MODELO DE SEGURIDAD - Gobierno en línea.
MODELO DE SEGURIDAD - Gobierno en línea.
MODELO DE SEGURIDAD - Gobierno en línea.
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
ENTREGABLES 3, 4, 5 y 6: INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong><br />
LA INFORMACIÓN – SISTEMA SANSI - SGSI -<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA ESTRATEGIA <strong>DE</strong><br />
GOBIERNO EN LÍNEA<br />
Bogotá, D.C., Diciembre de 2008<br />
ÁREA <strong>DE</strong> INVESTIGACIÓN Y PLANEACIÓN<br />
© República de Colombia - Derechos Reservados
Título:<br />
Fecha elaboración<br />
aaaa-mm-dd:<br />
Sumario:<br />
Palabras Claves:<br />
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
FORMATO PRELIMINAR AL DOCUMENTO<br />
INFORME FINAL –<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN –<br />
SISTEMA SANSI – SGSI -<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN PARA LA ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
26 – Diciembre – 2008<br />
CORRESPON<strong>DE</strong> A LOS ENTREGABLES 3, 4, 5 y 6: SISTEMA <strong>DE</strong><br />
GESTIÓN <strong>DE</strong> LA <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN - DISEÑO <strong>DE</strong>L<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA ESTRATEGIA<br />
<strong>DE</strong> GOBIERNO EN LÍNEA<br />
Sistema Administrativo, Modelo de Seguridad, Arquitectura Institucional,<br />
Ciclo PHVA, C-SIRT, Gestión de Seguridad Informática, SGSI, mejores<br />
prácticas, ISO, CobIT, madurez<br />
Formato: L<strong>en</strong>guaje: Castellano<br />
Dep<strong>en</strong>d<strong>en</strong>cia: Investigación y Planeación<br />
Código: Versión: 3 Estado:<br />
Categoría:<br />
Autor (es): Equipo consultoría Digiware<br />
Revisó: Juan Carlos Alarcon<br />
Aprobó: Ing. Hugo Sin Triana<br />
Información Adicional:<br />
Ubicación:<br />
Página 2 de 207<br />
Firmas:<br />
Docum<strong>en</strong>to para<br />
revisión por parte del<br />
Supervisor del<br />
contrato
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
CONTROL <strong>DE</strong> CAMBIOS<br />
VERSIÓN FECHA No. SOLICITUD RESPONSABLE <strong>DE</strong>SCRIPCIÓN<br />
0 02/12/2008 Ing. Jairo Pantoja M. Sistema SANSI para el Modelo de Seguridad de la Información<br />
1 04/12/2008 Equipo del proyecto Revisión interna conjunta equipo consultoría Digiware<br />
2 17/12/2008 Ing. Jairo Pantoja M.<br />
Actualización según discusiones internas del equipo de trabajo <strong>en</strong><br />
cuanto a las funciones de los <strong>en</strong>tes participadores del SANSI<br />
3 26/12/2008 Ing. Fabiola Parra Modelo SGSI para el Sistema SANSI –Controles<br />
Página 3 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
TABLA <strong>DE</strong> CONTENIDO<br />
1. AUDIENCIA ...............................................................................................................................................................10<br />
2. INTRODUCCIÓN........................................................................................................................................................11<br />
3. MARCO <strong>DE</strong> REFERENCIA -SISTEMA <strong>DE</strong> GESTIÓN EN <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN -SGSI ...............................12<br />
3.1. <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN .................................................................................................................................12<br />
3.2. ISO (INTERNATIONAL ORGANIZATION FOR STANDARDIZATION).........................................................................................12<br />
3.3. ESTÁNDAR................................................................................................................................................................13<br />
3.4. ICONTEC...................................................................................................................................................................13<br />
3.5. NORMA ISO27001...................................................................................................................................................14<br />
3.5.1. SERIE ISO27000 ...................................................................................................................................................14<br />
3.5.2. RELACIÓN <strong>DE</strong> LA NORMA ISO27001 CON OTROS ESTÁNDARES <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN ....................................15<br />
3.6. SISTEMA <strong>DE</strong> GESTIÓN <strong>DE</strong> LA <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN -SGSI..................................................................................15<br />
3.6.1. BENEFICIOS <strong>DE</strong> LA IMPLANTACIÓN <strong>DE</strong> UN SGSI............................................................................................................16<br />
3.6.2. JUSTIFICACIÓN <strong>DE</strong> LA IMPLEMENTACIÓN <strong>DE</strong> UN SGSI....................................................................................................16<br />
4. COMPONENTES PRINCIPALES <strong>DE</strong> UN SISTEMA <strong>DE</strong> GESTIÓN <strong>DE</strong> LA <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN –SGSI .......18<br />
5. ESTRUCTURA INSTITUCIONAL..................................................................................................................................21<br />
5.1. INTRODUCCIÓN .........................................................................................................................................................21<br />
5.2. SISTEMA ADMINISTRATIVO NACIONAL <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN -SANSI.............................................................22<br />
5.3. COMISIÓN NACIONAL <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN ..............................................................................................24<br />
5.4. GRUPO TÉCNICO <strong>DE</strong> APOYO ........................................................................................................................................30<br />
5.4.1. DIRECCIÓN NACIONAL <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN ..........................................................................................31<br />
5.5. RELACIONES <strong>DE</strong> <strong>DE</strong>SARROLLO EMPRESARIAL CON ENTIDA<strong>DE</strong>S PÚBLICAS Y PRIVADAS.............................................................35<br />
5.6. FUNCIONES <strong>DE</strong> LOS ACTORES <strong>DE</strong>L SANSI -ENFOQUE BASADO EN EL PROCESO PHVA.............................................................35<br />
5.6.2. MEJORA <strong>DE</strong>L SGSI..................................................................................................................................................49<br />
5.7. <strong>SEGURIDAD</strong> APLICADA A LA COMUNIDAD – HIGIENE EN <strong>SEGURIDAD</strong>...................................................................................49<br />
6. <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> GESTIÓN <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN SGSI .........................................................................51<br />
6.1. ALCANCE Y LÍMITES <strong>DE</strong>L SISTEMA..................................................................................................................................51<br />
6.2. OBJETIVOS <strong>DE</strong>L SISTEMA.............................................................................................................................................53<br />
6.3. POLÍTICA <strong>DE</strong>L SISTEMA <strong>DE</strong> GESTIÓN. .............................................................................................................................53<br />
Página 4 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
6.4. POLÍTICAS Y OBJETIVOS <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN ............................................................................................54<br />
6.4.1. PS1 – POLÍTICA <strong>DE</strong> CONTROL <strong>DE</strong> ACCESO...................................................................................................................54<br />
6.4.2. PS2 - POLÍTICA <strong>DE</strong> NO REPUDIACIÓN.........................................................................................................................56<br />
6.4.3. PS3 - POLÍTICA <strong>DE</strong> SERVICIOS CONFIABLES ..................................................................................................................56<br />
6.4.4. PS4 – POLÍTICA <strong>DE</strong> PRIVACIDAD Y CONFI<strong>DE</strong>NCIALIDAD.................................................................................................57<br />
6.4.5. PS5 - POLÍTICA <strong>DE</strong> INTEGRIDAD ................................................................................................................................57<br />
6.4.6. PS6 – POLÍTICA <strong>DE</strong> DISPONIBILIDAD <strong>DE</strong>L SERVICIO.......................................................................................................58<br />
6.4.7. PS7 – POLÍTICA <strong>DE</strong> DISPONIBILIDAD <strong>DE</strong> LA INFORMACIÓN.............................................................................................58<br />
6.4.8. PS8 – POLÍTICA <strong>DE</strong> PROTECCIÓN <strong>DE</strong>L SERVICIO............................................................................................................59<br />
6.4.9. PS9 - POLÍTICA <strong>DE</strong> REGISTRO Y AUDITORIA.................................................................................................................59<br />
6.4.10. ALINEAMIENTO <strong>DE</strong> LAS POLÍTICAS <strong>DE</strong> <strong>SEGURIDAD</strong> CON NORMAS Y MEJORES PRÁCTICAS <strong>DE</strong> LA INDUSTRIA.............................60<br />
6.5. CLASIFICACIONES <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong>L <strong>MO<strong>DE</strong>LO</strong> SGSI.......................................................................................................67<br />
6.5.1. CLASIFICACIÓN <strong>DE</strong> ENTIDA<strong>DE</strong>S POR GRUPO O NATURALEZA <strong>DE</strong>L SERVICIO..........................................................................67<br />
6.5.2. NIVELES <strong>DE</strong> MADUREZ <strong>DE</strong> LOS CONTROLES <strong>DE</strong> <strong>SEGURIDAD</strong> RECOMENDADOS .....................................................................69<br />
6.5.3. REGISTRO <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN RSI - GRADUACIÓN................................................................................70<br />
6.5.4. CONTROLES <strong>DE</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN RECOMENDADOS POR GRUPO ...........................................................74<br />
6.6. METODOLOGÍA <strong>DE</strong> CLASIFICACIÓN Y CONTROL <strong>DE</strong> ACTIVOS. ...........................................................................................198<br />
6.7. ENFOQUE PARA LA GESTIÓN <strong>DE</strong>L RIESGO. ....................................................................................................................198<br />
6.8. RECOMENDACIONES GENERALES PARA LA GESTIÓN <strong>DE</strong> CONTINUIDAD <strong>DE</strong>L NEGOCIO...........................................................198<br />
6.9. <strong>DE</strong>FINICIÓN <strong>DE</strong>L SISTEMA <strong>DE</strong> GESTIÓN DOCUMENTAL....................................................................................................198<br />
6.10. RECOMENDACIONES PARA LA IMPLEMENTACIÓN <strong>DE</strong>L <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN .....................................201<br />
6.10.1. APOYO POR PARTE <strong>DE</strong> LA ALTA DIRECCIÓN .............................................................................................................201<br />
6.10.2. COMPROMISO <strong>DE</strong> LA ALTA DIRECCIÓN ...................................................................................................................201<br />
6.10.3. FORMACIÓN Y SENSIBILIZACIÓN ............................................................................................................................202<br />
6.10.4. REVISIÓN (AUDITORIAS) <strong>DE</strong>L SGSI ........................................................................................................................203<br />
Página 5 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
LISTA <strong>DE</strong> FIGURAS<br />
ILUSTRACIÓN 1: RELACIÓN ENTRE AMENAZAS – ACTIVOS – RIESGOS – CONTROLES .......................................................................................... 17<br />
ILUSTRACIÓN 2: PUNTOS IMPORTANTES PARA LA <strong>DE</strong>CLARACIÓN <strong>DE</strong> APLICABILIDAD -SOA. TOMADO <strong>DE</strong> ESTRATEGIAS CLAVE PARA LA IMPLANTACIÓN <strong>DE</strong><br />
ISO 27001, POR KK MOOKHEY Y KHUSHBU JITHRA. ........................................................................................................................... 19<br />
ILUSTRACIÓN 3: PRINCIPALES COMPONENTES <strong>DE</strong> UN SGSI. <strong>DE</strong>RECHOS RESERVADOS ANDRÉS VELÁSQUEZ.<br />
AVELAZQUEZ@DODOMEX.COM ............................................................................................................................................... 20<br />
ILUSTRACIÓN 4: SISTEMA ADMINISTRATIVO NACIONAL <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN -SANSI....................................................... 23<br />
ILUSTRACIÓN 5: COMISIÓN NACIONAL <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN............................................................................................. 24<br />
ILUSTRACIÓN 6: ESTRUCTURA GRUPO TÉCNICO <strong>DE</strong> APOYO............................................................................................................................. 31<br />
ILUSTRACIÓN 7: CICLO <strong>DE</strong> VIDA PHVA PARA EL SISTEMA ADMINISTRATIVO NACIONAL <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN Y SUS ACTORES<br />
................................................................................................................................................................................................. 36<br />
ILUSTRACIÓN 8: CICLO P-H-V-A. IMPLANTACIÓN Y GESTIÓN <strong>DE</strong> UN SISTEMA SGSI. COPYRIGHT © 2007 ISECT LTD. WWW.ISO27001SECURITY.COM . 37<br />
ILUSTRACIÓN 9: GESTIÓN <strong>DE</strong> RIESGOS........................................................................................................................................................ 42<br />
ILUSTRACIÓN 10: ESTRUCTURA <strong>DE</strong>L <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> ......................................................................................................................... 44<br />
ILUSTRACIÓN 11: CMM NIVELES <strong>DE</strong> MADUREZ. COBIT 4.0. IT GOVERNANCE INSTITUTE................................................................................. 70<br />
Página 6 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
LISTA <strong>DE</strong> TABLAS<br />
TABLA 1: RELACIÓN <strong>DE</strong> LAS POLÍTICAS Y OBJETIVOS <strong>DE</strong> CONTROL <strong>DE</strong>L <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> SGSI PARA LA ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA CON LAS<br />
NORMAS Y MEJORES PRÁCTICAS <strong>DE</strong> LA INDUSTRIA. ............................................................................................................................... 67<br />
TABLA 2: CLASIFICACIÓN <strong>DE</strong> GRUPOS SEGÚN LA NATURALEZA <strong>DE</strong> LA ENTIDAD..................................................................................................... 68<br />
TABLA 3: CLASIFICACIÓN <strong>DE</strong> CONTROLES SEGÚN EL GRUPO AL QUE PERTENEZCA LA ENTIDAD................................................................................. 68<br />
TABLA 4: CONTROLES <strong>DE</strong> <strong>SEGURIDAD</strong> RECOMENDADOS PARA LAS ENTIDA<strong>DE</strong>S <strong>DE</strong>L GRUPO 1.................................................................................. 76<br />
TABLA 5: CONTROLES <strong>DE</strong> <strong>SEGURIDAD</strong> RECOMENDADOS PARA EL GRUPO 2. ..................................................................................................... 129<br />
TABLA 6: CONTROLES <strong>DE</strong> <strong>SEGURIDAD</strong> RECOMENDADOS PARA LAS ENTIDA<strong>DE</strong>S <strong>DE</strong>L GRUPO 3................................................................................ 197<br />
Página 7 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
Página 8 de 207<br />
<strong>DE</strong>RECHOS <strong>DE</strong> AUTOR<br />
Este docum<strong>en</strong>to pert<strong>en</strong>ece a la Estrategia de <strong>Gobierno</strong> <strong>en</strong> Línea del Ministerio de Comunicaciones de<br />
Colombia, esta prohibida la reproducción total o parcial del cont<strong>en</strong>ido de este docum<strong>en</strong>to sin la<br />
autorización expresa de la Estrategia de <strong>Gobierno</strong> <strong>en</strong> Línea.<br />
Todas las refer<strong>en</strong>cias con derechos reservados.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
Página 9 de 207<br />
CRÉDITOS<br />
Este docum<strong>en</strong>to fue g<strong>en</strong>erado a partir de los resultados de la consultoría llevada a cabo para el diseño del<br />
modelo de seguridad de la información para la Estrategia de <strong>Gobierno</strong> <strong>en</strong> Línea. El desarrollo del proyecto<br />
estuvo a cargo del grupo de consultores contratados por <strong>Gobierno</strong> <strong>en</strong> Línea y el aporte de los<br />
responsables de la supervisión del contrato y demás grupos asesores de la Estrategia de <strong>Gobierno</strong> <strong>en</strong><br />
Línea.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
Página 10 de 207<br />
1. AUDIENCIA<br />
La Dirección del Proyecto, <strong>en</strong>tidades públicas de ord<strong>en</strong> nacional y territorial y <strong>en</strong>tidades privadas,<br />
proveedores de servicios de <strong>Gobierno</strong> <strong>en</strong> Línea y la comunidad académica <strong>en</strong> g<strong>en</strong>eral, que contribuirán con<br />
sus com<strong>en</strong>tarios, observaciones y retro-alim<strong>en</strong>tación a este docum<strong>en</strong>to cuyo propósito es plantear las<br />
mejores prácticas y recom<strong>en</strong>daciones para la creación del Modelo de Seguridad de la Información acorde<br />
con los objetivos y lineami<strong>en</strong>tos de la Estrategia de <strong>Gobierno</strong> <strong>en</strong> Línea.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
Página 11 de 207<br />
2. INTRODUCCIÓN<br />
En esta versión final del docum<strong>en</strong>to, se plantea la estructura institucional recom<strong>en</strong>dada que deberá t<strong>en</strong>er<br />
el modelo de seguridad de la información para la estrategia de <strong>Gobierno</strong> <strong>en</strong> Línea respaldado por los<br />
instrum<strong>en</strong>tos normativos que le permitan t<strong>en</strong>er vida y ser aplicado por las difer<strong>en</strong>tes <strong>en</strong>tidades públicas y<br />
privadas, incluy<strong>en</strong>do los proveedores que pert<strong>en</strong>ezcan a la cad<strong>en</strong>a de prestación de servicios de <strong>Gobierno</strong><br />
<strong>en</strong> Línea (ver docum<strong>en</strong>to “Instrum<strong>en</strong>tos normativos proyectados”).<br />
Como se verá <strong>en</strong> el capítulo 5, el modelo de seguridad se apoyará <strong>en</strong> un Sistema Administrativo Nacional<br />
de Seguridad de la Información –SANSI, para que sus difer<strong>en</strong>tes compon<strong>en</strong>tes, realic<strong>en</strong> tareas y<br />
actividades relacionadas con el ciclo de vida propuesto para el modelo, inc<strong>en</strong>tiv<strong>en</strong> su implem<strong>en</strong>tación y<br />
mejora continua cuando sea adoptado por las <strong>en</strong>tidades destinatarias.<br />
Parte fundam<strong>en</strong>tal de la arquitectura institucional planteada, es la creación de un CSIRT Colombiano, para<br />
el cual, <strong>en</strong> este proyecto, se ti<strong>en</strong><strong>en</strong> propuestos tres difer<strong>en</strong>tes modelos según la naturaleza del CSIRT a<br />
implem<strong>en</strong>tar: a) público -dep<strong>en</strong>di<strong>en</strong>do del Ministerio de Comunicaciones, b) como Asociación sin ánimo de<br />
lucro del sector público y c) como Asociación sin ánimo de lucro con participación Mixta (ver docum<strong>en</strong>to<br />
“Diseño de un CSIRT Colombiano”).<br />
Finalm<strong>en</strong>te, este docum<strong>en</strong>to detalla el Modelo de gestión de seguridad de la información SGSI propiam<strong>en</strong>te<br />
dicho, que será parte de la estructura planteada y que se integrará al ciclo de vida PHVA para que, además<br />
de ser un mecanismo de cumplimi<strong>en</strong>to del modelo, le permita a las difer<strong>en</strong>tes <strong>en</strong>tidades destinatarias<br />
ceñirse a sus políticas, objetivos de control y controles planteados, y de esta forma, mejorar su nivel de<br />
seguridad de la información, para que sean competitivas y al mismo tiempo, provean mayor confianza a los<br />
ciudadanos que hagan uso de sus productos y servicios.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
3. Marco de Refer<strong>en</strong>cia -Sistema de Gestión <strong>en</strong> Seguridad de la<br />
Información -SGSI<br />
3.1. Seguridad de la Información<br />
La seguridad de la información es la preservación de los principios básicos de la confid<strong>en</strong>cialidad,<br />
integridad y disponibilidad de la misma y de los sistemas implicados <strong>en</strong> su tratami<strong>en</strong>to. Estos tres pilares se<br />
defin<strong>en</strong> 1 como:<br />
• Confid<strong>en</strong>cialidad: Acceso a la información por parte únicam<strong>en</strong>te de qui<strong>en</strong>es estén autorizados.<br />
• Integridad: Mant<strong>en</strong>imi<strong>en</strong>to de la exactitud y completitud de la información y sus métodos de<br />
proceso.<br />
• Disponibilidad: Acceso a la información y los sistemas de tratami<strong>en</strong>to de la misma por parte de<br />
los usuarios autorizados cuando lo requieran.<br />
En la seguridad de la información, no solo intervi<strong>en</strong><strong>en</strong> los aspectos tecnológicos, sino también los procesos,<br />
