Scribd Logo
Upload

Welcome to Scribd!

  • Politicaseguridadinformacion

    Uploaded by

    ricardo garate vera
    15 views14 pages

    Original Title

    politicaseguridadinformacion

    Copyright

    © © All Rights Reserved

    Available Formats

    PDF or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    © All Rights Reserved
    Download as PDF or read online from Scribd
    Flag for inappropriate content
    Download as pdf
    15 views14 pages

    Politicaseguridadinformacion

    Uploaded by

    ricardo garate vera

    Copyright:

    © All Rights Reserved
    Download as PDF or read online from Scribd
    Flag for inappropriate content
    Download as pdf
    of 14
    Politica General de Seguridad de la Informacién Cédige del Documento Versién del Documento POL.o1 40 isterio del Interior y Seguridad Publica Subsecretaria de Prevencion del Delito eC Politica General de Seguridad de la Informacion La informacion contenida en este documento es de propiedad de la Subsecretaria de Prevencién del Delito, por lo tanto cualquier uso, Feproduccién, divulgacién, distribucién no autorizada ya sea parcial o total de ‘su contenido est prohibida y podria ser sancionado. Este documento es de origen electrénico, una vez impreso pasa a ser copia No controlada y podria estar obsoleto. Para ver la version vigente debe dirigirse a htto://dms.spd.gov cl/sitios/sequridad — Pagina 1 de 14 (o2© eS Pol ica General de Seguridad de la Informacién Cédigo del Documento Version del Documento POLOt 40 Contenido 4 INTRODUCCION.... sense 2 OBJETIVO. 3 ALCANCE 4 ACRONIMOS: 5 DEFINICIONES...... 6 _POLITICAS DE SEGURIDAD. 6.1. Principio de Constitucionalidad y Legisiacion. 6.2 Seguridad de la Informacion en la institucion 8.3 Implementacién de Seguridad de la Informacion 6.4 Responsabilidad de las Personas. 6.5 Organizacién de la Seguridad... 86 Gestién de Activos de Informacin 6.7 Seguridad Ligada a las Personas. 8.8 Seguridad Fisica y Ambiental 6.9 Seguridad en las Comunicaciones y Operaciones 6.10 Seguridad en el Acceso a fa Informacién... 3 6.11 Seguridad en la Adquisiciin, Desarrollo y Mantencion de Sistemas de informacién.. 6.12 Gestion de Incidentes de Seguridad. 8.13 Gestién de la Continvidad de Negocio 6.14 _Gestién del Cumplimiento Normativo. 7 _ ROLES Y RESPONSABILIDADES 7.1 Subsecretario(a) de la Insttucion .... 72 Comité de Seguridad de la Informacion 7.3 Encargado(a) de Seguridad de la Informacion... 7.4 — Auditoria Interna, _ an . 10 7.5 __Funcionarios(as) y Terceros Relacionados 10 8 METODOLOGIAS DEL SISTEMA DE SEGURIDAD DE LA INFORMACION. 10 8.1 Metodologia de Gestion de Seguridad... 2 10 82 Metodologia de Gestion de Riesgos.... 10 9 OBSERVANCIA DE POLITICAS, NORMATIVAS, ESTANDARES ¥ PROCEDIMIENTOS...10 9.1, _ Responsabilidad por Incumplimiento... 10 10 _ DIFUSION Y REVISION... nnn 14 10.1 Difusién de la Politica 14 102 —_Revisién de la Politica oon 14 103 Revisién de Cumplimiento de la Politica i molt 11 CONTROL DOCUMENTAL. 12 11.1 Control de Revision 12 11.2 Control de Aprobacién. ac . 12 14.3 Control de Cambios. 13 114 Publicacion y Difusion oat ct 14 — Pagina 2 de 14 Politica General de Seguridad de la Informacién Codigo del Documento Version de! Documento POL.O1 40 1 INTRODUCCION La Subsecretaria de Prevencion de! Dalito, que de acuerdo con lo previsto en la Ley N° 20.502, es el Grgano de colaboracién inmediata del Ministro del Interior y Seguridad Publica en todas aquellas materias relacionadas con la elaboracién, coordinacion, ejecucién y evaluacion de politicas pJblicas destinadas a prevenir ta delincuencia, a rehabiltar y a reinsertar soctalmente @ los infractores de ley, sin perjicio del ejercicio de las atribuciones que el Ministro le delegue, asi ‘como del cumplimiento de las tareas que aquél le encargue, considera relevante e imprescindible resguardar de manera adecuada y eficientemente la informacién que posee para el cumplimiento de sus objetivos, En relacion a esto, se deciara la necesidad de gestionar