódicamente y cuando surjan cambios
SM3.1.4
Control: El esquema de clasificación de la información
debería:
a) proporcionar orientación sobre los requisitos de
manejo de cada clasificación (por ejemplo, cuando se
copia, almacena y destruye la información)
b) explicar cómo resolver los conflictos de las
clasificaciones
SM3.1.5
Control: El sistema de clasificación de la información
debería aplicarse a la información asociada con:
a)aplicaciones de negocio
b) instalaciones informáticas
c) redes
d) sistemas en desarrollo
e) entornos de usuario final
SM3.1.6
Control: Se deben aprobar los métodos de etiquetado
de la información clasificada para:
a) la información almacenada en papel (por ejemplo,
utilizando sellos de goma de tinta, etiquetas adhesivas,
hologramas)
b) la información almacenada en formato electrónico (por
ejemplo, marcas de agua electrónicas, etiquetas de
encabezados y pies de página, uso de convenciones
para nombres de archivo)
c) comunicaciones electrónicas (por ejemplo, utilizando
la firma digital e identificando claramente la clasificación
en las cabeceras de los mensajes de correo electrónico)
SM3.1.7
Control: Se debería mantener un inventario de los
detalles de las clasificaciones de la información (por
ejemplo, en una base de datos, mediante un software
especializado, o en papel)
SM3.1.8
Control: Los detalles de la clasificación de información
registrada deben incluir:
a) la clasificación de la información
b) la identidad del propietario de la información
c) una breve descripción de la información clasificada.
SM3.2
SM3.2.1
Propiedad
Control: Se debe asignar la propiedad de los sistemas y
la información crítica y documentar las responsabilidades
de los propietarios. Se deben comunicar las
responsabilidades para proteger la información y los
sistemas a los propietarios y ser aceptadas por ellos
Página 140 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
SM3.2.2
Control: Las responsabilidades de los propietarios
deberían incluir:
a) identificar los requisitos del negocio (incluyendo la
seguridad de la información) y aprobarlos
b) garantizar la protección de la información y los
sistemas de conformidad con la importancia para la
organización
c) la definición de los acuerdos de intercambio de
información (o equivalente)
d) el desarrollo de acuerdos de nivel de servicio (SLA)
e) autorizar nuevos o significativos cambios en los
sistemas
f) participar en auditorias y revisiones de seguridad
SM3.2.3
Control: Las responsabilidades de los propietarios
deberían involucrar:
a) determinar cuales usuarios son autorizados para
acceder la información y los sistemas bajo su control
b) aprobar los privilegios de acceso para casa usuario o
grupo de usuarios
c) asegurar que los usuarios sean concientes de sus
responsabilidades con respecto a la seguridad y las
asuman
SM3.2.4
Control: Se debería establecer un proceso para:
a) proveer a los propietarios de los conocimientos
necesarios, las herramientas, el personal y la autoridad
para cumplir con sus responsabilidades
b) asignar responsabilidades para la protección de los
sistemas y la información cuando el propietario no esté
disponible
c) reasignar la propiedad cuando un propietario cambia o
deja sus funciones
SM3.3
SM3.3.1
Administrar el análisis de
riesgos de la información
Control: Quienes toman las decisiones (incluida la
dirección, los jefes de unidades de negocio y
departamentos, y los propietarios de las aplicaciones del
negocio, de las instalaciones informáticas, las redes, los
sistemas en desarrollo y los entornos de usuario final)
deberían
ser conscientes de la necesidad de aplicar el análisis de
riesgos de información para entornos críticos dentro de
la organización.
Página 141 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
SM3.3.2
Control: Las normas y procedimientos para realizar
análisis de riesgos de información deberán ser
documentados. Se debería exigir que los riesgos sean
analizados para:
a) la información y los sistemas que son importantes
para la organización
b) los sistemas en una fase temprana de su desarrollo
c) los sistemas sujetos a importantes cambios, en una
fase temprana en el proceso de cambio
d) la introducción de nuevas tecnologías (por ejemplo,
redes inalámbricas, la mensajería instantánea y voz
sobre IP)
e) las solicitudes para permitir el acceso desde sitios
externos
f) las solicitudes para permitir el acceso a los sistemas y
a la información para personas externas a la
organización (por ejemplo, consultores, contratistas, y
personal de terceros)
SM3.3.3
Control: Las normas y procedimientos deberían
especificar que el análisis de riesgos:
a) se lleve a cabo periódicamente
b) involucre a los dueños de los negocios, los
especialistas en TI, los principales representantes de los
usuarios, los expertos en análisis de riesgos y los
especialistas en seguridad de la información
SM3.3.4
Control: Los resultados del análisis de riesgos deben
ser:
a) reportados a la dirección
b) utilizados para ayudar a determinar programas de
trabajo en seguridad de la información (por ejemplo, la
acciones correctivas y las nuevas
iniciativas en materia de seguridad)
c) integrados con otras actividades de gestión del riesgo
(por ejemplo, la gestión de riesgo operativo)
SM3.4
SM3.4.1
Metodologías de análisis de
riesgos de información
Control: Los riesgos asociados con la información y los
sistemas de la organización deben ser analizados
utilizando metodologías estructuradas de análisis de
riesgos información
Página 142 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
SM3.4.2
Control: Las metodología de análisis de riesgos debería
ser:
a) documentada
b) aprobada por la dirección
c) consistente en toda la organización
d) automatizado (por ejemplo, utilizando herramientas de
software especializado)
e) revisarse periódicamente para garantizar que cumplen
las necesidades del negocio
f) aplicable a sistemas de diferentes tamaños y tipos
g) comprensible para los representantes de las unidades
negocio.
SM3.4.3
Control: La metodología de análisis de riesgos de
información debe exigir que todos los análisis de riesgo
tengan un alcance claramente definido.
SM3.4.4
Control: La metodología de análisis de riesgos de
información debe determinar el riesgo evaluando:
a) el impacto potencial para el negocio asociadas con el
sistema, la red, o las instalaciones de computación
b) las amenazas intencionales a la confidencialidad,
integridad y disponibilidad de la información y los
sistemas (por ejemplo, llevar a cabo
ataques de denegación de servicio, el malware, la
instalación de software no autorizado, mal uso de los
sistemas para cometer un fraude)
c) las amenazas accidentales a la confidencialidad,
integridad y disponibilidad de la información y los
sistemas (por ejemplo, la interrupción del suministro de
energía, mal funcionamiento del sistema o del software)
d) las vulnerabilidades ocasionadas por deficiencias de
control
e) las vulnerabilidades debidas a situaciones que
aumentan la probabilidad de ocurrencia de un grave
incidente de seguridad de la información
(por ejemplo, el uso de Internet, permitir el acceso a
terceros o la ubicación de un servidor en una zona
propensa a terremotos o inundaciones)
SM3.4.5
Control: La metodología de análisis de riesgos debería
tener en cuenta:
a) los requisitos de cumplimiento (por ejemplo, con la
legislación, la reglamentación, las cláusulas
contractuales, las normas de la industria y
políticas internas)
b) los objetivos de la organización
c) los requisitos de clasificación de la información
d) el análisis de riesgos previo de la aplicación, la red o
la instalación de computo que se está evaluando
e) las características del ambiente operativo de la
aplicación, la red o la instalación de computo que se está
evaluando
Página 143 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
SM3.4.6
Control: La metodología de análisis de riesgos debe
asegurar que los resultados del análisis de riesgos se
documenten e incluyan:
a) una clara identificación de los principales riesgos
b) una evaluación del impacto potencial de cada riesgo
para el negocio
c) acciones recomendadas para reducir el riesgo a un
nivel aceptable
SM3.4.7
Control: La metodología de análisis de riesgos debería
ser utilizada para ayudar:
a) a seleccionar los controles de seguridad que reduzcan
la probabilidad de ocurrencia de graves incidentes de
seguridad de la información
b) a seleccionar los controles de seguridad que
satisfagan los requisitos de cumplimiento
c) a evaluar las fortalezas y debilidades de los controles
de seguridad
d) a determinar los costos de la aplicación de controles
de seguridad (por ejemplo, los costos relacionados con:
diseño, compra,
aplicación y seguimiento de los controles de hardware y
software, formación, gastos generales, tales como
instalaciones;
y honorarios de consultoría)
e) a identificar controles de seguridad especializados
requeridos por los ambientes (por ejemplo, el cifrado de
datos o fuerte
autenticación)
SM3.4.8
Control: La metodología de análisis de riesgos debería
asegurar que los resultados del análisis sea:
a) comunicado a los dueños de los procesos o de la
información o de los sistemas
b) aprobado por los dueños
c) comparado con el análisis de riesgos realizado en
otras áreas de la organización
SM3.5
SM3.5.1
Cumplimiento legal y
regulatorio
Control: Los requisitos legales y regulatorios que
afectan la seguridad de la información deben ser
reconocidos por:
a) la dirección
b) los dueños de los negocios
c) el jefe de seguridad de la información (o equivalente)
d) los representantes de otras funciones relacionadas
con la seguridad (por ejemplo, accesoria legal, el riesgo
operacional, la auditoria interna, seguros, recursos
humanos y la seguridad física)
Página 144 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
SM3.5.2
Control: Se debe establecer un proceso para asegurar
cumplimiento con los requisitos legales y regulatorios
que afectan la seguridad de la información y debe
considerar:
a) la legislación específica sobre seguridad de la
información (por ejemplo, la ley de delitos informáticos,
ley de habeas data, ley de comercio electrónico)
b) la legislación general que tiene implicaciones para la
seguridad (por ejemplo, la constitución nacional, la ley de
habeas data, la ley de propiedad intelectual, etc.)
c)las regulaciones (por ejemplo, la circular 052 de la
Superfinanciera, el lavado de activos, la regulación
ambiental, regulación de la industria de tarjetas de pago
(PCI), etc.).
SM3.5.3
Control: El proceso de cumplimiento debe permitir a
quienes toman decisiones:
a) descubrir las leyes y reglamentos que afectan la
seguridad de la información
b) interpretar las implicaciones de seguridad de la
información de estas leyes y reglamentos
c) identificar el posible incumplimiento legal y
reglamentario
d) determinar acciones sobre el posible incumplimiento
SM3.5.4
Control: El proceso de cumplimiento debe ser
documentado, aprobado por la dirección, y mantenerse
actualizado
SM3.5.5
Control: Una revisión del cumplimiento de los requisitos
legales y reglamentarios debe ser:
a) realizado periódicamente o cuando nueva legislación
o requisitos reglamentarios entren en vigencia
b) llevada a cabo por representantes de las principales
áreas de la organización (por ejemplo, la dirección, los
propietarios de los negocios, el departamento legal, la
administración de TI, y la función de seguridad de la
información)
SM3.5.6
Control: Se debe considerar la actualización de las
normas y procedimientos de seguridad de la información
como resultado de la revisión del cumplimiento legal y
regulatorio
SM4
Ambiente seguro
SM4.1
SM4.1.1
Arquitectura de Seguridad
Control: Se debe establecer una arquitectura de
seguridad integrada con la arquitectura empresarial de la
organización (o su equivalente)
Página 145 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
SM4.1.2
Control: El desarrollo de la arquitectura de seguridad
debería involucrar:
a) una evaluación de los requisitos de seguridad para el
negocio
b) el uso de un modelo de arquitectura de seguridad en
capas (por ejemplo, las capas conceptual, lógica y física)
c) la definición de los principios de la arquitectura de
seguridad
d) la identificación de los componentes de seguridad que
pueden incluirse en la arquitectura de seguridad (por
ejemplo, los controles de seguridad, los servicios de
seguridad y tecnologías de seguridad)
e) el desarrollo de herramientas y recursos que se
utilizarán para ayudar a administrar la arquitectura de
seguridad (por ejemplo,
repositorios de soluciones, patrones de diseño, ejemplos
de código y de interfaces de programación de
aplicaciones (API))
SM4.1.3
Control: El desarrollo de la arquitectura de seguridad
debería incluir:
a) el aporte de especialistas internos pertinentes (por
ejemplo, un arquitecto de seguridad, arquitecto técnico o
especialista en seguridad de la información)
b) uso de un especialista externo en arquitectura de
seguridad
c) la capacitación de las personas que necesitan utilizar
la arquitectura de seguridad (por ejemplo, especialistas
en seguridad de la información, desarrolladores de
software e implementadores de TI)
d) la introducción de un método para medir la adopción
de la arquitectura de seguridad en toda la organización
SM4.1.4
Control: La arquitectura de seguridad debería ser
aplicada para:
a) el desarrollo de aplicaciones de negocio (por ejemplo,
para ayudar a administrar la complejidad y escala, tomar
decisiones efectivas de diseño y mejorar la calidad y la
seguridad de las aplicaciones de negocio)
b) ayudar a gestionar la infraestructura de TI (por
ejemplo, para ayudar en el desarrollo de una
infraestructura de TI segura, y ayudar en la
revisión y análisis de la actual infraestructura de TI)
c) los principales proyectos de TI (por ejemplo, para
ayudar a hacer frente a la complejidad, los nuevos
riesgos de información y ambientes de gran escala)
Página 146 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
SM4.1.5
Control: La arquitectura de seguridad debería ser :
a) documentada (por ejemplo en forma de blueprints,
diseños, diagramas, tablas o modelos)
b) aprobada por el negocio, por la TI y por los
administradores de seguridad de la información
c) asignada a un propietario (por ejemplo, un arquitecto o
un grupo de alto nivel, tales como una Junta de
Arquitectura, o equivalente)
d) mejorada (por ejemplo, mediante revisiones, manejo
de excepciones y administración de cambios)
SM4.1.6
Control: Debe haber un proceso para implementar de
manera coherente y consistente los servicios de
seguridad (por ejemplo, servicios de identidad, servicios
de autenticación y servicios de cifrado) y el
establecimiento de interfaces de usuario y de
programación de aplicaciones (API).
SM4.1.7
Control: Se deben establecer acuerdos a nivel empresa
para:
a) minimizar la diversidad de hardware y software
utilizado
b) proporcionar la funcionalidad de seguridad coherente
a través de las diferentes plataformas de hardware y
software
c) integrar los controles de seguridad en la aplicación, en
el ambiente del computador y en la red
d) aplicar técnicas criptográficas consistentes
e) implementar convenciones de nomenclatura común
f) segregar los ambientes con diferentes requisitos de
seguridad (por ejemplo, mediante la creación de
dominios de seguridad "confiables" y "no confiables")
g) controlar el flujo de información entre los diferentes
ambientes
SM4.2
SM4.2.1
SM4.2.2
Privacidad de la información
Control: Se debe establecer un comité directivo que
será responsable por la gestión de privacidad de la
información y debe designarse a una persona que
coordine la actividad de privacidad de la información (por
ejemplo, un Oficial de Privacidad o un administrador de
protección de datos)
Control: El comité directivo debería ser conciente de:
a) la ubicación (s) de la información de identificación
personal de las personas
b) cómo y cuándo usar la información de identificación
personal
Página 147 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
SM4.2.3
Control: Se deben establecer procedimientos para
manejar la privacidad de la información el cual cubre:
a) uso aceptable de la información de identificación
personal
b) los derechos de las personas sobre los cuales se tiene
la información de identificación personal
c) la evaluación de la privacidad, los programas de
conciencia y cumplimiento
d) los requerimientos legales y regulatorios para la
privacidad
SM4.2.4
Control: En caso de que la información de identificación
personal se almacene o transforme, deben existir
procesos para asegurar que ésta es:
a) adecuada, pertinente y no excesiva para los fines
para los que se recolecta
b) exacta (es decir, registrada correctamente y
actualizada)
c) mantenerse confidencial, procesada legalmente y
utilizada sólo para los propósitos explícitos y legítimos
especificados
d) manejada en un formato que permita la identificación
de personas sólo por el tiempo necesario
e) sólo entregada a terceros, siempre que éstos puedan
demostrar el cumplimiento de requerimientos legales y
regulatorios para
el manejo de la información de identificación personal
f) recuperable en el caso de una solicitud legítima de
acceso
SM4.2.5
Control: A las personas dueñas de la información de
identificación personal se les debería:
a) solicitar su probación antes de que la información sea
recogida, almacenada, procesada o revelada a terceros
b) informar de cómo se utilizará esta información,
permitir que se compruebe su exactitud y tener sus
registros
corregidos o eliminados
Control: La información de identificación personal debe
ser tratada de conformidad con la legislación vigente
Control: Se debe designar a una persona o un grupo
para:
a) realizar una evaluación de la privacidad (por ejemplo,
para determinar el nivel de cumplimiento con la
legislación pertinente y las políticas internas)
b) implementar un programa de cumplimiento de la
privacidad
c) hacer que el personal y los terceros (por ejemplo,
clientes, clientes y proveedores), sean conscientes de la
importancia de la privacidad de la información
SM4.2.6
SM4.2.7
SM4.3
Gestión de activos
Página 148 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
SM4.3.1
Control: Deberían existir procedimientos documentados
para la gestión de activos, que incluyan:
a) la adquisición de software y hardware
b) el licenciamiento de software
c) el registro de activos en un inventario (o equivalente)
d) el archivo de la información importante
SM4.3.2
Control: Cuando se adquiera hardware y software se
debería:
a) seleccionar una lista de proveedores aprobados
b) considerar los requisitos de seguridad
c) debe darse alta prioridad a la confiabilidad
d) acordar los términos contractuales con los
proveedores.