los ambi<strong>en</strong>tes (c<strong>en</strong>tro de cómputo, ubicación de oficinas) y principalm<strong>en</strong>te las personas.<br />
3.2. ISO (International Organization for Standardization)<br />
La ISO es una federación internacional con sede <strong>en</strong> Ginebra (Suiza) de los institutos de normalización de<br />
157 países (uno por cada país). Es una organización no gubernam<strong>en</strong>tal (sus miembros no son delegados<br />
de gobiernos nacionales), puesto que el orig<strong>en</strong> de los institutos de normalización nacionales es difer<strong>en</strong>te <strong>en</strong><br />
cada país (<strong>en</strong>tidad pública, privada).<br />
1 Tomado de “Preguntas más Frecu<strong>en</strong>tes, doc_faq_all.pdf pág. 9”, www.iso27000.es.<br />
Página 12 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
La ISO desarrolla estándares requeridos por el mercado que repres<strong>en</strong>tan un cons<strong>en</strong>so de sus miembros<br />
(previo cons<strong>en</strong>so nacional <strong>en</strong>tre industrias, expertos, gobierno, usuarios, consumidores) acerca de<br />
productos, tecnologías, sistemas y métodos de gestión, <strong>en</strong>tre otros. Estos estándares, por naturaleza, son<br />
de aplicación voluntaria, ya que el carácter no gubernam<strong>en</strong>tal de ISO no le da autoridad legal para forzar<br />
su implantación. Sólo <strong>en</strong> aquellos casos <strong>en</strong> los que un país ha decidido adoptar un determinado estándar<br />
como parte de su legislación, puede convertirse <strong>en</strong> obligatorio.<br />
La ISO garantiza un marco de amplia aceptación mundial a través de sus 3.000 grupos técnicos y más de<br />
50.000 expertos que colaboran <strong>en</strong> el desarrollo de estándares.<br />
3.3. Estándar<br />
Publicación que recoge el trabajo <strong>en</strong> común de los comités de fabricantes, usuarios, organizaciones,<br />
departam<strong>en</strong>tos de gobierno y consumidores, que conti<strong>en</strong>e las especificaciones técnicas y mejores prácticas<br />
<strong>en</strong> la experi<strong>en</strong>cia profesional con el objeto de ser utilizada como regulación, guía o definición para las<br />
necesidades demandadas por la sociedad y tecnología.<br />
3.4. Icontec2<br />
El Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC), es un organismo de carácter<br />
privado, sin ánimo de lucro, que trabaja para fom<strong>en</strong>tar la normalización, la certificación, la metrología y la<br />
gestión de la calidad <strong>en</strong> Colombia. Está conformado por la vinculación voluntaria de repres<strong>en</strong>tantes del<br />
<strong>Gobierno</strong> Nacional, de los sectores privados de la producción, distribución y consumo, el sector tecnológico<br />
<strong>en</strong> sus difer<strong>en</strong>tes ramas y por todas aquellas personas jurídicas y naturales que t<strong>en</strong>gan interés <strong>en</strong><br />
pert<strong>en</strong>ecer a él.<br />
En el campo de la normalización, la misión del Instituto es promover, desarrollar y guiar la aplicación de<br />
Normas Técnicas Colombianas (NTC) y otros docum<strong>en</strong>tos normativos, con el fin de alcanzar una economía<br />
óptima de conjunto, el mejorami<strong>en</strong>to de la calidad y también facilitar las relaciones cli<strong>en</strong>te-proveedor, <strong>en</strong> el<br />
ámbito empresarial nacional o internacional.<br />
ICONTEC, como Organismo Nacional de Normalización (ONN) repres<strong>en</strong>ta a Colombia ante organismos de<br />
normalización internacionales y regionales como la Organización Internacional de Normalización (ISO), la<br />
2 Tomado de www.icontec.org “Qui<strong>en</strong>es Somos”.<br />
Página 13 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
Comisión Electrotécnica Internacional (IEC), y la Comisión Panamericana de Normas de la Cu<strong>en</strong>ca del<br />
Pacífico (COPANT).<br />
3.5. Norma ISO27001<br />
Es un estándar ISO que proporciona un modelo para establecer, implem<strong>en</strong>tar, utilizar, monitorizar, revisar,<br />
mant<strong>en</strong>er y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). Se basa <strong>en</strong> el ciclo de<br />
vida PDCA (Planear-Hacer-Verificar-Actuar; o ciclo de Deming) de mejora continua, al igual que otras<br />
normas de sistemas de gestión (ISO 9001 para calidad, ISO 14001 para medio ambi<strong>en</strong>te, etc.).<br />
Este estándar es certificable, es decir, cualquier organización que t<strong>en</strong>ga implantado un SGSI según este<br />
modelo, puede solicitar una auditoria externa por parte de una <strong>en</strong>tidad acreditada y, tras superar con éxito<br />
la misma, recibir la certificación <strong>en</strong> ISO 27001.<br />
El orig<strong>en</strong> de la Norma ISO27001 está <strong>en</strong> el estándar británico BSI (British Standards Institution) BS7799-<br />
Parte 2, estándar que fue publicado <strong>en</strong> 1998 y era certificable desde <strong>en</strong>tonces. Tras la adaptación<br />
pertin<strong>en</strong>te, ISO 27001 fue publicada el 15 de Octubre de 2005.<br />
Puede consultar la historia de ISO27001 <strong>en</strong> el sigui<strong>en</strong>te link:<br />
http://www.iso27000.es/download/HistoriaISO27001.pps<br />
3.5.1. Serie ISO27000<br />
ISO ha reservado la serie de numeración 27000 para las normas relacionadas con sistemas de gestión de<br />
seguridad de la información. En el 2005 incluyó <strong>en</strong> ella la primera de la serie (ISO 27001), las demás son:<br />
• ISO27000 (términos y definiciones),<br />
• ISO27002 (objetivos de control y controles),<br />
• ISO27003 (guía de implantación de un SGSI),<br />
• ISO27004 (métricas y técnicas de medida de la efectividad de un SGSI),<br />
• ISO27005 (guía para la gestión del riesgo de seguridad de la información) y<br />
• ISO27006 (proceso de acreditación de <strong>en</strong>tidades de certificación y el registro de SGSI).<br />
Página 14 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
3.5.2. Relación de la Norma ISO27001 con otros estándares de seguridad de la<br />
Información<br />
Exist<strong>en</strong> otros estándares internacionalm<strong>en</strong>te aceptados relacionados con seguridad de la información<br />
(COBIT 3 , NIST 4 , AS/NZ4360 5 , <strong>en</strong>tre otros), que la <strong>en</strong>focan desde difer<strong>en</strong>tes puntos de vista como controles<br />
de seguridad, bu<strong>en</strong> gobierno, gestión de riesgo etc. Para este particular, se ha realizado un informe de<br />
interrelación de estándares de seguridad recom<strong>en</strong>dados y se incluye un mapa que detalla estas relaciones<br />
tomando como pivote la m<strong>en</strong>cionada norma ISO27001. Ver “Anexo 1 -Mapa de Interrelación de Estándares<br />
de Seguridad de la Información”.<br />
3.6. Sistema de Gestión de la Seguridad de la Información -SGSI<br />
Un SGSI es un Sistema de Gestión de la Seguridad de la Información o ISMS por sus siglas <strong>en</strong> inglés<br />
(Information Security Managem<strong>en</strong>t System). Este sistema consiste de una serie de actividades de gestión<br />
que deb<strong>en</strong> realizarse mediante procesos sistemáticos, docum<strong>en</strong>tados y conocidos por una organización o<br />
<strong>en</strong>tidad.<br />
3 COBIT: Los Objetivos de Control para la Información y la Tecnología relacionada (COBIT®) brindan bu<strong>en</strong>as prácticas a través de un marco de trabajo de<br />
dominios y procesos, y pres<strong>en</strong>ta las actividades <strong>en</strong> una estructura manejable y lógica. Las bu<strong>en</strong>as prácticas de COBIT repres<strong>en</strong>tan el cons<strong>en</strong>so de los<br />
expertos. Están <strong>en</strong>focadas fuertem<strong>en</strong>te <strong>en</strong> el control y m<strong>en</strong>os <strong>en</strong> la ejecución. Estas prácticas ayudarán a optimizar las inversiones facilitadas por la TI,<br />
asegurarán la <strong>en</strong>trega del servicio y brindarán una medida contra la cual juzgar cuando las cosas no vayan bi<strong>en</strong>. El Instituto ITGI Governance Institute<br />
(www.itgi.org) diseñó y creó esta publicación titulada COBIT® como un recurso educacional para los directores ejecutivos de información, para la dirección<br />
g<strong>en</strong>eral, y para los profesionales de administración y control de TI. Más información <strong>en</strong> la página www.itgi.org<br />
4 NIST: National Institute of Standards and Technology, Elabora y promueve patrones de medición, estándares y tecnología con el fin de realzar la<br />
productividad, facilitar el comercio y mejorar la calidad de vida. Destinados principalm<strong>en</strong>te para el <strong>Gobierno</strong> de EE.UU. las fuerzas militares y el sector<br />
comercial, pero pued<strong>en</strong> ser adaptados a cualquier contexto. Las publicaciones del NIST, son estándares concisos y claros, disponibles de forma gratuita. NIST<br />
ti<strong>en</strong>e una división especial destinada para publicaciones relacionadas <strong>en</strong> seguridad de la información: Computer Security Division –Resource C<strong>en</strong>ter<br />
http://csrc.nist.gov/<br />
5 AS/NZ4360: Norma Australiana – Neocelandesa que suministra ori<strong>en</strong>taciones g<strong>en</strong>éricas para la gestión de riesgos. Puede aplicarse a una gran variedad de<br />
actividades, decisiones u operaciones de cualquier <strong>en</strong>tidad pública, privada o comunitaria, grupos o individuos. Se trata de una instrucción amplia pero que<br />
permite la definición de objetivos específicos de acuerdo con las necesidades de cada implem<strong>en</strong>tación. La aplicación de la norma AS/NZS 4360, le garantiza a<br />
la organización una base sólida para la aplicación de cualquier otra norma o metodología de gestión de riesgos específica para un determinado segm<strong>en</strong>to. Ver<br />
más información <strong>en</strong>: http://www.riskmanagem<strong>en</strong>t.com.au/<br />
Página 15 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
El propósito 6 de un sistema de gestión de la seguridad de la información no es garantizar la seguridad –<br />
que nunca podrá ser absoluta- sino garantizar que los riesgos de la seguridad de la información son<br />
conocidos, asumidos, gestionados y minimizados por la organización de una forma docum<strong>en</strong>tada,<br />
sistemática, estructurada, continua, repetible, efici<strong>en</strong>te y adaptada a los cambios que se produzcan <strong>en</strong> la<br />
organización, los riesgos, el <strong>en</strong>torno y las tecnologías.<br />
El SGSI protege los activos de información de una organización, indep<strong>en</strong>di<strong>en</strong>tem<strong>en</strong>te del medio <strong>en</strong> que se<br />
<strong>en</strong>cu<strong>en</strong>tr<strong>en</strong>; p. ej., correos electrónicos, informes, escritos relevantes, páginas web, imág<strong>en</strong>es,<br />
docum<strong>en</strong>tos, hojas de cálculo, faxes, pres<strong>en</strong>taciones, contratos, registros de cli<strong>en</strong>tes, información<br />
confid<strong>en</strong>cial de trabajadores y colaboradores, <strong>en</strong>tre otros.<br />
3.6.1. B<strong>en</strong>eficios de la implantación de un SGSI<br />
Aplica una arquitectura de gestión de la seguridad que id<strong>en</strong>tifica y evalúa los riesgos que afectan al<br />
negocio, con el objetivo de implantar contramedidas, procesos y procedimi<strong>en</strong>tos para su apropiado control,<br />
tratami<strong>en</strong>to y mejora continua.<br />
Ayuda a las empresas a gestionar de una forma eficaz la seguridad de la información, evitando las<br />
inversiones innecesarias, inefici<strong>en</strong>tes o mal dirigidas que se produc<strong>en</strong> por contrarrestar am<strong>en</strong>azas sin una<br />
evaluación previa, por desestimar riesgos, por la falta de contramedidas, por implantar controles<br />
desproporcionados y de un costo más elevado del necesario, por el retraso <strong>en</strong> las medidas de seguridad <strong>en</strong><br />
relación a la dinámica de cambio interno de la propia organización y del <strong>en</strong>torno, por la falta de claridad <strong>en</strong><br />
la asignación de funciones y responsabilidades sobre los activos de información, por la aus<strong>en</strong>cia de<br />
procedimi<strong>en</strong>tos que garantic<strong>en</strong> la respuesta puntual y adecuada ante incid<strong>en</strong>cias o la propia continuidad<br />
del negocio, etc.<br />
3.6.2. Justificación de la implem<strong>en</strong>tación de un SGSI<br />
La información, junto a los procesos, personas y sistemas que hac<strong>en</strong> uso de ella, son activos muy<br />
importantes d<strong>en</strong>tro de una organización. La confid<strong>en</strong>cialidad, integridad y disponibilidad de información<br />
s<strong>en</strong>sitiva son elem<strong>en</strong>tos es<strong>en</strong>ciales para mant<strong>en</strong>er los niveles de competitividad, r<strong>en</strong>tabilidad, conformidad<br />
legal e imag<strong>en</strong> empresarial necesarios para lograr los objetivos de la organización y asegurar b<strong>en</strong>eficios<br />
económicos.<br />
Las organizaciones y sus sistemas de información están expuestos a un número cada vez más elevado de<br />
am<strong>en</strong>azas que, aprovechando cualquiera de las vulnerabilidades exist<strong>en</strong>tes –inher<strong>en</strong>tes a los activos,<br />
pued<strong>en</strong> someter a los mismos a diversas formas de fraude, espionaje, sabotaje o vandalismo, <strong>en</strong>tre<br />
otros. Los virus informáticos, el “hacking” o los ataques de negación de servicio son algunos ejemplos<br />
comunes y conocidos, pero también se deb<strong>en</strong> considerar los riesgos de sufrir incid<strong>en</strong>tes de seguridad<br />
causados voluntaria o involuntariam<strong>en</strong>te desde d<strong>en</strong>tro de la propia organización o aquellos provocados<br />
accid<strong>en</strong>talm<strong>en</strong>te por catástrofes naturales y fallas técnicos.<br />
6 Tomado de “Preguntas más Frecu<strong>en</strong>tes, doc_faq_all pág. 8”, www.iso27000.es<br />
Página 16 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
El cumplimi<strong>en</strong>to de la legalidad, la adaptación dinámica y puntual a las condiciones variables del<br />
<strong>en</strong>torno, la protección adecuada de los objetivos de negocio para asegurar el máximo b<strong>en</strong>eficio o<br />
el aprovechami<strong>en</strong>to de nuevas oportunidades de negocio, son algunos de los aspectos<br />
fundam<strong>en</strong>tales <strong>en</strong> los que el SGSI es una herrami<strong>en</strong>ta de gran utilidad y de importante<br />
ayuda para la gestión de las organizaciones.<br />
El nivel de seguridad alcanzado por medios y controles técnicos es limitado e insufici<strong>en</strong>te. En la gestión<br />
efectiva de la seguridad, debe tomar parte activa toda la organización apoyada por la Alta Dirección,<br />
tomando <strong>en</strong> consideración también a cli<strong>en</strong>tes y proveedores de bi<strong>en</strong>es y servicios. El modelo de<br />
gestión de la seguridad debe contemplar políticas y procedimi<strong>en</strong>tos adecuados y la planificación e<br />
implantación de controles de seguridad basados <strong>en</strong> una evaluación de riesgos y <strong>en</strong> una medición de la<br />
eficacia de los mismos.<br />
Ilustración 1: Relación <strong>en</strong>tre am<strong>en</strong>azas – activos – riesgos – controles<br />
El Modelo de gestión de seguridad de la información (SGSI) ayuda a establecer estas políticas y<br />
procedimi<strong>en</strong>tos <strong>en</strong> relación a los objetivos de negocio de la organización, con objeto de mant<strong>en</strong>er un nivel<br />
de exposición siempre m<strong>en</strong>or al nivel de riesgo que la propia organización ha decidido asumir.<br />
Con un sistema SGSI, la organización conoce los riesgos a los que está sometida su información y<br />
activos y los asume, minimiza, transfiere o controla mediante una metodología definida,<br />
docum<strong>en</strong>tada y conocida por todos, que se revisa y mejora constantem<strong>en</strong>te.<br />
Página 17 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
4. Compon<strong>en</strong>tes Principales de un Sistema de Gestión de la Seguridad<br />
de la Información –SGSI<br />
De manera específica, ISO 27001 indica que un SGSI debe estar formado por los sigui<strong>en</strong>tes<br />
docum<strong>en</strong>tos (<strong>en</strong> cualquier formato o tipo de medio):<br />
• Alcance del SGSI: ámbito de la organización que queda sometido al SGSI, incluy<strong>en</strong>do una<br />
id<strong>en</strong>tificación clara de las dep<strong>en</strong>d<strong>en</strong>cias, relaciones y límites que exist<strong>en</strong> <strong>en</strong>tre el alcance y aquellas<br />
partes que no hayan sido consideradas (<strong>en</strong> aquellos casos <strong>en</strong> los que el ámbito de influ<strong>en</strong>cia del<br />
SGSI considere un subconjunto de la organización como delegaciones, divisiones, áreas, procesos,<br />
sistemas o tareas concretas).<br />
• Política y objetivos de seguridad: docum<strong>en</strong>to de cont<strong>en</strong>ido g<strong>en</strong>érico que establece el<br />
compromiso de la Alta Dirección y el <strong>en</strong>foque de la organización <strong>en</strong> la gestión de la seguridad de la<br />
información.<br />
• Estándares, Procedimi<strong>en</strong>tos, y Guías que soportan el SGSI: aquellos docum<strong>en</strong>tos y<br />
mecanismos que regulan el propio funcionami<strong>en</strong>to del SGSI. Docum<strong>en</strong>tación necesaria para<br />
asegurar la planificación, operación y control de los procesos de seguridad de la información, así<br />
como para la medida de la eficacia de los controles implantados -Métricas.<br />
• Metodología de Evaluación de riesgos: descripción de la metodología a emplear (cómo se<br />
realizará la evaluación de las am<strong>en</strong>azas, vulnerabilidades, probabilidades de ocurr<strong>en</strong>cia e impactos<br />
<strong>en</strong> relación a los activos de información cont<strong>en</strong>idos d<strong>en</strong>tro del alcance seleccionado), tratami<strong>en</strong>to y<br />
desarrollo de criterios de aceptación de riesgo y fijación de niveles de riesgo aceptables.<br />
• Informe de evaluación de riesgos –Risk Assessm<strong>en</strong>t: estudio resultante de aplicar la<br />
metodología de evaluación anteriorm<strong>en</strong>te m<strong>en</strong>cionada a los activos de información de la<br />
organización.<br />
• Plan de tratami<strong>en</strong>to de riesgos: docum<strong>en</strong>to que id<strong>en</strong>tifica las acciones de la Alta Dirección, los<br />
recursos, las responsabilidades y las prioridades para gestionar los riesgos de seguridad de la<br />
información, <strong>en</strong> función de las conclusiones obt<strong>en</strong>idas de la evaluación de riesgos, de los objetivos<br />
de control id<strong>en</strong>tificados, de los recursos disponibles, etc.<br />
Página 18 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
• Registros: docum<strong>en</strong>tos que proporcionan evid<strong>en</strong>cias de la conformidad con los requisitos y del<br />
funcionami<strong>en</strong>to eficaz del SGSI.<br />
• Declaración de aplicabilidad: (SOA -Statem<strong>en</strong>t of Applicability-, <strong>en</strong> sus siglas <strong>en</strong> inglés);<br />
docum<strong>en</strong>to que conti<strong>en</strong>e los objetivos de control y los controles contemplados por el SGSI, basado<br />
<strong>en</strong> los resultados de los procesos de evaluación y tratami<strong>en</strong>to de riesgos, justificando inclusiones y<br />
exclusiones.<br />
Ilustración 2: Puntos importantes para la Declaración de Aplicabilidad -SOA. Tomado de Estrategias clave<br />
para la implantación de ISO 27001, por Kk Mookhey y Khushbu Jithra.<br />
• Control de la docum<strong>en</strong>tación: Para los docum<strong>en</strong>tos g<strong>en</strong>erados y que hac<strong>en</strong> parte del sistema<br />
SGSI se debe establecer, docum<strong>en</strong>tar, implantar y mant<strong>en</strong>er un procedimi<strong>en</strong>to que defina las<br />
acciones de gestión necesarias para:<br />
La Alta Dirección debe aprobar docum<strong>en</strong>tos antes de su publicación.<br />
Revisar y actualizar docum<strong>en</strong>tos cuando sea necesario y r<strong>en</strong>ovar su validez.<br />
Garantizar que los cambios y el estado actual de revisión de los docum<strong>en</strong>tos están<br />
id<strong>en</strong>tificados.<br />
Garantizar que las versiones relevantes de docum<strong>en</strong>tos vig<strong>en</strong>tes están disponibles <strong>en</strong> los<br />
lugares de empleo.<br />
Garantizar que los docum<strong>en</strong>tos se manti<strong>en</strong><strong>en</strong> legibles y fácilm<strong>en</strong>te id<strong>en</strong>tificables.<br />
Página 19 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
Garantizar que los docum<strong>en</strong>tos permanec<strong>en</strong> disponibles para aquellas personas que los<br />
necesit<strong>en</strong> y que son transmitidos, almac<strong>en</strong>ados y finalm<strong>en</strong>te destruidos acorde con los<br />
procedimi<strong>en</strong>tos aplicables según su clasificación.<br />
Garantizar que los docum<strong>en</strong>tos proced<strong>en</strong>tes del exterior están id<strong>en</strong>tificados.<br />
Garantizar que la distribución de docum<strong>en</strong>tos está controlada.<br />
Prev<strong>en</strong>ir la utilización de docum<strong>en</strong>tos obsoletos.<br />
Aplicar la id<strong>en</strong>tificación apropiada a docum<strong>en</strong>tos que son ret<strong>en</strong>idos con algún propósito.<br />
Ilustración 3: Principales compon<strong>en</strong>tes de un SGSI. Derechos reservados Andrés Velásquez.<br />
avelazquez@dodomex.com<br />
Página 20 de 207
5.1. Introducción<br />
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
Página 21 de 207<br />
5. ESTRUCTURA INSTITUCIONAL<br />
<strong>Gobierno</strong> <strong>en</strong> Línea es una estrategia del Ministerio de Comunicaciones de Colombia 7 establecido como una<br />
política de estado, dirigida a contribuir con un sector productivo más competitivo, un estado moderno y<br />
una comunidad con mayores oportunidades para el desarrollo, al aprovechar las v<strong>en</strong>tajas que las nuevas<br />
tecnologías ofrec<strong>en</strong>. La estrategia de <strong>Gobierno</strong> <strong>en</strong> Línea contribuye mediante el aprovechami<strong>en</strong>to de las<br />