la Politica General de Seguridad de la Informacion de la Subsecretaria de Prevencién del Delito, esto con la finalidad de identificar. evaluar y controlar los riesgos que pudieran afectar la confidencialidad, integridad y disponiilidad de la informacion de la Institucién, 2 OBJETIVO La Politica General de Seguridad de la Informacién, tiene como objetivo establecer el lineamiento institucional de la Subsecretaria de Prevencién del Delito referente a la responsabilidad, resguardo y gestién de riesgos de la informacién, como también entregar las directrices generales sobre el acceso, manipulacién, procesamiento, transmisién, proteccién, ‘slmacenamiento 0 cualquier otro tratamiento que se realice sobre los activos de informacién de la Institucién, 3 ALCANCE Esta Politica es aplicable a los principales activos de informacion que estan relacionados a los productos declarados en la ficha de definiciones estratégicas de la Subsecretaria de Prevencion del Delito para el periodo 2018 al 2022 considerando sus dreas, departamentos, programas de gobierno, personas, instalaciones, procesos intemos, sistemas informaticos, infraestructura tecnolégica, redes de comunicacion, bases de datos, archivos y datos, documentos fisicos, entre otros, como también es extensible a terceros que mantengan contratos de prestacién de servicios con la Institucion 4 ACRONIMOS S.GSI, Sistema de Gestién de Seguridad de fa Informacién SSPD. > Subsecretario(a) de la Subsecretaria de Prevencién del Delt 180 Organizacién Intemacional de Estandares. lec. Comision Electrotécnica Internacional a Pagina 3 de 14 Politica Genet I de Seguridad de la Informacion Cédigo del Documento Versién del Documento POLot 40 5 DEFINICIONES ‘Seguridad de la Informacién Activo de informacion Tratamiento de informacion Proceso Confidencialidad Integridad Disponibilidad Sistema de informacion Riesgo de informacion Evento de seguridad Conjunto de procesos, metodologias, politicas, normativas, estandares, rocedimientos, controles, software, hardware, y olfos elementos ecesarios para mantener la confidencialidad, integridad y disponibilidad de la informacion Recurso del sistema de informacién como personas, instalaciones, Procesos, archivos digitales, documentos fisicos, base de datos, intangibles e informacion en general, entre otros, necesario para que Ia Institucion funcione correctamente y alcance los objetivos propuestos. Actividad de creacién, _digitacién, _transmisién, _procesamiento, lalmacenamiento, modificacion, eliminacion, consulta, © cualquier otra accién que diga relacién con manipulacién de informacion, Conjunto de actividades o eventos que se reaizan de manera estructurada © alternativa con el fin de cumplir un objetivo determinado Propiedad de la informacién que apunta @ que el acceso a la informacién, solo pueda ser realizado por personas, sistemas o entidades autorizadas para hacerlo, Propiedad de la informacién que apunta a mantener la exactitud y totalided de la informacién, como también los métodos y mecanismos de tratamiento en general Propiedad de la informacion que apunta a que los usuarios autorizados, tengan acceso a la informacién y a los recursos relacionados con la misma, toda vez que lo requieran. Uno 0 mas computadores, software asociado, hardware y periféricos, terminales, procesos fisicos, medios de transferencia, bases de datos, ‘entre otros, que forman un todo auténomo capaz de realizar tratamiento de informacién, Cualquier accion o situacion que podria afectar las propiedades de la informacién y a su vez ocasionar resultados no esperados para la Institucién, Ocurrencia anémala de un estado de un sistema, servicio o red que indica tuna posible violacién de la politica de seguridad de la informacion o a la falla de controles establecidos, pudiendo ser desconocida y que podria atectar la seguridad de niveles menores a moderados, tales como violaciones a la politica, instalacion no autorizada de software, accesos denegados a un servidor, etc. y en ningun