Red – Gob


Consideraciones Técnicas SSI

OBJETIVO GENERAL

El objetivo de esta Guía es presentar de manera simple los principales aspectos a considerar respecto del Decreto que regula al PMG-SSI para un mejor cumplimiento de los objetivos de gestión comprometidos por su institución.

 

PRINCIPALES CONSIDERACIONES TÉCNICA RESPECTO DEL INDICADOR SSI 2017

 

Requisitos técnicos

El decreto N°290 establece requisitos técnicos para el Sistema de Seguridad de la Información, para este período son cinco los requisitos que se deben considerar para el cumplimiento:

Controles de la NCh-ISO 27.001

Para el tratamiento de riesgos de seguridad de la información, se deben utilizar los controles establecidos en el Anexo Normativo de la Nch-ISO-270011 vigente, ya que constituyen el conjunto de medidas que permiten mitigar los riesgos diagnosticados en el análisis realizado por cada institución.

Riesgo de Seguridad

Un riesgo de seguridad de la información corresponde a una amenaza potencial que podría afectar activos de información, vinculados a los procesos de soporte institucional y/o a los procesos de provisión de Productos Estratégicos (bienes y servicios) establecidos en las definiciones estratégicas institucionales (Formulario A1 del presupuesto2), y por tanto causar daño a la organización.
Los servicios deben determinar cuáles son los riesgos de seguridad que afectan sus productos estratégicos del formulario A1, esto permite priorizar que controles de la Norma deberán ser implementados para mitigar estos riesgos, y cuáles serán considerados en el numerador.
Se sugiere a las instituciones revisar la implementación de los controles de la NCh-ISO 27001:2013 en base a un análisis de riesgo actualizado, para ello se recomienda utilizar el instrumento publicado en DIPRES (actualizado al 2016)3 u otra metodología utilizada por la institución.

Criticidad de los servicios

Los controles a implementar al año 2017, deberán ser revisados y contar con la opinión técnica de la Red de Expertos, atendiendo a los siguientes criterios:
a) Si la Institución pertenece a la infraestructura crítica país.
b) Respuesta a emergencias.
c) Servicios a la ciudadanía.
d) Fiscalizadores.
e) Manejo de grandes volúmenes de datos sensibles.
Dependiendo del grado de criticidad de las instituciones, es que algunas serán consideradas como “críticas” o “normales”. Los controles recomendados por la Red de Expertos son los mínimos que debieran tender a cumplir dependiendo de su grado de criticidad, 29 controles para aquellas instituciones consideradas normales, y 58 controles para las instituciones consideradas críticas4. Además se considerará el perfil de riesgo de cada institución.

Implementación de un Control

Un control de seguridad de la información se sumará al numerador cuando se cumple con la realización del 100% del control a implementar, es decir, está documentado al año “t” y existen registros de su operación en el año “t”, lo cual es posible verificar a través de sus medios de verificación.

¿Qué se entenderá por “documentado al año t”?

Un control de seguridad estará documentado cuando el medio de verificación, cumpla con los siguientes contenidos y formalización. Lo anterior, independiente del año de generación de la documentación, que pudo haber sido en el año 2017, o anteriores.
Contenidos mínimos para una Política

a) Objetivo del documento
b) Alcance o Ámbito de aplicación interno (qué dominios de seguridad se abordan y qué áreas institucionales se ven afectadas). En este párrafo debe incluir específicamente a qué procesos de provisión de bienes o servicios está protegiendo. En caso de no especificar, se entenderá que el alcance son todos los procesos de la institución.
c) Roles y responsabilidades
d) Definición respecto a la(s) materia(s) específica(s) que aborda, esta(s) debe(n) concordar explícitamente con el requisito de control normativo.
e) Un párrafo que establezca periodicidad de evaluación y revisión de la política.
f) Un párrafo que señale explícitamente el o los mecanismos de difusión de la política.

Contenidos mínimos para Procedimientos, Instrucciones de Trabajo, Manuales u otros

a) Control de cambios o Registro de Historial de versiones o modificaciones: Considerar al menos Fecha Modificación,  Motivo, y páginas o secciones del documento original que se ven afectadas.
b) Objetivo del documento
g) Alcance o Ámbito de aplicación interno: En este párrafo debe incluir específicamente a qué procesos de provisión de bienes o servicios está protegiendo, en caso de no especificar se entenderá que el alcance son todos los procesos de la institución.
c) Roles y responsabilidades
d) Definición respecto a la(s) materia(s) específica(s) que aborda. Esta(s) debe(n) concordar explícitamente con el requisito de control normativo correspondiente.
e) Modo de Operación, en forma de texto explicativo y/o mediante diagramas.
f) Apartado que establezca Registros de Control que den cuenta de su operación a través del tiempo.