Tecnologías de la Información y las Comunicaciones -TIC, a la construcción de un Estado más efici<strong>en</strong>te,<br />
más transpar<strong>en</strong>te, más participativo y <strong>en</strong> el que se prest<strong>en</strong> mejores servicios a los ciudadanos y a las<br />
empresas.<br />
En este s<strong>en</strong>tido, la Estrategia <strong>Gobierno</strong> <strong>en</strong> Línea persigue tres objetivos estratégicos:<br />
• Mejorar la provisión de servicios a los ciudadanos y a las empresas<br />
• Fortalecer la transpar<strong>en</strong>cia del Estado y la participación ciudadana<br />
• Mejorar la efici<strong>en</strong>cia del Estado<br />
Para dar cumplimi<strong>en</strong>to a sus objetivos estratégicos, la Estrategia de <strong>Gobierno</strong> <strong>en</strong> Línea está organizado por<br />
los procesos necesarios para promover <strong>en</strong> la administración pública el aprovechami<strong>en</strong>to de las TIC, a fin de<br />
desarrollar conjuntam<strong>en</strong>te con las instituciones, y de manera gradual, servicios electrónicos dirigidos a la<br />
ciudadanía, las empresas y el Estado.<br />
7 Tomado de: http://www.gobierno<strong>en</strong>linea.gov.co/home_principal.aspx. Fecha de acceso: 2008/10/10. Publicado por el Ministerio de<br />
Comunicaciones. Autor: No determinado.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
Estos tres últimos aspectos se defin<strong>en</strong> de la sigui<strong>en</strong>te manera 8 ;<br />
• Comunidad: Fom<strong>en</strong>tar el uso de las Tecnologías de la Información para mejorar la calidad de vida de<br />
la comunidad, ofreci<strong>en</strong>do un acceso equitativo a las oportunidades de educación, trabajo, justicia,<br />
cultura, recreación, <strong>en</strong>tre otros.<br />
• Sector Productivo: Fom<strong>en</strong>tar el uso de las tecnologías de la información y las comunicaciones como<br />
soporte al crecimi<strong>en</strong>to y aum<strong>en</strong>to de la competitividad, el acceso a mercados para el sector productivo,<br />
y como refuerzo a la política de g<strong>en</strong>eración de empleo.<br />
• Estado: Proveer al Estado la conectividad que facilite la gestión de los organismos gubernam<strong>en</strong>tales y<br />
apoye la función de servicio al ciudadano.<br />
A través de este programa, el <strong>Gobierno</strong> Nacional brindará <strong>en</strong> primera instancia, la información necesaria<br />
para difundir el conocimi<strong>en</strong>to e inc<strong>en</strong>tivar la apropiación de las tecnologías de la información hacia las<br />
comunidades, de tal forma que estas, al ser qui<strong>en</strong>es mejor conoc<strong>en</strong> sus necesidades, intereses y<br />
perspectivas, particip<strong>en</strong> activam<strong>en</strong>te <strong>en</strong> el proceso mediante la formulación de requerimi<strong>en</strong>tos puntuales<br />
aplicables para su propio progreso.<br />
5.2. Sistema Administrativo Nacional de Seguridad de la Información -SANSI<br />
El Modelo de Seguridad de la Información para la Estrategia de <strong>Gobierno</strong> <strong>en</strong> Línea, se apoya <strong>en</strong> la creación<br />
del Sistema Administrativo Nacional de Seguridad de la Información –SANSI, institución que le da la<br />
facultad al Presid<strong>en</strong>te de la República de conformar la Comisión Nacional de Seguridad de la Información<br />
para tomar acciones estratégicas y definir los lineami<strong>en</strong>tos que permitan la implem<strong>en</strong>tación, seguimi<strong>en</strong>to y<br />
mant<strong>en</strong>imi<strong>en</strong>to de las políticas y controles del Modelo de Seguridad 9 <strong>en</strong> cada una de las <strong>en</strong>tidades públicas<br />
de ord<strong>en</strong> nacional y territorial y <strong>en</strong> las <strong>en</strong>tidades privadas que pert<strong>en</strong>ezcan a la cad<strong>en</strong>a de prestación de<br />
8 Tomado de: Ag<strong>en</strong>da de Conectividad, CONPES 3072.<br />
9 Modelo de Seguridad: Cabe aclarar que exist<strong>en</strong> dos connotaciones para el término d<strong>en</strong>tro de este docum<strong>en</strong>to. En los capítulos 1, 2 y 3, se hace<br />
refer<strong>en</strong>cia al modelo <strong>en</strong> cuanto a que el objetivo de la consultoría es definir un modelo de seguridad como “un todo” para la estrategia de gobierno<br />
<strong>en</strong> <strong>línea</strong>. A partir del numeral 3.2; se hace refer<strong>en</strong>cia al “modelo de seguridad” como un producto del sistema SANSI, <strong>en</strong>t<strong>en</strong>di<strong>en</strong>do el modelo <strong>en</strong> su<br />
definición técnica como el conjunto de políticas estratégicas que soportan los objetivos de <strong>Gobierno</strong> <strong>en</strong> Línea; estas políticas a su vez, son<br />
soportadas por controles. Este conjunto de políticas y controles que conforman el modelo de seguridad, deberá ser implem<strong>en</strong>tado por cada una de<br />
las <strong>en</strong>tidades objetivo, convirti<strong>en</strong>do a este modelo <strong>en</strong> un sistema de gestión SGSI. Para mayor información del modelo de seguridad técnico,<br />
remitirse al capítulo número 6. Modelo SGSI.<br />
Página 22 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
servicios de <strong>Gobierno</strong> <strong>en</strong> Línea y <strong>en</strong> las <strong>en</strong>tidades privadas que provean acceso a Internet a los ciudadanos<br />
que ingres<strong>en</strong> a los servicios de <strong>Gobierno</strong> <strong>en</strong> Línea.<br />
Gracias a mecanismos normativos que se están planteando <strong>en</strong> el marco de esta consultoría, se podrán<br />
s<strong>en</strong>tar las herrami<strong>en</strong>tas para la creación del Sistema Administrativo Nacional de Seguridad de la<br />
Información, lo cual constituye un paso muy importante para el cumplimi<strong>en</strong>to de los principios definidos <strong>en</strong><br />
la Estrategia de <strong>Gobierno</strong> <strong>en</strong> Línea que correspond<strong>en</strong> a la "Protección de la información del individuo" y la<br />
"Credibilidad y confianza <strong>en</strong> el <strong>Gobierno</strong> <strong>en</strong> Línea".<br />
En particular, para lograr el cumplimi<strong>en</strong>to de estos principios, se requiere que tanto los Servicios de<br />
<strong>Gobierno</strong> <strong>en</strong> Línea como la Intranet Gubernam<strong>en</strong>tal y las <strong>en</strong>tidades que particip<strong>en</strong> <strong>en</strong> la cad<strong>en</strong>a de<br />
prestación de los servicios de <strong>Gobierno</strong> <strong>en</strong> Línea cumplan con los tres elem<strong>en</strong>tos fundam<strong>en</strong>tales de la<br />
Seguridad de la Información a saber: disponibilidad de la información y los servicios; integridad de la<br />
información y los datos; y, confid<strong>en</strong>cialidad de la información. Para la correcta administración de la<br />
Seguridad de la Información, se deb<strong>en</strong> establecer y mant<strong>en</strong>er programas y mecanismos que busqu<strong>en</strong><br />
cumplir con los tres requerimi<strong>en</strong>tos m<strong>en</strong>cionados.<br />
Es así, como producto de esta consultoría, se propone la creación del Sistema Administrativo Nacional de<br />
Seguridad de la Información (SANSI), cuyo eje c<strong>en</strong>tral es la Comisión Nacional de seguridad de la<br />
Información (CNSI) (ver Ilustración 4). El SANSI surge, <strong>en</strong>tonces, como un sistema institucional que reúne<br />
a todos los actores públicos, privados, la academia y la sociedad civil involucrados <strong>en</strong> la seguridad nacional<br />
de la información. Así mismo, incorpora el conjunto de reglas y normas que rig<strong>en</strong> las interacciones <strong>en</strong>tre<br />
estos actores.<br />
En este s<strong>en</strong>tido, el SANSI coordinará las actividades relacionadas con la formulación, ejecución,<br />
seguimi<strong>en</strong>to y mant<strong>en</strong>imi<strong>en</strong>to de las políticas y lineami<strong>en</strong>tos necesarios para fortalecer la adecuada gestión<br />
de la seguridad de la información nacional:<br />
Ilustración 4: Sistema Administrativo Nacional de Seguridad de la Información -SANSI<br />
Página 23 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
Finalm<strong>en</strong>te, el Sistema Administrativo Nacional de Seguridad de la Información -SANSI, es el conjunto<br />
sistematizado de Lineami<strong>en</strong>tos, Políticas, Normas, Procesos e Instituciones que prove<strong>en</strong> y promuev<strong>en</strong> la<br />
puesta <strong>en</strong> marcha, supervisión y control del modelo de Seguridad de la Información para la Estrategia de<br />
<strong>Gobierno</strong> <strong>en</strong> Línea.<br />
A continuación, se detallan cada una de las características de cada uno de los actores que compon<strong>en</strong> el<br />
sistema SANSI:<br />
5.3. Comisión Nacional de Seguridad de la Información<br />
La Comisión Nacional de Seguridad de la Información (CNSI) es el órgano asesor del <strong>Gobierno</strong><br />
Nacional y de concertación <strong>en</strong>tre éste, las <strong>en</strong>tidades destinatarias y la sociedad civil <strong>en</strong> temas relacionados<br />
con la seguridad de la información del país y de sus territorios, con el fin de g<strong>en</strong>erar credibilidad y<br />
confianza <strong>en</strong> <strong>Gobierno</strong> <strong>en</strong> Línea protegi<strong>en</strong>do la información de las <strong>en</strong>tidades y de los ciudadanos. La<br />
Comisión apoyará al Presid<strong>en</strong>te de la República <strong>en</strong> la dirección del SANSI.<br />
Como se puede observar <strong>en</strong> la ilustración 5, el compon<strong>en</strong>te principal del sistema SANSI es la Comisión<br />
Nacional de Seguridad de la Información, la cual, provee un espacio de <strong>en</strong>cu<strong>en</strong>tro de todos los actores<br />
involucrados <strong>en</strong> temas de Seguridad Nacional para aprobar las políticas <strong>en</strong> materia de seguridad de<br />
información nacional, definir el curso de acciones a seguir y hacer seguimi<strong>en</strong>to para asegurar su<br />
cumplimi<strong>en</strong>to y su mant<strong>en</strong>imi<strong>en</strong>to:<br />
Ilustración 5: Comisión Nacional de Seguridad de la Información<br />
Página 24 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
El modelo de seguridad de la información planteado obedece las directrices establecidas por la Comisión<br />
Nacional de Seguridad de la Información, compuesta por repres<strong>en</strong>tantes de los difer<strong>en</strong>tes sectores<br />
responsables e interesados <strong>en</strong> la seguridad nacional y cuya función es asesorar al Presid<strong>en</strong>te de la<br />
República y al <strong>Gobierno</strong> Nacional <strong>en</strong> la formulación y adopción de los lineami<strong>en</strong>tos del Modelo de Seguridad<br />
de la Información, <strong>en</strong> concordancia con los planes y programas de la Estrategia de <strong>Gobierno</strong> <strong>en</strong> Línea.<br />
La Comisión Nacional de Seguridad de la Información, está compuesta por los sigui<strong>en</strong>tes miembros que<br />
t<strong>en</strong>drán voz y voto 10 :<br />
o El Presid<strong>en</strong>te de la República, qui<strong>en</strong> la presidirá.<br />
Justificación: Es el jefe de Estado, jefe del gobierno y suprema autoridad<br />
administrativa, ti<strong>en</strong>e las compet<strong>en</strong>cias para tomar decisiones estratégicas<br />
relacionadas con la seguridad de la información nacional. Aprueba leyes, decretos y<br />
actos jurídicos para dar soporte y cumplimi<strong>en</strong>to al sistema SANSI.<br />
o El Ministro de Comunicaciones, qui<strong>en</strong> ejercerá la coordinación g<strong>en</strong>eral.<br />
Justificación: Dado que el sistema SANSI y sus difer<strong>en</strong>tes compon<strong>en</strong>tes son adscritos<br />
al Ministerio de Comunicaciones, este último coordinará las actividades al interior de<br />
la Comisión. Junto con el Director Nacional de Seguridad de la Información,<br />
pres<strong>en</strong>tará los informes, las políticas, los controles y resultados del modelo de<br />
seguridad, y sus ajustes propuestos, para que sean estudiados y sometidos a<br />
aprobación por parte de la Comisión. Los ajustes del modelo de seguridad<br />
aprobados por la Comisión, serán incluidos <strong>en</strong> la nueva versión del modelo a ser<br />
implem<strong>en</strong>tado <strong>en</strong> el sigui<strong>en</strong>te ciclo de vida del sistema SANSI.<br />
o El Ministro del Interior y de Justicia, como repres<strong>en</strong>tante del gobierno.<br />
Justificación: Jefe superior de las <strong>en</strong>tidades del gobierno y legales adscritas al<br />
ministerio. Actúa <strong>en</strong> repres<strong>en</strong>tación del Presid<strong>en</strong>te de la República <strong>en</strong> las funciones<br />
que el le delegue o la ley le confiera. Participa <strong>en</strong> la ori<strong>en</strong>tación, coordinación y<br />
control de las <strong>en</strong>tidades adscritas y vinculadas pert<strong>en</strong>eci<strong>en</strong>tes al Sector<br />
Administrativo del Interior y de Justicia. Formula las políticas sectoriales, planes<br />
g<strong>en</strong>erales, programas y proyectos del Sector Administrativo del Interior y de<br />
Justicia, bajo la dirección del Presid<strong>en</strong>te de la República. Repres<strong>en</strong>ta, <strong>en</strong> los asuntos<br />
de su compet<strong>en</strong>cia, al <strong>Gobierno</strong> Nacional <strong>en</strong> la ejecución de tratados y conv<strong>en</strong>ios<br />
10 Para la justificación de cada miembro de la Comisión, se tomaron algunas funciones que aparec<strong>en</strong> publicadas <strong>en</strong> las páginas Internet oficiales de cada<br />
<strong>en</strong>tidad.<br />
Página 25 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
internacionales, de acuerdo con las normas legales sobre la materia. Coordina la<br />
actividad del Ministerio, <strong>en</strong> lo relacionado con su misión y objetivos, con las<br />
Entidades Públicas del ord<strong>en</strong> nacional y desc<strong>en</strong>tralizado territorialm<strong>en</strong>te y por<br />
servicios, el Congreso de la República, la Rama Judicial, la Registraduría Nacional<br />
del Estado Civil y los organismos de control. Imparte instrucciones a la Policía<br />
Nacional para la conservación y el restablecimi<strong>en</strong>to del ord<strong>en</strong> público interno <strong>en</strong><br />
aquellos asuntos cuya dirección no corresponda al Ministro de Def<strong>en</strong>sa Nacional.<br />
Planea, coordina, formula políticas y traza directrices que ori<strong>en</strong>t<strong>en</strong> los rumbos del<br />
sistema jurídico del país y del sistema de justicia. Prepara e impulsa proyectos de<br />
ley y actos legislativos ante el Congreso de la República. Promueve d<strong>en</strong>tro de las<br />
instancias respectivas y con la colaboración de las <strong>en</strong>tidades estatales compet<strong>en</strong>tes,<br />
la cooperación internacional <strong>en</strong> los asuntos de su compet<strong>en</strong>cia.<br />
o El Ministro de Def<strong>en</strong>sa Nacional, como responsable de la Seguridad Nacional.<br />
Justificación: Participa <strong>en</strong> la definición, desarrollo y ejecución de las políticas de<br />
def<strong>en</strong>sa y seguridad nacionales, para garantizar la soberanía nacional, la<br />
indep<strong>en</strong>d<strong>en</strong>cia, la integridad territorial y el ord<strong>en</strong> constitucional, el mant<strong>en</strong>imi<strong>en</strong>to<br />
de las condiciones necesarias para el ejercicio y el derecho de libertades públicas, y<br />
para asegurar que los habitantes de Colombia convivan <strong>en</strong> paz. Contribuye con los<br />
demás organismos del Estado para alcanzar las condiciones necesarias para el<br />
ejercicio de los derechos, obligaciones y libertades públicas. Coadyuva al<br />
mant<strong>en</strong>imi<strong>en</strong>to de la paz y la tranquilidad de los colombianos <strong>en</strong> procura de la<br />
seguridad que facilite el desarrollo económico, la protección y conservación de los<br />
recursos naturales y la promoción y protección de los Derechos Humanos. Ori<strong>en</strong>ta,<br />
coordina y controla, <strong>en</strong> la forma contemplada por las respectivas leyes y estructuras<br />
orgánicas, las superint<strong>en</strong>d<strong>en</strong>cias, las <strong>en</strong>tidades desc<strong>en</strong>tralizadas y las sociedades de<br />
economía mixta que a cada uno de ellos estén adscritas o vinculadas.<br />
o El Ministro de Comercio, Industria y Turismo, rector del desarrollo empresarial y<br />
normalización del país, además lidera el tema de competitividad.<br />
Justificación: Participa <strong>en</strong> la formulación de la política, los planes y programas de<br />
desarrollo económico y social. Formula la política <strong>en</strong> materia de desarrollo<br />
económico y social del país relacionada con la competitividad, integración y<br />
desarrollo de los sectores productivos de bi<strong>en</strong>es y servicios de tecnología para la<br />
micro, pequeña y mediana empresa, el comercio interno y el comercio exterior.<br />
Formula las políticas para la regulación del mercado, la normalización, evaluación de<br />
la conformidad, calidad, promoción de la compet<strong>en</strong>cia, protección del consumidor y<br />
propiedad industrial. Desarrolla la estrategia de desarrollo empresarial, de<br />
productividad y competitividad, de Mipymes y regulación, de conformidad con los<br />
lineami<strong>en</strong>tos señalados por los Consejos Superiores de Micro y de Pequeña y<br />
Mediana Empresa y el Ministro. Establece mecanismos perman<strong>en</strong>tes y eficaces que<br />
garantic<strong>en</strong> la coordinación y la mayor participación del sector privado. Formula y<br />
adopta la política, los planes, programas y reglam<strong>en</strong>tos de normalización. Ejerce la<br />
coordinación necesaria para mejorar el clima para la inversión tanto nacional como<br />
extranjera <strong>en</strong> el país y para increm<strong>en</strong>tar la competitividad de los bi<strong>en</strong>es y servicios<br />
colombianos. Formula d<strong>en</strong>tro del marco de su compet<strong>en</strong>cia las políticas relacionadas<br />
Página 26 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
con los instrum<strong>en</strong>tos que promuevan la productividad, la competitividad y el<br />
comercio exterior.<br />
o El Ministro de Relaciones Exteriores, para garantizar el cumplimi<strong>en</strong>to de acuerdos<br />
internacionales.<br />
Justificación: Dirige y coordina la estrategia de comunicación que promueva la<br />
g<strong>en</strong>eración de una cultura corporativa <strong>en</strong> pro del desarrollo de la misión institucional<br />
y que brinde apoyo y asist<strong>en</strong>cia técnica <strong>en</strong> materia de comunicaciones a todas las<br />
dep<strong>en</strong>d<strong>en</strong>cias del Ministerio que lo requieran.<br />
o El Departam<strong>en</strong>to Nacional de Planeación, <strong>en</strong>cargado de la implantación de las<br />
políticas, <strong>en</strong>te rector de la planeación del país.<br />
Justificación: Coordina a todas las <strong>en</strong>tidades y organismos públicos para garantizar el<br />
debido cumplimi<strong>en</strong>to y ejecución de las políticas, los programas y los proyectos<br />
cont<strong>en</strong>idos <strong>en</strong> el Plan Nacional de Desarrollo. Promueve, elabora y coordina estudios<br />
e investigaciones atin<strong>en</strong>tes a la modernización y tecnificación de la macro-estructura<br />
del Estado. Participa <strong>en</strong> el diseño de la política para la prestación de servicios<br />
públicos domiciliarios, a través de las Comisiones de Regulación, y promueve su<br />
adopción por parte de las empresas de servicios públicos. Traza las políticas<br />
g<strong>en</strong>erales y desarrolla la planeación de las estrategias de control y vigilancia, para la<br />
adecuada y efici<strong>en</strong>te prestación de los servicios públicos domiciliarios. Participa <strong>en</strong> el<br />
diseño, seguimi<strong>en</strong>to y evaluación de la política para el desarrollo de la ci<strong>en</strong>cia, la<br />
tecnología y la innovación.<br />
o El Departam<strong>en</strong>to Administrativo de Seguridad DAS, Seguridad Nacional.<br />
Justificación: Produce la intelig<strong>en</strong>cia de Estado que requiere el <strong>Gobierno</strong> Nacional y<br />
formula políticas del sector administrativo <strong>en</strong> materia de intelig<strong>en</strong>cia para garantizar<br />
la seguridad nacional interna y externa del Estado colombiano. Participa <strong>en</strong> el<br />
desarrollo de las políticas diseñadas por el <strong>Gobierno</strong> Nacional <strong>en</strong> materia de<br />
seguridad. Obti<strong>en</strong>e y procesa información <strong>en</strong> los ámbitos nacional e internacional,<br />
sobre asuntos relacionados con la seguridad nacional, con el fin de producir<br />
intelig<strong>en</strong>cia de Estado, para apoyar al Presid<strong>en</strong>te de la República <strong>en</strong> la formulación<br />
de políticas y la toma de decisiones. Coordina el intercambio de información y<br />
cooperación con otros organismos nacionales e internacionales que cumplan<br />
funciones afines.<br />
o La Superint<strong>en</strong>d<strong>en</strong>cia Financiera, por la Ley de Habeas Data y la inspección y control del<br />
sector financiero.<br />
Justificación: Propone las políticas y mecanismos que prop<strong>en</strong>dan por el desarrollo y el<br />
fortalecimi<strong>en</strong>to del mercado de activos financieros y la protección al consumidor<br />
financiero. Instruye a las instituciones vigiladas y controladas sobre la manera como<br />
deb<strong>en</strong> cumplirse las disposiciones que regulan su actividad, fija los criterios técnicos<br />
Página 27 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
y jurídicos que facilit<strong>en</strong> el cumplimi<strong>en</strong>to de tales normas y señala los procedimi<strong>en</strong>tos<br />
para su cabal aplicación, así como instruye a las instituciones vigiladas sobre la<br />
manera como deb<strong>en</strong> administrar los riesgos implícitos <strong>en</strong> sus actividades.<br />
o La Superint<strong>en</strong>d<strong>en</strong>cia de Industria y Comercio, Salvaguarda la Ley de Habeas Data.<br />
