Red – Gob


Consideraciones Técnicas SSI

OBJETIVO GENERAL

El objetivo de esta Guía es presentar de manera simple los principales aspectos a considerar respecto del Decreto que regula al PMG-SSI para un mejor cumplimiento de los objetivos de gestión comprometidos por su institución.

 

PRINCIPALES CONSIDERACIONES TÉCNICA RESPECTO DEL INDICADOR SSI 2017

El Indicado SSI para el año 2017 presenta sutiles cambios, pero que impactan en aspectos relevantes como por ejemplo el universo de controles a considerar en el numerador o sobre qué procesos institucionales deben enfocarse los esfuerzos tanto de recursos humanos como financieros. En este sentido se expresan en este capítulo los aspectos más relevantes que formarán parte del discurso de la Red SSI de cara a las asistencias técnicas y el hito de validación opcional a mediados de año.

a.- Alcance temporal del indicador

El indicador SSI para el año 2017 considera como expresión global la siguiente definición: “Porcentaje de controles de seguridad implementados respecto del total definido en la norma Nch-ISO-27001, al año t”, dentro de la cual se establece alcance temporal para el cálculo de sus parámetros la expresión, “al año t”. Esto quiere decir que las instituciones deberán considerar dentro de su alcance los controles implementados en el año 2017 y anteriores.

b.- Control implementado

En relación al aspecto de temporalidad de los controles se ha de destacar que si bien es importante considerar todos los controles implementados hasta el presente, a la hora de considerarlos como efectivamente cumplidos para efectos de sumar al numerador de la fórmula de cálculo, deberán verificar que al menos se cumplan con que:

El control está debidamente documentado y vigente, desde el año de su creación, o revalidado según sus propios ciclos de revisión, es decir, cuenta con las respectivas formalidades de un documento institucional y de ser necesario según sus propias especificaciones de revisión (frecuencia de revisión o actualización) se encuentra re-validado por los responsables atingentes.

El control se encuentra adecuadamente difundido en el año 2017, es decir, se encuentra publicado en la intranet para las comunidades pertinentes o se ha instruido a los actores principales o se ha sensibilizado sobre el mismo a la comunidad interna en general.

El control cuenta con registros de control generados en tiempo y frecuencias especificados por el mismo, durante el año 2017.

 

c.- Qué controles suman al numerador

Al numerador sumarán todos los controles que se consideren están totalmente implementados, siendo fundamental los aspectos de vigencia y registros de control en el año presente.

En este sentido suman controles siempre y cuando:

- Estén totalmente cumplidos, es decir, se encuentran documentados (independiente del año de generación de la documentación, pero debidamente vigente), difundidos con la frecuencia necesaria para mantener informada a la comunidad pertinente, y con registros de control del año en evaluación.

- El control va en directa relación con los riesgos (mapa amenazas, probabilidad e impacto, por ejemplo) que afectan a los procesos estratégicos que sustentan a los objetivos y productos estratégicos del formulario A1.

- Controles de años anteriores, pero que cumplan las dos condiciones anteriores.

 

d.- Procesos relevantes para el SSI

Siempre los recursos humanos y financieros son escasos y debemos utilizarlos de manera eficiente y oportuna, para lograr maximizar la cobertura de nuestros controles a un costo sostenible en el tiempo. Para ello se establece como directriz de priorización de procesos a considerar dentro del alcance de protección de los controles a él o los procesos relevantes considerados en las definiciones estratégicas de la institución, léase, formulario A1. Todos los procesos que presenten apoyo o sustento a los productos y objetivos estratégicos de la institución y que estén consignados en dicho formulario, serán sujetos de aplicación de controles de seguridad de la información. Habiendo la institución logrado de manera progresiva la cobertura SSI de todos estos procesos, podrá continuar con la protección de los demás procesos que hayan quedado fuera de este esfuerzo principal.

Si por alguna razón el control está totalmente cumplido, pero se encuentra cubriendo los riesgos de un proceso no estratégico (como es requerido por el Decreto N°290), NO deberá considerarse en el numerador, y si deberá declararse como no cumplido en la fase de validación final, justificando adecuadamente la situación. Esto no implica que dicho control deba desactivarse o desarticularse, sino más bien, se traduce en un desafío para la institución que debería, de acuerdo al escenario de riesgos y prioridades, considerar extender la cobertura de dicho control a los procesos estratégicos.

 

e.- Instituciones categorizadas como críticas

Las categorías de instituciones críticas y normales se mantienen intactas e iguales a las consideradas el año 2016.

f.- Controles mínimos

El perfil de controles mínimos para las instituciones críticas y normales se mantiene intacto e igual al establecido para el año 2016.

g.- Revisiones en terreno dentro de lo posible

Esta red llevará adelante un esfuerzo adicional por acercarse a las instituciones en terreno, llevando adelante un hito de evaluación especial para aquellas instituciones que estén al alcance geográfico (esfuerzo económico para llegar y tiempos involucrados); esfuerzo que implicará asistir en terreno la evaluación de los medios de verificación proporcionados por la institución de manera de poder incluir una inspección o chequeo operativo de la vigencia y operatividad del control evaluado en las instalaciones mismas de la organización.

Para aquellas donde el esfuerzo de visita en terreno no sea viable, se procederá como en años anteriores, es decir, revisión de medios de verificación en remoto.

 

<<Volver al Home