Red – Gob


Preguntas Frecuentes SSI

1) PROCESO PMG-SSI 2017

Pregunta 1.- Los controles cumplidos hasta el 2013, se asocian a IDs de controles y ámbitos de aplicación (Procesos estratégicos) potencialmente distintos a los actuales, ¿Aún así, deben ser mapeados a IDs de controles NCh-ISo 27001 actuales y considerarse cumplidos en años previos?

Respuesta 1:
En el escenario de mejora continua, los mapas de riesgo (impactos vs probabilidad) y amenazas que se ciernen sobre nuestros activos y procesos que sustentan los objetivos y productos estratégicos cambian en el tiempo, por lo que es crucial la revisión a través del tiempo de todos estos factores. De igual manera hay cambios organizacionales y con estos pueden aparecer o desaparecer nuevos procesos estratégicos. En este contexto si hay controles aplicados a ámbitos distintos de los actuales, no hay razón para no seguir con esa protección. Ciertamente lo que se ha de monitorear por el instrumento vigente son los controles para mitigar los riesgos que afecten a los procesos del Formulario A1 vigente, y su correcto mapeo con la ISO actual.

Pregunta 2.- Se puede solicitar que sea entregado el listado de controles formalmente aceptados como “Cumplidos” por la institución, al año t, de parte del organismo solicitante.

Respuesta 2:
Cabe recordar que el proceso de validación es en base a muestras de controles, razón por la cual no es posible entregar un listado de controles oficialmente “cumplidos”. Adicionalmente hay que tener en consideración que el proceso de mejora continua y la evolución misma de la institución puede generar condiciones que hagan necesario replantearse la existencia de ciertos controles o su cumplimiento.

En la plataforma de DIPRES para los PMG pueden encontrar información de los controles que la institución reportó como cumplidos.

Pregunta 3.- La actividad llamada “Revisión en terreno”, ¿Es parte de la revisión intermedia opcional?.

Respuesta 3:
Sí, es parte de la revisión intermedia, que constituye más bien solo un control de avanace, y será opcional, sujeto a disponibilidad de recursos y tiempo.

Pregunta 4.- Los resultados de la “Revisión en terreno”, ¿Son vinculantes con la “Instancia de Validación Final” de cumplimiento de la institución?.

Respuesta 4:
Se emitirá un informe con el estatus de control de avance y no es vinculante con la instancia de validación final.

Pregunta 5.- ¿Habrá una “Revisión en terreno”, como parte de la “Instancia de Validación” final de cumplimiento?.

Respuesta 5:
No, no habrá revisión en terreno en el Hito de Validación. La experiencia recopilada en terreno tiene como objetivo cimentar futuras iniciativas que pudieran ir en esta línea.

Pregunta 6

Parte a.-
Según la Estrategia de Trabajo Red SSI 2017, se entiende que si un control no es parte de la mitigación de un riesgo de proceso estratégico que sustente objetivos y productos estratégicos del formulario A1, no debe ser considerado en el numerador y debe quedar informado como “No cumplido”.

Respuesta Parte a:
Así es, lo que no implica que ese control deba ser desactivado o desarticulado. Solo quiere decir que la institución tiene el desafío de extender ese control a los procesos estratégicos vigentes.

Parte b.-
Por otro lado, un control que sí tiene relación con dichos objetivos y productos, ¿Es necesario que esté implementado en el ámbito de TODOS los procesos estratégicos derivados del formulario A1 relacionados con tal control, para ser informado como “Cumplido”, o bastaría con ALGUNOS de dichos procesos?.

Respuesta Parte b:
Debe estar presente en uno o más procesos estratégicos, pero no necesariamente en todos; lo que debe estar claramente especificado en los medios de verificación del control respectivo.

Pregunbta 7.- En el contexto de los controles cumplidos en años anteriores.  ¿A qué versión (año) del formulario A1 se hace referencia, ya que varía en el tiempo?.