Justificación: Vela por la observancia de las disposiciones sobre protección al<br />
consumidor. Impone, previas explicaciones, de acuerdo con el procedimi<strong>en</strong>to<br />
aplicable, las sanciones que sean pertin<strong>en</strong>tes por violación de las normas sobre<br />
protección al consumidor, así como por la inobservancia de las instrucciones<br />
impartidas por la Superint<strong>en</strong>d<strong>en</strong>cia. Fija el término de la garantía mínima presunta<br />
para bi<strong>en</strong>es o servicios. Fija requisitos mínimos de calidad e idoneidad para<br />
determinados bi<strong>en</strong>es y servicios. Asesora al <strong>Gobierno</strong> Nacional y participa <strong>en</strong> la<br />
formulación de las políticas <strong>en</strong> todas aquellas materias que t<strong>en</strong>gan que ver con la<br />
protección al consumidor, la promoción de la compet<strong>en</strong>cia y la propiedad industrial<br />
y <strong>en</strong> las demás áreas propias de sus funciones. Realiza las actividades de<br />
verificación de cumplimi<strong>en</strong>to de las normas técnicas obligatorias o reglam<strong>en</strong>tos<br />
técnicos sometidos a su control. Salvaguarda la ley de Habeas Data: Ley 1266 del<br />
31 de diciembre de 2008.<br />
o Comisión de Regulación de las Telecomunicaciones –CRT, como <strong>en</strong>te regulador del<br />
sector.<br />
Justificación: Promueve la compet<strong>en</strong>cia <strong>en</strong> el sector de las telecomunicaciones.<br />
Define los criterios de efici<strong>en</strong>cia y desarrolla los indicadores y modelos para evaluar<br />
la gestión financiera, técnica y administrativa de las empresas de<br />
telecomunicaciones. Prepara proyectos de ley para pres<strong>en</strong>tar ante el Congreso<br />
Nacional relacionados con la prestación del servicio de telecomunicaciones. Fija las<br />
normas de calidad que deb<strong>en</strong> cumplir las empresas que prestan el servicio.<br />
Adicionalm<strong>en</strong>te, la Comisión Nacional de Seguridad de la Información podrá convocar a los<br />
sigui<strong>en</strong>tes organismos para participar <strong>en</strong> las sesiones de la Comisión, cuando su pres<strong>en</strong>cia sea<br />
requerida <strong>en</strong> función de los temas a tratar, los cuales t<strong>en</strong>drán voz pero no voto:<br />
o Fiscalía G<strong>en</strong>eral de la Nación, como repres<strong>en</strong>tante de la Rama Judicial y unidad<br />
especializada <strong>en</strong> delitos de telecomunicaciones y la administración pública. Posee la<br />
Dirección Nacional del Cuerpo Técnico de Investigación –CTI.<br />
Justificación: Investiga los delitos, califica los procesos y acusa ante los jueces y<br />
tribunales compet<strong>en</strong>tes, a los presuntos infractores de la ley p<strong>en</strong>al, ya sea de oficio<br />
o por d<strong>en</strong>uncia. Posee la Dirección Nacional del Cuerpo Técnico de Investigación –<br />
CTI, que asesora al Fiscal G<strong>en</strong>eral <strong>en</strong> la definición de políticas y estrategias<br />
asociadas con las funciones de Policía Judicial, <strong>en</strong> los temas de investigación<br />
criminal, servicios for<strong>en</strong>ses, de g<strong>en</strong>ética y <strong>en</strong> la administración de la información<br />
técnica y judicial que sea útil para la investigación p<strong>en</strong>al. Además, planea, organiza,<br />
dirige, controla y ejecuta las funciones de Policía Judicial de la Fiscalía, organiza y<br />
controla el cumplimi<strong>en</strong>to de las políticas y estrategias de investigación, servicios<br />
Página 28 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
for<strong>en</strong>ses, de g<strong>en</strong>ética y de administración de la información útil para la investigación<br />
p<strong>en</strong>al <strong>en</strong> el CTI. Asesora al Fiscal G<strong>en</strong>eral <strong>en</strong> el diseño y planeación de estrategias y<br />
procedimi<strong>en</strong>tos <strong>en</strong> materia de seguridad y de comunicaciones requeridos <strong>en</strong> los<br />
distintos niveles territoriales de la Entidad, así como también promover el<br />
intercambio de información <strong>en</strong>tre los distintos organismos de seguridad del Estado,<br />
para la programación y el desarrollo de operaciones contra la delincu<strong>en</strong>cia.<br />
o Procuraduría G<strong>en</strong>eral de la Nación, como <strong>en</strong>tidad de vigilancia, control y protección de<br />
los derechos de los ciudadanos.<br />
Justificación: La función prev<strong>en</strong>tiva, empeñada <strong>en</strong> “prev<strong>en</strong>ir antes que sancionar”,<br />
vigila el actuar de los servidores públicos y advierte cualquier hecho que pueda ser<br />
violatorio de las normas vig<strong>en</strong>tes, sin que ello implique coadministración o<br />
intromisión <strong>en</strong> la gestión de las <strong>en</strong>tidades estatales. La función de interv<strong>en</strong>ción, <strong>en</strong><br />
la que intervi<strong>en</strong>e ante las jurisdicciones Cont<strong>en</strong>cioso Administrativa, Constitucional y<br />
ante las difer<strong>en</strong>tes instancias de las jurisdicciones p<strong>en</strong>al, p<strong>en</strong>al militar, civil,<br />
ambi<strong>en</strong>tal y agraria, de familia, laboral, ante el Consejo Superior de la Judicatura y<br />
las autoridades administrativas y de policía. La interv<strong>en</strong>ción es imperativa y se<br />
desarrolla de forma selectiva cuando el Procurador G<strong>en</strong>eral de la Nación lo<br />
considere necesario y cobra trasc<strong>en</strong>d<strong>en</strong>cia siempre que se desarrolle <strong>en</strong> def<strong>en</strong>sa de<br />
los derechos y las garantías fundam<strong>en</strong>tales de los ciudadanos. La función<br />
disciplinaria, inicia, adelanta y falla las investigaciones que por faltas disciplinarias<br />
se adelant<strong>en</strong> contra los servidores públicos y contra los particulares que ejerc<strong>en</strong><br />
funciones públicas o manejan dineros del estado.<br />
o Superint<strong>en</strong>d<strong>en</strong>cia de Servicios Públicos Domiciliarios, que vela por la adecuada<br />
prestación de los servicios a los ciudadanos.<br />
Justificación: Vigila y controla el cumplimi<strong>en</strong>to de las leyes y actos administrativos a<br />
los que estén sujetos qui<strong>en</strong>es prest<strong>en</strong> servicios públicos, <strong>en</strong> cuanto el cumplimi<strong>en</strong>to<br />
afecte <strong>en</strong> forma directa e inmediata a usuarios determinados y sancionar sus<br />
violaciones. Adelanta las investigaciones cuando las Comisiones de Regulación se lo<br />
solicit<strong>en</strong>. Señala, de conformidad con la Constitución y la ley, los requisitos y<br />
condiciones para que los usuarios puedan solicitar y obt<strong>en</strong>er información completa,<br />
precisa y oportuna, sobre todas las actividades y operaciones directas o indirectas<br />
que se realic<strong>en</strong> para la prestación de los servicios públicos. Da concepto a las<br />
Comisiones de Regulación y a los Ministerios sobre las medidas que se estudi<strong>en</strong> <strong>en</strong><br />
relación con los servicios públicos. Efectúa recom<strong>en</strong>daciones a las Comisiones de<br />
Regulación <strong>en</strong> cuanto a la regulación y promoción del balance de los mecanismos de<br />
control y <strong>en</strong> cuanto a las bases para efectuar la evaluación de la gestión y<br />
resultados de las personas prestadoras de los servicios públicos sujetos a su control,<br />
inspección y vigilancia. Proporciona a las autoridades territoriales el apoyo técnico<br />
necesario, la tecnología, la capacitación, la ori<strong>en</strong>tación y los elem<strong>en</strong>tos de difusión<br />
necesarios para la promoción de la participación de la comunidad <strong>en</strong> las tareas de<br />
vigilancia.<br />
Página 29 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
o Registraduría Nacional del Estado Civil, Entidad <strong>en</strong>cargada de la id<strong>en</strong>tificación de las<br />
personas.<br />
Justificación: Ati<strong>en</strong>de el manejo, clasificación, archivo y recuperación de la<br />
información relacionada con el registro civil. Responde a las solicitudes de personas<br />
naturales o jurídicas y organismos de seguridad del Estado o de la rama judicial <strong>en</strong><br />
cuanto a id<strong>en</strong>tificación, id<strong>en</strong>tificación de necrodactilias y demás requerimi<strong>en</strong>tos.<br />
Ati<strong>en</strong>de todo lo relativo al manejo de la información, las bases de datos, el Archivo<br />
Nacional de Id<strong>en</strong>tificación y los docum<strong>en</strong>tos necesarios par el proceso técnico de la<br />
id<strong>en</strong>tificación de los ciudadanos. Adopta las políticas y procedimi<strong>en</strong>tos para el<br />
manejo del Registro del Estado Civil <strong>en</strong> Colombia, asegurando la inscripción<br />
confiable y efectiva de los hechos, actos y provid<strong>en</strong>cias sujetos a registro.<br />
Las funciones de la Comisión Nacional de Seguridad de la información están ori<strong>en</strong>tadas hacia una<br />
metodología basada <strong>en</strong> el proceso Planear – Hacer – Verificar – Actuar de un sistema de<br />
gestión. Para ver la información sobre las funciones de esta Comisión, remitirse al numeral 5.6.1.1.1.<br />
5.4. Grupo Técnico de Apoyo<br />
La Comisión Nacional de Seguridad de la información, es asesorada por el Grupo Técnico de Apoyo,<br />
(ilustración 8), cuya función principal es definir y mant<strong>en</strong>er el Modelo de Seguridad de la información a<br />
nivel táctico y técnico especificando las políticas, objetivos de control y controles propuestos para que sean<br />
implem<strong>en</strong>tados por cada una de las <strong>en</strong>tidades destinatarias. El Grupo Técnico de Apoyo, somete a<br />
consideración de la Comisión, la aprobación del Modelo de Seguridad de la Información y sus ajustes<br />
posteriores. De esta forma, el Modelo de Seguridad de la Información para la Estrategia de <strong>Gobierno</strong> <strong>en</strong><br />
Línea, servirá a las <strong>en</strong>tidades que no han implem<strong>en</strong>tado aún un Sistema de Gestión <strong>en</strong> Seguridad de la<br />
información –SGSI basado <strong>en</strong> las mejores prácticas y estándares internacionales; y como refer<strong>en</strong>te para<br />
aquellas <strong>en</strong>tidades que ya cu<strong>en</strong>tan con un SGSI implem<strong>en</strong>tado y que necesitará ser ajustado para apoyar<br />
los servicios de la Estrategia de <strong>Gobierno</strong> <strong>en</strong> Línea.<br />
Es el Grupo <strong>en</strong>cargado de la preparación de los docum<strong>en</strong>tos, políticas, lineami<strong>en</strong>tos y controles<br />
recom<strong>en</strong>dados que son avalados por la Comisión. Asesora a las Entidades <strong>en</strong> su implem<strong>en</strong>tación y<br />
proporciona apoyo técnico y jurídico para la operatividad del modelo. Además, coordina las actividades del<br />
portafolio de servicios <strong>en</strong> seguridad de la información (soporte especializado, capacitación, conci<strong>en</strong>ciación)<br />
realizadas por el grupo CSIRT (ver docum<strong>en</strong>to “Diseño de un CSIRT Colombiano”).<br />
Página 30 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
Ilustración 6: Estructura Grupo Técnico de Apoyo<br />
Las funciones del Grupo Técnico de Apoyo están ori<strong>en</strong>tadas hacia una metodología basada <strong>en</strong> el proceso<br />
Planear – Hacer – Verificar – Actuar de un sistema de gestión. Para ver la información sobre las<br />
funciones de este Grupo, remitirse a los numerales 5.6.1.1.2 (Funciones Planear) y 5.6.1.4. (Funciones<br />
Actuar) del pres<strong>en</strong>te docum<strong>en</strong>to.<br />
5.4.1. Dirección Nacional de Seguridad de la Información<br />
Encabeza el Grupo Técnico de Apoyo y dep<strong>en</strong>de del Ministerio de Comunicaciones. Articula la Comisión<br />
Nacional de Seguridad de la Información con el Grupo Técnico de Apoyo. Coordina las acciones tanto a<br />
nivel técnico como jurídico, los <strong>en</strong>tes policivos y lo concerni<strong>en</strong>te al grupo CSIRT (ver docum<strong>en</strong>to “Diseño de<br />
un CSIRT Colombiano”).<br />
5.4.1.1. Funciones de la Dirección Nacional de Seguridad de la Información<br />
• Aprobar y publicar el reporte anual de seguridad de la información <strong>en</strong> Colombia (estadísticas,<br />
métricas, indicadores, etc.).<br />
Página 31 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
• Convocar expertos técnicos <strong>en</strong> seguridad de la información pert<strong>en</strong>eci<strong>en</strong>tes a la academia y al sector<br />
privado, con el objeto de plantear mejoras para el modelo de seguridad de la información (MSI).<br />
• Coordinar acuerdos de cooperación con los <strong>en</strong>tes policivos compet<strong>en</strong>tes para la provisión de<br />
servicios de asist<strong>en</strong>cia ante incid<strong>en</strong>tes de Seguridad de la Información <strong>en</strong> las <strong>en</strong>tidades. Las<br />
sigui<strong>en</strong>tes son las <strong>en</strong>tidades policivas contempladas:<br />
La Policía Nacional, como parte integrante de las autoridades de la República.<br />
Recomi<strong>en</strong>da las políticas del estado <strong>en</strong> materia de seguridad de la comunidad,<br />
estableci<strong>en</strong>do planes y responsabilidades <strong>en</strong>tre las difer<strong>en</strong>tes <strong>en</strong>tidades comprometidas.<br />
DAS (ver numeral 5.3. de este docum<strong>en</strong>to).<br />
La Fiscalía G<strong>en</strong>eral de la Nación –CTI (ver numeral 5.3. de este docum<strong>en</strong>to).<br />
DIJIN -Dirección de Investigación Criminal, contribuye a la seguridad y conviv<strong>en</strong>cia<br />
ciudadana, mediante el desarrollo efectivo de la investigación criminal judicial,<br />
criminalística, criminológica y el manejo de la información delincu<strong>en</strong>cial ori<strong>en</strong>tada a brindar<br />
el apoyo oportuno a la administración de justicia.<br />
DIPOL – Dirección de Intelig<strong>en</strong>cia Policial, unidad especializada que ti<strong>en</strong>e la misión de<br />
recolectar información y producir intelig<strong>en</strong>cia <strong>en</strong> relación con los actores y factores de<br />
perturbación del ord<strong>en</strong> público, la def<strong>en</strong>sa y la seguridad nacional.<br />
• Proponer ante la Comisión, los cambios y mejoras al modelo de seguridad de la información.<br />
• Realizar la pres<strong>en</strong>tación ejecutiva anual ante la Comisión Nacional de Seguridad, con los resultados<br />
y la evolución del modelo de seguridad <strong>en</strong> las Entidades.<br />
• Coordinar esfuerzos y acuerdos de cooperación con otros grupos CSIRT tanto públicos como<br />
privados.<br />
• Coordinar esfuerzos y acuerdos de cooperación con las <strong>en</strong>tidades de Vigilancia y Control para<br />
realización de verificaciones y auditorias <strong>en</strong> las <strong>en</strong>tidades que deban cumplir con el Modelo de<br />
Seguridad de la Información.<br />
• Coordinar esfuerzos y acuerdos de cooperación con <strong>en</strong>tes de certificación que verifiqu<strong>en</strong> el<br />
cumplimi<strong>en</strong>to adecuado del Modelo de Seguridad de la Información <strong>en</strong> las <strong>en</strong>tidades.<br />
5.4.1.2. Grupo de Estudios Técnicos<br />
Define los lineami<strong>en</strong>tos y la política de seguridad, prepara estudios técnicos, realiza pres<strong>en</strong>taciones<br />
ejecutivas ante la Comisión, prepara el docum<strong>en</strong>to del Modelo de Seguridad, recibe información a nivel<br />
de seguridad prov<strong>en</strong>i<strong>en</strong>te del Grupo CSIRT <strong>en</strong>tre otras funciones se <strong>en</strong>cu<strong>en</strong>tran:<br />
Página 32 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
• Definir lineami<strong>en</strong>tos, políticas y controles que forman parte del modelo de seguridad de la<br />
información, los cuales deberán ser cumplidos por las Entidades (Nivel Estratégico).<br />
• Elaborar y publicar estudios e informes propios <strong>en</strong> materia de seguridad de la Información <strong>en</strong><br />
Colombia (principales am<strong>en</strong>azas, probabilidades e impactos), basados <strong>en</strong> estadísticas, métricas,<br />
indicadores, provistos por el Grupo CSIRT y otras fu<strong>en</strong>tes.<br />
• Analizar los reportes estregados por el Grupo CSIRT, para determinar nuevas acciones a proponer a<br />
la Comisión Nacional de Seguridad.<br />
5.4.1.3. Grupo Técnico - Jurídico<br />
Define los lineami<strong>en</strong>tos normativos requeridos para la gestión de la política de seguridad de la<br />
información. Apoyo experto <strong>en</strong> respuesta a incid<strong>en</strong>tes, delito informático y ci<strong>en</strong>cias for<strong>en</strong>ses. Otras<br />
Funciones:<br />
• Asesorar a la Dirección Nacional de Seguridad de la Información, <strong>en</strong> temas legales y técnico –<br />
jurídicos relacionados con seguridad de la información.<br />
• Gestionar y aplicar el conocimi<strong>en</strong>to legal <strong>en</strong> materia de Seguridad de la Información, derecho<br />
informático, Habeas Data y ci<strong>en</strong>cias for<strong>en</strong>ses.<br />
• Proveer soporte técnico - jurídico <strong>en</strong> temas relacionados con la recopilación de pruebas for<strong>en</strong>ses,<br />
primer respondi<strong>en</strong>te, capacitación y <strong>en</strong>tr<strong>en</strong>ami<strong>en</strong>to.<br />
• Diseñar el catálogo de términos de seguridad de la información, guías legales y modelos<br />
contractuales <strong>en</strong> materia de derecho informático.<br />
5.4.1.4. CSIRT<br />
El grupo CSIRT es un pilar decisivo d<strong>en</strong>tro del Sistema Administrativo de Seguridad de la Información -<br />
SANSI, ya que es el <strong>en</strong>te que permite dar operatividad al Modelo de Seguridad, proporcionando un<br />
completo portafolio de servicios especializados <strong>en</strong> seguridad de la información c<strong>en</strong>trado <strong>en</strong> el soporte y la<br />
asist<strong>en</strong>cia a las <strong>en</strong>tidades tanto públicas como privadas, así como también, recopilando estadísticas,<br />
indicadores y métricas <strong>en</strong> seguridad de la información para su posterior análisis y toma de decisiones por<br />
parte de la Dirección Nacional de Seguridad de la Información.<br />
Para mayor información concerni<strong>en</strong>te al CSIRT, ver docum<strong>en</strong>to “Diseño de un CSIRT Colombiano”.<br />
5.4.1.5. Relación con otros Órganos Técnicos<br />
5.4.1.5.1. Autoridades de Vigilancia y Control<br />
Tanto para el sector público como para el sector privado, la Contraloría, las<br />
Superint<strong>en</strong>d<strong>en</strong>cias, la Fiscalía, la Procuraduría y los <strong>en</strong>tes policivos, ejercerán<br />
Página 33 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
las labores de vigilancia (auditoria) y validación de la implantación de las<br />
disposiciones, lineami<strong>en</strong>tos, políticas y controles relacionados con seguridad<br />
de la información plasmada <strong>en</strong> el Modelo. Estas autoridades forman parte de<br />
la fase VERIFICAR del ciclo PHVA del Sistema. Más información <strong>en</strong> el<br />
numeral 5.3. de este docum<strong>en</strong>to.<br />
5.4.1.5.2. Organismos de Certificación<br />
Los organismos de certificación, son personas jurídicas (o morales) que ti<strong>en</strong><strong>en</strong><br />
por objeto realizar tareas de certificación: evaluar que un producto, proceso,<br />
sistema, servicio, establecimi<strong>en</strong>to o persona se ajusta a las normas,<br />
lineami<strong>en</strong>tos o reconocimi<strong>en</strong>tos de organismos dedicados a la normalización<br />
nacionales o internacionales. En este caso, los organizamos verificarán que las<br />
<strong>en</strong>tidades cumplan con el Modelo de seguridad de la Información. Estos<br />
organismos, formarán parte de la fase VERIFICAR del ciclo PHVA del<br />
Sistema. Más información <strong>en</strong> el numeral 5.3. de este docum<strong>en</strong>to. Estas<br />
Autoridades, adicionalm<strong>en</strong>te, t<strong>en</strong>drán las sigui<strong>en</strong>tes funciones:<br />
o Establecer acuerdos de cooperación con el SANSI a través del Grupo Técnico<br />
de Apoyo.<br />
o Realizar auditorias de cumplimi<strong>en</strong>to del Modelo de Seguridad <strong>en</strong> las<br />
<strong>en</strong>tidades que lo solicit<strong>en</strong>.<br />
o Informar a la Dirección Nacional de Seguridad de la Información sobre las no<br />
conformidades y observaciones relacionadas con el cumplimi<strong>en</strong>to del Modelo<br />
de Seguridad de la Información <strong>en</strong> las <strong>en</strong>tidades auditadas.<br />
5.4.1.5.3. Proveedores de Servicios Relacionados con la Seguridad de la<br />
Información<br />
El CSIRT como órgano coordinador de los procesos de incid<strong>en</strong>tes relacionados<br />
con la seguridad de la información, demanda la perman<strong>en</strong>te relación con los<br />
proveedores tanto nacionales como internacionales de los servicios<br />
relacionados con la seguridad de la información, mant<strong>en</strong>i<strong>en</strong>do una base de<br />
datos actualizada y un estrecho relacionami<strong>en</strong>to para garantizar la oportuna<br />
actuación y prev<strong>en</strong>ción <strong>en</strong> incid<strong>en</strong>tes relacionados con la seguridad de la<br />
información <strong>en</strong> las <strong>en</strong>tidades.<br />
5.4.1.5.4. La Academia<br />
Definitivam<strong>en</strong>te la academia deberá estar incluida no solo <strong>en</strong> los procesos de<br />
diseño e implem<strong>en</strong>tación del CSIRT, sino que debe ser t<strong>en</strong>ida <strong>en</strong> cu<strong>en</strong>ta para<br />
asesorar al Grupo Técnico de Apoyo y <strong>en</strong> g<strong>en</strong>eral al Sistema SANSI ya que<br />
son <strong>en</strong>tes que pose<strong>en</strong> un amplio conocimi<strong>en</strong>to y disponibilidad de<br />
Página 34 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
información, lo cual puede permitir t<strong>en</strong>er oportunidades de mejora del<br />
sistema, sus políticas, lineami<strong>en</strong>tos y controles.<br />
5.5. Relaciones de Desarrollo Empresarial con Entidades Públicas y Privadas<br />