caso afectando la continuidad operacional Pagina 4 de 14 Politica General de Seguridad de Ia Informacién Cédigo del Documento Version de! Documento POL.O1 40 Incidente de Materializacién de algin riesgo significative conocido 0 desconocido para seguridad la Institucion, o también se entendera como tal la sumatoria de eventos de seguridad relacionados que afecten de manera considerable al Organismo, tales como acciones que afecten de manera negativa la imagen Institucional; desastres naturales menores que inhabilten temporaimente las instalaciones de procesamiento; fallas tecnolégicas criticas que interrumpan temporalmente la continuidad de las operaciones, entre otros. Pagina 5 de 14 Politica General de Seguridad de Ia Informacién Cédigo del Documento \Versién del Document POLO 40 6 POLITICAS DE SEGURIDAD 6.1 Principio de Constitucionalidad y Ley La Politica de Seguridad de la Informacién debera mantener un lineamiento acorde a las directrices definidas por la Institucién, siempre considerando el marco constitucional y legislative vigente en nuestro pais, particularmente lo referido a los derechos y libertades de las personas y otras leyes aplicables al campo de le informacion y la tecnologia, 6.2 Seguridad de la Informacién en Ia Institucién Se declara que todo activo de informacion que sea propio a realizar su tratamiento por personas, sistemas 0 cualquier otra entidad al interior de la Subsecretaria de Prevencion del Delito © por terceros, deberan implementar los mecanismos necesatios para resguardar la confidencialidad, integridad y disponibilidad de la informacién, permitiendo controlar los riesgos inherentes a los cuales por su naturaleza pueda verse expuesta. 6.3 Implementacién de Seguridad de la Informacién La implementacion se llevard a cabo de manera continua a través de un proceso de mejora en la seguridad, el cual debera considerar prioritariamente la informacion de mayor valor para la Institucién, abarcando los programas de gobierno y productos estratégicos, y posteriormente extendiéndose a los procesos y areas de soporte de la Subsecretaria de Prevencion del Delite. 6.4 Responsabilidad de las Personas Toda persona, ya sea funcionario(a) o personal externo a la Insttucién y que tenga acceso a informacion de esta, sera responsable de mantener el resguardo adecuado de la seguridad de los. datos, para lo cual se destinard la siguiente clasificacion de tipos de usuarios(as) * Propietatio(a) de informacién: Persona responsable de una informacion en particular, ‘como también de su valorizacién y clasiicacién, + Administrador(a) de informacién: Persona encargada de resguardar la informacion y ‘administrar las definiciones establecidas por el propietario de la informacion, ‘+ Usuario(a) de informacién: Persona que solicita acceso para realizar tratamiento sobre la informacion resguatdada por el Administrador de informacion 6.5 Organizacién de la Seguridad La Subsecretaria de Prevencién del Delito mantendré una adecuada organizacion relacionada a la seguridad de la informacién, para lo cual gestionara a través de un Comité de Seguridad de la Informacién y/o el Encargado(a) de Seguridad de la Informacién, normativas, estindares, procedimientos cualquier otto mecanismo de control que ayuden @ mejorar el S.G.S1I de la Institucion, La facultad que mantiene tanto el Comité como el Encargado(a) de Seguridad de la Informacion para dictaminar marcos de trabajo de seguridad, contempla también la relacién con entidades extemas a la Institucion y/o terceros que presten servicios de cualquier indole a la Subsecretaria de Prevencién del Delito. — Pagina 6 de 14 Politica General de Seguridad de la Informacion Cédigo det Documento Versién del Documento POL.O1 40 66 Gestion de Activos de Informacion Para hacer mas eficiente el proceso de implementacién del S.G.S.I,, la Institucién desarrolla, estrategias focalizadas de trabajo para optimizar el uso de los recursos de seguridad, por lo mismo se establecen métodos para la identificacién, clasificacion y valorizacién de los activos de informacion, considerando también a asignacién de responsabilidades sobre su tratamiento, permitiendo mantener claramente identiicacion sobre los activos de informacién relevante para la Institucion y mantener mecanismos acordes para el control de los riesgos de informacién. 