SM4.3.3
Control: Se debe reducir el riesgo de debilidades de
seguridad del hardware y software mediante:
a) la obtención de las evaluaciones externas por parte
de fuentes de confianza
b) la identificación de las deficiencias de seguridad (por
ejemplo, inspección detallada, la referencia a las fuentes
publicadas, o mediante la participación de los usuarios
o grupos de discusión)
c) considerar métodos alternativos para proporcionar el
nivel necesario de seguridad
SM4.3.4
Control: La adquisición de hardware y software debe ser
revisado por el personal que tenga las habilidades
necesarias para evaluar el proceso y se debe contar con
la aprobación del representante del negocio apropiado.
SM4.3.5
Control: Se deben cumplir con los requisitos de
licenciamiento para el uso previsto del software y el
suministro de prueba de propiedad del software
SM4.3.6
Control: El Hardware y software (incluyendo
aplicaciones de escritorio críticas) se deben registrar en
los inventarios que especifican una única descripción de
hardware / software en uso, junto con su versión y la
ubicación.
Control: El inventario de Hardware y software debería
ser:
a) protegido contra cambios no autorizados
b) verificado periódicamente contra los activos físicos
c) mantenido al día
d) revisado independientemente.
Control: La información importante debería ser retenida
de conformidad con los requisitos jurídico y
reglamentarios
SM4.3.7
SM4.3.8
SM4.4
SM4.4.1
SM4.4.2
Gestión de identidad y de
acceso
Control: Se deben establecer procesos de gestión de
identidad y de acceso en toda la empresa
Control: Se deben establecer acuerdos para la gestión
de identidad y acceso y ser incorporados en una solución
empresarial y estos acuerdos deben aplicarse para
nuevas aplicaciones.
Página 149 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
SM4.4.3
Control: Los acuerdos de gestión de identidad y acceso
deben:
a) incluir un método de validación de las identidades de
los usuarios antes de activar las cuentas de usuario
b) mantener un número mínimo de cuentas de usuario
para inicio de sesión
SM4.4.4
Control: Los acuerdos de gestión de identidad y acceso
deben proveer un conjunto consistente de métodos para:
a) la identificación de los usuarios (por ejemplo,
utilizando únicas user ID).
Autenticación de usuarios (por ejemplo, utilizando
contraseñas, fichas o datos biométricos)
el usuario de inicio de sesión en proceso
se autoriza a los usuarios privilegios de acceso
administrar los privilegios de acceso de usuario.
SM4.4.5
Control: Se deben desarrollar acuerdos de
administración de identidad y de acceso para mejorar la
integridad de la información del usuario para:
a) que la información esté disponible para que sea
validada por lo usuarios
b) permitir a los usuarios corregir sus propia información
c) mantener un número limitado de almacenamientos de
identidad(es decir, el lugar donde la información de
autenticación de usuario se almacena, como una base
de datos, X500 / servicio de directorio Lightweight
Directory Access Protocol (LDAP), o productos
comerciales de gestión de identidad y acceso)
d) utilizar un sistema automatizado de dotación (en virtud
del cual se crean cuentas de usuario para todos los
sistemas, siguiendo la creación de una entrada inicial de
un usuario en una aplicación central de gestión de
identidad y acceso)
e) utilizar un sistema centralizado de gestión del cambio
SM4.4.6
Control: Los acuerdos de gestión de identidad y acceso
deben permitir:
a) que los derechos de acceso sean rápida y fácilmente
concedidos, modificado o eliminados para un gran
número de usuarios (por ejemplo, instalando derechos
de acceso basado en roles)
b) que la gestión de privilegios de acceso de los usuarios
sea realizada por los propietarios de los sistema
SM4.5
SM4.5.1
Protección Física
Control: Deben existir normas y procedimientos para la
protección física en las zonas donde se alojan los
servicios de TI críticos dentro de la organización
Página 150 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
SM4.5.2
Control: Los estándares y procedimientos deben cubrir
la protección de:
a) edificios contra el acceso no autorizado (por ejemplo,
mediante el uso de candados, los guardias de seguridad
y vigilancia por vídeo)
b) documentos importantes y medios de almacenamiento
removible (por ejemplo CD, DVD y USB de memoria)
contra el robo o copiado
c) áreas de almacenamiento (por ejemplo, que podrían
ser utilizados para almacenar los activos de la
organización, equipo y medios de almacenamiento o
documentos importantes en papel)
d) personal vulnerables a la intimidación por parte de
terceros malintencionados
SM4.5.3
Control: Se deben proteger los edificios que albergan
las instalaciones de TI críticas contra acceso no
autorizado mediante:
a)suministro de cerraduras, tornillos (o equivalente) en
puertas y ventanas vulnerables
b) el empleo de guardias de seguridad
c) la instalación de un circuito cerrado de televisión
(CCTV), o su equivalente
SM4.5.4
Control: Se deben proteger los documentos
importantes y medios de almacenamiento extraíbles (por
ejemplo CD, DVD y USB de memoria) contra robo o
copiado mediante:
a) almacenamiento de material sensitivo en gabinetes
bajo llave (o similar) cuando no están en uso (por
ejemplo, mediante la aplicación de una política de
escritorio limpio)
b) la restricción del acceso físico a importantes puntos
post o de fax
c) la localización de equipos usados para material
sensitivo impreso en áreas físicas seguras
Control: El personal debe estar protegido contra la
intimidación por parte de terceros malintencionados
proporcionando alarmas de coacción en
áreas públicas susceptibles y estableciendo un proceso
para responder a situaciones de emergencia.
SM4.5.5
SM4.6
SM4.6.1
Gestión de incidentes de
seguridad de la información
Control: Se debe establecer capacidad para el gobierno
de la gestión de incidentes de seguridad de la
información que comprometan la confidencialidad,
integridad o disponibilidad de la información
Página 151 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
SM4.6.2
Control: La gestión de incidentes de seguridad de la
información debe ser respaldada por normas y
procedimientos documentados los cuales deben:
a) cubrir la participación de los interesados pertinentes
(por ejemplo, departamento legal, relaciones públicas,
recursos humanos, los organismos de control, los
reguladores de la industria)
b) detallar los tipos de información necesarios para
apoyar la gestión de incidentes de seguridad de la
información (por ejemplo, los registros de eventos de
seguridad, los diagramas de configuración de la red y los
detalles de clasificación de la información)
c) especificar las herramientas necesarias para apoyar la
gestión de incidentes de seguridad de la información (por
ejemplo, listas de chequeo, formatos y plantillas, los
analizadores de logs, software de seguimiento de
incidentes y software de análisis forense)
SM4.6.3
Control: Las normas y procedimientos de gestión de
incidentes de seguridad de la información deben ser:
a) aprobados por la dirección
b) revisados periódicamente
c) mantenidos al día
SM4.6.4
Control: Debe haber un proceso para la gestión de los
incidentes de seguridad de la información, que incluya:
a) la identificación de incidentes de seguridad de la
información (por ejemplo, la recepción de informes de
incidentes de seguridad de la información, la evaluación
del impacto sobre el negocio, la categorización y
clasificación de los incidentes de seguridad de la
información, y el registro de la información sobre el
incidente de seguridad de la información)
b) la respuesta a los incidentes de seguridad de la
información (por ejemplo, el escalamiento al equipo de
gestión de incidentes de seguridad de la información, la
investigación, contención y erradicación de la causa del
incidente de seguridad de la información)
c) la recuperación después de un incidente de seguridad
de la información (por ejemplo, la reconstrucción de los
sistemas y la restauración de datos, y el cierre del
incidente de seguridad de la información)
d) el seguimiento de los incidentes de seguridad de la
información (por ejemplo, las actividades posteriores a
los incidentes, tales como el análisis de causa raíz, la
investigación forense y la presentación de informes al
negocio)
Página 152 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
SM4.6.5
Control: Debe existir una persona o equipo responsable
de la gestión de incidentes de seguridad de la
información, que
tenga:
a) sus funciones y responsabilidades definidas
b) suficientes competencias y experiencia en la gestión
de incidentes de seguridad de la información
c) autoridad para tomar decisiones críticas para negocio
d) métodos para involucrar a los interesados directos
internos y externos (por ejemplo, departamento legal,
relaciones públicas, recursos humanos, los organismos
de control y los reguladores de la industria)
SM4.6.6
Control: La información pertinente para la gestión de
incidentes de seguridad de la información (por ejemplo,
diagramas de red, los registros de sucesos, los procesos
de los negocios y los informes de auditoria de seguridad)
debe estar disponible para ayudar al personal a seguir, y
tomar decisiones importantes durante el proceso de
gestión de incidentes de seguridad de la información
SM4.6.7
Control: Las personas responsables de la gestión de
incidentes de seguridad de la información se deben
apoyar en herramientas (por ejemplo, software para la
gestión de seguridad de la información, el manejo de
evidencia, las copias de respaldo y recuperación, y la
investigación forense) para ayudar a completar cada
etapa del proceso de gestión de incidentes de seguridad
SM4.7
SM4.7.1
Continuidad del negocio
Control: Deben existir normas y procedimientos para
desarrollar planes de continuidad de negocios que
especifiquen que los planes son:
a) suministrados a todas las partes críticas de la
organización
b) basados en los resultados de un análisis de riesgos de
información documentado
c) distribuidos a las personas que lo requieran en caso
de emergencia
d) mantenidos al día y sujetos a prácticas de
administración de cambios
e) sujetos a copias de respaldo y las copias
almacenadas fuera del sitio
Página 153 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
SM4.7.2
Control: Los planes de continuidad del negocio deben
incluir:
a) las guías para garantizar la seguridad de las personas
b) una lista de los servicios y la información que debe
recuperarse, en orden de prioridad
c) un programa de tareas y actividades que se llevarán a
cabo, la identificación de responsabilidades para cada
tarea
d) las guías a seguir en la realización de tareas y
actividades, incluyendo procedimientos de emergencia,
y procedimientos de reanudación
e) suficiente detalle para que puedan ser seguidas por
personas que no suelen llevarlos a cabo
f) detalle de las tareas que se emprenderán después de
la recuperación y restauración (por ejemplo, comprobar
que los sistemas se restauren al mismo estado que
tenían antes de que el plan de continuidad fuera
invocado)
SM4.7.3
Control: Se deben documentar las normas y
procedimientos para los acuerdos de continuidad del
negocio (por ejemplo
instalaciones de procesamiento separadas, acuerdos de
reciprocidad con otra organización o un contrato con un
proveedor especialista
en acuerdos de continuidad del negocio)
SM4.7.4
Control: Los acuerdos de continuidad del negocio deben
cubrir la indisponibilidad prolongada de:
a) personas clave (por ejemplo, debido a enfermedad,
lesiones, vacaciones o viaje)
b) ingreso a las oficinas (por ejemplo, debido a acciones
de la policía, el ejército o las acciones terroristas,
desastres naturales, o retiro de los
servicios de transporte)
c) los sistemas o software de aplicaciones
d) la información del negocio (en papel o en formato
electrónico)
e) el computador, las comunicaciones y los equipos de
control ambiental
f) los servicios de red (por ejemplo, debido a la pérdida
de voz, datos u otras comunicaciones
g) los servicios esenciales (por ejemplo, electricidad, gas
o agua).
SM4.7.5
Control: Los acuerdos de continuidad del negocio deben
cubrir:
a) aplicaciones del negocio
b) las áreas del negocio (por ejemplo, centros de control
de procesos y centros de llamadas)
Página 154 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
SM4.7.6
Control: Los acuerdos de continuidad del negocio deben
ser probados periódicamente, utilizando simulaciones
realistas (que implican tanto a los usuarios como al
personal de TI), para demostrar si el personal es capaz
de recuperar la información crítica y los sistemas dentro
de escalas de tiempo críticas.
SM4.7.7
Control: Los acuerdos de continuidad del negocio
deben exigir que el personal apropiado esté informado
sobre las responsabilidades en la continuidad del
negocio y esté entrenado para asumirlas
SM5
Ataques maliciosos
SM5.1
Protección general contra
malware
SM5.1.1
Control: Deben existir normas y procedimientos
documentados los cuales:
a) proporcionan a los usuarios información sobre los
programas maliciosos
b) adviertan a los usuarios la manera de reducir el riesgo
de infección de malware
SM5.1.2
Control; Los usuarios deberían ser:
a) advertidos sobre la prevalencia de los programas
maliciosos y los peligros que plantea
b) educados con respecto a la forma en que el malware
puede instalarse en las estaciones de trabajo
c) informados de los síntomas más comunes de los
programas maliciosos (por ejemplo, pobre rendimiento
del sistema, comportamiento inesperado de la aplicación,
terminación repentina de una aplicación)
d) notificados rápidamente de nuevos e importantes
riesgos relacionados con el malware (por ejemplo, por
correo electrónico o a través de una intranet)
e) instruidos para reportar programas maliciosos a un
único punto de contacto para soporte (por ejemplo, un
servicio de mesa de ayuda )
f) apoyados por especialistas de soporte técnico las
veces que sea necesario (por ejemplo, las 24 horas del
día, 365 días al año)
SM5.1.3
Control: El riesgo de infección por virus debería
reducirse alertando a los usuarios para no:
a) instalar el software de fuentes no confiables
b) abrir archivos adjuntos no confiables
c) hacer clic en enlaces dentro de correos electrónicos o
documentos
d) intentar resolver manualmente problemas de malware
Página 155 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
SM5.1.4
SM5.2
Control: La protección contra virus debería incluir:
a) la aplicación de procedimientos de emergencia para
hacer frente a incidentes relacionados con programas
maliciosos
b) el monitoreo de fuentes externas para obtener
conocimiento sobre nuevas amenazas de malware
c) informar a los terceros sobre las normas y
procedimientos de protección contra malware
Software de protección contra
el malware (por ejemplo: virus,
gusanos, caballos troyanos,
spyware, adware, código móvil
malicioso)
SM5.2.1
Control: Deben existir normas y procedimientos
documentados relacionados con la protección contra
software malicioso que especifiquen:
a) los métodos para instalar y configurar el software de
protección contra programas maliciosos (por ejemplo,
software de protección antivirus, software antispyware)
b) los mecanismos para la actualización de software de
protección contra programas maliciosos (incluyendo
actualizaciones automáticas).
SM5.2.2
Control: Se debe instalar el software de protección
contra el malware en sistemas que son susceptibles a
los programas maliciosos como son:
a) los servidores (por ejemplo, los servidores de
archivos, servidores de impresión, servidores de
aplicaciones, servidores web y servidores de bases de
datos)
b) gateways de mensajería (por ejemplo, los que
exploran el tráfico de la red y mensajes electrónicos en
tiempo real)
c) computadores de escritorio (desktop computers)
d) computadores portátiles (laptop computers)
e) dispositivos de computación manuales (hand-held)
(por ejemplo, teléfonos móviles basados en WAP,
teléfonos inteligentes y asistentes digitales personales
(PDA)).