Las relaciones con la industria deberán partir de una sola filosofía, promover su desarrollo, dando<br />
visibilidad a la industria de seguridad de la información mediante un espacio (medios técnicos y humanos<br />
altam<strong>en</strong>te especializados) <strong>en</strong> el que puedan ponerse <strong>en</strong> contacto la oferta y la demanda y <strong>en</strong> el que se<br />
colabora a impulsar la innovación del sector privado <strong>en</strong> seguridad de la información. Se da visibilidad tanto<br />
nacional como internacional a la industria de seguridad de la información <strong>en</strong> Colombia, se analiza la<br />
demanda y la oferta de productos/servicios de seguridad disponibles y se s<strong>en</strong>sibiliza por ejemplo a la PYME<br />
<strong>en</strong> el uso de esos servicios y productos, dinamizando de este modo la demanda.<br />
5.6. Funciones de los actores del SANSI -Enfoque basado <strong>en</strong> el proceso PHVA<br />
El Sistema Administrativo Nacional de Seguridad de la Información -SANSI, adopta un <strong>en</strong>foque basado <strong>en</strong><br />
procesos, para establecer, implem<strong>en</strong>tar, operar, hacer seguimi<strong>en</strong>to, mant<strong>en</strong>er y mejorar el Modelo de<br />
Seguridad de la Información para la Estrategia de <strong>Gobierno</strong> <strong>en</strong> Línea, pero esta vez no ori<strong>en</strong>tado hacia una<br />
organización <strong>en</strong> particular sino a todos los actores y <strong>en</strong>tidades involucradas:<br />
Página 35 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
Ilustración 7: Ciclo de Vida PHVA para el Sistema Administrativo Nacional de Seguridad de la Información y<br />
sus Actores<br />
Como se puede observar <strong>en</strong> la ilustración 7, se propone <strong>en</strong>focar el Sistema Administrativo Nacional de<br />
Seguridad de la Información SANSI hacia un sistema de Gestión auto-sost<strong>en</strong>ible, que funcione eficazm<strong>en</strong>te<br />
y que tome como <strong>en</strong>tradas al sistema:<br />
• Los instrum<strong>en</strong>tos normativos para apoyar la implem<strong>en</strong>tación del Modelo de Seguridad,<br />
• Los lineami<strong>en</strong>tos, requerimi<strong>en</strong>tos y la política del modelo de seguridad de la información para la<br />
estrategia de <strong>Gobierno</strong> <strong>en</strong> Línea que plasm<strong>en</strong> las expectativas de seguridad de la información.<br />
Como todo Sistema de Gestión, se recomi<strong>en</strong>da que el SGSI a ser diseñado e implem<strong>en</strong>tado por cada una<br />
de las <strong>en</strong>tidades participantes <strong>en</strong> la cad<strong>en</strong>a de prestación de servicios de <strong>Gobierno</strong> <strong>en</strong> Línea se fundam<strong>en</strong>te<br />
con base <strong>en</strong> la ISO 27001, por medio del uso del ciclo continuo PHVA (Planear – Hacer – Verificar –<br />
Actuar):<br />
Página 36 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
Ilustración 8: Ciclo P-H-V-A. Implantación y Gestión de un sistema SGSI. Copyright © 2007 IsecT Ltd.<br />
www.ISO27001security.com<br />
• Planear: establecer el SGSI.<br />
• Hacer: implem<strong>en</strong>tar y utilizar el SGSI.<br />
• Verificar: monitorear y revisar el SGSI.<br />
• Actuar: mant<strong>en</strong>er y mejorar el SGSI.<br />
A continuación, se detallan las funciones a realizar para cada uno de los actores del sistema SANSI, tanto a<br />
alto nivel (Comisión y Grupo Técnico de Apoyo), como para las <strong>en</strong>tidades destinatarias al implem<strong>en</strong>tar el<br />
modelo SGSI:<br />
Página 37 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
5.6.1.1. FASE PLANEAR CICLO PHVA - COMISIÓN NACIONAL <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN Y GRUPO TÉCNICO <strong>DE</strong> APOYO<br />
A ALTO NIVEL –SANSI:<br />
5.6.1.1.1. Funciones de la Comisión Nacional de Seguridad de la Información:<br />
La Comisión es la máxima autoridad Nacional de Seguridad de la Información y se convierte <strong>en</strong> el<br />
esc<strong>en</strong>ario ideal para que los responsables por la Seguridad Nacional discutan y articul<strong>en</strong> los planes y<br />
estrategias de acción para garantizar adecuadam<strong>en</strong>te la seguridad de la información nacional a través<br />
del Modelo de Seguridad para la Estrategia de <strong>Gobierno</strong> <strong>en</strong> Línea. Así mismo, permitirá la aprobación<br />
de políticas, acciones y controles a ser implem<strong>en</strong>tados por las <strong>en</strong>tidades destinatarias para fortalecer su<br />
postura <strong>en</strong> seguridad de la información, permiti<strong>en</strong>do de esta forma, g<strong>en</strong>erar confianza y proteger<br />
adecuadam<strong>en</strong>te la información de los ciudadanos.<br />
Reuniones: Por convocatoria del Ministro de Comunicaciones que actuará como Coordinador G<strong>en</strong>eral,<br />
la Comisión, sesionará de manera ordinaria una (1) vez al año, y de manera extraordinaria con la<br />
frecu<strong>en</strong>cia necesaria para el cabal cumplimi<strong>en</strong>to de su ag<strong>en</strong>da de trabajo.<br />
Funciones Fase Planear Ciclo PHVA:<br />
• Apoyar y divulgar a alto nivel la seguridad de la información nacional, el modelo de seguridad, sus<br />
políticas y controles<br />
• Aprobar y g<strong>en</strong>erar los instrum<strong>en</strong>tos normativos pertin<strong>en</strong>tes para viabilizar la implem<strong>en</strong>tación del<br />
modelo de seguridad <strong>en</strong> las <strong>en</strong>tidades destinatarias<br />
• Tomar decisiones estratégicas para el SANSI y el modelo de seguridad<br />
• Impulsar, mant<strong>en</strong>er y mejorar el SANSI y el modelo de seguridad<br />
• Estudiar los cambios y ajustes propuestos para el modelo de seguridad<br />
• Pres<strong>en</strong>tar propuestas al <strong>Gobierno</strong> Nacional para la adopción de medidas relacionadas con el<br />
mejorami<strong>en</strong>to de la seguridad de la información<br />
• Asesorarse de grupos técnicos de apoyo para t<strong>en</strong>er una adecuada coher<strong>en</strong>cia a nivel técnico de los<br />
temas de seguridad de la información y <strong>en</strong> consecu<strong>en</strong>cia, mejorar el desempeño de sus<br />
responsabilidades.<br />
La Comisión Nacional de Seguridad de la Información ejercerá adicionalm<strong>en</strong>te las sigui<strong>en</strong>tes funciones:<br />
Página 38 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
• Establecer los lineami<strong>en</strong>tos del Sistema Administrativo Nacional de Seguridad de la Información y<br />
aprobar el Modelo de Seguridad de la Información <strong>en</strong> concordancia con los planes y programas de<br />
desarrollo tecnológico del país y de la Estrategia de <strong>Gobierno</strong> <strong>en</strong> Línea.<br />
• Apoyar la articulación de las iniciativas y acciones que se adelant<strong>en</strong> <strong>en</strong> las difer<strong>en</strong>tes <strong>en</strong>tidades<br />
públicas y privadas relacionadas con Seguridad de la Información.<br />
• Aprobar el Modelo de Seguridad de la Información (MSI) que incluya las políticas, objetivos y<br />
controles; la metodología de medición y seguimi<strong>en</strong>to de Indicadores de seguridad; la revisión<br />
periódica del estado de cumplimi<strong>en</strong>to del Modelo.<br />
• Aprobar los mecanismos normativos recom<strong>en</strong>dados por el Grupo Técnico de Apoyo a través del<br />
Grupo Técnico - Jurídico, los cuales permitan el cumplimi<strong>en</strong>to e implem<strong>en</strong>tación del modelo por<br />
parte de la Entidades.<br />
• Aprobar las nuevas versiones del modelo de seguridad de la información (MSI) para la Estrategia<br />
de <strong>Gobierno</strong> <strong>en</strong> Línea, a ser cumplido por parte de las Entidades destinatarias.<br />
• Pres<strong>en</strong>tar propuestas al <strong>Gobierno</strong> Nacional para la adopción de medidas t<strong>en</strong>di<strong>en</strong>tes a lograr el<br />
mejorami<strong>en</strong>to de la seguridad de la información a nivel nacional <strong>en</strong> el sector público y privado.<br />
• Estudiar los temas que propongan sus miembros <strong>en</strong> relación con los objetivos de la Comisión.<br />
• Crear los comités técnicos de apoyo que considere necesarios para el mejor desempeño de sus<br />
responsabilidades.<br />
• Disponer la formación de comités consultivos o técnicos, integrados por el número de miembros<br />
que determine, para que asesor<strong>en</strong> técnicam<strong>en</strong>te a la Comisión Nacional de Seguridad de la<br />
Información <strong>en</strong> determinados asuntos.<br />
• Pres<strong>en</strong>tar propuestas al <strong>Gobierno</strong> Nacional para la adopción de medidas t<strong>en</strong>di<strong>en</strong>tes a lograr el<br />
mejorami<strong>en</strong>to de la seguridad de la información del país, de las <strong>en</strong>tidades y de los ciudadanos.<br />
• Proponer acciones para la modernización de las <strong>en</strong>tidades destinatarias y g<strong>en</strong>erar normas que<br />
mejor<strong>en</strong> el estado actual de la seguridad de la información.<br />
• Prop<strong>en</strong>der por el desarrollo de una cultura e higi<strong>en</strong>e de seguridad de la información como factor<br />
determinante para mejorar el estado actual de la seguridad de la información de las <strong>en</strong>tidades y de<br />
los ciudadanos.<br />
• Las demás inher<strong>en</strong>tes al cumplimi<strong>en</strong>to de los objetivos del Sistema Administrativo Nacional de<br />
Seguridad de la Información.<br />
Página 39 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
5.6.1.1.2. Funciones del Grupo Técnico de Apoyo<br />
Fase Planear Ciclo PHVA:<br />
• Plantear las políticas y controles que compon<strong>en</strong> el Modelo de Seguridad de la información<br />
• Coordinar tareas al interior del grupo relacionadas con acuerdos de cooperación con difer<strong>en</strong>tes<br />
<strong>en</strong>tidades.<br />
• Proveer el soporte técnico para asesorar adecuadam<strong>en</strong>te a la Comisión.<br />
A NIVEL <strong>DE</strong> LAS ENTIDA<strong>DE</strong>S <strong>DE</strong>STINATARIAS –SGSI (ver ilustración 8):<br />
Funciones Fase Planear Ciclo PHVA:<br />
1. Obt<strong>en</strong>er Soporte de la Alta Dirección: El apoyo de la Alta Dirección – Ger<strong>en</strong>cia de la <strong>en</strong>tidad es<br />
vital para el éxito de la implem<strong>en</strong>tación del sistema SGSI.<br />
2. Establecimi<strong>en</strong>to del SGSI: La alta dirección debe definir el alcance y límites del SGSI <strong>en</strong> términos<br />
de la estrategia de <strong>Gobierno</strong> <strong>en</strong> Línea: procesos de negocio, áreas, servicios. No es necesario<br />
que el SGSI abarque toda la organización, puede empezar por un proceso o área y avanzar<br />
paulatinam<strong>en</strong>te cubri<strong>en</strong>do mas procesos o áreas.<br />
3. Realizar un inv<strong>en</strong>tario de activos: La organización debe realizar un levantami<strong>en</strong>to de información<br />
ori<strong>en</strong>tado a los activos que soportan los procesos de negocio que compon<strong>en</strong> el alcance del<br />
SGSI, es decir, que activos soportan los sistemas de información y aplicaciones, que a su vez,<br />
soportan los procesos de negocio de la <strong>en</strong>tidad.<br />
La herrami<strong>en</strong>ta de Autoevaluación 11 , pres<strong>en</strong>ta un formulario de ingreso de información para que<br />
el responsable por parte de la <strong>en</strong>tidad, id<strong>en</strong>tifique los activos que están d<strong>en</strong>tro del alcance del<br />
SGSI y a sus responsables directos, d<strong>en</strong>ominados propietarios. Adicionalm<strong>en</strong>te, calificará el<br />
grado de criticidad o importancia de cada activo <strong>en</strong> relación con el apoyo al modelo de<br />
seguridad de la información para la Estrategia de <strong>Gobierno</strong> <strong>en</strong> Línea. Esta calificación la<br />
11 Ver mayor información de la herrami<strong>en</strong>ta de auto-evaluación <strong>en</strong> el docum<strong>en</strong>to: “Entregable 7 –Sistema Autoevaluación”.<br />
Página 40 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
realizará la <strong>en</strong>tidad <strong>en</strong> la herrami<strong>en</strong>ta seleccionando <strong>en</strong> un rango de 1 a 5 donde 1 es una<br />
criticidad muy baja, 2 criticidad baja, 3 criticidad media, 4 criticidad alta y 5 criticidad muy alta.<br />
4. Realizar la evaluación del riesgo <strong>en</strong> seguridad: Una vez el levantami<strong>en</strong>to de información de los<br />
activos parte del alcance del SGSI está realizado, se debe hacer la evaluación del riesgo<br />
asociado a dichos activos, especificando las áreas de preocupación, am<strong>en</strong>azas, vulnerabilidades,<br />
esc<strong>en</strong>arios de riesgo, probabilidad de ocurr<strong>en</strong>cia de la am<strong>en</strong>aza e impacto si llega a<br />
materializarse la am<strong>en</strong>aza a los activos que soportan los sistemas de información, aplicaciones y<br />
<strong>en</strong> consecu<strong>en</strong>cia, los procesos de negocio o áreas parte del alcance. La <strong>en</strong>tidad puede hacer uso<br />
de cualquier metodología de gestión, evaluación y análisis del riesgo que considere conv<strong>en</strong>i<strong>en</strong>te,<br />
no hay necesidad de usar una específica, lo importante es que t<strong>en</strong>ga los elem<strong>en</strong>tos<br />
recom<strong>en</strong>dados <strong>en</strong> la norma ISO27001. Como parte de la pres<strong>en</strong>te consultoría, se <strong>en</strong>trega un<br />
docum<strong>en</strong>to con la metodología de evaluación del riesgo propuesta. Ver docum<strong>en</strong>to “Entregable<br />
4 - Anexo 2: Metodología de gestión del riesgo”. De igual forma, exist<strong>en</strong> metodologías de<br />
gestión del riesgo recom<strong>en</strong>dadas como la AS/NZ4360, la ISO27005:2008 y la SP800-30 (del<br />
instituto NIST http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf).<br />
5.a. Preparar y elaborar la Declaración de Aplicabilidad (o <strong>en</strong> sus términos <strong>en</strong> inglés: Statem<strong>en</strong>t of<br />
Agreem<strong>en</strong>t –SOA): Cada <strong>en</strong>tidad, según su naturaleza, y objetivos de negocio, seleccionará cuales<br />
de los dominios y objetivos de control de las normas ISO27001/27002 aplican y no aplican para su<br />
<strong>en</strong>tidad. Para los seleccionados como “No Aplica”, la <strong>en</strong>tidad deberá justificar detalladam<strong>en</strong>te la<br />
exclusión; además, deberá t<strong>en</strong>er <strong>en</strong> cu<strong>en</strong>ta:<br />
• Los objetivos de control y controles seleccionados y los motivos para su elección;<br />
• Los objetivos de control y controles que actualm<strong>en</strong>te ya están implantados;<br />
• La exclusión de cualquier objetivo de control y controles deberán estar<br />
justificados apropiadam<strong>en</strong>te.<br />
El modelo de Seguridad para la Estrategia de <strong>Gobierno</strong> <strong>en</strong> Línea, propone un listado de políticas,<br />
objetivos de control y controles, producto de un análisis detallado de las normas internacionales<br />
recom<strong>en</strong>dadas como la (ISO27001/27002, CobIT, NIST, AS/NZ4360) 12 y que <strong>en</strong> un mayor grado,<br />
apoyan los objetivos de la Estrategia de <strong>Gobierno</strong> <strong>en</strong> Línea. Ver numeral 6.5. de este docum<strong>en</strong>to<br />
para mayor información.<br />
Por medio de la Herrami<strong>en</strong>ta de Auto-evaluación, el usuario designado por cada <strong>en</strong>tidad revisará los<br />
dominios y objetivos de control propuestos <strong>en</strong> la interfaz de la herrami<strong>en</strong>ta para que luego de un<br />
análisis interno con la Alta Dirección de su Entidad, seleccione cuales aplica y cuáles no. Para los<br />
que excluya, deberá digitar y adjuntar (la herrami<strong>en</strong>ta podrá permitir ingresar anexos) toda la<br />
12 Para mayor información ver numeral 3.5.2. de este docum<strong>en</strong>to.<br />
Página 41 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
información relevante y detallada justificando el por qué de esta decisión. Al finalizar, deberá<br />
aceptar que la aplicación <strong>en</strong>víe el informe de “Declaración de Aplicabilidad” a <strong>Gobierno</strong> <strong>en</strong> Línea.<br />
Con esta información, <strong>Gobierno</strong> <strong>en</strong> Línea o quién esta delegue, analizará la información, verificará si<br />
las justificaciones cumpl<strong>en</strong> y para cualquier inquietud, se comunicará con el <strong>en</strong>cargado de cada<br />
<strong>en</strong>tidad para obt<strong>en</strong>er aclaraciones con respecto a la Declaración de Aplicabilidad de la <strong>en</strong>tidad. Una<br />
vez este proceso se haya cumplido, <strong>Gobierno</strong> <strong>en</strong> Línea activará la aplicación para que el <strong>en</strong>cargado<br />
dilig<strong>en</strong>cie la información relacionada con los controles. El proceso de validación del SOA por parte<br />
de <strong>Gobierno</strong> <strong>en</strong> Línea es un mecanismo que permitirá detectar posibles omisiones involuntarias/no<br />
justificadas con sufici<strong>en</strong>cia. Ver mayor información de la herrami<strong>en</strong>ta de auto-evaluación <strong>en</strong> el<br />
docum<strong>en</strong>to: “Entregable 7 –Sistema Autoevaluación”.<br />
5.b. Preparar y realizar el Plan de Tratami<strong>en</strong>to del Riesgo: Una vez la <strong>en</strong>tidad ha definido el alcance<br />
del SGSI, y la Declaración de Aplicabilidad (SOA); a través de la herrami<strong>en</strong>ta de autoevaluación,<br />
deberá revisar los controles propuestos y responder si los ti<strong>en</strong>e implem<strong>en</strong>tados y <strong>en</strong> que grado de<br />
madurez. Si no los ti<strong>en</strong>e implem<strong>en</strong>tados, a través de la herrami<strong>en</strong>ta, la <strong>en</strong>tidad especificará las<br />
acciones, prioridades, recursos, responsables y fecha de compromiso para la implem<strong>en</strong>tación de los<br />
controles, lo que consistirá <strong>en</strong> el Plan de Tratami<strong>en</strong>to del Riesgo, ya que la <strong>en</strong>tidad se compromete<br />
a mitigar los riesgos <strong>en</strong> seguridad de la información implem<strong>en</strong>tando dichos controles<br />
recom<strong>en</strong>dados. La <strong>en</strong>tidad también podrá elegir si trasfiere el riesgo a terceros (p. ej., compañías<br />
aseguradoras o proveedores de outsourcing) o lo asume, <strong>en</strong> cuyo caso, deberá dejar constancia de<br />
la alta dirección justificando esta decisión, lo cual deberá también estar detallado <strong>en</strong> la herrami<strong>en</strong>ta<br />
para que <strong>Gobierno</strong> <strong>en</strong> Línea sea notificado de esta decisión.<br />
Ilustración 9: Gestión de Riesgos<br />
Página 42 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
5.6.1.2. FASE HACER CICLO PHVA – ENTIDA<strong>DE</strong>S <strong>DE</strong>STINATARIAS<br />
Las Entidades públicas y privadas, y las Organizaciones que hagan parte de la cad<strong>en</strong>a de prestación<br />
de servicios <strong>en</strong> Línea, deberán implem<strong>en</strong>tar y operar (fase HACER del ciclo PHVA) la política, las<br />
recom<strong>en</strong>daciones y los controles definidos <strong>en</strong> el modelo para dar cumplimi<strong>en</strong>to a la normatividad, a<br />
los requerimi<strong>en</strong>tos y expectativas definidos, elem<strong>en</strong>tos que a su vez, les permitirán ser más<br />
competitivos y ofrecer mejores y más seguros servicios para proveer mayor confianza a los<br />
ciudadanos que hagan uso de sus servicios y productos. Deberán t<strong>en</strong>er las sigui<strong>en</strong>tes funciones:<br />
• Tomar el Modelo de Seguridad de la Información como Refer<strong>en</strong>te.<br />
• Establecer comunicación con el CSIRT y los <strong>en</strong>tes policivos para efectos de obt<strong>en</strong>er soporte <strong>en</strong><br />
el manejo de incid<strong>en</strong>tes de seguridad de la información.<br />
• Acorde con la naturaleza de los servicios provistos por la <strong>en</strong>tidad, clasificarse <strong>en</strong> uno de los<br />
grupos de <strong>en</strong>tidades destinatarias <strong>en</strong> los que se divide el Modelo SGSI para la estrategia de<br />
<strong>Gobierno</strong> <strong>en</strong> Línea. Ver numeral 6.5. de este docum<strong>en</strong>to para mayor información.<br />
• Implem<strong>en</strong>tar y operar la política, los objetivos de control y los controles recom<strong>en</strong>dados de<br />
acuerdo con grupo <strong>en</strong> el que se <strong>en</strong>cu<strong>en</strong>tre la <strong>en</strong>tidad para dar cumplimi<strong>en</strong>to al Modelo SGSI, ver<br />
mayor información <strong>en</strong> el numeral 6.5 del pres<strong>en</strong>te docum<strong>en</strong>to.<br />
• Alim<strong>en</strong>tar, actualizar y usar las recom<strong>en</strong>daciones e indicadores g<strong>en</strong>erados por la herrami<strong>en</strong>ta de<br />
auto-evaluación 13 para mejorar su nivel de cumplimi<strong>en</strong>to con el Modelo y por <strong>en</strong>de, su postura<br />
<strong>en</strong> seguridad de la información.<br />
Funciones Fase HACER – Entidades destinatarias – Modelo SGSI (ver ilustración 8):<br />
Con relación a las actividades puntuales de implem<strong>en</strong>tación del Modelo SGSI, las <strong>en</strong>tidades<br />
destinatarias deberán:<br />
13 La herrami<strong>en</strong>ta de auto-evaluación, se provee como un sub-producto de la pres<strong>en</strong>te consultoría. El objetivo de esta herrami<strong>en</strong>ta, es ayudar a las <strong>en</strong>tidades a<br />
implem<strong>en</strong>tar el Modelo de Seguridad, pres<strong>en</strong>tándoles, según el grupo <strong>en</strong> el que la <strong>en</strong>tidad de clasifique, las políticas y controles recom<strong>en</strong>dados para que sean<br />
implem<strong>en</strong>tados <strong>en</strong> caso que no existan. Al final, la herrami<strong>en</strong>ta realizará cálculos de indicadores de seguridad basándose <strong>en</strong> los controles alim<strong>en</strong>tados por la<br />
<strong>en</strong>tidad, permitiéndole a esta última, conocer el estado actual de cumplimi<strong>en</strong>to del modelo y comparar su estado con el de otras <strong>en</strong>tidades del mismo grupo.<br />