Respuesta 7:
Se debe revisar el Formulario A1 actual y verificar el estado de los controles cumplidos en años anteriores y su coherencia con el mapa de riesgos, amenazas y procesos estratégicos vigentes.

Pregunta 8.- ¿Habría que considerar una nueva evaluación de riesgos, si un control no estuviese cubriendo todos los procesos estratégicos derivados del formulario A1?.  Según hoja de riesgo del Instrumento PMG-SSI 2015 u otro.

Respuesta 8:
En el escenario de que los recursos finacieros, humanos y tecnológicos son limitados, y en coherencia con los procesos de mejora continua, que nos invitan a revisar periodicamente el accionar y efectividad de nuestros controles y monitorear los cambios en el mapas de riesgos, es pertinente entonces, sujeto a un estado actualizado es éstos, asignar los controles en consecuencia y sintonía con esta realidad presente. Es importante establecer un alcance progresivo para los procesos estratégicos de mayor a menor criticidad.

Pregunta 9.- ¿Qué metodología de análisis de riesgo se puede utilizar?

Respuesta 9.-
No hay preestablecida una metodología específica y no es obligatorio trabajar en base a la antigua matriz.
Exite hoy en día:
- Metodología CAIGG para la gestión del riesgo: http://www.auditoriainternadegobierno.gob.cl/lineas_accion/gestion-de-riesgo/
- Metodología ISO-27005
- Metodología ISO-31000
- Metodología OCDE: http://www.oecd.org/sti/ieconomy/digital-security-risk-management.htm

2) TEMA: DOMINIOS DE SEGURIDAD DE LA INFORMACIÓN

¿De qué se trata el Dominio: Política de Seguridad?

Este dominio consiste en proporcionar a la institución, la dirección y soporte para la seguridad de la información en concordancia con los requerimientos institucionales y las leyes y regulaciones pertinentes. La alta dirección debe establecer claramente el enfoque de la política en línea con los objetivos institucionales y demostrar su apoyo y su compromiso con la seguridad de la información, a través de la emisión y mantenimiento de un documento de Política General de Seguridad de la Información en toda la organización.

Volver al principio.

¿En qué consiste el Dominio: Seguridad Organizacional?

La finalidad de este dominio es establecer un marco referencial a nivel directivo para iniciar y controlar la implementación de la seguridad de la información dentro de la institución. La dirección debe aprobar la política de seguridad de la información, asignar los roles de seguridad a los comités y designar al encargado de seguridad mediante una resolución, el cual debe coordinar y revisar la implementación de la seguridad en toda la institución. Si fuese necesario, se debe establecer una fuente de consultoría sobre seguridad de la información que esté disponible dentro de la institución. Se deben desarrollar contactos con los especialistas o grupos de seguridad externos, incluyendo las autoridades relevantes, para mantenerse actualizado con relación a las tendencias mundiales, monitorear los estándares, evaluar los métodos y proporcionar vínculos adecuados para el manejo de los incidentes de seguridad de la información. Se debe fomentar un enfoque multidisciplinario para la seguridad de la información.

Volver al principio.

¿Cuál es el objetivo del Dominio: Clasificación, Control y Etiquetado de Bienes?

El objetivo de este dominio es lograr y mantener una apropiada protección de los activos institucionales. Todos los activos deben ser inventariados y contar con un propietario nombrado. Los propietarios deben identificar todos los activos y deben asignar la responsabilidad por el mantenimiento de los controles apropiados. La implementación de controles específicos puede ser delegada por el propietario conforme sea apropiado, pero el propietario sigue siendo responsable por la protección de los activos.

Adicionalmente se debe asegurar que la información reciba un nivel de protección adecuado. La información debe ser clasificada para indicar la necesidad, prioridades y grado de protección esperado en su manejo. La información puede ser pública o secreta –también se denomina “reservada”- (Ley 20.285), y contar con diferentes grados de importancia. Algunos activos pueden requerir un nivel de protección adicional o manejo especial dependiendo de su criticidad y riesgo. Se debe utilizar un esquema de clasificación de información para definir un conjunto apropiado de niveles de protección y comunicar la necesidad de medidas de uso especiales.