6.7 Seguridad Ligada a las Personas Debido a Ia importancia que tienen las personas en la Institucién, se considera fundamental gestionar la seguridad de la informacion aplicada al ciclo de vida de las personas y mientras presten servicios para la organizacion, por lo mismo se incorporaran términos iegales de Confidencialidad y responsabilidades de seguridad en los contratos y descripciones de cargos, adicionalmente se desarrollaran planes orientados @ incorporar la cultura de seguridad en los funcionarios(as) y en su quehacer laboral, en conjunto con otros mecanismos complementarios a este émbito, permitiendo entregar un apoyo permanente a la gestion del cambio frente a temas de seguridad de la informacién en las personas. 6.8 Seguridad Fisica y Ambiental Los activos de informacion fisicos, tales como centros de atencién o denuncia, oficinas administrativas, areas de procesamiento de informacién, equipos tecnolégicos y de soporte, informacién en medics fisicos, entre otros, son base para el cumplimiento de los objetives de la Institucién, por lo mismo se mantendran normativas, controles y otros mecanismos que resguarden la seguridad de las instalaciones y ambientes de trabajo, el acceso a les areas, el manejo de los documentos, los mecanismos fisicos para el tratamiento de la informacién, el hardware que da ‘soporte a los procesos, entre muchos otros, permitiendo garantizar la proteccion de los activos de informacion frente a amenazas fisicas, ambientales y naturales 6.9 Seguridad en las Comunicaciones y Operaciones Gran parte de Ia informacién que se manipula en la Institucién se encuentra en formato igital, por lo mismo se considera de vital necesidad gestionar los riesgos asociados a las comunicaciones y operaciones relacionados a los activos de informacién, el definir responsabilidades y segregacién de funciones, documentar las operaciones en el tratamiento de informacién, establecer erterios de calidad para la aceptacién de los sistemas de informacién, administrar planes de respaldo, implementar mecanismos de monioreo y supervisién, como ‘también en el manejo de los soportes y la seguridad de la redes tecnoldgicas, permiten entregar un grado razonable en el resguardo de los activos de informacién y un cumplimiento adecuado de la Politica institucional de seguridad, La gestién de los servicios entregados por terceros, sobre la cual es requisite obligatorio la. ‘supervisién y revision de los acuerdos de niveles de servicio establecidos, tanto en el ambito de la calidad como en la seguridad en que son prestados, ademas de la gestion de cambios entre las partes y sobre todo en los acuerdos de confidencialidad y el Intercambio de informacién con entidades externas a la Subsecretaria de Prevencién del Delito, como también areas internas de la institucion, velando en todo momento por preservar Ie proteccion y el resguardo de la informacion. —_—_—_— Pagina 7 de 14 Politica General de Seguridad de la Informacién Cédigo del Documento Versién del Documento POL.O1 40 6.10 Seguridad en el Acceso a la Informacion La Institucién considera fundamental controlar el acceso a los activos de informacién para mantener su confidencialidad principalmente, por tanto los archivos digitales, documentos electronicos, bases de datos, software y aplicativos, entre otros, son componenies esenciales para lograr el cumplimiento de los objetivos de la Institucién, por lo mismo y en relacién a este principio 125 que los sistemas de informacién del organismo cuentan con medidas de control que son adecuadas para mantener el resguardo de la informacion, considerando normativas de acceso, gestionando cuentas de usuarios autorizados, estableciendo