Para mayor información sobre la herrami<strong>en</strong>ta de auto-evaluación, favor remitirse a docum<strong>en</strong>to “Entregable 7 –Sistema de Auto-evaluación”.<br />
Página 43 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
6 y 7. Implem<strong>en</strong>tar el Modelo SGSI: Las <strong>en</strong>tidades deberán implem<strong>en</strong>tar las políticas, objetivos de<br />
control y controles relacionados <strong>en</strong> el Plan de Tratami<strong>en</strong>to del riesgo aprobado por parte de la alta<br />
dirección de cada <strong>en</strong>tidad según las fechas estipuladas <strong>en</strong> el plan. Cualquier cambio o modificación<br />
al plan, deberá ser notificado a <strong>Gobierno</strong> <strong>en</strong> Línea a través de la herrami<strong>en</strong>ta de autoevaluación.<br />
8 y 9. Definir una política de seguridad que apoye los objetivos estratégicos de <strong>Gobierno</strong> <strong>en</strong> Línea,<br />
ver numeral 6.3. Política del Sistema de Gestión. A su vez, esta política deberá ser apoyada por:<br />
• Políticas y Objetivos de Seguridad de la Información, ver numeral 6.4. de este<br />
docum<strong>en</strong>to.<br />
• Esté aprobada por la alta dirección.<br />
• La política de seguridad t<strong>en</strong>drá la sigui<strong>en</strong>te estructura básica:<br />
Políticas Objetivos de Control Controles Justificación<br />
Ilustración 10: Estructura del Modelo de Seguridad<br />
Es decir, la política de seguridad que apoya la Estrategia de <strong>Gobierno</strong> <strong>en</strong> Línea, es respaldada por<br />
objetivos de control, que son las áreas de cumplimi<strong>en</strong>to a las que las <strong>en</strong>tidades destinatarias deb<strong>en</strong><br />
ceñirse. Para materializar este cumplimi<strong>en</strong>to al interior de cada <strong>en</strong>tidad, se han definido una serie<br />
de controles asociados a cada objetivo de control para que las <strong>en</strong>tidades los verifiqu<strong>en</strong> e<br />
implem<strong>en</strong>t<strong>en</strong> si no lo han hecho. En caso que la <strong>en</strong>tidad decida no implem<strong>en</strong>tarlo (por que no es su<br />
naturaleza, por presupuesto, etc.), deberá justificar detalladam<strong>en</strong>te la excepción. Ver mayor<br />
información <strong>en</strong> el numeral 6.4. de este docum<strong>en</strong>to.<br />
La Estrategia de <strong>Gobierno</strong> <strong>en</strong> Línea apoyará simultáneam<strong>en</strong>te a las <strong>en</strong>tidades <strong>en</strong> cuanto a:<br />
• Implem<strong>en</strong>tar programas de formación y s<strong>en</strong>sibilización <strong>en</strong> relación a la seguridad de la información<br />
para las <strong>en</strong>tidades destinatarias y para la comunidad <strong>en</strong> g<strong>en</strong>eral.<br />
• A través del Grupo Técnico de Apoyo, <strong>Gobierno</strong> <strong>en</strong> Línea gestionará las operaciones del Modelo de<br />
Seguridad SGSI a través de la interfaz de la herrami<strong>en</strong>ta de auto evaluación (<strong>en</strong> modo de<br />
administración). Este administrador, apoyará a las <strong>en</strong>tidades y aclarará sus dudas con respecto al<br />
modelo y su implem<strong>en</strong>tación, <strong>en</strong>tre otras funciones.<br />
• <strong>Gobierno</strong> <strong>en</strong> Línea implantará procedimi<strong>en</strong>tos y controles que permitan una rápida detección y<br />
respuesta a los incid<strong>en</strong>tes de seguridad <strong>en</strong> las <strong>en</strong>tidades a través del portafolio de servicios del<br />
CSIRT y su modelo de negocios (ver docum<strong>en</strong>to “Diseño de un CSIRT Colombiano”).<br />
Página 44 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
5.6.1.3. FASE VERIFICAR – Entidades destinatarias, Organismos de certificación y<br />
autoridades de vigilancia y control<br />
En la fase VERIFICAR del ciclo PHVA, <strong>en</strong> el que se realizará la revisión y seguimi<strong>en</strong>to de la<br />
implem<strong>en</strong>tación y cumplimi<strong>en</strong>to del Modelo de Seguridad tomarán parte:<br />
A ALTO NIVEL –SANSI:<br />
• Los Organismos de certificación que promoverán el cumplimi<strong>en</strong>to del modelo de seguridad<br />
otorgando certificaciones para inc<strong>en</strong>tivar a las <strong>en</strong>tidades que evid<strong>en</strong>ci<strong>en</strong> una gestión efectiva del<br />
mismo, realizando los correctivos y mejoras propuestos por el sistema y la revisión del mismo.<br />
Estos Organismos, podrán ser llamados por las <strong>en</strong>tidades para que realic<strong>en</strong> dichas auditorias. Los<br />
organismos de certificación t<strong>en</strong>drán que ser proveedores autorizados por el SANSI para prestar<br />
servicios de auditoria y certificación del modelo de seguridad.<br />
• Las autoridades de vigilancia y control como la Contraloría, así como también las<br />
Superint<strong>en</strong>d<strong>en</strong>cias y comisiones auditarán y revisarán el cumplimi<strong>en</strong>to del modelo de seguridad<br />
SGSI por parte de las <strong>en</strong>tidades. Estas autoridades:<br />
o Determinarán si las acciones realizadas para resolver las brechas de seguridad de<br />
la información <strong>en</strong>cintradas fueron efectivas.<br />
o Revisar regularm<strong>en</strong>te la efectividad del Modelo SGSI, at<strong>en</strong>di<strong>en</strong>do al cumplimi<strong>en</strong>to<br />
de la política, objetivos y revisión de los controles de seguridad, los resultados de<br />
auditorias de seguridad – herrami<strong>en</strong>tas de vulnerabilidad automatizadas,<br />
incid<strong>en</strong>tes, resultados de los indicadores, suger<strong>en</strong>cias y observaciones de todas<br />
las partes implicadas.<br />
o Medir la efectividad de los controles para verificar que se cumple con los<br />
requisitos de seguridad, para esto se t<strong>en</strong>drá una visión ori<strong>en</strong>tada a niveles de<br />
madurez.<br />
o Revisar regularm<strong>en</strong>te <strong>en</strong> intervalos/periodos planificados, los riesgos residuales y<br />
sus niveles aceptables, t<strong>en</strong>i<strong>en</strong>do <strong>en</strong> cu<strong>en</strong>ta los posibles cambios que hayan<br />
podido producirse <strong>en</strong> las <strong>en</strong>tidades, la tecnología, los objetivos y procesos<br />
misionales, las am<strong>en</strong>azas id<strong>en</strong>tificadas, la efectividad de los controles<br />
implem<strong>en</strong>tados y el ambi<strong>en</strong>te -requerimi<strong>en</strong>tos legales y obligaciones<br />
contractuales, <strong>en</strong>tre otros.<br />
o Realizar periódicam<strong>en</strong>te auditorias del Modelo SGSI <strong>en</strong> intervalos planificados.<br />
Las sigui<strong>en</strong>tes son <strong>en</strong>tidades con compet<strong>en</strong>cias para realizar las revisiones:<br />
Contraloría G<strong>en</strong>eral de la República, máximo órgano de control fiscal del Estado. Como tal,<br />
ti<strong>en</strong>e la misión de procurar el bu<strong>en</strong> uso de los recursos y bi<strong>en</strong>es públicos y contribuir a la<br />
Página 45 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
modernización del Estado, mediante acciones de mejorami<strong>en</strong>to continuo <strong>en</strong> las distintas<br />
<strong>en</strong>tidades públicas.<br />
Superint<strong>en</strong>d<strong>en</strong>cia financiera (ver numeral 5.3. de este docum<strong>en</strong>to).<br />
Superint<strong>en</strong>d<strong>en</strong>cia de industria y comercio (ver numeral 5.3. de este docum<strong>en</strong>to).<br />
Superint<strong>en</strong>d<strong>en</strong>cia de servicios públicos domiciliarios (ver numeral 5.3. de este docum<strong>en</strong>to).<br />
Comisión de Regulación de Telecomunicaciones (ver numeral 5.3. de este docum<strong>en</strong>to).<br />
A NIVEL <strong>DE</strong> LAS ENTIDA<strong>DE</strong>S <strong>DE</strong>STINATARIAS – Modelo SGSI (ver ilustración 8):<br />
10. Las <strong>en</strong>tidades Públicas y Privadas realizarán su auto-evaluación del nivel de cumplimi<strong>en</strong>to del<br />
modelo a través de la herrami<strong>en</strong>ta de Autoevaluación:<br />
• Realizar periódicam<strong>en</strong>te auditorias y verificaciones internas de cumplimi<strong>en</strong>to del Modelo de<br />
Seguridad.<br />
• Apoyarse <strong>en</strong> organismos de certificación que acredit<strong>en</strong> el cumplimi<strong>en</strong>to del Modelo de<br />
Seguridad (opcional).<br />
• Someterse a la auditoria a realizar por parte de las autoridades de vigilancia y control.<br />
• Cada <strong>en</strong>tidad deberá revisar periódicam<strong>en</strong>te el Modelo SGSI implem<strong>en</strong>tado para garantizar<br />
que el alcance definido sigue si<strong>en</strong>do el adecuado y que las mejoras <strong>en</strong> el proceso del SGSI<br />
son evid<strong>en</strong>tes.<br />
• Cada <strong>en</strong>tidad deberá actualizar sus planes de seguridad <strong>en</strong> función de las conclusiones y<br />
nuevos hallazgos <strong>en</strong>contrados durante las actividades de seguimi<strong>en</strong>to y revisión.<br />
• Con relación a la herrami<strong>en</strong>ta de autoevaluación:<br />
La herrami<strong>en</strong>ta de autoevaluación, mostrará el porc<strong>en</strong>taje de cumplimi<strong>en</strong>to a partir de<br />
los controles implem<strong>en</strong>tados, los porc<strong>en</strong>tajes de riesgo a partir de los controles no<br />
implem<strong>en</strong>tados, el porc<strong>en</strong>taje de aceptación del riesgo a partir de los controles no<br />
tratados, fecha de implem<strong>en</strong>tación – periodo y responsable de implem<strong>en</strong>tación.<br />
Cada control podrá ser calificado de la sigui<strong>en</strong>te forma:<br />
o Existe -> Nivel de madurez del control (calificación 1-5)<br />
Página 46 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
o No existe -> Fecha de implem<strong>en</strong>tación y responsable (calificación = 0)<br />
Los porc<strong>en</strong>tajes serán calculados usando métodos cuantitativos para g<strong>en</strong>erar el nivel<br />
de cumplimi<strong>en</strong>to o % riesgo de la Entidad a partir de los controles implem<strong>en</strong>tados y no<br />
implem<strong>en</strong>tados de la sigui<strong>en</strong>te forma:<br />
o Porc<strong>en</strong>taje de cumplimi<strong>en</strong>to = [(Sumatoria niveles de madurez de los Controles<br />
implem<strong>en</strong>tados) / (sumatoria total de Controles aplicables <strong>en</strong> nivel 5 de<br />
madurez)] x 100%<br />
o Porc<strong>en</strong>taje de riesgo = [(# Controles no implem<strong>en</strong>tados) / (# Total Controles<br />
aplicables)] x 100%<br />
La herrami<strong>en</strong>ta puede de igual forma, mostrar el nivel de cumplimi<strong>en</strong>to y el nivel de<br />
riesgo de forma cualitativa por medio de una tabla de equival<strong>en</strong>cia que clasificará a la<br />
<strong>en</strong>tidad <strong>en</strong> los sigui<strong>en</strong>tes niveles:<br />
o Porc<strong>en</strong>taje alto de cumplimi<strong>en</strong>to -> nivel bajo de riesgo<br />
o Porc<strong>en</strong>taje medio de cumplimi<strong>en</strong>to -> nivel medio de riesgo<br />
o Porc<strong>en</strong>taje bajo de cumplimi<strong>en</strong>to -> nivel alto de riesgo<br />
La herrami<strong>en</strong>ta utilizará colores para una fácil id<strong>en</strong>tificación y comparación de <strong>en</strong>tidades<br />
dep<strong>en</strong>di<strong>en</strong>do de la calificación a nivel cualitativo con respecto al cumplimi<strong>en</strong>to del<br />
modelo y con respecto a las demás <strong>en</strong>tidades.<br />
Adicionalm<strong>en</strong>te, la herrami<strong>en</strong>ta proporcionará gráficos g<strong>en</strong>erados de forma automática que<br />
medirán la evolución o involución del modelo de seguridad de una <strong>en</strong>tidad de acuerdo con las<br />
calificaciones del periodo inmediatam<strong>en</strong>te anterior, las <strong>en</strong>tidades podrán ver estas gráficas,<br />
compararse con el modelo y compararse <strong>en</strong>tre ellas mismas.<br />
5.6.1.4. FUNCIONES FASE ACTUAR CICLO PHVA - GRUPO TÉCNICO <strong>DE</strong> APOYO –<br />
ENTIDA<strong>DE</strong>S <strong>DE</strong>STINATARIAS<br />
Finalm<strong>en</strong>te, <strong>en</strong> la fase ACTUAR del ciclo PHVA, <strong>en</strong> el que se realizarán mejoras al modelo, tomarán<br />
parte no solo las <strong>en</strong>tidades destinatarias que deberán ejecutar acciones de mejora ante la autoevaluación<br />
realizada y/o las auditorias externas e internas para implem<strong>en</strong>tar controles de seguridad<br />
que permitan mejorar su nivel de cumplimi<strong>en</strong>to del modelo de seguridad y por <strong>en</strong>de, su postura <strong>en</strong><br />
seguridad de la información, sino también, tomará parte el Grupo Técnico de Apoyo para evid<strong>en</strong>ciar<br />
ajustes, nuevos controles, procesos, lineami<strong>en</strong>tos y políticas que serán puestos a consideración y<br />
aprobación por parte de la Comisión Nacional de Seguridad de la Información para que sean<br />
parte de la nueva versión del Modelo a ser implem<strong>en</strong>tado <strong>en</strong> el sigui<strong>en</strong>te ciclo de vida del sistema:<br />
A ALTO NIVEL –SANSI:<br />
Página 47 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
• Analizar, consolidar y publicar los indicadores, métricas y estadísticas del Sistema y del<br />
Modelo de Seguridad implem<strong>en</strong>tado <strong>en</strong> las <strong>en</strong>tidades.<br />
• Proponer ante la Comisión los ajustes al Modelo de Seguridad acorde con su evolución e<br />
implem<strong>en</strong>tación <strong>en</strong> las <strong>en</strong>tidades destinatarias.<br />
• Coordinar las actividades del portafolio de servicios <strong>en</strong> seguridad de la información (soporte<br />
especializado, capacitación, s<strong>en</strong>sibilización) realizadas por el grupo CSIRT (ver docum<strong>en</strong>to<br />
“Diseño de un CSIRT Colombiano”).<br />
A NIVEL <strong>DE</strong> LAS ENTIDA<strong>DE</strong>S <strong>DE</strong>STINATARIAS –Modelo SGSI (ver Ilustración 8):<br />
11. Acciones Correctivas: Mant<strong>en</strong>er y mejorar el SGSI:<br />
Las <strong>en</strong>tidades destinatarias deberán regularm<strong>en</strong>te:<br />
• Actualizar los planes de seguridad <strong>en</strong> función de las conclusiones y nuevos hallazgos<br />
<strong>en</strong>contrados durante las actividades de seguimi<strong>en</strong>to y revisión.<br />
• Verificar que el modelo SGSI se implanta con las mejoras id<strong>en</strong>tificadas.<br />
• Empr<strong>en</strong>der acciones prev<strong>en</strong>tivas y correctivas adecuadas según los resultados de las<br />
auditorias, los resultados de la revisión por la dirección y de las lecciones apr<strong>en</strong>didas de<br />
experi<strong>en</strong>cias propias y de otras <strong>en</strong>tidades para lograr la mejora continúa del SGSI.<br />
• Asegurarse que las mejoras introducidas alcanzan los objetivos previstos.<br />
• Comunicar las acciones y mejoras a las partes interesadas<br />
• Resolver los hallazgos <strong>en</strong>contrados tanto <strong>en</strong> las auditorias internas como <strong>en</strong> las externas.<br />
• Mejorar los indicadores y métricas del Modelo de Seguridad de la Información, apoyándose<br />
<strong>en</strong> la herrami<strong>en</strong>ta de auto-evaluación (ver docum<strong>en</strong>to “Entregable 7 –Sistema<br />
Autoevaluación”, aum<strong>en</strong>tando la madurez de los controles recom<strong>en</strong>dadas por el Modelo de<br />
seguridad, que son mostrados por la herrami<strong>en</strong>ta de auto-evaluación (ver numeral 6.5. de<br />
este docum<strong>en</strong>to). Lo anterior, permitirá que las <strong>en</strong>tidades evolucion<strong>en</strong> y madur<strong>en</strong> el Modelo<br />
de Seguridad de la información, mejorando su nivel de seguridad de la información<br />
permitiéndoles t<strong>en</strong>er v<strong>en</strong>tajas competitivas, <strong>en</strong>tre otros b<strong>en</strong>eficios.<br />
El ciclo PHVA es un ciclo de vida continuo, lo cual quiere decir que la fase de Actuar lleva de<br />
nuevo a la fase de Planear para iniciar un nuevo ciclo de cuatro fases. Téngase <strong>en</strong> cu<strong>en</strong>ta que no es<br />
necesario llevar una secu<strong>en</strong>cia estricta de las fases, sino que, pued<strong>en</strong> haber actividades de implantación<br />
que ya se llev<strong>en</strong> a cabo cuando otras de planificación aún no han finalizado; o que se monitore<strong>en</strong><br />
controles que aún no están implantados <strong>en</strong> su totalidad.<br />
Página 48 de 207
5.6.2. Mejora del SGSI:<br />
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
• El sistema SANSI y sus difer<strong>en</strong>tes actores, deb<strong>en</strong> mejorar continuam<strong>en</strong>te la eficacia del modelo<br />
SGSI mediante el uso de una política de seguridad de la información estratégica y ori<strong>en</strong>tada a los<br />
servicios de <strong>Gobierno</strong> <strong>en</strong> Línea, los objetivos, los resultados de los análisis y resultados obt<strong>en</strong>idos<br />
por medio de la herrami<strong>en</strong>ta de auto valoración, el análisis de los ev<strong>en</strong>tos e incid<strong>en</strong>tes a los que les<br />
ha hecho seguimi<strong>en</strong>to, las acciones correctivas y prev<strong>en</strong>tivas y las revisiones por la Alta Dirección.<br />
• Ejecutar acciones correctivas para eliminar la causa de las no conformidades asociadas con los<br />
requisitos del modelo SGSI <strong>en</strong> las <strong>en</strong>tidades, con el fin de prev<strong>en</strong>ir que ocurran nuevam<strong>en</strong>te.<br />
• Ejecutar acciones prev<strong>en</strong>tivas para eliminar la causa de no conformidades pot<strong>en</strong>ciales con los<br />
requisitos del modelo SGSI y evitar que ocurran. Las acciones prev<strong>en</strong>tivas tomadas deb<strong>en</strong> estar<br />
acorde con el impacto de los problemas pot<strong>en</strong>ciales.<br />
5.7. Seguridad aplicada a la Comunidad – Higi<strong>en</strong>e <strong>en</strong> Seguridad<br />
El Modelo de Seguridad de la Información para la Estrategia de <strong>Gobierno</strong> <strong>en</strong> Línea apoyado a alto nivel por<br />
el Sistema Nacional de Seguridad – SANSI, servirá como refer<strong>en</strong>te a las <strong>en</strong>tidades destinatarias (tanto<br />
públicas como privadas) para mejorar la seguridad de sus servicios y <strong>en</strong> consecu<strong>en</strong>cia, lograr que el<br />
ciudadano y la comunidad t<strong>en</strong>gan mayor confianza al mom<strong>en</strong>to de realizar trámites y usar los servicios y<br />
sistemas de las <strong>en</strong>tidades del Estado y de <strong>Gobierno</strong> <strong>en</strong> Línea.<br />
El Modelo de Seguridad contribuirá asimismo a mejorar la cultura <strong>en</strong> seguridad de la información de los<br />
ciudadanos impulsando por medio de campañas y planes de capacitación y s<strong>en</strong>sibilización, el uso correcto<br />
de herrami<strong>en</strong>tas como Internet, los dispositivos y medios de almac<strong>en</strong>ami<strong>en</strong>to, los computadores, <strong>en</strong>tre<br />
otros, y formulando recom<strong>en</strong>daciones, precauciones y bu<strong>en</strong>os hábitos (higi<strong>en</strong>e) que deb<strong>en</strong> t<strong>en</strong>er al hacer<br />
uso de los mismos, dep<strong>en</strong>di<strong>en</strong>do del <strong>en</strong>torno <strong>en</strong> el que se <strong>en</strong>cu<strong>en</strong>tr<strong>en</strong>: hogar, oficina, cafés Internet, etc.<br />
El plan de capacitación y s<strong>en</strong>sibilización realizado como parte de esta consultoría (ver docum<strong>en</strong>to<br />
Capacitación y s<strong>en</strong>sibilización Modelo de Seguridad), refuerza los conceptos importantes a t<strong>en</strong>er <strong>en</strong> cu<strong>en</strong>ta<br />
<strong>en</strong> una adecuada higi<strong>en</strong>e <strong>en</strong> seguridad de la información c<strong>en</strong>trándose <strong>en</strong> la comunidad y los ciudadanos:<br />
• S<strong>en</strong>sibilizar sobre los peligros y riesgos al hacer uso de Internet<br />
• Instalar software de fu<strong>en</strong>tes no confiables que introduzcan vulnerabilidades a los computadores y a<br />
los sistemas de información<br />
• Peligros ocasionados con el uso de sistemas operativos, navegadores de Internet y aplicaciones de<br />
oficina desactualizados<br />
Página 49 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
• Car<strong>en</strong>cia de controles de seguridad <strong>en</strong> los computadores que expongan al usuario a cont<strong>en</strong>ido<br />
inapropiado como pornografía, racismo, etc.<br />
• Uso del computador de la casa para realizar asuntos laborales, lo que expone la información de las<br />
organizaciones a nuevos riesgos<br />
• Exposición a robo de información personal o de trabajo a través de virus, spyware, spam, phising y<br />
otros ataques.<br />
Página 50 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
6. <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> GESTIÓN <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN SGSI<br />
6.1. Alcance y límites del Sistema.<br />
El Modelo de gestión de seguridad de la información para la estrategia de <strong>Gobierno</strong> <strong>en</strong> Línea se aplica a los<br />
sigui<strong>en</strong>tes servicios y productos:<br />
Servicios de <strong>Gobierno</strong> <strong>en</strong> Línea<br />
o Información y servicios<br />
o Portales de acceso<br />
o Trámites <strong>en</strong> <strong>línea</strong><br />
o Sistemas sectoriales<br />
o Compras públicas<br />
o Sistemas transversales<br />
Intranet Gubernam<strong>en</strong>tal<br />
o Plataforma de inter-operabilidad (estándares y políticas, núcleo transaccional)<br />
o Infraestructura tecnológica de comunicaciones (RAVEC)<br />
o Infraestructura tecnológica de computación (C<strong>en</strong>tro de Datos)<br />
o Infraestructura tecnológica de contacto(C<strong>en</strong>tro Interacción Multimedia)<br />
Los participantes <strong>en</strong> la cad<strong>en</strong>a de prestación de servicios de <strong>Gobierno</strong> <strong>en</strong> Línea los conforman:<br />
o Comité Nacional de Seguridad de la Información<br />
o Equipo Técnico de Apoyo<br />
o CSIRT<br />
o Proveedores de servicios de <strong>Gobierno</strong> <strong>en</strong> Línea(<strong>en</strong>tidades públicas del ord<strong>en</strong> nacional y territorial)<br />