Volver al principio.

¿De qué manera se puede abordar el dominio “clasificación, control y etiquetado de bienes”, en circunstancias de que los activos de información son muchos?

Para definir el alcance sobre el cual se aplicará el diagnóstico de este dominio se debe considerar qué activos de información intervienen en los procesos de provisión de productos institucionales y que, por lo tanto, permiten que se cumpla la misión del Servicio. También puede haber procesos de apoyo que sean críticos para “el negocio”, los cuales se deberán incluir. Sobre esos activos habrá que aplicar la clasificación que plantea la Ley 20.285 (de transparencia), entre documentos públicos y secretos.

Volver al principio.

¿En qué consiste el Dominio: Seguridad del Personal?

Lo que busca este dominio es que antes de la contratación, se debe asegurar que los empleados, contratistas y terceros entiendan sus responsabilidades, y sean idóneos para los roles para los cuales son considerados; y reducir el riesgo de robo, fraude y mal uso de los medios. Las responsabilidades de seguridad deben ser tratadas antes de la contratación en descripciones de trabajo adecuadas y en los términos y condiciones del empleo. Los empleados, contratistas y terceros usuarios de los medios de procesamiento de la información deben firmar un acuerdo sobre sus roles y responsabilidades con relación a la seguridad. Durante las labores se debe asegurar que los usuarios empleados, contratistas y terceras personas estén al tanto de las amenazas e inquietudes de la seguridad de la información, sus responsabilidades y obligaciones, y estén equipadas para apoyar la política de seguridad organizacional en el curso de su trabajo normal, y reducir el riesgo de error humano e incidentes de seguridad.

Se debe proporcionar a todos los usuarios, empleados, contratistas y terceras personas un nivel adecuado de conocimiento, educación y capacitación en procedimientos de seguridad y uso correcto de los medios de procesamiento, activos y servicios de información para minimizar los posibles riesgos de seguridad. Se debe establecer un proceso disciplinario normal para manejar las fallas en la seguridad.

Volver al principio.

Respecto a la generación, transmisión, recepción, procesamiento y almacenamiento de documentos electrónicos ¿cuál es el alcance? ¿sólo XML?

No. Se debe entender la frase refiriendo a los “activos de información” en general. Cuando hablamos de seguridad del personal, es de TODO el personal; en caso de que haya personas que manejan activos de información clasificados como “secretos”, se les deberá instruir respecto del manejo de esta información específica. Este dominio se relaciona con el de “clasificación, control y etiquetado de activos de información”.

Volver al principio.

¿De qué se trata el Dominio: Seguridad Física y del Ambiente?

Este dominio consiste en prevenir el acceso no autorizado, daño e interferencia a las instalaciones de la institución y a la información. Los equipos de procesamiento de información crítica o sensible de la institución se deben mantener en áreas seguras, protegidos por un perímetro de seguridad definido, con barreras apropiadas de seguridad y controles de entrada. Éstos deben estar físicamente protegidos del acceso no autorizado, daño e interferencia. Es necesaria la protección de los equipos, incluyendo los portátiles usados fuera de las dependencias, para reducir el riesgo de acceso no autorizado a datos y para prevenir la pérdida o daño. Se pueden necesitar controles especiales para protegerlos de riesgos o accesos no autorizados, y salvaguardar las instalaciones de apoyo, tales como el suministro eléctrico y la infraestructura de cables.

Volver al principio.

¿Cuál es el objetivo del Dominio: Gestión de las Operaciones y Comunicaciones?

El objetivo de este dominio es crear procedimientos y responsabilidades operacionales de manera de asegurar la operación correcta y segura de los medios de procesamiento de la información. Cuando sea pertinente, se debe implementar la segregación de deberes para reducir el riesgo de negligencia o mal uso deliberado del sistema.