Control: El software de protección contra el malware
debe distribuirse automáticamente, y dentro de los
plazos definidos con el fin de reducir el riesgo de
exposición al malware más reciente (incluidos los que
están asociados con ataques del "Día cero" )
SM5.2.3
SM5.2.4
Control: El software de protección contra el malware
debe proteger contra todas las modalidades de
programas maliciosos (por ejemplo, virus informáticos,
gusanos, caballos de troya, spyware, adware y código
malicioso móvil)
Página 156 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
SM5.2.5
Control: El software de protección contra el malware
debe estar configurado para escanear o explorar:
a) la memoria del computador
b) los archivos ejecutables (incluidos las macros del
software de oficina)
c) los archivos protegidos (por ejemplo, los archivos
comprimidos y los protegidos con contraseña)
d) los medios de almacenamiento extraíbles (por ejemplo
CD, DVD y dispositivos de almacenamiento USB)
e) el tráfico entrante de la red corporativa (incluyendo el
correo electrónico y descargas de Internet)
f) el tráfico saliente de la red corporativa (incluyendo el
correo electrónico)
SM5.2.6
Control: El software de protección contra el malware
debe estar configurado para:
a) estar activo en todo momento
b) proporcionar una notificación cuando se identifique
malware sospechoso (por ejemplo, producir un log de
eventos de entrada y el suministro de alertas)
c) dejar en cuarentena los archivos sospechosos de
contener malware (por ejemplo, para una investigación
posterior)
d) eliminar el malware y los archivos asociados o
restablecer la configuración del sistema
e) garantizar que la configuración no se pueda desactivar
o reducir al mínimo la funcionalidad.
SM5.2.7
Control: Se deben efectuar revisiones periódicas de los
servidores, computadoras de escritorio, computadoras
portátiles y dispositivos de computación manuales para
garantizar que:
a) el software de protección contra el malware no ha
sido desactivado
b) la configuración del software de protección contra el
malware es correcta
c) las actualizaciones se aplican dentro de los plazos
definidos
d) se han establecido los procedimientos de emergencia
para manejar los incidentes relacionados con el malware
Página 157 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
SM5.2.8
SM5.3
SM5.3.1
Control: Se debe reducir el riesgo de descargar malware
mediante:
a) la restricción de las fuentes donde se pueda descargar
el código móvil (por ejemplo, proporcionando una lista
negra de sitios web prohibidos)
b) la prevención de descarga de determinados tipos de
código móvil (por ejemplo, los relacionados con
vulnerabilidades conocidas tales como controles ActiveX,
JavaScript y objetos de ayuda del navegador)
c) la configuración de los navegadores web para que los
usuarios se les pregunte si desean instalar el código
móvil
d) la descarga de código móvil confiable (es decir,
firmado con un certificado digital de confianza)
e) la ejecución de código móvil en un entorno protegido
(por ejemplo, un área de cuarentena, tales como Java
'sandbox' o un servidor proxy en una "zona
desmilitarizada" (DMZ))
Detección de intrusos
Control: Deben emplearse mecanismos de detección de
intrusos para redes y sistemas críticos con el fin de
identificar previamente los nuevos tipos de ataque.
SM5.3.2
Control: Deben existir normas y procedimientos
documentados para detección de intrusos que incluyan:
a) métodos de identificación de la actividad no autorizada
b) análisis de las intrusiones sospechosas
c) respuesta apropiada a los distintos tipos de ataque
(por ejemplo, mediante un proceso de gestión de
incidentes de seguridad de la información)
SM5.3.3
Control: Los métodos de detección de intrusos deben
identificar:
a) el acceso no autorizado a los sistemas y a la
información
b) el comportamiento inesperado del usuario o de la
aplicación
c) la terminación no planeada de los procesos o
aplicaciones
d) la actividad típicamente asociada con el malware
SM5.3.4
Control: Se debe contar con software especializado
para la detección de intrusos tales como host de
sistemas de detección de intrusiones
(HIDS) y sistemas de detección de intrusiones de red
(NIDS). Este software debe ser evaluado antes de la
compra.
SM5.3.5
Control: Se deben proteger los sensores de detección
de intrusión en la red (es decir, hardware especializado
que sirve para identificar la actividad no autorizada en el
tráfico de la red) contra ataques (por ejemplo, limitando
la transmisión de cualquier tráfico de red externo,
o mediante un dispositivo de red, network tap, para
ocultar la presencia del sensor).
Página 158 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
SM5.3.6
Control: El software de detección de intrusos debe ser:
a) actualizado automáticamente y dentro de plazos
definidos (por ejemplo, la distribución de archivos de
firmas de ataque para los
sensores de detección de intrusos a través de una
consola de administración central)
b) configurado para proporcionar alertas cuando se
detectan actividades sospechosas (por ejemplo, a través
de una consola de administración, mensajes de correo
electrónico o mensajes de texto SMS para teléfonos
móviles)
SM5.3.7
Control: Se deben realizar revisiones periódicas para
asegurar que:
a) la configuración del software de detección de intrusión
cumple las normas internas
b) el software de detección de intrusiones no ha sido
desactivado
c) las actualizaciones se han aplicado dentro de los
plazos definidos
SM5.3.8
Control: Se deben analizar las intrusiones sospechosas
y evaluar el impacto potencial para el negocio. El análisis
debe incluir:
a) confirmar si un ataque se está produciendo realmente
(por ejemplo, mediante la eliminación de falsos positivos)
b) determinar el tipo de ataque (por ejemplo, los
gusanos, los ataques por desbordamiento de búfer o de
denegación del servicio)
c) identificar el punto de origen de un ataque
d) cuantificar el impacto de un posible ataque.
SM5.3.9
Control: Se debe evaluar el estado de un ataque en
términos de:
a) el tiempo transcurrido desde el inicio del ataque y
desde la detección del ataque
b) la escala (por ejemplo, sistemas y redes afectadas)
SM5.3.10
Control: Se deben documentar los métodos para
reportar los ataques serios (por ejemplo, para un equipo
de respuesta a emergencias)
SM5.4
SM5.4.1
SM5.4.2
Respuesta a emergencias
Control: Debe existir un proceso de respuesta a
emergencias para manejar ataques serios
Control: El proceso de respuesta a emergencias debe
ser apoyado por un equipo de alto nivel que incluya a
personas calificadas para responder a los ataques
graves y además a un representante de la dirección
Página 159 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
SM5.4.3
Control: El proceso de respuesta a los ataques graves
debe incluir:
a) una definición de la situación de emergencia
b) la asignación de funciones y responsabilidades
c) la definición de un método para que se tomen
decisiones crítica lo más rápidamente posible
d) la definición clara de los pasos que deben tomarse en
situaciones de emergencia
e) la ejecución de los pasos
f) los detalles de contacto de las personas claves
(incluso los relacionados con los terceros)
g) los métodos de tratar con terceros
SM5.4.4
Control: El proceso debe incluir métodos para:
a) permitir a los investigadores reaccionar rápidamente
en caso de emergencia
b) obtener la aprobación de las medidas recomendadas
dentro de un plazo de tiempo crítico
SM5.4.5
Control: El proceso debe asegurar que después de la
ocurrencia de un ataque:
a) los computadores afectados por el ataque se les hace
una labor de limpieza (por ejemplo, los programas
maliciosos y los archivos relacionados son removidos del
computador)
b) se minimiza la probabilidad de ataques similares
c) se revisan los controles de seguridad
SM5.5
SM5.5.1
SM5.5.2
Investigaciones forenses
Control: Se debe establecer un proceso para manejar
incidentes de seguridad de la información que puedan
requerir investigación forense
Control: Deben existir normas y procedimientos
documentados para manejar los incidentes de seguridad
de la información que requieran la investigación forense,
los cuales deben cubrir:
a) la protección inmediata de las pruebas ante un
incidente de seguridad de la información
b) cumplir con la norma o código de práctica para la
recuperación de la evidencia admisible
c) mantener un registro de las pruebas recuperadas y los
procesos de investigación emprendidas
d) la necesidad de buscar asesoría jurídico sobre la
evidencia que se recuperó
e) las acciones que deben ser objeto de seguimiento
durante la investigación
Página 160 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
SM5.5.3
Control: La evidencia debe ser recolectada:
a) con la intención de posibles acciones legales
b) con el respeto por la privacidad de los individuos y los
derechos humanos
c) a partir de fuentes de TI relevantes para el incidente
de seguridad de la información (por ejemplo, archivos
activos, temporales y borrados, los archivos eliminados,
el uso del correo electrónico o uso de Internet, memoria
cachés y registros de la red)
d) a partir de fuentes diferentes de TI que sean
relevantes para el incidente de seguridad de la
información (por ejemplo, grabaciones de CCTV, los
registros de acceso a las instalaciones, las revelaciones
de testigos)
SM5.5.4
Control: Durante una investigación forense se deben
seguir pasos para:
a) establecer y documentar una secuencia cronológica
de eventos
b) registrar las acciones de investigación
c) demostrar que la evidencia apropiada se ha recogido,
preservado y que no ha sido modificada
d) proteger los equipos informáticos contra el acceso no
autorizado y la posible manipulación de las pruebas
e) analizar las pruebas en un ambiente controlado (por
ejemplo, utilizando una copia o "imagen" de la
computadora para evitar la corrupción del original)
f) examinar las pruebas por un experto independiente e
imparcial que cumple con los requisitos legales y
reglamentarios
g) garantizar que los procesos utilizados para crear y
preservar las pruebas se puede repetir por una tercera
parte independiente
h) limitar la información sobre una investigación a unos
pocas personas asignadas y garantizar que la
información se mantiene confidencial
SM5.5.5
Control: Los resultados de una investigación forense se
deben comunicar a la gerencia apropiada (por ejemplo,
la dirección y los jefes de las unidades de negocio) y a
los organismos judiciales y regulatorios apropiados.
SM5.6
SM5.6.1
Gestión de parches
Control: Deben existir normas y procedimientos
documentados para gestión de parches que indiquen:
a) los requisitos para parchar los equipos, las
aplicaciones de negocio, los sistemas operativos, el
software y los componentes de la red
b) el enfoque de la organización para la gestión de e
parches
c) los requisitos de pruebas
d) la revisión de los métodos de distribución de parches
Página 161 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
SM5.6.2
Control: Las normas y procedimientos para parches
deben incluir un método para:
a) la definición de roles y responsabilidades en la gestión
de parches
b) determinar la importancia de los sistemas (por
ejemplo, sobre la base de la información que se maneja,
los procesos de negocio
soportados y los ambientes en los que se utilizan)
c) registrar los parches que se han aplicado (por
ejemplo, utilizando un inventario de los activos que
incluya las versiones de los parches)
SM5.6.3
Control: Se debe establecer un proceso de gestión de
parches para regular la aplicación de parches en el día a
día. El proceso debe estar documentado y aprobado por
la gerencia correspondiente, y se debe asignar un dueño
de este proceso.
SM5.6.4
Control: El proceso de gestión de parches debería:
a) determinar los métodos de obtención de los parches
b) especificar los métodos de validación de los parches
(por ejemplo, garantizando que el parche es de una
fuente autorizada)
c) identificar las vulnerabilidades que son aplicables a las
aplicaciones y sistemas utilizados por la organización
d) evaluar el impacto que tiene para la empresa la
aplicación de parches (o la no aplicación de un parche
específico)
e) garantizar que los parches se prueban contra criterios
conocidos
f) describir los métodos de instalar los parches (por
ejemplo, utilizando las herramientas de distribución de
software)
g) informar sobre el estado de instalación de parches en
toda la organización
h) incluir la aplicación de métodos para manejar las fallas
en la instalación de un parche
SM5.6.5
Control: Se deben establecer métodos para proteger la
información y los sistemas si no hay parches disponibles
para vulnerabilidades identificadas (por ejemplo, la
desactivación de servicios y agregar controles de acceso
adicionales)
SM6
Tópicos especiales
SM6.1
Soluciones criptográficas
Página 162 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
SM6.1.1
Control: La criptografía debe ser utilizada en toda la
empresa para:
a) proteger la confidencialidad de la información sensible
(por ejemplo, mediante el uso de la codificación)
b) determinar si la información crítica se ha modificado
(por ejemplo, mediante la realización de funciones de
hash)
c) proporcionar autenticación fuerte para los usuarios de
sistemas y aplicaciones (por ejemplo, utilizando
certificados digitales y
tarjetas inteligentes)
d) permitir la prueba de la identidad del autor de la
información crítica (por ejemplo, utilizando la firma digital
para no-repudio.