o Proveedores de servicios de Internet (ISP)<br />
o Proveedores de servicios de acceso a Internet (Café internet, telec<strong>en</strong>tros)<br />
o Proveedores de Servicios de la intranet gubernam<strong>en</strong>tal<br />
o Proveedores de servicios de seguridad<br />
o Cli<strong>en</strong>tes: Ciudadanos, funcionarios públicos, empresas<br />
Página 51 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
El Modelo de gestión de seguridad de la información propuesto es lo sufici<strong>en</strong>tem<strong>en</strong>te estratégico para<br />
contemplar las difer<strong>en</strong>tes fases de implem<strong>en</strong>tación de la Estrategia de <strong>Gobierno</strong> <strong>en</strong> Línea 14 :<br />
o Fase de Información <strong>en</strong> <strong>línea</strong>: Proveer información <strong>en</strong> <strong>línea</strong> con esquemas de búsqueda básica<br />
(Entidades del ord<strong>en</strong> nacional, EON: junio 2008, Entidades del ord<strong>en</strong> territorial, EOT: noviembre<br />
2008).<br />
o Fase de Interacción <strong>en</strong> <strong>línea</strong>: Habilitar comunicación <strong>en</strong>tre ciudadanos, empresas y servidores<br />
públicos (EON: diciembre 2008, EOT: diciembre 2009).<br />
o Fase de transacción <strong>en</strong> <strong>línea</strong>: Proveer transacciones electrónicas para la obt<strong>en</strong>ción de productos<br />
y servicios (EON: diciembre 2009, EOT: diciembre 2010).<br />
o Fase de transformación <strong>en</strong> <strong>línea</strong>: Organizar servicios alrededor de necesidades de ciudadanos y<br />
empresas a través de v<strong>en</strong>tanillas únicas virtuales utilizando la intranet gubernam<strong>en</strong>tal (EON: junio<br />
2010, EOT: diciembre 2011)<br />
o Fase de democracia <strong>en</strong> <strong>línea</strong>: Inc<strong>en</strong>tivar a la ciudadanía a participar de manera activa <strong>en</strong> la<br />
toma de decisiones del Estado y la construcción de políticas públicas aprovechando las TIC´s (EON:<br />
diciembre 2010, EOT: diciembre 2012).<br />
14 Tomado de artículos 5 y 8 del decreto 1151 de 2008.<br />
Página 52 de 207
6.2. Objetivos del Sistema<br />
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
El objetivo principal del Modelo de gestión de seguridad de la información es mant<strong>en</strong>er un ambi<strong>en</strong>te<br />
razonablem<strong>en</strong>te seguro que permita proteger los activos de información que compon<strong>en</strong> la estrategia de<br />
<strong>Gobierno</strong> <strong>en</strong> Línea para asegurar credibilidad y confianza <strong>en</strong> los ciudadanos, <strong>en</strong> los funcionarios públicos,<br />
terceras partes y <strong>en</strong> g<strong>en</strong>eral, todos los que participan <strong>en</strong> la cad<strong>en</strong>a de prestación de servicios de <strong>Gobierno</strong><br />
<strong>en</strong> Línea.<br />
Como objetivos estratégicos del Modelo SGSI se plantean los sigui<strong>en</strong>tes:<br />
• Establecer una guía para manejar todos los aspectos de seguridad que afect<strong>en</strong> la estrategia de<br />
<strong>Gobierno</strong> <strong>en</strong> Línea, su estructura de operación y gestión y todos los servicios que se derivan de la<br />
estrategia.<br />
• Definir guías y lineami<strong>en</strong>tos para asegurar que toda la información s<strong>en</strong>sitiva que se pueda manejar<br />
como parte de los servicios de <strong>Gobierno</strong> <strong>en</strong> Línea esté protegida contra el riesgo de divulgación<br />
accid<strong>en</strong>tal o int<strong>en</strong>cional, fraude, modificación, apropiación indebida, uso indebido, sabotaje o<br />
espionaje.<br />
• Proteger al personal de exposiciones innecesarias <strong>en</strong> relación con el uso indebido de los recursos de<br />
<strong>Gobierno</strong> <strong>en</strong> Línea durante el desempeño de sus funciones.<br />
• Proteger las operaciones de procesami<strong>en</strong>to de información de incid<strong>en</strong>tes de hardware, software o<br />
fallas de red como resultado de errores humanos por descuido o uso indebido accid<strong>en</strong>tal por falta<br />
de <strong>en</strong>tr<strong>en</strong>ami<strong>en</strong>to y capacitación o uso indebido int<strong>en</strong>cional de los sistemas y aspectos tecnológicos<br />
que compon<strong>en</strong> la infraestructura de servicios de <strong>Gobierno</strong> <strong>en</strong> Línea.<br />
• Asegurar la continuidad de los servicios de <strong>Gobierno</strong> <strong>en</strong> Línea mediante el establecimi<strong>en</strong>to de<br />
bu<strong>en</strong>as prácticas de continuidad de negocio (ver docum<strong>en</strong>to “Entregable 4 - Anexo 3:<br />
Recom<strong>en</strong>daciones g<strong>en</strong>erales de continuidad negocio”).<br />
• Proteger a las <strong>en</strong>tidades del Estado que ofrec<strong>en</strong> sus servicios de <strong>Gobierno</strong> <strong>en</strong> Línea de posibles<br />
demandas o sanciones ante un ev<strong>en</strong>to que comprometa la seguridad de los activos de información<br />
o ante un desastre.<br />
6.3. Política del Sistema de Gestión.<br />
La Estrategia de <strong>Gobierno</strong> <strong>en</strong> Línea requiere que la información que se gestiona a través de los servicios y<br />
trámites disponibles para los ciudadanos, funcionarios públicos y <strong>en</strong>tidades públicas y privadas esté<br />
adecuadam<strong>en</strong>te asegurada con el fin de proteger los intereses públicos y nacionales, y preservar la<br />
Página 53 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
privacidad personal (Ley 1266 de 2008 -Habeas data). Esta política, se <strong>en</strong>foca a la protección de la<br />
confid<strong>en</strong>cialidad, integridad, disponibilidad y no repudiación de la información y servicios electrónicos que<br />
ofrec<strong>en</strong> las <strong>en</strong>tidades públicas del ord<strong>en</strong> nacional y territorial <strong>en</strong> cumplimi<strong>en</strong>to del decreto 1151 de 2008.<br />
El repres<strong>en</strong>tante legal de las <strong>en</strong>tidades públicas y privadas que participan <strong>en</strong> la cad<strong>en</strong>a de prestación de<br />
servicios para la Estrategia de <strong>Gobierno</strong> <strong>en</strong> Línea, es responsable por implem<strong>en</strong>tar los requerimi<strong>en</strong>tos de<br />
seguridad que se plantean <strong>en</strong> la política con el fin proteger la información y los activos que la procesan. El<br />
nivel de seguridad que cada <strong>en</strong>tidad debe implem<strong>en</strong>tar para proteger la información y los servicios de la<br />
Estrategia de <strong>Gobierno</strong> <strong>en</strong> Línea, debe corresponder a un proceso de análisis y evaluación de riesgos.<br />
La gestión del riesgo es un requerimi<strong>en</strong>to del Modelo SGSI. Este proceso se ha fortalecido <strong>en</strong> las <strong>en</strong>tidades<br />
públicas como resultado de la implantación del sistema integrado de gestión y control MECI y del sistema<br />
de gestión de la calidad NTC GP 1000:2004 para las <strong>en</strong>tidades públicas.<br />
El Modelo de gestión de seguridad de la información para la estrategia de <strong>Gobierno</strong> <strong>en</strong> Línea es<br />
complem<strong>en</strong>tario con los sistemas de calidad, control interno y desarrollo administrativo. Es posible, para<br />
una <strong>en</strong>tidad, adaptar su(s) sistema(s) de gestión y control exist<strong>en</strong>te(s) para que cumplan con los requisitos<br />
de este modelo. En la implem<strong>en</strong>tación del modelo de seguridad, se debe t<strong>en</strong>er especial cuidado <strong>en</strong> la<br />
id<strong>en</strong>tificación de los elem<strong>en</strong>tos comunes, para evitar que se dupliqu<strong>en</strong> esfuerzos.<br />
6.4. Políticas y Objetivos de Seguridad de la Información<br />
Las políticas de seguridad que se plantean <strong>en</strong> este docum<strong>en</strong>to, se basan <strong>en</strong> un análisis estratégico acorde<br />
con cada una de las fases de la Estrategia de <strong>Gobierno</strong> <strong>en</strong> Línea. Estas políticas repres<strong>en</strong>tan directrices<br />
g<strong>en</strong>erales de alto nivel que deb<strong>en</strong> ser adoptadas por todos los participantes <strong>en</strong> la cad<strong>en</strong>a de prestación de<br />
servicios durante las fases de la evolución de la Estrategia de <strong>Gobierno</strong> <strong>en</strong> Línea.<br />
Para asegurar el cumplimi<strong>en</strong>to de las políticas de seguridad para <strong>Gobierno</strong> <strong>en</strong> Línea, se establecieron<br />
objetivos de control asociados a cada política:<br />
6.4.1. PS1 – Política de Control de Acceso<br />
Las <strong>en</strong>tidades que provean servicios de <strong>Gobierno</strong> <strong>en</strong> Línea que requieran mayor nivel de seguridad como<br />
resultado de un análisis y evaluación del riesgo, deb<strong>en</strong> implem<strong>en</strong>tar mecanismos y controles que asegur<strong>en</strong><br />
un efectivo registro, id<strong>en</strong>tificación y aut<strong>en</strong>ticación de los cli<strong>en</strong>tes y usuarios de dichos servicios. Así mismo,<br />
deb<strong>en</strong> implem<strong>en</strong>tar mecanismos y controles que asegur<strong>en</strong> el acceso bajo el principio del m<strong>en</strong>or privilegio,<br />
necesario para realizar únicam<strong>en</strong>te las labores que a cada cli<strong>en</strong>te o usuario de dichos servicios<br />
correspond<strong>en</strong>. Igualm<strong>en</strong>te, se deb<strong>en</strong> implem<strong>en</strong>tar controles para realizar una efectiva administración de<br />
usuarios y derechos de acceso.<br />
Objetivos de Control:<br />
Página 54 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
PS1.1 Otorgar acceso a servicios que requier<strong>en</strong> mayor nivel de seguridad o que involucran medios de<br />
pago sólo para usuarios autorizados. Se requiere limitar el acceso solo para usuarios id<strong>en</strong>tificados<br />
y aut<strong>en</strong>ticados apropiadam<strong>en</strong>te.<br />
PS1.2 Otorgar los mínimos privilegios de acceso a servicios que requier<strong>en</strong> mayor nivel de seguridad. Se<br />
requiere minimizar el daño pot<strong>en</strong>cial causado por usuarios autorizados lo cual implica establecer<br />
segregación de funciones para separar usuarios de los servicios y usuarios con roles<br />
administrativos.<br />
PS1.3 Otorgar acceso a servicios que requier<strong>en</strong> mayor nivel de seguridad condicionado a la pres<strong>en</strong>tación<br />
de un tok<strong>en</strong> de acceso 15 expedido por un tercero <strong>en</strong> repres<strong>en</strong>tación de la <strong>en</strong>tidad de gobierno<br />
proveedora del servicio. Se debe fortalecer el control de acceso para las transacciones que<br />
requieran mayor nivel de seguridad.<br />
PS1.4 Otorgar acceso a servicios que requier<strong>en</strong> mayor nivel de seguridad condicionado a la pres<strong>en</strong>tación<br />
de información que soporte la id<strong>en</strong>tidad del individuo que requiere el acceso y sus cred<strong>en</strong>ciales de<br />
aut<strong>en</strong>ticación. Se debe implem<strong>en</strong>tar la aut<strong>en</strong>ticación personal más allá de la posesión del tok<strong>en</strong>.<br />
PS1.5 Otorgar privilegios de acceso a servicios de <strong>Gobierno</strong> <strong>en</strong> Línea sólo cuando se satisfaga la<br />
verdadera id<strong>en</strong>tidad del usuario, es decir que el usuario sea qui<strong>en</strong> realm<strong>en</strong>te dice que es y no esté<br />
registrado bajo otra id<strong>en</strong>tidad con un acceso legítimo. Se debe prev<strong>en</strong>ir la creación de múltiples<br />
id<strong>en</strong>tidades. Un usuario puede t<strong>en</strong>er múltiples roles con respecto a los servicios de <strong>Gobierno</strong> <strong>en</strong><br />
Línea pero solo puede poseer una única id<strong>en</strong>tidad.<br />
PS1.6 Otorgar acceso a los usuarios sobre los servicios y o activos necesarios para soportar el servicio<br />
específico requerido. Se deb<strong>en</strong> fortalecer los controles de acceso a nivel de objeto o aplicación, de<br />
manera que un usuario legítimo, una vez otorgado el acceso, no pueda alterar datos no requeridos<br />
por el servicio solicitado.<br />
PS1.7 Implem<strong>en</strong>tar una administración efectiva de los derechos de acceso de usuarios y asignar dicha<br />
responsabilidad al personal apropiado (administradores de accesos).<br />
PS1.8 Implem<strong>en</strong>tar la vig<strong>en</strong>cia de los derechos de acceso y su revocación, una vez finalice el período<br />
asignado, o haya pérdida de las cred<strong>en</strong>ciales, o se detecte uso indebido de los recursos por parte<br />
de los usuarios. Las cred<strong>en</strong>ciales de acceso y los tok<strong>en</strong>s deb<strong>en</strong> quedar inválidos ante ev<strong>en</strong>tos de<br />
revocación.<br />
15 Tok<strong>en</strong> de acceso: es un medio físico que un usuario posee y/o controla y lo utiliza para aut<strong>en</strong>ticar su id<strong>en</strong>tidad.<br />
Página 55 de 207
6.4.2. PS2 - Política de no repudiación<br />
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
Las <strong>en</strong>tidades que provean servicios de transacciones electrónicas, que requieran mayor nivel de<br />
seguridad, deb<strong>en</strong> garantizar la no repudiación de las transacciones implem<strong>en</strong>tando mecanismos de<br />
seguridad que permitan crear un ambi<strong>en</strong>te de confianza <strong>en</strong>tre los cli<strong>en</strong>tes (ciudadanos, funcionarios<br />
públicos, empresas), los proveedores de servicios, los organismos de certificación y la <strong>en</strong>tidad estatal, con<br />
relación a la aut<strong>en</strong>ticidad, trazabilidad y no repudiación de las transacciones electrónicas.<br />
Objetivos de Control:<br />
PS2.1 Proveer evid<strong>en</strong>cia del orig<strong>en</strong> y la integridad del m<strong>en</strong>saje, es decir, se deb<strong>en</strong> implem<strong>en</strong>tar<br />
mecanismos <strong>en</strong> el servicio para crear una prueba de orig<strong>en</strong> de manera que se pueda evitar que<br />
una de las partes (usuario o servicio de gobierno electrónico) niegue su responsabilidad <strong>en</strong> el<br />
<strong>en</strong>vío del m<strong>en</strong>saje. Así mismo, se deb<strong>en</strong> implem<strong>en</strong>tar mecanismos para probar si el m<strong>en</strong>saje ha<br />
sido alterado.<br />
PS2.2 Proveer evid<strong>en</strong>cia del acuse del m<strong>en</strong>saje, es decir, se deb<strong>en</strong> implem<strong>en</strong>tar mecanismos <strong>en</strong> el<br />
servicio para crear una prueba de recibo y almac<strong>en</strong>arla para su recuperación posterior <strong>en</strong> caso de<br />
una disputa <strong>en</strong>tre las partes (usuario y servicio de gobierno electrónico).<br />
PS2.3 Proveer evid<strong>en</strong>cia que el servicio es proporcionado realm<strong>en</strong>te por una <strong>en</strong>tidad pública. Se deb<strong>en</strong><br />
implem<strong>en</strong>tar cred<strong>en</strong>ciales del servicio y ser pres<strong>en</strong>tadas al cli<strong>en</strong>te para la aut<strong>en</strong>ticación del sistema<br />
de acceso al cli<strong>en</strong>te.<br />
PS2.4 Proveer evid<strong>en</strong>cia de la fecha y hora de la transacción electrónica efectuada a través del servicio.<br />
6.4.3. PS3 - Política de servicios confiables<br />
Las <strong>en</strong>tidades que provean servicios de transacciones electrónicas que requieran mayor nivel de<br />
seguridad, deb<strong>en</strong> implem<strong>en</strong>tar mecanismos que asegur<strong>en</strong> a sus cli<strong>en</strong>tes que los compromisos realizados<br />
no son vulnerables a robo o fraude. Además, se deb<strong>en</strong> establecer acuerdos con los cli<strong>en</strong>tes para que<br />
manej<strong>en</strong> con seguridad las cred<strong>en</strong>ciales 16 y otra información personal relevante para el servicio.<br />
16 Cred<strong>en</strong>cial: conjunto de información utilizada por un usuario para establecer una id<strong>en</strong>tidad electrónica como parte del proceso de aut<strong>en</strong>ticación.<br />
Página 56 de 207
Objetivos de Control:<br />
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
PS3.1 Asegurar que las tarjetas débito, crédito u otros instrum<strong>en</strong>tos de compromiso de los cli<strong>en</strong>tes serán<br />
protegidos por el servicio contra robo o fraude. Se deb<strong>en</strong> implem<strong>en</strong>tar las tecnologías de<br />
seguridad más apropiadas <strong>en</strong> el servicio según el nivel de seguridad requerido para conducir<br />
transacciones electrónicas seguras.<br />
PS3.2 Proveer evid<strong>en</strong>cia de los compromisos ejecutados a través del servicio, de manera que <strong>en</strong> el<br />
ev<strong>en</strong>to de una disputa, sea posible demostrar la historia de las transacciones a un auditor externo.<br />
6.4.4. PS4 – Política de Privacidad y Confid<strong>en</strong>cialidad<br />
Los datos personales de los cli<strong>en</strong>tes, ciudadanos y demás información <strong>en</strong>viada a través de los servicios de<br />
<strong>Gobierno</strong> <strong>en</strong> Línea, deb<strong>en</strong> ser protegidos y manejados de manera responsable y segura.<br />
Objetivos de Control:<br />
PS4.1 Proveer protección adecuada de la información personal y privada contra divulgación no<br />
autorizada cuando se transmite a través de redes vulnerables.<br />
PS4.2 Proteger la información personal y privada de uso indebido y divulgación no autorizada cuando se<br />
procesa y almac<strong>en</strong>a d<strong>en</strong>tro del dominio de implem<strong>en</strong>tación de los servicios de <strong>Gobierno</strong> <strong>en</strong> Línea.<br />
6.4.5. PS5 - Política de Integridad<br />
La información que se recibe o se <strong>en</strong>vía a través de los servicios de <strong>Gobierno</strong> <strong>en</strong> Línea, debe conservar<br />
los atributos de correcta y completa durante la transmisión, el procesami<strong>en</strong>to y el almac<strong>en</strong>ami<strong>en</strong>to. Se<br />
debe garantizar la integridad de la información.<br />
Objetivos de Control:<br />
PS5.1 Proteger la información que se transmite a través de redes públicas contra modificación, borrado o<br />
repetición accid<strong>en</strong>tal o int<strong>en</strong>cional. Se debe asegurar la fuerte integridad de las comunicaciones<br />
para prev<strong>en</strong>ir contra manipulación de datos <strong>en</strong> transito o contra pérdida y corrupción causada por<br />
fallas de equipos y comunicaciones.<br />
PS5.2 Proteger la información que se almac<strong>en</strong>a <strong>en</strong> el dominio del cli<strong>en</strong>te contra modificación accid<strong>en</strong>tal o<br />
int<strong>en</strong>cional. Se deb<strong>en</strong> implem<strong>en</strong>tar mecanismos para prev<strong>en</strong>ir que usuarios y atacantes manipul<strong>en</strong><br />
Página 57 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
la información del servicio almac<strong>en</strong>ada <strong>en</strong> su estación de trabajo con el fin de obt<strong>en</strong>er algún<br />
b<strong>en</strong>eficio.<br />
PS5.3 Proteger la información almac<strong>en</strong>ada d<strong>en</strong>tro de los servicios de <strong>Gobierno</strong> <strong>en</strong> Línea contra<br />
modificación o destrucción int<strong>en</strong>cional por parte de atacantes externos. Se deb<strong>en</strong> implem<strong>en</strong>tar<br />
fuertes medidas para frustrar la alteración mal int<strong>en</strong>cionada de los datos de usuarios o de<br />
información de dominio público que puedan disminuir la confianza de los servicios. Los<br />
proveedores de servicios ti<strong>en</strong><strong>en</strong> la obligación del debido cuidado (due care) para asegurar que la<br />
información proporcionada a los cli<strong>en</strong>tes sea veraz.<br />
PS5.4 Proteger la información trasmitida o almac<strong>en</strong>ada d<strong>en</strong>tro del servicio de <strong>Gobierno</strong> <strong>en</strong> Línea contra<br />
pérdida o corrupción accid<strong>en</strong>tal. Se deb<strong>en</strong> implem<strong>en</strong>tar procedimi<strong>en</strong>tos probados de respaldo y<br />
recuperación de datos y asegurar que se manti<strong>en</strong><strong>en</strong> las listas de usuarios y cli<strong>en</strong>tes autorizados.<br />
6.4.6. PS6 – Política de Disponibilidad del Servicio<br />
Las <strong>en</strong>tidades que provean servicios de <strong>Gobierno</strong> <strong>en</strong> Línea deb<strong>en</strong> asegurar la disponibilidad continua de<br />
los servicios bajo su control.<br />
Objetivos de Control:<br />
PS6.1 Proteger los servicios de <strong>Gobierno</strong> <strong>en</strong> Línea contra daños o negación del servicio (DoS –D<strong>en</strong>ial of<br />
service) por parte de atacantes externos.<br />
PS6.2 Proteger los servicios de <strong>Gobierno</strong> <strong>en</strong> Línea contra daños o provisión intermit<strong>en</strong>te del servicio por<br />
fallas internas de los equipos y/o redes. Se deb<strong>en</strong> implem<strong>en</strong>tar mecanismos de redundancia y alta<br />
disponibilidad acordes con la criticidad de la provisión continua del servicio y la capacidad para<br />
realizar reparaciones rápidas.<br />
PS6.3 Proteger los servicios de <strong>Gobierno</strong> <strong>en</strong> Línea contra pérdida de datos, pérdida de equipos y otros<br />
ev<strong>en</strong>tos adversos. Se debe implem<strong>en</strong>tar un plan de continuidad del negocio (BCP –Business<br />
Continuity Plan), para asegurar que se toman las medidas necesarias y evitar <strong>en</strong> lo posible, la<br />
pérdida de información por ocurr<strong>en</strong>cia de incid<strong>en</strong>tes.<br />
6.4.7. PS7 – Política de Disponibilidad de la Información<br />
Las <strong>en</strong>tidades que provean servicios de <strong>Gobierno</strong> <strong>en</strong> Línea, deb<strong>en</strong> asegurar que los datos de los usuarios<br />
y cli<strong>en</strong>tes se manti<strong>en</strong><strong>en</strong> protegidos contra pérdida, alteración o divulgación por actos accid<strong>en</strong>tales o<br />
malint<strong>en</strong>cionados, o por fallas de los equipos y/o redes.<br />
Página 58 de 207