El software y los medios de procesamiento de la información son vulnerables a la introducción de códigos maliciosos, como virus de cómputo, virus de red, caballos Troyanos y bombas lógicas. Los usuarios deben estar al tanto de los peligros de los códigos maliciosos. Se deben introducir controles para evitar, detectar y eliminar los códigos maliciosos y controlar los códigos móviles a través de antivirus, de manera de proteger la integridad del software y la integración. Se deben establecer los procedimientos de rutina para implementar la política de respaldo acordada y la estrategia para tomar copias de respaldo de la data y practicar su restauración oportuna. Se debe asegurar la protección de la información que viaja por correo electrónico y su infraestructura de soporte. La gestión segura del correo electrónico, requiere de la cuidadosa consideración de la información que es transmitida, su confidencialidad, implicancias legales, monitoreo y protección. También se pueden requerir controles adicionales para proteger la información confidencial que pasa a través de redes públicas.

Para los efectos de reducir el riesgo de negligencia o mal uso deliberado de los sistemas, deberán aplicarse políticas de segregación de funciones. ¿Basta con crear perfiles y usuarios desde Informática para que los usuarios –en general- no pueden aumentar sus derechos de acceso?

Se debe verificar que en los sistemas sea técnicamente posible reducir este riesgo a través de perfiles de usuarios y mostrando evidencia de que efectivamente se está utilizando dicho perfilamiento, es decir, aplicación de controles. De todos modos, los controles no son sólo informáticos, puesto que se trata de cuestiones que implican la conducta de las personas. Una alternativa que puede ser admisible es incorporarlo en el reglamento de RRHH o similar con el cual funcione la Institución.

Volver al principio.

¿A qué se refiere cuando se habla de controles adicionales para la verificación de mensajes (contexto de correo) que no se pueden autenticar?

Está referido al uso de Firma Electrónica Avanzada (FEA). Cabe señalar que el DS 83 se complementa con la Ley N° 19799, el DTO. 181 y el DTO 1. No obstante, para la primera etapa de diagnóstico, este control se puede evidenciar con la restricción del servicio de “relay” dentro de los servidores de correo electrónico, es decir, que no permitan el ingreso de mensajes no autenticados.

Volver al principio.

¿De qué se trata el Dominio: Control de Acceso?

La finalidad de este dominio es asegurar que el acceso del usuario es debidamente autorizado y evitar el acceso no autorizado a los sistemas de información. Se deben establecer procedimientos formales para controlar la asignación de los derechos de acceso a los sistemas y servicios de información. Los procedimientos deben abarcar todas las etapas en el ciclo de vida del acceso del usuario, desde el registro inicial de usuarios nuevos hasta la dada de baja de los usuarios que ya no requieren acceso a los sistemas y servicios de información. Cuando sea apropiado, se debe prestar atención especial a la necesidad de controlar la asignación de derechos de acceso privilegiados, lo que permite a los usuarios superar los controles del sistema. La cooperación de los usuarios autorizados es esencial para una seguridad efectiva. Los usuarios deben estar al tanto de sus responsabilidades para mantener controles de acceso efectivos, particularmente con relación al uso de claves secretas, su no divulgación y la seguridad del equipo asignado a él. Se debe implementar una política de escritorio y pantalla limpios para reducir el riesgo de acceso no autorizado o daño a los papeles y medios de almacenamiento de la información. Deben implementarse controles efectivos de manera de evitar el acceso no autorizado a los servicios de la red. Se debe controlar el acceso a los servicios de redes internas y externas. El acceso del usuario a las redes no debe comprometer la seguridad de los servicios de la red asegurando:

a) Que existan las interfaces apropiadas entre la red de la institución y las redes de otras organizaciones, y redes públicas; b) Se apliquen los mecanismos de autenticación apropiados para los usuarios y el equipo; c) Que el control del acceso del usuario a la información sea obligatorio. Se deben utilizar medios de seguridad para restringir el acceso a los sistemas operativos a los usuarios autorizados. Los medios deben tener la capacidad para: a) Autenticar a los usuarios autorizados, en concordancia con una política de control de acceso definida;

b) Registrar los intentos exitosos y fallidos de autenticación del sistema;

c) Registrar el uso de los privilegios especiales del sistema;

d) Emitir alarmas cuando se violan las políticas de seguridad del sistema;

e) Proporcionar los medios de autenticación apropiados;

f) Cuando sea apropiado, restringir el tiempo de conexión de los usuarios.

Volver al principio.

¿Se debiera perseguir que todos los sistemas informáticos cuenten con identificadores? ¿Cuál es el límite a esto y con qué criterio debemos establecerlo?

Todos los sistemas deben ser evaluados en este aspecto, aunque se debe comenzar por el negocio, sobre la base de la clasificación realizada a los activos, teniendo en cuenta que para llegar a abarcarlos todos se tiene un horizonte de tres años. De todos modos, este dominio se refiere fundamentalmente a los perfiles de acceso a los sistemas, por lo tanto, adicionalmente se debe considerar las cuentas con altos privilegios (administradores de red, de servidores, etc.)

Volver al principio.

¿Qué se sugiere para la entrega de identificadores temporales?

Primero, en la etapa de diagnóstico se debe declarar la brecha. Como alternativa se plantea el uso de papel, es decir, la entrega de contraseñas en sobres cerrados con acuse de recibo.

Volver al principio.

¿Para qué se debe hacer el catastro del equipamiento que permita la reproducción, distribución o transmisión masiva de información, y de las personas con privilegios de acceso a ellos?

Para efectos del diagnóstico interesa conocer la existencia del catastro con la asignación de responsable para cada equipo (medio de verificación). Apunta a la detección de vulnerabilidades sobre las cuales habrá que aplicar los controles en el futuro.

Volver al principio.

¿En qué consiste el Dominio: Desarrollo y Mantenimiento de Sistemas de Información?

Aquellas instituciones que desarrollen software internamente o, en su defecto, encarguen su elaboración a un proveedor calificado, se debe garantizar que la seguridad sea una parte integral de los sistemas de información y se incluya en la etapa de formulación del software. Los sistemas de información incluyen sistemas de operación, infraestructura, aplicaciones de negocio, servicios y aplicaciones desarrolladas por el usuario. El diseño e implementación del sistema de información que soporta el proceso de negocio puede ser crucial para la seguridad. Se deben identificar y acordar todos los requerimientos de seguridad antes del desarrollo y/o implementación de los sistemas de información en la fase de requerimientos de un proyecto; y deben ser justificados, acordados y documentados como parte de las formalidades para un sistema de información.

Volver al principio.

Si una institución no tiene un Departamento u otro tipo de Unidad de Desarrollo, ¿debe evaluar las brechas respecto a desarrollo y mantención de sistemas?

Este dominio aplica siempre y cuando la institución haga desarrollo y mantención, independiente de si cuenta con una orgánica para ello. En caso de que no lo haga, las brechas se deben determinar contra los contratos de desarrollo de software. El resultado del análisis podrá ser la contratación de mejoras sobre los sistemas, en lo que a seguridad se refiere y la aplicación de estos controles en los nuevos contratos que se realicen.

Volver al principio.

¿Cuál es el objetivo del Dominio: Gestión de la Continuidad del Negocio?