SM6.1.2
Control: Se deben establecer y documentar las normas
y procedimientos para criptografía que cubran:
a) la definición de las circunstancias en que se debe
utilizar la criptografía (por ejemplo, para transacciones de
alto valor que involucran organismos externos o para
transmitir información confidencial a través de redes
abiertas tales como Internet)
b) la selección de algoritmos criptográficos aprobados
(por ejemplo, Advanced Encryption Standard (AES) para
confidencialidad,
y SHA-1 o MD5 para la integridad)
c) la gestión (incluida la protección), de claves
criptográficas
d) las restricciones en el uso de soluciones de cifrado
e) la idoneidad de las soluciones de cifrado utilizadas
(incluidos los algoritmos y longitudes de claves de
encriptación)
SM6.1.3
Control: Se deben definir claramente las
responsabilidades para la gestión de claves
criptográficas y la gestión de licencias
asociadas con el uso de soluciones criptográficas
internacionales
SM6.1.4
Control: Los directivos apropiados deben tener acceso
a:
a) consejo de expertos técnicos y asesoría jurídica sobre
la utilización de la criptografía
b) una lista de soluciones criptográficas
c) un inventario actualizado (o equivalente) donde se
detallan las soluciones criptográficas que se aplican en
la organización
SM6.2
Infraestructura de clave pública
Página 163 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
SM6.2.1
Control: La organización que hace uso de una
infraestructura de clave pública (PKI), debe establecer y
documentar normas y procedimientos que definan:
a) el proceso necesario para la gestión de claves
criptográficas y certificados digitales dentro de la PKI
b) los métodos necesarios para el funcionamiento del
PKI
c) las medidas que deben adoptarse en caso de un
compromiso o una sospecha de compromiso de la PKI
Control: Los usuarios de PKI deben ser conscientes del
propósito y función de la PKI, y su responsabilidad para
proteger las claves privadas y para utilizar la firma digital
SM6.2.2
SM6.2.3
Control: Una Autoridad de Certificación (CA) está
compuesto por las personas, los procesos y las
herramientas que son responsables de la creación,
generación y administración de los certificados de clave
pública que se utilizan dentro de una PKI. Donde una
PKI es soportada por una CA interna la cual debe estar
protegida por:
a) la restricción de acceso a personas autorizadas (por
ejemplo, utilizando mecanismos de control de acceso y
autenticación fuerte)
b) el aseguramiento del sistema operativo que lo soporta
(por ejemplo, mediante la eliminación de todas las
vulnerabilidades conocidas)
c) el empleo de otros controles generales (por ejemplo,
la gestión de cambios) de manera organizada
SM6.2.4
Control: Los planes de contingencia para las
aplicaciones que se soportan en PKI deberían incluir los
métodos para la recuperación de la PKI en
el evento de un desastre
SM6.3
SM6.3.1
Correo electrónico
Control: Se deben establecer y documentar normas y
procedimientos para la provisión y uso del correo
electrónico, los cuales deben especificar métodos para:
a) configurar los servidores de correo (por ejemplo, para
limitar el tamaño de los mensajes o buzones de usuario)
b) escanear los mensajes de correo electrónico (por
ejemplo, para el malware, cadenas de mensajes o el
contenido ofensivo)
c) mejorar la seguridad de los mensajes de correo
electrónico (por ejemplo, mediante la utilización de
descargos de responsabilidad, algoritmos de hashing,
cifrado o técnicas de no-repudio)
d) hacer que los usuarios sean más conscientes de las
consecuencias de sus acciones al utilizar el correo
electrónico
Página 164 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
SM6.3.2
Control: Los servidores de correo deben estar
configurados para prevenir que el sistema de mensajería
está sobrecargado estableciendo limites en el tamaño de
los mensajes o los buzones de usuario, restringiendo el
uso de grandes listas de distribución e identificando y
cancelando automáticamente los loops del correo
electrónico
SM6.3.3
Control: Los sistemas de correo electrónico deben
revisarse periódicamente para garantizar que se
satisfacen los requisitos de oportunidad y disponibilidad
futura
SM6.3.4
Control: Los mensajes de correo electrónico deben
escanear:
a) los archivos adjuntos que pueden contener código
malicioso (por ejemplo, el código malicioso oculto en el
auto-extracción de archivos zip o videoclips MPEG)
b) las palabras prohibidas (por ejemplo, palabras que
son racistas, ofensivas, difamatorias u obscenas)
c) las frases asociadas con el malware (por ejemplo, las
de uso común en los virus hoax o cadenas de mensajes)
SM6.3.5
Control: Los sistemas de correo electrónico deben
suministrar protección mediante:
a) el bloqueo de los mensajes considerados indeseables
b) el uso de firmas digitales para determinar si los
mensajes de correo electrónico han sido modificados en
el tránsito, y la encriptación de los mensajes de correo
sensitivos o confidenciales
c) la garantía de no repudio de origen para los mensajes
de correo más importantes (por ejemplo, utilizando la
firma digital)
d) el suministro de no repudio en el recibo de mensajes
importantes
SM6.3.6
Control: Se debe proteger la integridad mediante:
a) la inserción de información legal y detalles de la
dirección de retorno para el correo empresarial
b) la advertencia a los usuarios que el contenido de los
mensajes de correo electrónico pueden ser contractual y
jurídicamente vinculantes y que el uso del correo
electrónico puede ser monitoreado
SM6.3.7
Control: La organización debe prohibir:
a) el uso del correo de los sitios web
b) el desvío automático de correo electrónico a
direcciones externas
c) la publicidad no autorizada
d) la encriptación privada del correo electrónico o
archivos adjuntos
e) la apertura de archivos adjuntos de fuentes
desconocidas o no confiables
Página 165 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
SM6.3.8
SM6.4
SM4.6.1
Control: El uso personal del correo electrónico de la
empresa debe estar claramente etiquetado como
personal y sujeto a los términos de los acuerdos para
usuarios de correo
Trabajo remoto
Control: El trabajo remoto debe estar soportado por
normas y procedimientos que cubran:
a) los requisitos de seguridad asociados con el trabajo
remoto
b) los tipos de dispositivo que pueden ser utilizados por
el personal que trabaja en lugares remotos (por ejemplo,
computadores portátiles, dispositivos manuales como el
PDA, los teléfonos inteligentes)
c) la implementación y mantenimiento de equipos
remotos
d) el suministro de software para proteger las estaciones
de trabajo (por ejemplo, herramientas de administración
de sistemas, mecanismos de control de acceso, software
de protección contra el malware y las capacidades de
cifrado)
e) la configuración del software
f) la protección contra código móvil malicioso (por
ejemplo, los applets de Java, ActiveX, JavaScript o
VBScript que se han escrito deliberadamente para
realizar funciones no autorizadas)
g) la autorización de un representante del nivel
apropiado para la persona que requiere trabajar
remotamente
SM4.6.2
Control: Al personal que requiere trabajar remotamente
se le debe suministrar computadores que sean:
a) adquiridos a partir de proveedores aprobados
b) soportados por acuerdos de mantenimiento
c) protegidos por controles físicos (por ejemplo,
cerraduras, alarmas y marcas indelebles)
SM4.6.3
Control: Los computadores utilizados por el personal
que trabaja en lugares remotos se les debe instalar o
aplicar:
a) configuraciones técnicas estándar
b) un conjunto completo de herramientas de
administración del sistema (por ejemplo, utilidades de
mantenimiento y copias de respaldo)
c) mecanismos de control de acceso para restringir el
acceso al equipo remoto
d) el software de protección contra malware, para
proteger contra virus, gusanos, troyanos, software espía
y adware
e) el software de encriptación para proteger la
información almacenada en el computador (por ejemplo,
utilizando cifrado del discos duro)
o transmitida por el equipo (por ejemplo, utilizando una
red privada virtual (VPN) para conectarse a la red de la
organización)
Página 166 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
SM4.6.4
Control: Se debe restringir el acceso a las
computadoras utilizadas en lugares remotos mediante la
encriptación de contraseñas y la prevención de acceso
lógico a la capacidad de las computadoras personales
desatendidas (por ejemplo, mediante el bloqueo de clave
o contraseña)
SM4.6.5
Control: El personal que trabaja en ubicaciones
remotas, incluidas las zonas públicas (por ejemplo,
hoteles, trenes, aeropuertos y cafés de Internet) o en el
hogar, debe estar:
a) autorizado para trabajar sólo en determinadas
localidades
b) equipados con las destrezas necesarias para realizar
tareas de seguridad necesarias (por ejemplo, restringir el
acceso, sacar copias de respaldo y la encriptación de
archivos de claves)
c) consciente de los riesgos adicionales relacionados con
el trabajo remoto (incluido el aumento de la probabilidad
de robo de los equipos o revelación de información
confidencial)
d) apoyado con soporte técnico adecuado (por ejemplo,
a través de un servicio de mesa de ayuda)
e) en cumplimiento con los requisitos legales y
reglamentarios
f) respaldado con acuerdos de trabajo alternativos en
caso de emergencia
SM4.6.6
Control: Los computadores y dispositivos portátiles
deben estar protegidos contra robo mediante:
a) el suministro a los usuarios con candados físicos o
dispositivos de seguridad equivalente
b) etiquetas de identificación
c) el uso de marcas indelebles
SM4.6.7
Control: Se deben implementar controles adicionales
que deben aplicarse en las estaciones de trabajo con la
capacidad de conectarse a la
Internet mediante:
a) el uso de navegadores web con una configuración
estándar
b) la prevención de los usuarios con la desactivación o
modificación de las opciones de seguridad en los
navegadores web
c) la aplicación de las actualizaciones del software de
navegador web con rapidez y eficacia
d) la utilización de software tal como un firewall personal
y protección contra malware
e) la advertencia a los usuarios de los peligros de
descargar código móvil y las consecuencias de aceptar o
rechazar "Cookies"
f) la restricción de descarga de código móvil para
bloquear determinados tipos de ejecutables
SM6.5
Acceso a terceros
Página 167 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
SM6.5.1
Control: La prestación de acceso a terceros debe ser
apoyado por las normas y procedimientos documentados
que especifican
que, antes de la conexión:
a) se deben evaluar los riesgos del negocio asociados
con el acceso a terceros
b) se asigne la responsabilidad para la autorización de
acceso a terceros al personal apropiado
c) se realice la debida diligencia y se implementen los
controles de seguridad acordados
d) se efectúen pruebas
e) se formalicen los acuerdos en los contratos
SM6.5.2
Control: Se deben aplicar métodos para:
a) garantizar que los controles de terceros sean
proporcionales a los riesgos del negocio
b) proteger los intereses de la organización en relación
con la propiedad de la información y los sistemas
c) limitar los pasivos de la organización a terceros (por
ejemplo, mediante el uso de las condiciones
contractuales y advertencias que aparecen en la
pantalla)
d) cumplir con las obligaciones legales
e) hacer responsables a los terceros por sus acciones
Control: Cuando se trata de conexiones individuales a
terceros, se debe establecer un proceso para:
a) lograr la compatibilidad técnica
b) proteger la información sensible almacenada en los
sistemas o en su tránsito hacia instalaciones de terceros
c) mantener registros de actividades (por ejemplo, para
ayudar a rastrear las transacciones individuales y hacer
cumplir la rendición de cuentas)
d) proporcionar un único punto de contacto para la
atención de problemas (por ejemplo, un servicio de mesa
de ayuda o centro de llamadas)
SM6.5.3
SM6.5.4
Control: El acceso de terceros a través de las
conexiones debe ser administrado mediante:
a) la restricción de métodos de conexión (por ejemplo,
define los puntos de entrada sólo a través de firewalls)
b) la autenticación de usuarios alineado con la función
que desempeñan
c) la restricción de los tipos de acceso permitido (es
decir, en términos de información, capacidades de la
aplicación y privilegios de acceso)
d) el otorgamiento de acceso a la información y los
sistemas de la organización bajo el principio de "el
mínimo acceso"
e) la terminación de conexiones cuando no se necesitan
SM6.5.5
Control: Las conexiones que proporcionan el acceso a
terceros se deben identificar individualmente, deben ser
aprobadas por el dueño del negocio, deben ser
registradas y acordadas por las partes en un contrato
documentado
Página 168 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
SM6.5.6
SM6.6
SM6.6.1
Control: Las personas responsables por la
administración de conexiones a terceros deben tener
acceso a:
a) la información sobre los riesgos asociados con el
acceso a terceros
b) las normas y procedimientos que ilustran las medidas
que se deben adoptar para lograr conexiones seguras
c) las herramientas de soporte (por ejemplo, listas de
chequeo, muestras de contratos y acuerdos de niveles
de servicio)
d) las fuentes de conocimiento para obtener consejo y
accesoria de especialistas (por ejemplo, la función de
seguridad de la información)
Comercio electrónico
Control: Se debe responsabilizar a un gerente de alto
nivel para todo lo relacionado con las iniciativas de
comercio electrónico
SM6.6.2
Control: Se debe establecer un comité directivo o grupo
directivo para coordinar las iniciativas de comercio
electrónico que incluya representantes de las áreas
claves de la organización que participan en las iniciativas
de comercio electrónico (por ejemplo, la alta dirección,
los propietarios de negocio, el departamento jurídico, la
administración de TI, y la función de seguridad de la
información)
SM6.6.3
Control: Los riesgos asociados con iniciativas de
comercio electrónico deben ser objeto de un análisis de
riesgos de información
SM6.6.4
Control: Se deben establecer y documentar normas y
procedimientos para administrar las iniciativas de
comercio electrónico las cuales requieren que:
a) las buenas prácticas de seguridad de la información
no se sacrifiquen en aras de la velocidad de entrega
b) las iniciativas estén impulsadas por los requerimientos
del negocio
c) se minimice la dependencia de la tecnología inmadura
d) se evalúen las implicaciones de seguridad al
implementar las soluciones de proveedores
SM6.6.5
Control: Se debe establecer un proceso para asegurar
que los tomadores de decisiones:
a) comprendan las necesidades de seguridad de los
clientes
b) sean conscientes de los riesgos asociados con el
comercio electrónico y no pasen por alto las principales
amenazas técnicas
c) aprueban los riesgos residuales
d) identifican las competencias necesarias de seguridad
para apoyar las iniciativas de comercio electrónico y
emplean al personal suficiente con las habilidades
necesarias (por ejemplo, utilizando terceros que sean
expertos o capacitando al personal interno)
Página 169 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
SM6.6.6
Control: Antes de instalarse en producción, las
iniciativas de comercio electrónico deben ser
rigurosamente probadas, revisadas por un especialista
en seguridad de la información y aprobadas por la
dirección
Control: Debe existir un proceso que garantice que:
a) los registros importantes de nombres de dominio son
renovados (por ejemplo, cada dos años)
b) los nombres de dominio que pueden ser utilizado para
ocultar la organización son registrados por la
organización
c) se monitorean los sitios web que pueden haber sido
instalados usando los nombres de dominio similares a
los utilizados por la organización
d) los sitios web ilegítimos son cerrados con la mayor
rapidez posible
e) las relaciones con los proveedores de servicios de
Internet están cubiertos por acuerdos de niveles de
servicio (SLA)
SM6.6.7
SM6.7
SM6.7.1
Outsourcing
Control: Se debe establecer un procedimiento
documentado para regular la selección de proveedores
de outsourcing y la transferencia de las actividades hacia
ellos
SM6.7.2
Control: Al determinar los requisitos para el outsourcing,
la organización debería:
a) evaluar los riesgos de información asociados con los
acuerdos de outsourcing y las funciones de la empresa
que pueden ser contratadas
b) Identificar los ambientes sensitivos o críticos
c) evaluar las prácticas y normas de seguridad de la
información de los posibles proveedores de outsourcing
d) considerar las interdependencias entre la función a ser
contratada y las otras funciones del negocio
e) desarrollar estrategias para finalizar las relaciones
ante la eventualidad de una terminación anticipada de
los acuerdos
SM6.7.3
Control: Antes de transferir la administración de un
ambiente particular, el dueño del negocio debe aprobar
la transferencia y se deben acordar los controles de
seguridad de la información con el proveedor de
outsourcing.
Página 170 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
SM6.7.4
Control: Se deben establecer y documentar los
acuerdos que obligan a los proveedores a :
a) cumplir con las buenas prácticas para la seguridad de
la información
b) facilitar información sobre incidentes de seguridad de
la información
c) mantener la confidencialidad de la información
obtenida a través del contrato de outsourcing
d) proteger la integridad de la información utilizada en el
desempeño de los trabajos
e) garantizar la disponibilidad de la información y los
sistemas
SM6.7.5
Control: Los acuerdos deben exigir que los
proveedores:
a) limiten el acceso a los activos de la organización sólo
para el personal autorizado
b) protejan la información de identificación personal
c) proporcionen los acuerdos de continuidad del negocio
d) cumplan con los requisitos legales y reglamentarios
e) garanticen la calidad y exactitud del trabajo realizado
f) devolver o destruir la información, el software o equipo
en una fecha convenida, o previa solicitud
g) definir la forma en que el proveedor se le permite
contratar con terceros
h) seguir un proceso de gestión del cambio
i) proporcionar una eficaz gestión de incidentes de
seguridad de la información
SM6.7.6
Control: Se debe establecer un proceso para hacer
frente a los problemas de seguridad mediante unos
puntos de contacto del proveedor de outsourcing
SM6.7.7
Control: Los acuerdos deben especificar: el derecho a
auditar las actividades del proveedor, los detalles de los
acuerdos de licenciamiento y la propiedad de la
información y de los derechos de propiedad intelectual
SM6.7.8
Control: Se deben implementar las medidas de
contingencia para administrar los ambientes contratados
en el evento en que el proveedor no esté disponible (por
ejemplo, debido a un desastre o conflicto)
SM6.8
SM6.8.1
Mensajería instantánea
Control: Se deben establecer y documentar normas y
procedimientos para los servicios de mensajería
instantánea que incluyan:
a) guías para el uso en el trabajo y el uso personal
b) los tipos de servicios de mensajería instantánea
permitidos (por ejemplo, los servicios públicos, como
AOL, Google Talk, Windows Messenger y Yahoo!, O los
servicios internos tales como Lotus Sametime, Windows
Meeting Space, Webex y Jabber)
c) guías para usuarios sobre el uso aceptable (por
ejemplo, la prohibición de las declaraciones ofensivas)
d) detalles de cualquier actividad de seguimiento a
realizar
Página 171 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
SM6.8.2
Control: Se debe mejorar la seguridad de las
aplicaciones de mensajería instantánea mediante:
a) la desactivación de características no adecuadas (por
ejemplo, el uso compartido de archivos, video y audio)
b) el uso de la encriptación para proteger el contenido de
los mensajes sensibles
c) el chequeo de malware en las estaciones de trabajo
d) el registro de eventos claves
e) dirigir el tráfico de mensajería instantánea a través de
un filtro de contenido
SM6.8.3
Control: Se debe proteger la mensajería instantánea
mediante:
a) el empleo de un estándar de configuración del cliente
para la aplicación de mensajería instantánea
b) el aseguramiento de los servidores de mensajería
instantánea
c) la configuración de firewall para bloquear el tráfico no
autorizado de mensajes instantáneos
SM7
Revisión de la
Gerencia
SM7.1
Revisión y auditoria de
seguridad
SM7.1.1
Control: Se deben realizar periódicamente revisiones y
auditorias de seguridad para ambientes críticos de la
organización, que incluyan:
a) aplicaciones de negocio
b) instalaciones de computación y redes
c) actividades de desarrollo de sistemas
d) actividades de seguridad claves para la empresa (por
ejemplo, la gestión de una arquitectura de seguridad,
ejecutar programas de sensibilización o la supervisión de
los acuerdos de seguridad de la información)
e) entornos de usuario final
Página 172 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
SM7.1.2
Control: Las auditorias y revisiones de seguridad deben
ser:
a) acordadas con los dueños de los ambientes sujetos a
revisión
b) realizadas por personas que poseen las habilidades y
conocimiento técnico suficiente en seguridad de la
información
c) llevadas a cabo a profundidad (en términos de alcance
y magnitud) para garantizar que los controles de
seguridad funcionan como se espera
d) orientadas a comprobar que los controles son lo
suficientemente efectivos para reducir el riesgo a un nivel
aceptable
e) apoyadas por el uso automatizado de herramientas de
software
f) validados por las personas competentes
g) complementada por revisiones realizados por terceros
independientes.