Formalización de los documentos

Para cada Control Normativo los documentos asociados a medios de verificación de Políticas, Procedimientos, Instructivos, o Registros de Control de Operación deben encontrarse formalizados, ya sea por vía de Formalización Interna o Externa. Para esto se debe tener presente:

a) Formalización Interna, es cuando en el propio documento se efectúa el registro de firmas que lo validan formalmente (esto aplica especialmente para Registros de Control de Operación).
b) Formalización Externa, es efectuada mediante Resolución Administrativa del Jefe de Servicio o mediante Registro de Acta del Comité de Seguridad de la Información, que mencione explícitamente al documento Maestro de Origen.
c) Ambos mecanismos de formalización externa pueden llevarse a cabo, considerando más de un documento Maestro de origen a la vez.
d) En el caso de Política General de Seguridad de la Información, se debe verificar que esté formalizada solo vía Resolución Administrativa del Jefe de Servicio.
e) Revisión y/o Actualización de los documentos: Para aquellos documentos que se encuentren vigentes pero no han sido creados en el año 2017, deberá ser revisado y/o actualizado según la frecuencia indicada en el mismo documento, garantizando su vigencia en el 2017, es decir, no se considera documentado un control cuya fecha de actualización era el 2016, por ejemplo, y si dicha actualización no se hizo en dicho año ni en el 2017. Se entenderá que un acta del Comité de Seguridad de la Información que indique que se revisó el documento y de dicha revisión el Comité concluye que no requiere actualización, es un medio de verificación válido.

¿Qué se entenderá por “registros de operación en el año 2017″?

Los registros de operación deben ser consistentes con lo indicado en el Documento Maestro de Origen, y los registros de operación deben contar con datos en el año 2017. Por ejemplo, si el Procedimiento (documento maestro) indica en su registro de operación la generación de un informe mensual, este último es el registro de control y debe estar fechado el año 2017.

Si por alguna razón el procedimiento no generó registros el año 2017, no podrá ser sumado al numerador, porque estaría documentado al año t, pero sin registros de operación en este periodo.

Además, para las políticas, estas deben ser difundidas y/o comunicadas con la frecuencia indicada en las mismas o en la Política General de Seguridad de la Información, y en el año 2017 para mantener informada a la comunidad pertinente.

Registros de Control que corresponden a una Política: Difusión

La Difusión corresponde a la evidencia de operación de una Política, según lo establecido en el Documento Maestro de Origen. Las acciones mínimas a realizar son:
La difusión debe ser realizada en el año 2017, independiente que la política haya sido difundida en años anteriores.
La difusión realizada debe ser consistente con lo especificado en el respectivo párrafo de difusión del Documento Maestro de Origen, es decir, la misma política.
Registros de Control que corresponden a Procedimientos, Instrucciones de Trabajo, Manuales, u otros
Los registros de operación corresponden a la evidencia de procedimientos, instrucciones de trabajo, manuales, u otros. Y se presentan con los datos completos según la estructura, contenido y forma indicados en el documento maestro de origen. Las acciones mínimas a realizar son:
Deben existir registros de operación en el año 2017, independiente que existan -o no- registros en años anteriores.
En el caso de los medios de verificación o de los registros de operación de los controles (logs, fotografías, pantallazos, etc.) estos deben estar institucionalizados, es decir, deben estar integrados en un documento que contenga, además de los datos de operación, el logo institucional y las firmas correspondientes de el o los responsables y/o dueños del proceso.

Controles no implementados

Un control de seguridad no implementado deberá contar con la información de las razones de dicho incumplimiento, señalando las causas sean estas de tipo interna o externa. Si un control no se ha implementado porque no ha sido parte de los compromisos del servicio para el año 2017, dicha razón debe ser consistente con la formulación del PMG/MEI 2017 aprobada.

Medios de Verificación

De manera de facilitar y ordenar el proceso de validación del indicador, el Decreto N° 290 y la Circular N°21 del Ministerio de Hacienda establece que los medios de verificación para el cumplimiento del Sistema de Seguridad de la Información, son los siguientes:
Listado de controles de seguridad de la información de la norma NCh-ISO 27001.
Informe de cumplimiento de controles de seguridad de la información que fundamenta y respalda aquellos implementados y las razones de aquellos no implementados, aprobado por el jefe de servicio al 31-12-2017.

 

 

<<Volver al Home