El objetivo de este dominio es considerar los aspectos de la seguridad de la información de la gestión de la continuidad operativa de manera de hacer frente a las interrupciones de las actividades institucionales y proteger los procesos críticos de los efectos de fallas importantes o desastres en los sistemas de información y asegurar su reanudación oportuna. Se debe implementar el proceso de gestión de la continuidad del negocio para minimizar el impacto sobre la institución y lograr recuperarse de la pérdidas de activos de información (lo cual puede ser resultado de, por ejemplo, desastres naturales, accidentes, fallas del equipo y acciones deliberadas) hasta un nivel aceptable a través de una combinación de controles preventivos y de recuperación. Este proceso debe identificar los procesos institucionales críticos e integrar los requerimientos de gestión de la seguridad de la información de la continuidad del negocio con otros requerimientos de continuidad relacionados con aspectos como operaciones, personal, materiales, transporte y medios. Las consecuencias de los desastres, fallas en la seguridad, pérdida del servicio y la disponibilidad del servicio deben estar sujetos a un análisis del impacto en el negocio. Se deben desarrollar e implementar planes para la continuidad del negocio para asegurar la reanudación oportuna de las operaciones esenciales. La seguridad de la información debe ser una parte integral del proceso general de continuidad del negocio, y otros procesos importantes dentro de la organización. La gestión de la continuidad del negocio debe incluir controles para identificar y reducir los riesgos, además del proceso general de evaluación de riesgos, debe limitar las consecuencias de incidentes dañinos y asegurar que esté disponible la información requerida para los procesos institucionales.

Volver al principio.

 

3) TEMA: DIAGNÓSTICO DEL PMG SSI

¿Qué procesos se deben incorporar en el diagnóstico?

El diagnóstico debe considerar los procesos de apoyo a la gestión del servicio y los procesos de negocio. No obstante, hay dominios que están acotados sólo a estos últimos.

Como paso previo al levantamiento de brechas de estos dominios, se debe definir cuáles de estos procesos son críticos (porque no podemos abarcar todos y cada uno de ellos), cuestión que se realiza tomando los procesos de provisión de bienes y servicios definidos en el Sistema de Planificación y Control de Gestión (ficha A 1). La idea del SSI es que otorguemos mayores niveles de seguridad a los procesos que tienen más impacto y cuya discontinuidad represente mayores riesgos para el servicio. Este es el mismo criterio que se ha aplicado en el servicio para priorizar procesos para el Sistema de Gobierno Electrónico. Luego de haber levantado las brechas, en las etapas posteriores al diagnóstico, se deben planificar las mejoras a tales procesos desde el punto de vista de la seguridad, definiendo aquéllas de corto, mediano y largo plazo. En la medida que tales procesos van mejorando se irá ampliando el alcance del SSI. El diagnóstico para el resto de los dominios aborda, además, todos los otros procesos, incluidos los de apoyo, cuyo levantamiento se ha adelantado a través del Programa Marco Básico y Avanzado del PMG.

Volver al principio.

¿La definición de criticidad se realiza por procesos o por áreas dentro de la Institución?

Siempre es recomendable que se realice por proceso. Porque habitualmente los procesos críticos son transversales a las instituciones, es decir, abarcan más de un área, división o departamento. Este criterio permite abordar cada proceso incluyendo sus fronteras, de inicio y finalización, facilitando que las mejoras incorporen controles de seguridad en todas las etapas donde se requiera, y no sólo en aquellas que son responsabilidad de una división o departamento.

¿Cómo se incorporan los activos de información en papel?

El DS 83 fija su cometido en el documento electrónico. Sin embargo, para efectos de realizar el diagnóstico del PMG SSI, se recogen los dominios allí señalados, pero se han de aplicar a todos los soportes de información de los procesos críticos definidos. Esto significa que se debe considerar la información que circula en papeles (oficios, memos, minutas, fichas, expedientes, etc.), entendiendo que se trata de activos de información relevantes para tales procesos.

En la Matriz de Diagnostico, los párrafos marcados en negrilla no aparecen bloqueados y además se suman a la fórmula de cálculo del nivel de cumplimiento de cada dominio, junto con sus sub-categorías. ¿Se deben diagnosticar esos párrafos?