SM7.1.3
Control: Las revisiones y auditorias de seguridad deben
ser administradas por:
para acordar los requisitos especiales o rutinas de
procesamiento de las pruebas (por ejemplo, pruebas de
penetración) con los propietarios de la
ambientes que se examina
restringir el acceso a los sistemas de auditoria y los
equipos
seguimiento y registro de las actividades de auditoria y
los equipos
la eliminación de la copia de información empresarial a
los efectos de las auditorias y exámenes tan pronto
como ya no es
requerido
protección de software de herramientas utilizadas en la
realización de auditorias y exámenes (por ejemplo, por
mantenerlos separados de los instrumentos /
los servicios públicos utilizados en el entorno, y la
celebración en las instalaciones de almacenamiento
seguro, como Restringido
bibliotecas de software).
SM7.1.4
Control: Las recomendaciones de seguridad que
resulten de las revisiones o auditorias deben ser
acordadas con los dueños de los ambientes sujetos a
revisión y ser reportadas a la dirección
SM7.2
SM7.2.1
Monitoreo de seguridad
Control: Se deben establecer acuerdos documentados
con la dirección para el monitoreo de la seguridad de la
información en la organización. Los monitoreos deben
realizarse periódicamente.
Página 173 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
SM7.2.2
Control: El análisis desarrollado como parte de los
acuerdos de monitoreo de la seguridad debe ser:
a) basado en métricas de seguridad cuantitativas (por
ejemplo, el número, la frecuencia y el impacto para el
negocio de los incidentes de seguridad de la información,
los hallazgos de la auditoria, las estadísticas de
seguridad operacional, los costos asociados con las
pérdidas financieras, multas, fraude etc.).
b) presentados en un formato estándar (por ejemplo, el
tablero balanceado de gestión u otra herramienta de
gestión)
SM7.2.3
Control: La información recopilada como parte de las
medidas de vigilancia de seguridad deberá incluir
detalles sobre todos los aspectos de los riesgos de
información (por ejemplo, la criticidad de la información,
las vulnerabilidades identificadas y el nivel de las
amenazas, el impacto potencial para el negocio y el
estado de los controles de seguridad implementados)
SM7.2.4
Control: Se debe informar sobre la condición de
seguridad de la organización a los principales tomadores
de decisiones (incluida la
la dirección, los miembros del comité directivo de
seguridad, y los órganos externos)
SM7.2.5
Control: Los acuerdos de monitoreo de las seguridad
deberían proporcionar a los tomadores de decisiones
una visión de:
a) la eficacia y la eficiencia de los acuerdos de seguridad
de la información
b) las áreas donde se requiere mejorar
c) la información y los sistemas que están en un nivel
inaceptable de riesgo
d) el desempeño cuantitativo frente a los objetivos
propuestos
e) las medidas necesarias para ayudar a minimizar el
riesgo
SM7.2.6
Control: Los acuerdos para monitorear la seguridad
deben proporcionar a los tomadores de decisiones
información financiera que incluya:
a) el costo de los controles de seguridad
b) el impacto financiero de los incidentes de seguridad
de la información
c) el retorno de la inversión en seguridad (ROSI), de los
controles implementados (por ejemplo, los beneficios no
financieros, los beneficios financieros y los costos)
Página 174 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
SM7.2.7
Control: Los acuerdos para monitorear la seguridad
deben permitir a los tomadores de decisiones:
a) gestionar los riesgos de información de manera
efectiva
b) relacionar los riesgos de información con los riesgos
operacionales y del negocio
c) demostrar el cumplimiento de requisitos legales y
reglamentarios, y las normas y procedimientos internos
de seguridad de la información
Control: La información generada como resultado del
monitoreo de las condiciones de seguridad de la
información de la organización debe ser
utilizada para medir la eficacia de la estrategia, de la
política y de la arquitectura de seguridad de la
información
SM7.2.8
NW1
NW1.1
NW1.1.1
NW1.1.2
SEGURIDAD DE LA
RED
Administración de
la Red
Roles y responsabilidades
Control: Se debe designar un dueño para gestionar la
red. Las responsabilidades por las principales tareas de
gestión de red
deben ser claramente asignados a una o más personas
capaces, que deben aceptar las responsabilidades
(incluidas las
los de la seguridad de la información) relacionadas con
estas funciones.
Control: El personal de la red debería ser:
a) competente para operar la red en condiciones
normales
b) capacitado para hacer frente a errores, las
condiciones de excepción y de emergencia
c) en número suficiente para manejar la carga normal y
los picos de trabajo
Página 175 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
NW1.1.3
Control: Se debe reducir el riesgo de que el personal
interrumpa el funcionamiento de la red, ya sea por error
o por mala intención mediante:
a) la separación de funciones del personal que opera la
red de las funciones del personal que diseña y desarrolla
la red
b) garantizar que el personal interno (por ejemplo, los
operadores y administradores de la red) y las personas
externas (por ejemplo, consultores,
contratistas, ingenieros) firmen los acuerdos de
confidencialidad y no divulgación
c) minimizar la dependencia de personas clave (por
ejemplo, mediante la automatización de procesos,
garantizar que la documentación de apoyo esté completa
y exacta, y las contingencias para cubrir los puestos
clave)
d) la organización de funciones de manera que se
reduzca al mínimo el riesgo de robo, fraude, error y
cambios no autorizados a la información
e) la investigación de antecedentes de los solicitantes
para puestos de operación y administración de la red
NW1.1.4
Control: Se deben implementar y documentar las
normas y procedimientos a ser aplicados en la red, los
cuales deben ser:
a) consistentes con las políticas de seguridad de la
información que se aplican en toda la empresa
b) comunicados al personal internos y externos que
participa en la gestión de la red
c) aprobados por un representante del negocio,
revisados periódicamente y actualizados a la fecha
NW1.1.5
Control: Las actividades de las personas que operan y
administran la red deben ser controladas (por ejemplo,
proporcionar supervisión, registrar las actividades y
mantener las pistas de auditoria)
NW1.2
NW1.2.1
Diseño de la red
Control: El diseño de la red debe estar apoyado en
normas y procedimientos que requieren:
a) que el diseño tenga en cuenta los requisitos de los
usuarios de los servicios (por ejemplo, tal como se
definen los acuerdos de niveles del servicio)
b) que la red sea compatible con otras redes utilizados
por la organización
c) que la red esté configurada para hacer frente a la
evolución previsible del uso de las TI en la organización
Página 176 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
NW1.2.2
NW1.3.1
NW1.3.1
NW1.3.2
Control: El diseño de la red deberia:
a) incorporar un conjunto integrado y coherente de
normas técnicas
b) apoyarse en convenciones de nomenclatura
coherente (por ejemplo, cuando se asignan las
direcciones IP)
c) incorporar el uso de dominios de seguridad para
separar los sistemas de los requisitos de seguridad
d) emplear firewalls de manera que impidan que sean
pasados por alto
e) minimizar los puntos de falla (por ejemplo,
proporcionando balance de carga, duplicar o mantener
redundancia en dispositivos críticos de la red
f) restringir el número de puntos de entrada a la red
g) permitir la gestión de red de extremo a extremo desde
una ubicación principal
h) permitir que la red se pueda configurar remotamente,
y monitoreada automáticamente frente a los umbrales
predefinidos
i) permitir que los informes de gestión de la red y los
registros de auditoria se mantengan
j) cumplir con la reglamentación legal y las regulaciones
de la industria
k) evitar que los dispositivos no autorizados sean
conectados a la red (por ejemplo, forzando la
autenticación a nivel de la red)
l) incluir el cifrado del acceso administrativo a los
dispositivos de red (por ejemplo, firewalls y sensores de
detección de intrusos)
Resiliencia de la red
Control: Se deben identificar las instalaciones de la red
que son críticas para el funcionamiento de la red
Control: Los puntos simples de falla deben ser
minimizados mediante:
a) re-enrutamiento automático del tráfico de la red
cuando los nodos críticos o los enlaces fallan
b) la provisión de sitios alternos a partir de los cuales se
puede administrar la red
c) la instalación de redundancia en los equipos de
comunicaciones críticas tales como: firewall, filtros de
tráfico de la red, switches principales, y las fuentes de
suministro de energía
f) crítica a los equipos de comunicaciones
g) acuerdos con proveedores de servicios externos para
disponer de puntos de conexión y enlaces alternos
Página 177 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
NW1.3.3
Control: Se deben reducir los riesgos de mal
funcionamiento de los equipos de comunicaciones
críticas, el software, enlaces y servicios para :
a) dar alta prioridad a la fiabilidad, compatibilidad y
capacidad en el proceso de adquisición
b) garantizar el cumplimiento de las normas comunes o
de la industria
c) utilizando equipos, software, enlaces y servicios
probados y actualizados
d) manteniendo versiones consistentes de equipos y
software a través de la red
e) garantizando que los principales componentes de la
red puedan ser reemplazados dentro de los plazos
críticos
NW1.3.4
Control: Se debe proteger la disponibilidad de los
servicios de red externos mediante:
a) el suministro de puntos de conexión duplicados o
alternos para los transportadores de las comunicaciones
externas
b) el enrutamiento de enlaces críticos a más de un centro
de intercambio o switcheo externo
c) acuerdos para el uso de un carrier de comunicaciones
alterno
NW1.3.5
Control: Se debe implementar un proceso para tratar las
vulnerabilidades de los firewalls que incluya:
a) monitoreo de vulnerabilidades en los firewalls
b) la elaboración de guías para el personal de red sobre
las medidas que deben adoptarse en caso de falla de
algún firewall
c) el re-enrutamiento automático del tráfico de la red a
otro firewall alterno
d) las pruebas a los parches para los firewalls y su
aplicación en el momento oportuno
NW1.4
NW1.4.1
NW1.4.2
Documentación de la red
Control: Se deben implementar normas y
procedimientos para la red que incluyan la
documentación de:
a) la configuración de la red, incluyendo todos los nodos
y conexiones
b) los equipo, el software, los enlaces y servicios de
comunicaciones
c) el cableado de red
Control: La documentación de la red debe incluir:
a) los diagramas de configuración de la red con los
nodos y conexiones
b) un inventario de equipos de comunicaciones, software
y servicios suministrados por terceros
c) uno o más diagramas de cableado de la red
Página 178 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
NW1.4.3
Control: La documentación de la red debe ser:
a) actualizada
b) fácilmente accesible a las personas autorizadas
c) sujeta a revisiones supervisadas
d) generada automáticamente, utilizando herramientas
de software
NW1.4.4
Control: Se deben colocar etiquetas de identificación a
los equipos y cables de comunicaciones
NW1.5
NW1.5.1
Proveedores de servicios
Control: Se deben establecer acuerdos documentados
con todos los proveedores de servicios internos y
externos
NW1.5.2
Control: Los acuerdos con los proveedores de servicios
deben especificar:
a) las personas responsables del servicio dentro de las
dos partes en el acuerdo
b) los requisitos de capacidad, fechas y horarios de los
servicios de red que son requeridos y los plazos de
tiempo críticos de la red
c) las restricciones en los métodos de conexión y el
acceso a determinados servicios
NW1.5.3
Control: Los acuerdos con los proveedores de servicios
deben especificar los requisitos para:
a) garantizar la continuidad del servicio
b) el parcheo de los dispositivos de red
c) la protección de la información confidencial en tránsito
d) la separación de los componentes de la red, tales
como líneas dedicadas para el tráfico de red sensitivo
e) el desempeño de la gestión de cambios y la gestión
de incidentes de seguridad de la información
f) la detección de interrupciones de servicio y la
recuperación de los mismos
g) las actividades de instalación y mantenimiento de las
actividades relacionadas con la red
NW1.5.4
Control: Las condiciones de los acuerdos con los
proveedores de servicios deben ser aplicadas y
revisadas periódicamente
NW1.5.5
Control: Se deberían adoptar medidas con el proveedor
de servicios (s) para hacer frente a problemas de
seguridad de la información a través de un punto de
contacto definido y de una persona que sea competente
para tratar los problemas de seguridad de manera eficaz
NW1.5.6
Control: Se deben establecer acuerdos para:
a) restringir el uso de los servicios aprobados a los
proveedores de la red
b) obtener una confirmación independiente de los
controles de seguridad aplicados por los proveedores de
servicios
Página 179 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
NW2
Administración del
tráfico
NW2.1
NW2.1.1
Configurar dispositivos de red
Control: Se deben implementar normas y
procedimientos para configurar los dispositivos de red los
cuales deben cubrir:
a) la gestión de cambios de las tablas de enrutamiento y
la configuración de dispositivos de red
b) la restricción del acceso a los dispositivos de red
c) la prevención de actualizaciones no autorizadas o
incorrectas a las tablas de enrutamiento
d) la revisión periódica de la configuración de
dispositivos de red
NW2.1.2
Control: Los dispositivos de red deben ser configurados
para:
a) negar el tráfico de red por defecto
b) alertar sobre la sobrecarga de la red o las condiciones
de excepción cuando se producen
c) registrar los eventos en una forma adecuada para su
revisión y grabarlos en sistemas separados
d) copiar la información de control (por ejemplo, los
registros de eventos y tablas) a medios de
almacenamiento extraíbles (por ejemplo, CD o cinta
magnética)
e) integrar con mecanismos de control de acceso en
otros dispositivos (por ejemplo, para proporcionar fuerte
autenticación)
f) usar una configuración segura predefinida antes de su
puesta en operación
g) cambiar los parámetros por defecto suministrados por
los proveedores
h) garantizar que las contraseñas no son enviadas en
forma de texto claro
i) desactivar el enrutamiento de origen (para mantener el
control en los dispositivos de envío de paquetes)
j) desactivar los servicios que no son necesarios para el
funcionamiento normal de la red (por ejemplo, RPC,
rlogin, rsh, rexec y NetBIOS)
NW2.1.3
Control: Se debe restringir los dispositivos de red al
personal autorizado utilizando los controles de acceso
que soportan la contabilidad individual y la protección
contra acceso no autorizado
NW2.1.4
Control: Se deben configurar los routers para prevenir
actualizaciones no autorizadas o incorrectas
Control: Se deben revisar periódicamente los
dispositivos de red para verificar los parámetros de
configuración (por ejemplo, tablas y parámetros de
enrutamiento) y evaluar las actividades realizadas a
través de los dispositivos de red
NW2.1.5
NW2.2
Firewall
Página 180 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
NW2.2.1
NW2.2.2
NW2.2.3
NW2.2.4
Control: La red debe ser protegida de otras redes o subredes (internas o externas) mediante uno o más firewalls
Control: Se deben establecer normas y procedimientos
para administrar firewalls que cubran:
a) el filtrado de tipos específicos o fuentes de tráfico de
la red (por ejemplo, direcciones IP, puertos TCP o
información sobre el estado de las comunicaciones y los
usuarios)
b) el bloqueo o la restricción de determinados tipos u
otras fuentes de tráfico de la red
c) el desarrollo de normas predefinidas (o tablas) para
filtrar el tráfico de la red
d) la protección de firewalls contra ataques o fallas
e) limitar la revelación de información acerca de la red
Control: Los firewalls deben ser utilizados para
chequear:
a) las direcciones de destino y los puertos
b) la información sobre el estado de las comunicaciones
asociadas
c) la información sobre el estado de los usuarios
d) la validez de un servicio de red
Control: Los firewalls deben ser configurados para:
a) negar el tráfico de red por defecto
b) proteger los protocolos de comunicación que son
propensos a los abusos (por ejemplo, DNS, FTP, NNTP,
RIP, SMTP, Telnet, UUCP)
c) bloquear los paquetes de red usados para la ejecutar
ataques de "denegación del servicio"
d) negar el tráfico entrante para la dirección fuente que
ha sido suplantada
e) negar el tráfico saliente para la dirección que han sido
suplantada
NW2.2.5
Control: Los firewalls debe configurarse para bloquear o
restringir las comunicaciones basadas en una fuente o
destino especifico (por ejemplo, direcciones IP o puertos
tales como: 20 y 21 para FTP, 23 para Telnet)
NW2.2.6
Control: El filtrado del tráfico de la red debe basarse en
reglas predefinidas que:
a) han sido desarrollados por personal de confianza y
están sujetas a revisión
b) se basan en el principio del "mínimo acceso"
c) se documentan y se mantienen actualizadas
d) son tenidas en cuenta en una política de seguridad de
la información, en las normas y procedimientos de la red
y en los requisitos de los usuarios
NW2.2.7
Control: Antes que se apliquen nuevas reglas o se
cambien otras, se debe verificar si son fuertes y
correctas y deben ser aprobadas por el dueño de la red
Página 181 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
NW2.2.8
NW2.3
NW2.3.1
Control: La revelación de información sobre la red se
debe limitar:
a) a nivel de la red mediante el uso de traslación de
direcciones de red (NAT)
b) a nivel de aplicación mediante el uso de la traslación
de direcciones de puerto (PAT)
Acceso externo
Control: Se deben documentar normas y procedimientos
para controlar el acceso externo a la red, los cuales
especifican:
a) que se deben identificar las conexiones externas
b) que se debe configurar la red para restringir el acceso
c) que sólo se permiten los tipos de dispositivos de
conexión de acceso remoto autorizados
d) que se deben documentar los detalles de las
conexiones externas
e) que se deben remover las conexiones externas
cuando no sean necesarias
NW2.3.2
Control: Las conexiones externas se deben identificar
individualmente y ser aprobadas por el propietario de la
red
NW2.3.3
Control: Se debe mantener un registro de las
conexiones externas que incluya:
a) detalles de las personas externas autorizadas
b) áreas de la infraestructura de TI a disposición de los
usuarios externos
NW2.3.4
Control: La red debe ser diseñada para:
a) ocultar los nombres de red y topologías a partes
externas
b) restringir el tráfico de la red externa a sólo
determinadas partes de la red
c) restringir las conexiones a los puntos de entrada
definidos
d) verificar el origen de las conexiones externas
NW2.3.5
Control: Se deben identificar las conexiones externas no
autorizadas mediante:
a) el desarrollo de auditorias de los equipos de la red y la
documentación para identificar discrepancias con los
registros de conexiones externas conocidas
b) el uso de herramientas de gestión y de diagnóstico de
la red
c) el control de los registros contables de las facturas
pagadas a los proveedores de telecomunicaciones y
conciliación con las conexiones conocidas.