responsabilidades por parte de las Personas, controlando el ingreso a las redes de comunicacién y equipos computacionales, como también aplicando mecanismos de proteccién de acceso sobre las aplicaciones y la informacion de la Institucion, tratando de evitar en todo momento que pueda verse afectada por el acceso 0 la manipulacién no autorizada, 6.11 Seguridad en la Adquisicién, Desarrollo y Mantencién de Sistemas de Informacion La Institucién cuenta con sistemas de informacién que dan soporte a los procesos internos y Programas estratégicos de la Subsecretaria de Prevencidn del Delito, con lo cual permite entregar luna mayor calidad y seguridad en la ejecucién de las actividades y optimizer el uso de los recursos. informaticos, sin embargo la incorporacién de nuevas tecnologias en la organizacién también incorpora riesgos que son propios de esta, por lo mismo la institucién mantiene mecanismos que permitan controlar estos riesgos a través de normativas y esténdares base de requerimientos de ‘Seguridad, metodologias y procesos formales para la construccién de sistemas, implementacion de controles criptogréficos, como también actividades de aseguramiento de software Por otra parte, los sistemas de informacién que se encuentran en produecién cuentan con medidas de control que permitan resguerdar adecuadamente los archivos de sistema y la informacién sobre la cual se realiza tratamiento, normativas y herramientas de gestion de cambios y de configuracién, son acciones que ayudan al cumplimiento de esta pollica y en el logro de los objetivos de la Insttucion. 6.12 Gestidn de Incidentes de Seguridad La retroalimentacién de parte de las personas y entidades es base para mejorar el control interno de la Institucion, por lo mismo se desarrolian canales de comunicacion para la notificacion de eventos, debilidades y oportunidades de mejora en el S.G.S.L, como también se establecen equipos de respuesta frente a eventuales incidentes que puedan afectar la seguridad de la informacién, considerando el andlisis y aprendizaje de los efectos generados por dichas situaciones e implementand mecanismos que permitan prevenir o detectar su ocurrencia, ademas dde minimizar su impacto y/o probabilidad, apoyando la mejora continua del sistema de seguridad, 6.13 Gestidn de la Continuidad de Negocio Los productos estratégicos son la cadena de valor de la Subsecretaria de Prevencién del Delito, por lo mismo se deben implementar los mecanismos necesarios para mantener su continuidad operacional frente a situaciones que pudieran afectar priortariamente su disponibilidad, donde la infraestructura, la tecnologia, los procesos, las personas y la informacién son la base fundamental sobre la cual se centran los planes de continuidad de negocio, los que a través de la gestién de riesgos, el analisis de impacto, el desarrollo de estrategias y los planes de ccontingencia y recuperacién, permiten garantizar razonablemente la operacién de los productos estratégicos de la Institucion, — Pagina 8 de 14 Politica General de Seguridad de la Informacion Cédigo del Documento Version de! Documento POLO 40 6.14 Gestion del Cumplimiento Normativo EI marco regulatorio, legislativo y constitucional de nuestro pais representa los limites de aplicabiiidad de esta politica, como también obliga el cumplimiento de la normativa vigente relacionada a la informacién y la tecnologia, leyes relacionadas a la propiedad intelectual, el manejo de datos personales, los documentos electrénicos y la firma digital, los delitos penales asociados a la tecnologia y los sistemas de informacion, o sobre las comunicaciones y su privacidad, la politica nacional de ciberseguridad, entre otras, asi como también el marco normativo interno de seguridad de la informacién, son considerados relevantes para la Institucién, Por lo mismo se mantienen herramientas de auditoria en los sistemas de informacion y un adecuado control a través de entidades independientes y objetivas podran monitorean y ‘supervisan periédicamente su cumplimiento, 7 ROLES Y RESPONSABILIDADES 7.4 Subsecretario(a) de la Institucién Responsable de liderar la implantacion y mejora continua del $.G.S1., en donde sus funciones claves son de aprobar politicas y validar el proceso de gestién de Seguridad de la Informiacién, como también de aprobar las estrategias y mecanismos de control para el tratamiento de riesgos, ademés de colocar a disposicién los recursos neceserios para su ejecucion. 