Efectivamente, se hace necesario completar los párrafos que están en negrita, ya que puede existir el elemento al que se hace mención en esta descripción y, sin embargo, no cumpla con los requisitos específicos pedido en los numerales o sub-categorías, por ejemplo:

DOMINIO 1: POLITICA DE SEGURIDAD: Deberá establecerse una política que fije las directrices generales que orienten la materia de seguridad dentro de cada institución, que refleje claramente el compromiso, apoyo e interés en el fomento y desarrollo de una cultura de seguridad institucional. La política de seguridad deberá incluir, como mínimo, lo siguiente:

a) Una definición de seguridad del documento electrónico, sus objetivos globales, alcance e importancia.

b) La difusión de sus contenidos al interior de la organización.

c) Su reevaluación en forma periódica, a lo menos cada 3 años. Las políticas de seguridad deberán documentarse y explicitar la periodicidad con que su cumplimiento será revisado.

Explicación: En este caso, perfectamente podríamos tener una política que fije las directrices generales; que esté sancionada y difundida, y sin embargo no contenga lo específico en las secciones a), b) y c). Para este caso, el enunciado en negrita queda como “cumple” y los numerales como “no cumple”; por lo tanto nos orienta que la estrategia preliminar para cerrar la brecha será modificar la política actual y completarla con los requerimientos. Lo mismo aplica para el resto de los controles.

Volver al principio.

4) TEMA: MARCO LEGAL DEL PMG SSI

¿Cómo se compatibiliza el PMG SSI con la Ley de Transparencia?

El PMG SSI y la Ley de Transparencia son complementarios. Esta normativa exige a los servicios contar con información fiable y oportuna, lo cual se dificulta cuando no se cuenta con un SSI adecuado. La definición de que toda la información es pública, salvo las excepciones descritas en la misma Ley, no debe ser entendida como un obstáculo. La confidencialidad, como atributo a proteger en el PMG SSI, responde a la necesidad de que la información esté en poder de quien corresponda para el desarrollo de las funciones respectivas, con la oportunidad e integridad requerida, y en caso de que la ciudadanía así también la solicite, ésta se entregue sin demoras.

Volver al principio.

5) TEMA: ROLES Y FUNCIONES EN EL SSI

¿Cuál es el perfil del encargado del PMG SSI?

Para definir este perfil, es importante considerar el tamaño de la institución, así como la complejidad y cantidad de procesos críticos que deba resguardar. En términos generales, el Encargado/a del PMG SSI debe ser un profesional cuyo conocimiento de la institución le permita detectar y comprender las necesidades de la organización en materia de Seguridad de la Información(SI), e incorporarlas de manera coherente a la estrategia institucional. Este profesional debe estar capacitado para realizar levantamiento de procesos, visualizando aquellos aspectos críticos que requieran la incorporación de TIC’s, controlar la gestión de la SI, sopesar riesgos e integrar las actividades de manera de lograr la eficacia, eficiencia y calidad en la implementación del Sistema de Seguridad de la Información(SSI), coordinando equipos de trabajo compuestos por diferentes estamentos del servicio (directivos, RRHH, Informática, gestión de calidad, equipos jurídicos, auditores, entre otros), comunicando a la autoridad institucional de forma oportuna sobre las materias en que se requiera su apoyo y -a través de ello- lograr alinear a los funcionarios de la institución en torno a las políticas y procedimientos del SSI.

Volver al principio.

¿Cuál es el rol del Auditor Interno?

El Auditor Interno de cada servicio público adquiere un rol importante dentro de este Sistema. Este funcionario ha liderado procesos de análisis de riesgo basados en una metodología transversal a nivel de Gobierno, cuya aplicación también es requerida para el SSI. Este funcionario deberá participar en la determinación de los riesgos institucionales que representan las vulnerabilidades en la SI de los procesos críticos, para luego desarrollar auditorías que verifiquen la reducción y/o eliminación de tales brechas.

Revisar más detalles en el CAIGG.

Proyecto de Ley que establece la Auditoría Interna de Gobierno, Boletín 10727-06.

 

<<Volver al Home