Página 182 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
NW2.3.6
Control: Las conexiones de acceso telefónico deben ser
protegidas mediante el uso de seguridad dial-back la
cual debe implementarse mediante:
a) la configuración dial-back obligatoria para todas las
cuentas autorizadas a conectarse a través de un punto
de acceso
b) la desconexión de la línea en el host, en lugar de la
del cliente
c) desactivar el reenvío de llamadas para la línea dialback
Control: El acceso externo debe ser suministrado
utilizando un servidor de acceso remoto dedicado el cual:
a) proporciona autenticación completa y confiable para
las conexiones externas (por ejemplo, utilizando un
sistema de autenticación tal como el Radius o
TACACS+)
b) proporciona información para solución de problemas
c) registra todas las conexiones y sesiones incluyendo
detalles de los tiempos de inicio y finalización de la
llamada, duración, y seguimiento a usuarios
d) ayuda a identificar posibles brechas de seguridad de
la información
NW2.3.7
NW2.3.8
NW2.4
NW2.4.1
Control: Las conexiones externas se deben eliminar
cuando ya no se requieran y sus componentes deben
desactivarse o eliminarse
Acceso inalámbrico
Control: El acceso inalámbrico a la red debe estar sujeto
a un análisis de riesgos de información y ser aprobado
por el dueño de la red antes de su implementación
NW2.4.2
Control: Se deben establecer y documentar normas y
procedimientos para controlar el acceso inalámbrico a la
red los cuales incluyen:
a) implementar métodos para limitar el acceso a usuarios
autorizados en el proceso de instalación y configuración
de los puntos de acceso inalámbrico
b) usar la encriptación ( por ejemplo, WEP, WPA, WPA2)
para proteger la información en tránsito
c) la detección de puntos de acceso y dispositivos
inalámbricos no autorizados
NW2.4.3
Control: Los puntos de acceso inalámbrico deben ser:
a) configurados al más bajo poder para limitar el rango
b) instalados en sitios que minimicen el riesgo de
interferencia
c) configurados y administrados centralizadamente
d) asignados a un conjunto de identificadores de servicio
único (unique Service Set Identifier SSID)
NW2.4.4
Control: Se debe proteger la red contra acceso
inalámbrico no autorizado usando un dispositivo de
filtrado (por ejemplo, un firewall o un edge server)
Página 183 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
NW2.4.5
Control: El acceso inalámbrico debe estar protegido
mediante el uso de:
a) control de acceso a la red (por ejemplo, IEEE 802.1X)
b) autenticación de dispositivo (por ejemplo, EAP-TLS)
c) autenticación de usuario
NW2.4.6
Control: El acceso inalámbrico debe estar protegido por:
a) el uso de encriptación (por ejemplo, WEP, WPA y
WPA2) entre dispositivos de computación puntos de
acceso inalámbrico
b) el cambio periódico de las claves de encriptación
NW2.4.7
Control: Las conexiones de acceso inalámbrico críticas
deben estar sujetas a controles de seguridad adicionales
tales como redes virtuales privadas, VPNs
NW3
Operación de la red
NW3.1
NW3.1.1
Monitoreo de la red
Control: El desempeño de la red debe ser monitoreado:
a) frente a los objetivos acordados
b) revisando la utilización actual de las facilidades de red
en periodos normales y periodos pico o de mayor
demanda
c) usando software automatizado de monitoreo de red
d) revisando periódicamente los registros de actividad de
la red
e) investigando problemas tales como cuellos de botella
o sobrecarga
NW3.1.2
Control: Se deben llevar a cabo actividades de
planeación de la capacidad para permitir capacidad extra
de la red antes de que ocurran incidentes como cuellos
de botella y sobrecarga
NW3.1.3
Control: Las actividades de monitoreo deben ser
periódicas y debe incluir:
a) el escaneo de vulnerabilidades para servidores y
dispositivos de red usando productos especializados (por
ejemplo, Nessus, Pingware o SATAN)
b) la verificación de desactivación en los dispositivos de
red de los comandos y utilitarios innecesarios
c) la verificación de la existencia de redes inalámbricas
no autorizadas (por ejemplo, usando productos de
terceros tales como Netstumbler, KISMET y Airsnort)
d) el descubrimiento de la existencia de sistemas no
autorizados
NW3.1.4
Control: Se deben utilizar mecanismos de detección e
intrusión de manera que cubran:
a) la detección de características de ataques conocidas
b) un proceso para desarrollar actualizaciones periódicas
al software de detección de intrusos
c) la protección de los mecanismos de detección de
intrusos contra ataques
Página 184 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
NW3.1.5
Control: El uso de herramientas para análisis y
monitoreo de la red debe estar restringido a personas
autorizadas
NW3.1.6
Control: Se deben revisar los reportes enviados por los
proveedores de servicios para descubrir uso inusual de
la red u otras facilidades de red
NW3.1.7
Control: El dueño de la red debe revisar los resultados
de las actividades de monitoreo y comunicarlos a los
dueños de las aplicaciones e instalaciones para quienes
se prestan los servicios
NW3.2
NW3.2.1
Administración de cambios
Control: Se debe establecer un proceso de gestión de
cambios que cubra todos los tipos de cambios en la red
(por ejemplo, actualizaciones de equipos de
comunicaciones y software, la introducción de nuevos
servicios de los proveedores de servicios y
ajustes temporales o de emergencia a la red)
NW3.2.2
Control: El proceso de gestión de cambios debe estar
documentado e incluir:
a) la aprobación de los cambios y las pruebas para
asegurarse de que no pongan en peligro los controles de
seguridad
b) la realización de cambios y su aprobación para
asegurarse de que se realizan correctamente y de forma
segura
c) la revisión de los cambios realizados para garantizar
que no se aplican cambios no autorizados
NW3.2.3
Control: Antes de que sean aplicados los cambios al
ambiente productivo de la red se debe considerar:
a) la documentación de las solicitudes de cambio y la
aceptación por parte de las personas autorizadas
b) los cambios deben ser aprobados por el representante
del negocio apropiado
c) se debe evaluar el impacto potencial para el negocio
de los cambios a ser realizados
d) los cambios deben ser probados
e) los cambios deben ser revisados para garantizar que
no comprometan los controles de seguridad
f) se debe realizar un copia de respaldo de manera que
se pueda restaurar la red después de cambios fallidos o
resultados inesperados
NW3.2.4
Control: Los cambios en la red deben ser:
a) realizados por personal capacitado y competente
b) supervisados por un especialista de la red
c) aprobados por el representante del negocio apropiado
Página 185 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
NW3.2.5
NW3.3
NW3.3.1
NW3.3.2
Control: Se deben establecer acuerdos para garantizar
que una vez se apliquen los cambios:
a) se mantiene un control de versiones
b) se lleva un registro de los cambios que muestra lo que
fue cambiado, cuándo y por quién
c) se comunican los detalles de los cambios a las
personas pertinentes
d) se realizan verificaciones para confirmar que sólo se
han hecho cambios autorizados
e) se actualiza la documentación de la red
Administración de incidentes
de seguridad de la información
Control: Se debe establecer y documentar un proceso
de gestión de incidentes de seguridad para la red
Control: El proceso de gestión de incidentes de
seguridad debe incluir
a) la identificación de incidentes de seguridad de la
información
b) la respuesta a los incidentes de seguridad de la
información
c) la recuperación de los incidentes de seguridad de la
información
d) el seguimiento de los incidentes de seguridad de la
información.
NW3.3.3
Control: Los incidentes de seguridad de la información
deberían ser:
a) reportados previamente a un contacto (por ejemplo,
un servicio de asistencia, línea telefónica o equipo de
especialistas de TI)
b) grabados en un registro, o equivalente
c) categorizados y clasificados
NW3.3.4
Control: el impacto de los incidentes graves de
seguridad relacionados con la red debe ser evaluado por
parte de especialistas de la red, de los dueños de la red,
de los dueños de las aplicaciones soportadas por la red y
por parte de especialistas de seguridad de la información
NW3.3.5
Control: La respuesta a incidentes de seguridad de la
información relacionados con la red debe incluir:
a) el análisis de la información disponible
b) el manejo seguro de la evidencia necesaria
c) la investigación de las causas del incidente de
seguridad de la información
d) la contención y erradicación del incidente de
seguridad de la información
Página 186 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
NW3.3.6
Control: La recuperación de los incidentes de seguridad
relacionados con la red debe involucrar:
a) la reconstrucción de las redes a un estado seguro
antes conocido (es decir, el mismo estado que
se encontraban antes del incidente de seguridad de la
información)
b) la restauración a partir de la información que no ha
sido comprometida por el incidente de seguridad de la
información
c) el cierre del incidente de seguridad de la información
NW3.3.7
Control: Después de la recuperación del incidente de
seguridad de la información relacionada con la red se
debe:
a) investigar la causa y el efecto del incidente de
seguridad y las correspondientes medidas de
recuperación
b) realizar la investigación forense si es necesario
c) revisar los controles de seguridad para determinar si
son adecuados
d) se deben emprender las acciones correctivas para
reducir al mínimo la probabilidad de ocurrencia de
incidentes similares
e) se deben documentar los detalles de los incidentes de
seguridad de la información en un informe posterior al
incidente
NW3.4
NW3.4.1
Seguridad fisica
Control: Se debe restringir el acceso físico a las áreas
críticas de la red sólo a personas autorizadas. El
personal externo (por ejemplo, consultores, contratistas,
ingenieros) debe ser supervisado cuando tiene acceso a
equipos de comunicaciones
NW3.4.2
Control: Se debe proteger el acceso a las áreas críticas
de la red de:
a) las amenazas naturales (por ejemplo, incendios e
inundaciones)
b) las fallas de suministro de energía (por ejemplo,
mediante el uso de sistemas de alimentación
ininterrumpida (UPS) y baterías)
c) los intrusos (por ejemplo, mediante la instalación de
cerraduras en las puertas y persianas en las ventanas).
NW3.4.3
Control: Los cables de red deben ser protegidos
mediante:
a) su instalación oculta
b) sus conductos blindados
c) inspecciones bloqueadas y puntos de terminación
d) el enrutamiento
e) evitar las rutas a través de zonas de acceso público
Página 187 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
NW3.4.4
NW3.5
NW3.5.1
Control: Los puntos de acceso a la red deben ser
protegidos mediante:
a) la ubicación en entornos seguros
b) la desactivación en el dispositivo de red hasta que se
requiera
Copias de respaldo
Control: Las copias de respaldo de la información y el
software importante se deben realizar con la frecuencia
necesaria para satisfacer los requerimientos del negocio
NW3.5.2
Control: Las copias de respaldo deben ser:
a) realizadas utilizando un software de administración de
copias para reforzar la seguridad de la información
b) cifradadas para proteger la información importante
c) grabados en un registro (o equivalente), que incluye
detalles acerca de los datos contenidos en la copia de
seguridad, la fecha y hora, y el medio utilizado
d) verificadas para comprobar su restauración exitosa
NW3.5.3
Control: Los acuerdos para las copias de seguridad
deben permitir que la red sea restaurada dentro de los
plazos críticos
NW3.5.4
Control: Las copias de respaldo deben ser protegidas
contra pérdida, daño y acceso no autorizado mediante:
a) su almacenamiento en sitios seguros a prueba de
fuego
b) la disposición de copias alternas fuera de las
instalaciones
c) la restricción de acceso a personas autorizadas
NW3.6
NW3.6.1
NW3.6.2
Continuidad del servicio
Control: Se debe verificar si la continuidad de los
servicios de red se incluye en los planes de contingencia
de TI y en los pñanes de continuidad del negocio
relacionados con las actividades apoyadas por los
servicios de red
Control: Se deben adoptar medidas para asegurar la
prestación continua de los servicios críticos de la red en
caso de una prolongada
falta de disponibilidad de:
a) el centro de operaciones de la red (s)
b) los equipos de red críticos
c) los enlaces de red en las instalaciones de la empresa
d) el software de comunicaciones, los datos de control y
la documentación
e) el personal de la red
f) los edificios, salas de equipo, energía y otros servicios
vitales
Página 188 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
NW3.6.3
Control: Los acuerdos de continuidad del servicio deben
ser:
a) documentados
b) revisados por los representantes de los usuarios
c) aprobados por el propietario de la red
d) sujetos a un proceso de gestión del cambio
e) probados periódicamente utilizando simulaciones
realistas, y con la participación de personal de la red
f) actualizados después de cambios importantes
NW3.6.4
Control: Los generadores de copias de respaldo deben:
a) estar disponibles para manejar una interrupción
prolongada de energía en los equipos de
comunicaciones críticas
b) ser probados periódicamente
NW3.7
NW3.7.1
Mantenimiento remoto
Control: El acceso a la red de personas externas para
fines de mantenimiento remoto debe ser administrado de
manera que incluya:
a) definir y acordar los objetivos y el alcance de trabajo
previsto
b) autorizar sesiones individuales
c) restringir los derechos de acceso al mínimo necesario
de acuerdo con los objetivos y el alcance del trabajo
planeado
d) registrar todas las actividades realizadas
e) revocar los derechos de acceso y el cambio de
contraseñas inmediatamente después de completar las
tareas de mantenimiento
f) desarrollar una revisión independiente de las
actividades de mantenimiento remoto
NW3.7.2
Control: Se deben proteger los puertos de diagnostico
de la red implementando controles de acceso
NW4
Administración de
la seguridad local
NW4.1
NW4.1.1
Coordinación
Control: El propietario de la red debe tener la
responsabilidad general de la seguridad de la
información en relación con la red.