7.2 Comité de Seguridad de la Informacion Responsable de gestionar la Politica de Seguridad de la Informacién, en donde sus funciones claves son de asegurar que las actividades sean ejecutadas en conformidad con la politica de seguridad de la informacién, definir y aprobar la implementacion de normas vinculados a la politica de seguridad de la informacién, identificar y evaluar las acciones correctivas para dar solucién a las odservaciones de auditoria, aprobar las metodologias y procesos relacionados a la evaluacién del riesgo y la seguridad de la informacion, identificar cambios significativos que pudieran generar riesgos en el procesamiento de la informacién, proponer soluciones y evaluar la idoneidad y coordinacién en la implementacion de los controles de seguridad de informacién, establecer mecios para la concientizacién y capacitacion del personal en temas de seguridad de la informacién, arbitrar conflictos en materia relacionada a la seguridad de la informacion, sus riesgos y soluciones, evaluar la informacién recibida de los incidentes de seguridad de la informacion, emitiendo recomendaciones para su prevencién, deteccién y correccién, como también reportar a la Alta Direccién, respecto a oportunidades de mejora en el S.G.S.., asi como de los incidentes relevantes y su solucion. 7.3 Encargado(a) de Seguridad de la Informacién Responsable de asesorar al Jefe(a) de Servicio y coordinar actividades de gestién de seguridad relativas a la informacion, en donde sus funciones claves son de proponer pollticas y normativa a la Alta Direccién y al Comité de Seguridad de la Informacion para su aprobacion y ‘velar por su correcta aplicacion, coordinar la respuesta a incidentes de seguridad que afecten a los activos de informacién que dan soporte a los procesos institucionales, establecer puntos de enlace con encargados(as) de seguridad de otros organismos pilblicos y especialistas externos que le Permitan estar al tanto de las tendencias en materia de seguridad de la informacion, gestionar la ccreacion ylo aprobacion de estandares y procedimientos documentados operativos de seguridad para el tratamiento de los actives de informacion, proponer al responsable por omisién de los documentos electrénicos de esta Subsecretaria conforme al articulo 14° del Decreto Supremo N° ‘83 de 2004 emitida por el Ministerio Secretaria General de la Presidencia, formular los planes de ccontingencia para asegurar la continuidad de las operaciones criticas de esta Subsecretaria, conforme al articulo 36 del Articulo primero del Decreto Supremo N° 83 de 2004 emitida por ei —d Pagina 9 de 14 Politica General de Seguridad de la Informacién Codigo det Documento Version del Documento POL.O1 40 Ministerio Secretaria General de la Presidencia, monitorear el avance general de la implementacion de las estrategias de control y tratamiento de riesgos, como también mantener la coordinacion con otras unidades del Servicio para apoyar los objetives de seguridad. 7.4 Auditoria Interna Otorgar aseguramiento a la Direccién sobre el cumplimiento de la Politica de Seguridad de la Informacion, a través de las actividades de auditoria que se encuentren programadas 0 le sean ‘encomendadas, 7.8 Funcionarios(as) y Terceros Relacionados Responsable de dar cumplimiento a la Politica de Seguridad de la Informacion y sus normativas, ademas de! deber de informar sobre incidentes de seguridad o acciones que transgredan los objetivos deciarados o que puedan afectar la confidencialidad, integridad y

    You might also like