Se debe nombrar uno más coordinadores locales de
seguridad de la información, quienes son responsables
de coordinar los acuerdos de seguridad de la información
para la red y actuar como un único punto de contacto en
asuntos sobre seguridad de la información
Página 189 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
NW4.1.2
Control: Los coordinadores locales de seguridad deben
tener:
a) una buena comprensión de los roles y
responsabilidades de la seguridad de la información
b) suficientes conocimientos técnicos, el tiempo, las
herramientas y la autoridad para llevar a cabo su rol
asignado
c) acceso a expertos internos o externos en seguridad de
la información
d) procedimientos y normas documentadas para apoyar
las actividades diarias de seguridad
e) información actualizada relacionada con seguridad de
la información
f) un canal de comunicación con la función de seguridad
de la información
NW4.1.3
Control: El coordinador local de la seguridad de la
información debe reunirse periódicamente con el
propietario de la red para examinar la situación de
seguridad de la información y acordar las actividades de
seguridad a ser desarrolladas
NW4.2
NW4.2.1
Conciencia de seguridad
Control: Se debe establecer una política de seguridad
de la información para la red. El personal de la red debe
ser consciente y cumplir con la política de seguridad de
la información.
NW4.2.2
Control: El personal de la red debe:
a) participar en un programa de sensibilización de
seguridad
b) estar capacitado y entrenado en seguridad de la
información
c) ser dotado con material de sensibilización en
seguridad
NW4.2.3
Control: El personal de la red debe ser conciente de:
a) el significado de la seguridad de la información
b) la necesidad de la seguridad de la información para
proteger la red
c) la importancia de cumplir con las políticas de
seguridad de la información y la aplicación de las
correspondientes normas y procedimientos
d) sus responsabilidades con relación a la seguridad de
la información
Página 190 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
NW4.2.4
Control: El personal de la red debe ser consciente de
que está prohibido:
a) el uso no autorizado de cualquier parte de la red
b) el uso de la red para fines que no están relacionados
con el trabajo
c) hacer declaraciones sexuales, racistas que pueden
ser ofensivos (por ejemplo, al utilizar el correo
electrónico, mensajería instantánea, la
Internet o el teléfono)
d) hacer declaraciones obscenas, discriminatorias, o de
acoso
e) la descarga de material ilegal
f) la utilización no autorizada de los componentes de la
red (por ejemplo, utilizando software de terceros no
autorizados o módems)
g) la copia no autorizada de información o software
h) la revelación de información confidencial a personas
no autorizadas
i) comprometer las contraseñas
j) utilizar la información de identificación personal a
menos que sea explícitamente autorizada
k) la manipulación de evidencia en el caso de incidentes
de seguridad de la información que puedan requerir la
investigación forense
NW4.2.5
Control: El personal de la red debe estar advertido de
los peligros de ser escuchados cuando se discute sobre
la información del negocio por teléfono o en lugares
públicos
NW4.3
NW4.3.1
NW4.3.2
NW4.3.3
Clasificación de información
Control: La información transmitida sobre la red debe
ser objeto de un método de clasificación de la
información
Control: El método de clasificación de la información
debe:
a) tener en cuenta el impacto potencial para la empresa
de la pérdida de confidencialidad de la información
b) ser utilizado para determinar distintos niveles de
confidencialidad de la información
Control: El método de clasificación de la información
debe ser usado para clasificar:
a) la información almacenada en papel (por ejemplo,
contratos, planos y documentación del sistema,
celebrada en forma impresa)
b) la información transmitida a través de la red (por
ejemplo, las transacciones comerciales, financieras, el
diseño de productos detalles de clientes y archivos)
c) la comunicación electrónica (por ejemplo, correo
electrónico y mensajería instantánea)
Página 191 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
NW4.3.4
Control: Las clasificaciones de la información asociadas
con la red deben:
a) aprobados por un representante del negocio
b) revisadas periódicamente y cuando se realizan
cambios a la red
NW4.3.5
Control: Los detalles de clasificación de la información
asociadas con la red deben ser registrados en:
a) un inventario, o equivalente (por ejemplo, una base de
datos, software especializado, o en papel)
b) acuerdos con los proveedores de servicios (por
ejemplo, acuerdos de nivel de servicio).
NW4.3.6
Control: Los detalles de la clasificación de información
deben incluir:
a) la clasificación de la información (por ejemplo,
altamente secreta, en confianza y pública)
b) la identidad del propietario de la información
c) una breve descripción de la información clasificada
NW4.4
Análisis de riesgos de
información
NW4.4.1
Control: La red debe estar sujeta a un análisis de
riesgos de información desarrollado según las normas y
procedimientos para análisis de riesgos de la empresa y
utilizando una metodología de análisis de riesgos
NW4.4.2
Control: El análisis de riesgos de información debe
tomar en consideración las aplicaciones críticas de
negocio soportadas por la red y los acuerdos de nivel de
servicio asociados
NW4.4.3
Control: El análisis de riesgos debe involucrar:
a) los propietarios de las aplicaciones críticas de negocio
soportadas en la red
b) el propietario de la red
c) los especialistas de la red
d) los principales representantes de los usuarios
e) un experto en análisis de riesgos
f) un especialista en seguridad de la información
NW4.4.4
Control: El análisis de riesgos debe determinar los
riesgos evaluando:
a) el nivel del impacto potencial de las amenazas
asociadas con la red
b) las amenazas accidentales y deliberadas a la
confidencialidad, integridad y disponibilidad de la
información
c) las vulnerabilidades debidas a deficiencias de control
d) las vulnerabilidades debidas a las circunstancias que
aumentan la probabilidad de ocurrencia de un grave
incidente de seguridad de la información
Página 192 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
NW4.4.5
Control: El análisis de riesgos de seguridad de la
información debe tener en cuenta:
a) el cumplimiento de requisitos
b) los objetivos de la organización
c) los requisitos de clasificación de la información
d) el análisis de riesgos realizado en las instalación de
computación a ser evaluados
e) las características del entorno operativo de la
aplicación y las instalaciones de computación y de la red
a ser evaluadas
NW4.4.6
Control: Se deben documentar los resultados del
análisis de riesgos de información e incluir:
a) una clara identificación de los principales riesgos
b) una evaluación del impacto potencial para la empresa
de cada riesgo
c) las recomendaciones para las acciones requeridas
para reducir los riesgos a un nivel aceptable.
NW4.4.7
Control: El análisis de riesgos de información debe ser
utilizado para ayudar:
a) a seleccionar los controles de seguridad la
información que reduzcan la probabilidad de ocurrencia
de graves incidentes de seguridad de la información
b) a seleccionar los controles de seguridad de la
información que satisfagan los requisitos de
cumplimiento
c) a determinar los costos de la aplicación de controles
de seguridad
d) a evaluar las fortalezas y debilidades de los controles
de seguridad
e) a identificar los controles de seguridad especializados
requeridos por la red
NW4.4.8
Control: Los resultados del análisis de riesgos de
información deberían ser:
a) comunicados al dueño de la red y a la dirección
b) aprobados por un representante del negocio
NW4.4.9
Control: El análisis de riesgos de Información de la red
debe realizarse periódicamente y antes de introducir
cambios importantes en la red
NW4.5
NW4.5.1
NW4.5.2
Revisiones de auditoria de
seguridad
Control: Las auditorias y revisiones de seguridad de la
red deben ser independientes y realizarse
periódicamente
Control: Las auditorias y revisiones de seguridad de la
red deben:
a) evaluar los riesgos de negocio asociados con la red
b) considerar los requisitos de seguridad de la
información de las aplicaciones de negocios soportados
por la red
Página 193 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
NW4.5.3
Control: Las auditorias y revisiones de seguridad de la
red deben evaluar la situación de los acuerdos de
seguridad de la información en áreas claves (por
ejemplo, la gestión de la red, gestión del tráfico,
operaciones de red y gestión de la seguridad local)
NW4.5.4
Control: Las revisiones y auditorias de seguridad deben
ser:
a) acordadas con el propietario de la red
b) definidas en su alcance y documentadas
c) realizadas por personas competentes y con las el
suficiente conocimiento y habilidades técnicas en
seguridad de la información
d) llevadas a cabo con frecuencia y en profundidad (en
términos de alcance y magnitud) para garantizar que los
controles de seguridad
funcionan según lo dispuesto
e) centradas en garantizar que los controles son lo
suficientemente efectivos para reducir los riesgos a
niveles aceptables
f) complementados por el uso de herramientas
automatizadas de software
g) validados por las personas competentes
h) complementada por revisiones realizados por terceros
independientes
NW4.5.5
Control: Las auditorias y revisiones de seguridad deben
ser administradas para:
a)acordar con el dueño de la red los requisitos
especiales para las pruebas o rutinas de procesamiento
especial
b) restringir el acceso a la red para el equipo de auditoria
c) hacer seguimiento y registro de las actividades del
equipo de auditoria
d) la eliminación de la información copiada para
propósitos de la auditoria tan pronto como ya no sea
necesario
e) la protección de las herramientas de software
utilizadas en la ejecución de las auditorias
f) la protección de documentos y archivos del sistema
relacionados con la auditoria
NW4.5.6
Control: Las recomendaciones resultantes de las
revisiones y auditorias de seguridad de la red deben ser
acordadas con el propietario de la red e informadas a la
dirección
NW5
Redes de voz
NW5.1
Documentación de las redes de
voz
Página 194 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
NW5.1.1
Control: Se deben establecer normas y procedimientos
para las redes de voz que cubran:
a) el uso de los teléfonos de la empresa
b) los movimientos y cambios de los teléfonos de los
usuarios
c) registro y autenticación de usuarios con acceso al
buzón de voz
d) manejo de llamadas telefónicas amenazantes y
abusivas
e) protección del sistema de correo de voz contra el
acceso no autorizado
NW5.1.2
Control: La configuración y ajustes para el intercambio
de teléfonos internos deben ser soportados por
documentación exacta y completa
NW5.1.3
Control: Teléfonos de cable e inalámbricos deben estar
documentados en un inventario actualizado
NW5.2
NW5.2.1
Resiliencia de las redes de voz
Control: El intercambio telefónico debe tener:
a) suficiente capacidad para hacer frente a picos de
trabajo
b) las capacidades de expansión y actualización para
hacer frente a la demanda proyectada
c) las fuentes de alimentación alternativas, como las
baterías para hacer frente a las breves cortes de energía
d) un mecanismo de control y de seguimiento capaz de
proporcionar informes sobre estadísticas de uso y el
tráfico
NW5.2.2
Control: El intercambio telefónico debe ser protegido
para:
a) duplicación de los procesadores y tarjetas de función
b) bypass de emergencia, a fin de que puedan regresar a
las llamadas directas
c) duplicar grupos de intercambio de líneas
el acceso a intercambios principales alternos operados
por los proveedores de servicios
f) una fuente de poder capaz de hacer frente a fallas
prolongadas del suministro eléctrico
NW5.2.3
Control: Se debe asegurar en los contratos de
mantenimiento la reparación oportuna para los switches
telefónicos, consolas de operador y los teléfonos de
cableado e inalámbricos
NW5.2.4
Control: Los switches críticos y las consolas de
operador debe ser alojados en ambientes físicamente
seguros
NW5.2.5
Control: El cableado telefónico e inalámbrico debe ser
etiquetado y protegido de daño accidental o
interceptación
Página 195 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
NW5.2.6
NW5.3
NW5.3.1
Control: Se deben llevar a cabo revisiones para
garantizar que la continuidad de las comunicaciones de
voz esté contempladas en:
a) Los planes de contingencia de TI y los acuerdos
relacionados con las instalaciones de TI accesibles por la
red
b) los planes de continuidad del negocio y los acuerdos
asociados con las actividades de negocio apoyadas por
la red
Controles para las redes de voz
Control: El acceso a las consolas de operador
asociados con los switches debe ser restringido
mediante el uso de contraseñas las cuales deben ser:
a) cambiados en la instalación, para garantizar que las
contraseñas por defecto establecidas por el proveedor
no pueden ser explotadas por
personas no autorizadas
b) aplicados a los puertos de acceso utilizado para el
diagnóstico remoto
NW5.3.2
Control: Los cambios a la configuración de los switches
telefónicos deben ser realizadas por personas
autorizadas
NW5.3.3
Control: Los patrones de uso del teléfono deben ser
monitoreados para determinar lo adecuado de la
capacidad de la central telefónica y los requisitos de
personal para evitar sobrecargas del operador
NW5.3.4
Control: Las facturas para las redes de voz facturas
deben ser inspeccionadas para identificar patrones
inusuales de uso lo que puede indicar fraude
comportamiento impropio
NW5.4
NW5.4.1
Redes de voz sobre IP
Control: Se deben establecer y documentar normas y
procedimientos para las redes de VoIP, que:
a) cubran los controles generales de la red para VoIP
b) Incluyan controles específicos para VoIP (por
ejemplo, la separación de tráfico de voz utilizando redes
virtuales de área local (LAN), el aseguramiento de
dispositivos de VoIP, tales como teléfonos IP, IP PBX y
routers, redes de exploración de vulnerabilidades de
VoIP, encriptación
sensibles del tráfico de VoIP, VoIP y monitoreo a
registros de eventos de VoIP
c) prohíban el uso no autorizado de la tecnología VoIP
(por ejemplo, las conexiones no autorizadas a los
servicios de VoIP externos, tales
como Skype, utilizando un software telefónico)
Página 196 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
NW5.4.2
Control: Los controles generales para la seguridad de
VoIP deben incluir:
a) el monitoreo del ancho de banda utilizando
herramientas que son capaces de reconocer el tráfico de
VoIP
b) instalar los componentes de la red para proporcionar
resistencia y redundancia
c) implementar firewalls que pueden filtrar el tráfico de
VoIP
d) restringir el acceso a la red VoIP a dispositivos
autorizados
NW5.4.3
Control: Los controles específicos de VoIP deben incluir:
a) la separación de tráfico de voz utilizando redes
virtuales de área local (VLAN)
b) el aseguramiento de los dispositivos de VoIP (por
ejemplo, teléfonos IP, IP PBX y routers)
c) la exploración de vulnerabilidades de redes VoIP
d) la encriptación de tráfico VoIP sensitivo
e) el monitoreo de los registros de eventos de VoIP
Tabla 17: Controles de seguridad recomendados para las entidades del Grupo 3.
Página 197 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
6.6. Metodología de Clasificación y Control de Activos.
La consultoría elaboró el documento Metodología de Clasificación de Activos, ver documento “Entregable 3
- Anexo 1: Metodología de Clasificación de Activos”, el cual puede ser adoptado por las entidades
proveedoras de servicios para la Estrategia de Gobierno en Línea.
6.7. Enfoque para la Gestión del Riesgo.
La gestión del riesgo es un proceso fundamental en todo el ciclo de gestión de la seguridad de la
información. Las entidades del estado, mediante la implantación del sistema integrado de gestión y control
han logrado mejorar el proceso. Por lo tanto, cada entidad puede aplicar la metodología que tiene
establecida. La consultoría sin embargo, elaboró una Metodología de Gestión de Riesgos propuesta, ver
documento “Entregable 4 - Anexo 2: Metodología de Gestión del riesgo”, el cual puede ser utilizado por las
entidades que lo requieran.
6.8. Recomendaciones Generales para la Gestión de Continuidad del Negocio.
Asegurar la continuidad de los servicios de Gobierno en Línea es un requerimiento del presente Modelo de
seguridad SGSI, por lo tanto, la consultoría elaboró una Guía para la Gestión de Continuidad del Negocio,
ver documento “Entregable 4 - Anexo 3: recomendaciones generales continuidad negocio para las
entidades del estado”. Adicionalmente, el ICONTEC generó la guía técnica GTC 176, Sistema de Gestión
de Continuidad del Negocio, para establecer, implementar, operar, hacer seguimiento, revisar, mantener y
mejorar, un sistema de gestión de la continuidad del negocio (SGCN). Estas guías se constituyen en apoyo
y consejo para asegurar la continuidad de los servicios y trámites de Gobierno en Línea en las entidades
públicas y privadas.
6.9. Definición del Sistema de Gestión Documental
Para orientar a las entidades en la implementación de la gestión documental para el Modelo de seguridad
de la información SGSI, se elaboró el siguiente cuadro resumen, basado en los requisitos de
documentación de la Norma Técnica Colombiana NTC-ISO/IEC 27001 y de la Norma Técnica de Calidad
para la Gestión Pública NTCGP 1000:2004:
Página 198 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
CONTENIDO DEL SGSI
La documentación del Modelo SGSI debe incluir:
•
El alcance del SGSI
•
La declaración documentada de la política y objetivos del SGSI
•
Los procedimientos y controles que apoyan el SGSI
•
La descripción de la metodología de evaluación de riesgos
•
El informe de evaluación de riesgos resultante de aplicar la metodología de evaluación de riesgos a
los activos de información de los servicios de Gobierno en Línea
•
El plan de tratamiento de riesgos
•
Los registros del SGSI (tener en cuenta el requisito 4.2.4 de la norma NTCGP 1000:2004)
•
La declaración de aplicabilidad (SOA) que contiene los objetivos de control y los controles
contemplados por el SGSI, basado en los resultados de los procesos de evaluación y tratamiento
de riesgos, justificando inclusiones y exclusiones.
CONTROL DE DOCUMENTOS
Se debe establecer un procedimiento que defina las acciones de gestión necesarias para:
•
Aprobar los documentos antes de su publicación.
•
Revisar y actualizar los documentos cuando sea necesario y aprobarlos nuevamente.
•
Asegurar que se identifican los cambios y el estado de revisión actual de los documentos.
•
Asegurar que las versiones más recientes de los documentos pertinentes están disponibles en los
puntos de uso.
Página 199 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
•
Asegurar que los documentos permanecen legibles y fácilmente identificables.
•
Asegurar que los documentos estén disponibles para quienes los necesiten y que se apliquen los
procedimientos pertinentes de acuerdo con su clasificación, para su transferencia, almacenamiento
y disposición final.
•
Asegurar que los documentos de origen externo estén identificados.
•
Asegurar que la distribución de documentos esté controlada.
•
Prevenir el uso no intencionado de documentos obsoletos y aplicarles una identificación adecuada
en el caso de que se mantengan por cualquier razón.
•
Identificar e implementar las disposiciones legales aplicables sobre el control de documentos (Ley
594 de 2000).
CONTROL DE REGISTROS
Se deben controlar los registros de acuerdo con los siguientes requisitos:
•
Los registros deben establecerse y mantenerse para proporcionar evidencia de la conformidad con
los requisitos así como de la operación eficaz, eficiente y efectiva del SGSI
•
Los registros deben permanecer legibles, fácilmente identificables y recuperables.
•
Se debe establecer un procedimiento documentado para la identificación, almacenamiento,
protección, recuperación, tiempo de retención y disposición de los registros acorde con las
disposiciones legales vigentes sobre la materia, por ejemplo, la Ley 594 de 2000.
•
Se deben llevar registros del desempeño de los procesos, y de todos los casos de incidentes de
seguridad significativos relacionados con el SGSI.
Página 200 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
6.10. Recomendaciones para la Implementación del Modelo de Seguridad de la
Información
Para una efectiva implementación del modelo de seguridad de la información para la Estrategia de
Gobierno en Línea, se recomienda tener en cuenta los siguientes factores críticos de éxito que plantea la
norma ISO27002, los cuales son aplicables para este contexto y se presentan a continuación:
6.10.1.
Apoyo por parte de la Alta Dirección
La Alta Dirección de la entidad es quién debe liderar el proceso de implantación y mejora continua del SGSI
en cada entidad. Teniendo en cuenta que los riesgos que se intentan minimizar mediante un SGSI son, en
primera instancia, riesgos para el negocio, es la Alta Dirección quien debe tomar decisiones sobre estos y
su tratamiento o aceptación. Además, la implantación del modelo SGSI implicará cambios de mentalidad,
de sensibilización, de procedimientos y planes de acción a corto, mediano y largo plazo. La Alta Dirección
es la única responsable de apoyar y facilitar la implementación, gestión y mejora del Modelo SGSI en la
entidad.
Sin el apoyo decidido de la Alta Dirección, no es posible la implantación exitosa del Modelo de Seguridad
de la Información para la Estrategia de Gobierno en Línea en la entidad.
6.10.2.
Compromiso de la Alta Dirección
La Alta Dirección de cada entidad debe comprometerse con el establecimiento, implementación,
operación, monitoreo, revisión, mantenimiento y mejora del modelo SGSI propuesto. Para ello, debe tomar
las siguientes iniciativas:
•
Establecer y apoyar la política de seguridad de la información.
•
Asegurarse de que se establecen objetivos y planes del SGSI en su entidad.
•
Establecer roles y responsabilidades de seguridad de la información.
•
Comunicar a la organización tanto la importancia de lograr los objetivos de seguridad de la
información y de cumplir con la política de seguridad, como sus responsabilidades legales,
contractuales y la necesidad de mejora continua.
•
Asignar suficientes recursos al Modelo SGSI en todas sus fases.
•
Decidir los criterios de aceptación de riesgos y sus correspondientes niveles.
Página 201 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
•
Asegurar que se realizan auditorias internas (seguimiento) y externas (autoridades de vigilancia y
control).
•
Realizar revisiones periódicas al Modelo SGSI.
•
Asignación de recursos: Para el correcto desarrollo de todas las actividades relacionadas con
el Modelo SGSI, es imprescindible la asignación de recursos. Es responsabilidad de la alta
dirección garantizar que se asignan los suficientes para:
6.10.3.
o
Establecer, implementar, operar, monitorear, revisar, mantener y mejorar el Modelo SGSI.
o
Garantizar que los procedimientos de seguridad de la información apoyan los requerimientos
de seguridad para la Estrategia de Gobierno en Línea.
o
Identificar y tratar todos los requerimientos legales y normativos, así como las obligaciones
contractuales de seguridad.
o
Aplicar correctamente todos los controles implementados, manteniendo de esa forma la
seguridad adecuada.
o
Realizar revisiones cuando sea necesario y actuar adecuadamente según los resultados de
las mismas.
o
Mejorar la eficacia del SGSI donde sea necesario.
Formación y sensibilización
La formación y la sensibilización en seguridad de la información son elementos básicos para el
éxito del Modelo SGSI para la Estrategia de Gobierno en Línea. Por ello, la alta dirección de cada
entidad deberá asegurar que todo el personal de su organización, al que se le asignen
responsabilidades definidas en el Modelo SGSI, esté suficientemente capacitado y culturizado. Se deberá:
•
Determinar las competencias necesarias para el personal que realiza tareas en la implementación
del Modelo SGSI.
•
Satisfacer dichas necesidades por medio de formación o de otras acciones como, p. ej.,
contratación de personal ya capacitado.
•
Evaluar la eficacia de las acciones realizadas.
•
Mantener registros de estudios, formación, habilidades, experiencia y calificación. Además, la alta
dirección debe asegurar que todo el personal relevante esté sensibilizado de la importancia de
Página 202 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
sus actividades para la seguridad de la información y de cómo contribuye a la consecución de
los objetivos del Modelo SGSI y por ende, a los de la organización.
6.10.4.
Revisión (Auditorias) del SGSI
A la alta dirección de la organización se le asigna también la tarea de, al menos una vez al año, revisar el
Modelo SGSI, para asegurar que continúe siendo adecuado y eficaz y demuestre evolución. Para ello, debe
recibir una serie de informaciones, que le ayuden a tomar decisiones, entre las que se pueden enumerar:
•
Resultados de auditorias y revisiones del Modelo SGSI.
•
Observaciones de las partes interesadas.
•
Técnicas, productos o procedimientos que pudieran ser útiles para mejorar el rendimiento y eficacia
del SGSI.
•
Información sobre el estado de acciones preventivas y correctivas.
•
Vulnerabilidades o amenazas que no fueran tratadas adecuadamente en evaluaciones de riesgos
anteriores.
•
Resultados de las mediciones de eficacia / métricas de seguridad.
•
Estado de las acciones iniciadas a raíz de revisiones anteriores de la alta dirección.
•
Cualquier cambio que pueda afectar al SGSI.
•
Recomendaciones de mejora.
Basándose en toda esta información, la alta dirección debe revisar el cumplimiento actual del Modelo
SGSI y tomar decisiones y acciones relativas a:
•
Mejora de la eficacia del SGSI –mejora de la madurez de los controles.
•
Actualización de la evaluación de riesgos y del plan de tratamiento de riesgos.
•
Modificación de los procedimientos y controles que afecten a la seguridad de la información, en
respuesta a cambios internos o externos en los requisitos normativos, requerimientos de seguridad,
procesos de negocio, marco legal, obligaciones contractuales, niveles de riesgo y criterios de
aceptación de riesgos.
Página 203 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
•
Necesidades de recursos, implementación de controles recomendados.
•
Apoyar la implementación del plan de acción.
•
Disponer de políticas, objetivos y actividades de seguridad que reflejen la función misional de las
entidades.
•
Disponer de un enfoque y un marco de trabajo para implementar, mantener, monitorear y mejorar
la seguridad de la información, que sean consistentes con la cultura de la organización. Apoyarse
en el software de auto-evaluación para identificar aspectos por mejorar.
•
Asegurar soporte y compromiso visibles en toda la organización.
•
Asegurar un buen entendimiento de los requisitos de seguridad de la información apoyándose en
metodologías para gestión de riesgos. Las entidades del estado disponen de la Guía de
Administración de Riesgos del DAFP. Existe la norma técnica NTC 5244 Gestión del riesgo.
Adicionalmente, la presente consultoría pone a disposición el documento: “Entregable 4, Anexo 2:
Metodología de gestión del riesgo”. En el documento “Diagnóstico de la Situación Actual” se
identifican otros documentos que se relacionan con la gestión de riesgos.
•
Realizar un mercadeo eficaz de la seguridad de la información para todos los directores, empleados
y otras partes para lograr la sensibilización adecuada.
•
Distribuir guías sobre la política y las normas de seguridad de la información para todos los
directores, empleados y otras partes.
•
Obtener provisión de fondos para las actividades de gestión de seguridad de la información.
•
Mantener programas continuos y adecuados de formación, educación y sensibilización. Apoyarse en
el material de capacitación y sensibilización entregado por la presente consultoría (ver documento
“Capacitación y sensibilización para el Modelo de Seguridad”.
•
Establecer un proceso eficaz para la gestión de incidentes de seguridad de la información. Se
dispone de la guía técnica GTC 169 Gestión de Incidentes de Seguridad de la Información. Así
mismo, apoyarse en el CSIRT para una efectiva respuesta a incidentes (ver documento “Diseño de
un CSIRT Colombiano”).
•
Implementar un sistema de medición para evaluar el desempeño en la gestión de seguridad de la
información y retroalimentar sugerencias para la mejora. Apoyarse en el software de autoevaluación, así como en guías internacionales tales como el documento NIST SP 800-55
Performance Measuring Guide For Information Security.
Por otra parte, la implementación de la seguridad de la información en los servicios de Gobierno en
Línea requiere que se contemplen los requisitos de seguridad desde la fase de inicio de la concepción
Página 204 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
del servicio. Se recomienda tener en cuenta los siguientes pasos, adoptados del documento eGovernment Strategy Framework Policy and Guidelines19:
•
Desarrollo del concepto del servicio. Se identifican los elementos claves del servicio y cómo se
va a prestar el servicio. Se identifican los dominios de seguridad que intervienen en la prestación
del servicio (dominio del cliente, dominio de los servicio de Gobierno en Línea, dominio del
prestador de servicios de Internet, etc.). Se identifican los requisitos de seguridad para el servicio
basado en un análisis y evaluación de riesgos. Se evalúa si el concepto de servicio es posible desde
la perspectiva de seguridad. Se considera qué tan bien trabajará el servicio con otros servicios de
Gobierno en Línea.
•
Especificación de los requisitos del servicio y revisión del cumplimiento. La revisión
detallada de los requisitos de seguridad se realiza paralelamente con el desarrollo y revisión de las
especificaciones del servicio. Esta fase incluye un examen detallado de la información y la
prestación de servicios activos, y un análisis de las amenazas y las vulnerabilidades. Los niveles de
riesgo se determinan mediante la evaluación del impacto de amenazas tales como: la apropiación
indebida de identidad del mundo real20; la apropiación indebida de identidad electrónica21 o
credenciales de acceso; el incumplimiento de los compromisos contraídos; la divulgación de
información privada; las fallas accidentales del servicio y / o de infraestructura; un ataque
electrónico malicioso o involuntario. Se deben incluir requisitos para la retención y almacenamiento
seguro de la información y cumplimiento de reglamentación vigente.
•
Diseño, implementación y pruebas del servicio. El diseño, la implementación y prueba de los
requisitos de seguridad se realiza paralelamente al diseño, implementación y prueba del servicio. El
diseño de la seguridad debe tener en cuenta la mitigación de riesgos seleccionando los controles
más apropiados, limitando la arquitectura de manera que cubra sólo los servicios requeridos, se
evalúe el riesgo residual y se consideren más controles hasta que el riesgo residual sea aceptable.
La implementación del servicio incluye: el desarrollo y configuración de las medidas de seguridad, el
establecimiento de los procesos de seguridad para el funcionamiento y la gestión del servicio
incluyendo la auditoria y rendición de cuentas, el desarrollo y aprobación de la documentación de
seguridad, la elaboración y aprobación de las guías para el manejo de la información asociada con
el servicio específico, el desarrollo de declaraciones de seguridad y consejo para los clientes del
19 http://www.govtalk.gov.uk/policydocs/policydocs_document.asp?docnum=649 último acceso 08/12/05
20 Identidad del mundo real: conjunto de atributos (nombre, fecha de nacimiento, cedula de ciudadanía) que permite identificación única entre usuarios.
21 Identidad electrónica: conjunto de atributos (nombre de usuario, identificador de certificado digital) que identifica a un único usuario en un sistema de
computador.
Página 205 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
servicio. Las pruebas de seguridad incluyen la comprobación de que la configuración del sistema es
compatible con la política de seguridad.
•
Aceptación del servicio. Paralelo a la aceptación del servicio se realiza una acreditación de
seguridad.
•
Prestación del servicio. Se debe garantizar la fiabilidad y disponibilidad del servicio en el
mantenimiento rutinario del software. Se deben realizar auditorias periódicas para evaluar la
efectividad de los controles e implementar las mejoras solicitadas. Se debe garantizar que se tenga
en cuenta la seguridad en los cambios incrementales en el servicio.
•
Cierre del servicio. Se debe asegurar que los activos de información se transfieren a un nuevo
servicio o se destruyen o se almacenan de forma segura de conformidad con las políticas
específicas del servicio.
Página 206 de 207
INFORME FINAL – MODELO DE SEGURIDAD DE LA
INFORMACIÓN – SISTEMA SANSI - SGSI
MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA
ESTRATEGIA DE GOBIERNO EN LÍNEA
7. ANEXOS
Página 207 de 207
Descargar