Objetivos de Control:<br />
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
PS7.1 Recuperar los datos personales o críticos que han sido dañados, destruidos, alterados o<br />
modificados por acciones malint<strong>en</strong>cionadas o accid<strong>en</strong>tales. Se deb<strong>en</strong> implem<strong>en</strong>tar procedimi<strong>en</strong>tos<br />
de copias de respaldo y recuperación, para asegurar que exista recuperación de los datos<br />
s<strong>en</strong>sitivos y que puedan ser restaurados <strong>en</strong> el ev<strong>en</strong>to de una falla. También se deb<strong>en</strong> implem<strong>en</strong>tar<br />
mecanismos para que los datos personales no sean divulgados sin autorización expresa del dueño<br />
de la información.<br />
PS7.2 Recuperar la información protegida <strong>en</strong> el ev<strong>en</strong>to que un cli<strong>en</strong>te u otro usuario no puedan suministrar<br />
las cred<strong>en</strong>ciales de acceso necesarias. Se deb<strong>en</strong> implem<strong>en</strong>tar procedimi<strong>en</strong>tos para recuperar<br />
datos de usuario <strong>en</strong> el ev<strong>en</strong>to que un tok<strong>en</strong> de acceso o la contraseña se pierdan. Esto permite<br />
soportar investigaciones de posible uso indebido del sistema.<br />
6.4.8. PS8 – Política de Protección del Servicio<br />
Las <strong>en</strong>tidades que provean servicios de <strong>Gobierno</strong> <strong>en</strong> Línea, deb<strong>en</strong> asegurar que los servicios y sus activos<br />
de información relacionados, estén adecuadam<strong>en</strong>te protegidos contra ataques externos o internos.<br />
Objetivo de Control:<br />
PS8.1 Proteger los sistemas de información, equipos y redes que soportan los servicios de <strong>Gobierno</strong> <strong>en</strong><br />
Línea contra ataques a la provisión continua y segura del servicio. Se deb<strong>en</strong> asegurar los equipos<br />
y las redes implem<strong>en</strong>tando medidas tales como asegurami<strong>en</strong>to de servidores, implem<strong>en</strong>tación de<br />
topologías seguras de red y escaneo de vulnerabilidades. Los sistemas de información y las<br />
aplicaciones, deb<strong>en</strong> ser diseñados e implem<strong>en</strong>tados de manera que se minimic<strong>en</strong> las<br />
vulnerabilidades y los ataques externos e internos se reduzcan a un nivel aceptable.<br />
6.4.9. PS9 - Política de Registro y Auditoria<br />
Las <strong>en</strong>tidades que provean servicios de <strong>Gobierno</strong> <strong>en</strong> Línea, deb<strong>en</strong> mant<strong>en</strong>er y proteger los registros de<br />
las transacciones electrónicas como evid<strong>en</strong>cia para los requerimi<strong>en</strong>tos de las auditorias (internas o<br />
externas) y como mecanismo para establecer responsabilidades de los cli<strong>en</strong>tes y usuarios.<br />
Objetivo de Control:<br />
PS9.1 Mant<strong>en</strong>er un registro de transacciones que pueda ser requerido después del análisis de ev<strong>en</strong>tos<br />
y/o incid<strong>en</strong>tes. Se deb<strong>en</strong> mant<strong>en</strong>er registros y pistas de auditoria con el fin de establecer<br />
responsabilidad por las transacciones, reconstruir transacciones fallidas y suministrar registros<br />
Página 59 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
apropiados <strong>en</strong> caso de conflictos o disputas por el servicio. Debe existir trazabilidad de los<br />
registros de transacciones según sea apropiado.<br />
6.4.10. Alineami<strong>en</strong>to de las políticas de seguridad con normas y mejores prácticas de<br />
la industria<br />
Considerando que las <strong>en</strong>tidades del estado como parte del proceso de modernización de la gestión<br />
pública se <strong>en</strong>cu<strong>en</strong>tran implem<strong>en</strong>tado el sistema de gestión integrado de control interno MECI y el sistema<br />
de gestión de calidad NTC GP 1000:2004, se hace necesario id<strong>en</strong>tificar donde sea aplicable, elem<strong>en</strong>tos de<br />
dichos sistemas de gestión, que permitan o facilit<strong>en</strong> la implem<strong>en</strong>tación de los requerimi<strong>en</strong>tos de seguridad<br />
de la información del Modelo de Seguridad SGSI propuesto por esta consultoría con el fin de evitar<br />
duplicación de esfuerzos.<br />
Igualm<strong>en</strong>te, es necesario t<strong>en</strong>er pres<strong>en</strong>te las iniciativas de las <strong>en</strong>tidades públicas y privadas <strong>en</strong>caminadas a<br />
implem<strong>en</strong>tar estándares y mejores prácticas tales como: Sistema de Gestión de Seguridad de la<br />
Información SGSI (ISO27001), <strong>Gobierno</strong> de tecnología de la información (COBIT), Prestación de Servicios<br />
de TI (ITIL) <strong>en</strong>tre otros. En ese s<strong>en</strong>tido, a continuación se id<strong>en</strong>tifica la alineación y armonización de los<br />
requerimi<strong>en</strong>tos de seguridad del pres<strong>en</strong>te Modelo SANSI-SGSI con dichas mejores prácticas:<br />
Política<br />
SANSI-SGSI<br />
PS1 - Política de<br />
Control de<br />
Acceso<br />
MECI NTC -<br />
GP 1000<br />
1.1 Ambi<strong>en</strong>te de<br />
control<br />
1.3 Administración<br />
del riesgo<br />
2.1 Actividades de<br />
Control<br />
2.2.3 sistemas de<br />
Información<br />
5 Roles y<br />
responsabilidades<br />
4.1 g)<br />
Id<strong>en</strong>tificar y<br />
diseñar puntos<br />
de control<br />
sobre los<br />
riesgos<br />
5.6.2 h)<br />
Riesgos<br />
actualizados e<br />
id<strong>en</strong>tificados<br />
para la <strong>en</strong>tidad<br />
Página 60 de 207<br />
ISO27001 COBIT ITIL<br />
4.2.1<br />
Establecimi<strong>en</strong>to del<br />
SGSI literales c) al<br />
h)<br />
A11.1 Requisito del<br />
negocio para el<br />
control de acceso<br />
A.11.2 Gestión del<br />
acceso de usuarios<br />
A.11.3<br />
Responsabilidades<br />
de los usuarios<br />
A.11.4 Control de<br />
AI1.2 Reporte de<br />
análisis de riesgos<br />
DS5.2 Plan de<br />
seguridad de TI<br />
DS5.3<br />
Administración de<br />
id<strong>en</strong>tidad<br />
DS5.4<br />
Administración de<br />
cu<strong>en</strong>tas del<br />
usuario<br />
DS5.7 Protección<br />
de la tecnología<br />
SO 4.5<br />
Administración del<br />
acceso<br />
SO 5.3<br />
Administración de<br />
mainframe<br />
SO 5.4<br />
Administración y<br />
soporte de<br />
servidores<br />
SO 5.5<br />
Administración de<br />
la red<br />
SO 5.7<br />
Administración de
PS2 - Política de<br />
no repudiación<br />
1.3 Administración<br />
del riesgo<br />
2.2.3 sistemas de<br />
Información<br />
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
4.1 g)<br />
Id<strong>en</strong>tificar y<br />
diseñar puntos<br />
de control<br />
sobre los<br />
riesgos<br />
5.6.2 h)<br />
Riesgos<br />
actualizados e<br />
id<strong>en</strong>tificados<br />
para la <strong>en</strong>tidad<br />
Página 61 de 207<br />
acceso a las redes<br />
A.11.5 Control de<br />
acceso al sistema<br />
operativo<br />
A.11.6 Control de<br />
acceso a las<br />
aplicaciones y a la<br />
información.<br />
A.11.7 Computación<br />
móvil y trabajo<br />
remoto<br />
A.12.1 Requisitos<br />
de seguridad de los<br />
sistemas de<br />
información<br />
A.12.3 Controles<br />
criptográficos<br />
4.2.1<br />
Establecimi<strong>en</strong>to del<br />
SGSI, literales c)al<br />
h)<br />
A 10.9 Servicios de<br />
comercio<br />
electrónico<br />
A12.1 Requisitos de<br />
seguridad de los<br />
sistemas de<br />
información<br />
A.12.3 Controles<br />
criptográficos<br />
de seguridad<br />
DS5.8<br />
Administración de<br />
llaves<br />
criptográficas<br />
DS5.10 Seguridad<br />
de la red<br />
DS5.11<br />
Intercambio de<br />
datos s<strong>en</strong>sitivos<br />
AC6 Aut<strong>en</strong>ticidad<br />
e integridad de las<br />
transacciones<br />
AI2.4 Seguridad y<br />
disponibilidad de<br />
las aplicaciones.<br />
DS5.7 Protección<br />
de tecnologías de<br />
seguridad<br />
DS5.8<br />
Administración de<br />
llaves<br />
criptográficas<br />
DS5.11<br />
Intercambio de<br />
datos s<strong>en</strong>sitivos<br />
DS11.6<br />
Requerimi<strong>en</strong>tos de<br />
seguridad para<br />
administración de<br />
datos<br />
bases de datos<br />
SO 5.8<br />
Administración de<br />
servicios de<br />
directorio<br />
SO 5.10<br />
Administración del<br />
middleware<br />
SO 5.11<br />
Administración de<br />
Internet y servicios<br />
web<br />
SO 5.10<br />
Administración del<br />
middleware<br />
SD 3.6.1 Diseño<br />
de las soluciones<br />
del servicio<br />
SD 5.2<br />
Administración de<br />
información y<br />
datos
PS3 - Política de<br />
servicios<br />
confiables<br />
PS4 - Política de<br />
privacidad y<br />
confid<strong>en</strong>cialidad<br />
1.3 Administración<br />
del riesgo<br />
2.2.3 sistemas de<br />
Información<br />
1.1 Ambi<strong>en</strong>te de<br />
control<br />
1.3 Administración<br />
del riesgo<br />
2.1 Actividades de<br />
Control<br />
2.2.3 sistemas de<br />
Información<br />
5 Roles y<br />
responsabilidades<br />
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
4.1 literal g)<br />
Id<strong>en</strong>tificar y<br />
diseñar puntos<br />
de control<br />
sobre los<br />
riesgos<br />
5.6.2 h)<br />
Riesgos<br />
actualizados e<br />
id<strong>en</strong>tificados<br />
para la <strong>en</strong>tidad<br />
4.1 subnumeral<br />
g) Id<strong>en</strong>tificar y<br />
diseñar puntos<br />
de control<br />
sobre los<br />
riesgos<br />
5.6.2 h)<br />
Riesgos<br />
actualizados e<br />
id<strong>en</strong>tificados<br />
para la <strong>en</strong>tidad<br />
Página 62 de 207<br />
4.2.1<br />
Establecimi<strong>en</strong>to del<br />
SGSI, literales c)al<br />
h)<br />
A 10.9 Servicios de<br />
comercio<br />
electrónico<br />
A12.1 Requisitos de<br />
seguridad de los<br />
sistemas de<br />
información<br />
A.12.3 Controles<br />
criptográficos<br />
A.10.2 Gestión de la<br />
prestación del<br />
servicio por terceras<br />
partes<br />
A.10.6 Gestión de la<br />
seguridad de las<br />
redes<br />
A.10.8 Intercambio<br />
de la información<br />
A10.9 Servicios de<br />
Comercio<br />
Electrónico<br />
A.11.1 Requisito del<br />
negocio para el<br />
control de acceso<br />
A.11.2 Gestión del<br />
AC6 Aut<strong>en</strong>ticidad<br />
e integridad de las<br />
transacciones<br />
AI2.4 Seguridad y<br />
disponibilidad de<br />
las aplicaciones.<br />
DS5.7 Protección<br />
de tecnologías de<br />
seguridad<br />
DS5.8<br />
Administración de<br />
llaves<br />
criptográficas<br />
DS5.11<br />
Intercambio de<br />
datos s<strong>en</strong>sitivos<br />
DS11.6<br />
Requerimi<strong>en</strong>tos de<br />
seguridad para<br />
administración de<br />
datos<br />
AC6 Aut<strong>en</strong>ticidad<br />
e integridad de las<br />
transacciones<br />
PO2.3 Esquema<br />
de clasificación de<br />
datos<br />
PO3.4 Estándares<br />
tecnológicos<br />
PO6.2 Riesgo<br />
Corporativo y<br />
Marco de<br />
Refer<strong>en</strong>cia de<br />
Control Interno de<br />
TI<br />
AI1.2 Reporte de<br />
análisis de riesgos<br />
SO 5.10<br />
Administración del<br />
middleware<br />
SD 3.6.1 Diseño<br />
de las soluciones<br />
del servicio<br />
SD 5.2<br />
Administración de<br />
información y<br />
datos<br />
SO 4.5<br />
Administración del<br />
acceso<br />
SO 5.3<br />
Administración de<br />
mainframe<br />
SO 5.4<br />
Administración y<br />
soporte de<br />
servidores<br />
SO 5.5<br />
Administración de<br />
la red<br />
SO 5.6<br />
Almac<strong>en</strong>ami<strong>en</strong>to y<br />
archivo
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
Página 63 de 207<br />
acceso de usuarios<br />
A.11.3<br />
Responsabilidades<br />
de los usuarios<br />
A.11.4 Control de<br />
acceso a las redes<br />
A.11.5 Control de<br />
acceso al sistema<br />
operativo<br />
A.11.6 Control de<br />
acceso a las<br />
aplicaciones y a la<br />
información.<br />
A.11.7 Computación<br />
móvil y trabajo<br />
remoto<br />
A.12.1 Requisitos<br />
de seguridad de los<br />
sistemas de<br />
información<br />
A.12.3 Controles<br />
criptográficos<br />
AI2.3 Control y<br />
auditabilidad de<br />
las aplicaciones<br />
AI2.4 Seguridad y<br />
disponibilidad de<br />
las aplicaciones.<br />
DS11.1<br />
Requerimi<strong>en</strong>tos<br />
del negocio para<br />
administración de<br />
datos<br />
DS5.2 Plan de<br />
seguridad de TI<br />
DS5.3<br />
Administración de<br />
id<strong>en</strong>tidad<br />
DS5.4<br />
Administración de<br />
cu<strong>en</strong>tas del<br />
usuario<br />
DS5.7 Protección<br />
de la tecnología<br />
de seguridad<br />
DS5.8<br />
Administración de<br />
llaves<br />
criptográficas<br />
DS5.10 Seguridad<br />
de la red<br />
DS5.11<br />
Intercambio de<br />
datos s<strong>en</strong>sitivos<br />
DS11.1<br />
Requerimi<strong>en</strong>tos<br />
del negocio para<br />
administración de<br />
datos<br />
DS11.2 Acuerdos<br />
de<br />
almac<strong>en</strong>ami<strong>en</strong>to y<br />
conservación<br />
DS11.3 Sistema<br />
SO 5.7<br />
Administración de<br />
bases de datos<br />
SO 5.8<br />
Administración de<br />
servicios de<br />
directorio<br />
SO 5.10<br />
Administración del<br />
middleware<br />
SO 5.11<br />
Administración de<br />
Internet y servicios<br />
web<br />
SD 3.6.1 Diseño<br />
de las soluciones<br />
del servicio<br />
SD 5.2<br />
Administración de<br />
información y<br />
datos
PS5 - Política de<br />
integridad<br />
1.3 Administración<br />
del riesgo<br />
2.2.3 sistemas de<br />
Información<br />
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
4.1 literal g)<br />
Id<strong>en</strong>tificar y<br />
diseñar puntos<br />
de control<br />
sobre los<br />
riesgos<br />
5.6.2 h)<br />
Riesgos<br />
actualizados e<br />
id<strong>en</strong>tificados<br />
para la <strong>en</strong>tidad<br />
Página 64 de 207<br />
4.2.1<br />
Establecimi<strong>en</strong>to del<br />
SGSI, literales c)al<br />
h)<br />
A 10.9 Servicios de<br />
comercio<br />
electrónico<br />
A12.1 Requisitos de<br />
seguridad de los<br />
sistemas de<br />
información<br />
A.12.3 Controles<br />
criptográficos<br />
de administración<br />
de librerías de<br />
medios<br />
DS11.4<br />
Eliminación<br />
DS11.5 Backup y<br />
restauración<br />
DS11.6<br />
Requerimi<strong>en</strong>tos de<br />
seguridad para<br />
administración de<br />
datos<br />
AC4 Integridad y<br />
validez del<br />
procesami<strong>en</strong>to de<br />
datos<br />
AC6 Aut<strong>en</strong>ticidad<br />
e integridad de las<br />
transacciones<br />
PO6.2 Riesgo<br />
Corporativo y<br />
Marco de<br />
Refer<strong>en</strong>cia de<br />
Control Interno de<br />
TI<br />
AI1.2 Reporte de<br />
análisis de riesgos<br />
AI2.3 Control y<br />
auditabilidad de<br />
las aplicaciones<br />
AI2.4 Seguridad y<br />
disponibilidad de<br />
las aplicaciones.<br />
DS11.1<br />
Requerimi<strong>en</strong>tos<br />
del negocio para<br />
administración de<br />
datos<br />
DS5.2 Plan de<br />
seguridad de TI<br />
SD 3.6.1 Diseño<br />
de las soluciones<br />
del servicio<br />
SD 5.2<br />
Administración de<br />
información y<br />
datos
PS6 - Política de<br />
disponibilidad<br />
del servicio<br />
PS7 - Política de<br />
disponibilidad<br />
1.3 Administración<br />
del riesgo<br />
2.2.3 sistemas de<br />
Información<br />
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
4.1 literal g)<br />
Id<strong>en</strong>tificar y<br />
diseñar puntos<br />
de control<br />
sobre los<br />
riesgos<br />
5.6.2 h)<br />
Riesgos<br />
actualizados e<br />
id<strong>en</strong>tificados<br />
para la <strong>en</strong>tidad<br />
1.3 Administración 4.1 literal g)<br />
Id<strong>en</strong>tificar y<br />
diseñar puntos<br />
Página 65 de 207<br />
4.2.1<br />
Establecimi<strong>en</strong>to del<br />
SGSI, literales c)al<br />
h)<br />
A.10.3<br />
Planificación y<br />
aceptación del<br />
sistema<br />
A12.1 Requisitos de<br />
seguridad de los<br />
sistemas de<br />
información<br />
A.14.1 Aspectos<br />
de seguridad de la<br />
información, de la<br />
gestión de la<br />
continuidad del<br />
negocio.<br />
4.2.1<br />
Establecimi<strong>en</strong>to del<br />
SGSI, literales c)al<br />
DS5.8<br />
Administración de<br />
llaves<br />
criptográficas<br />
DS11.1<br />
Requerimi<strong>en</strong>tos<br />
del negocio para<br />
administración de<br />
datos<br />
DS11.6<br />
Requerimi<strong>en</strong>tos de<br />
seguridad para<br />
administración de<br />
datos<br />
DS3 Administrar el<br />
desempeño y la<br />
capacidad<br />
DS4 Garantizar la<br />
continuidad del<br />
servicio<br />
DS4.9<br />
Almac<strong>en</strong>ami<strong>en</strong>to<br />
de respaldos fuera<br />
SO 4.1<br />
Administración de<br />
ev<strong>en</strong>tos<br />
SD 4.3<br />
Administración de<br />
la capacidad<br />
SD 4.4<br />
Administración de<br />
la disponibilidad<br />
SD 4.4.5.2<br />
Actividades de<br />
administración de<br />
la disponibilidad<br />
SD 4.5<br />
Administración de<br />
la continuidad del<br />
servicio<br />
SO 5.2.3 Copia de<br />
respaldo y<br />
restauración<br />
SD Apéndice K<br />
Cont<strong>en</strong>ido de un<br />
plan de<br />
recuperación de<br />
desastres<br />
SO 5.2.3 Copia de<br />
respaldo y
de la<br />
información<br />
PS8 - Política de<br />
protección del<br />
servicio<br />
del riesgo<br />
2.2.3 sistemas de<br />
Información<br />
1.3 Administración<br />
del riesgo<br />
2.2.3 sistemas de<br />
Información<br />
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
de control<br />
sobre los<br />
riesgos<br />
5.6.2 h)<br />
Riesgos<br />
actualizados e<br />
id<strong>en</strong>tificados<br />
para la <strong>en</strong>tidad<br />
4.1 literal g)<br />
Id<strong>en</strong>tificar y<br />
diseñar puntos<br />
de control<br />
sobre los<br />
riesgos<br />
5.6.2 h)<br />
Riesgos<br />
actualizados e<br />
id<strong>en</strong>tificados<br />
para la <strong>en</strong>tidad<br />
7.1<br />
Planificación de<br />
la realización<br />
del producto o<br />
prestación del<br />
servicio<br />
7.2 Procesos<br />
relacionados<br />
con el cli<strong>en</strong>te<br />
7.3 Diseño y<br />
desarrollo<br />
7.5 Producción<br />
y prestación del<br />
servicio<br />
7.5.1 literal g)<br />
Los riesgos de<br />
mayor<br />
probabilidad<br />
h)<br />
Página 66 de 207<br />
A.10.5 Respaldo<br />
A.10.6 Gestión de la<br />
seguridad de las<br />
redes<br />
A.10.10 Monitoreo<br />
A.12.1 Requisitos<br />
de seguridad de los<br />
sistemas de<br />
información<br />
A.12.5 Seguridad <strong>en</strong><br />
los procesos de<br />
desarrollo y soporte<br />
A.12.6 Gestión de la<br />
vulnerabilidad<br />
técnica<br />
A.13.2 Gestión de<br />
los incid<strong>en</strong>tes y las<br />
mejoras <strong>en</strong> la<br />
seguridad de la<br />
información<br />
de las<br />
instalaciones<br />
DS11.2 Acuerdos<br />
de<br />
almac<strong>en</strong>ami<strong>en</strong>to y<br />
conservación<br />
DS11.5 Respaldo<br />
y restauración<br />
DS11.6<br />
Requerimi<strong>en</strong>tos de<br />
seguridad para la<br />
administración de<br />
datos<br />
PO6.2 Riesgo<br />
Corporativo y<br />
Marco de<br />
Refer<strong>en</strong>cia de<br />
Control Interno de<br />
TI<br />
PO8.3 Estándares<br />
de desarrollo y de<br />
adquisición<br />
AI1.2 Reporte de<br />
análisis de riesgos<br />
AI2 Adquirir y<br />
mant<strong>en</strong>er software<br />
aplicativo<br />
AI6 Administrar<br />
cambios<br />
DS2 Administrar<br />
los servicios de<br />
terceros<br />
DS 5 Garantizar la<br />
seguridad de los<br />
sistemas<br />
DS8 Administrar la<br />
mesa de servicio y<br />
los incid<strong>en</strong>tes<br />
restauración<br />
SD 5.2<br />
Administración de<br />
información y<br />
datos<br />
SD 3.6.1<br />
Diseñando<br />
soluciones y<br />
servicios<br />
SO 4.1<br />
Administración de<br />
ev<strong>en</strong>tos<br />
SO 4.2<br />
Administración de<br />
incid<strong>en</strong>tes<br />
SO 4.5<br />
Administración del<br />
acceso<br />
SD 4.6<br />
Administración de<br />
la seguridad de la<br />
información<br />
SO5.13<br />
Administración de<br />
la seguridad de la<br />
información y de la<br />
operación de los<br />
servicios<br />
SO 5.5<br />
Administración de<br />
la red
PS8 - Política de<br />
registro y<br />
auditoria<br />
3.1 Autoevaluación<br />
3.2 Evaluación<br />
indep<strong>en</strong>di<strong>en</strong>te<br />
3.3 Planes de<br />
mejorami<strong>en</strong>to<br />
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
7.5.2 Validación<br />
de los procesos<br />
de producción y<br />
de la prestación<br />
del servicio<br />
8 Medición,<br />
análisis y<br />
mejora<br />
Página 67 de 207<br />
A.10.10.1 Registro<br />
de auditorias<br />
A.10.10.4 Registros<br />
del administrador y<br />
del operador<br />
A.10.10.5 Registro<br />
de fallas<br />
A.10.10.6<br />
Sincronización de<br />
relojes<br />
AI2.3 Control y<br />
auditabilidad de<br />
las aplicaciones<br />
DS5.5 Pruebas,<br />
vigilancia y<br />
monitoreo de la<br />
seguridad<br />
ME1.2 Definición y<br />
recolección de<br />
datos de<br />
monitoreo<br />
ME2.2 Revisiones<br />
de Auditoria<br />
ME2.5<br />
Asegurami<strong>en</strong>to del<br />
control interno<br />
ME4.7<br />
Asegurami<strong>en</strong>to<br />
indep<strong>en</strong>di<strong>en</strong>te.<br />
SO 5.1 Monitoreo<br />
y control<br />
CSI 4.1 Los siete<br />
pasos del proceso<br />
de mejorami<strong>en</strong>to<br />
del servicio<br />
CSI 8 Implem<strong>en</strong>tar<br />
mejorami<strong>en</strong>to<br />
continuo del<br />
servicio<br />
Tabla 11: Relación de las políticas y objetivos de control del Modelo de seguridad SGSI para la Estrategia<br />
de <strong>Gobierno</strong> <strong>en</strong> Línea con las normas y mejores prácticas de la industria.<br />
6.5. Clasificaciones de seguridad del Modelo SGSI<br />
6.5.1. Clasificación de <strong>en</strong>tidades por grupo o naturaleza del servicio<br />
El Modelo de Seguridad de la Información para la Estrategia de <strong>Gobierno</strong> <strong>en</strong> Línea, realm<strong>en</strong>te consiste <strong>en</strong><br />
tres versiones del mismo, ya que las <strong>en</strong>tidades no son similares <strong>en</strong> sus recursos, criticidad de su<br />
información y los procesos de negocio, por lo que deb<strong>en</strong> clasificarse <strong>en</strong> uno de los sigui<strong>en</strong>tes grupos que<br />
están categorizados por la naturaleza del servicio que prestan. El Modelo de Seguridad, aplicará una<br />
versión distinta <strong>en</strong> cuanto a los controles recom<strong>en</strong>dados dep<strong>en</strong>di<strong>en</strong>do del grupo al que pert<strong>en</strong>ezca la<br />
<strong>en</strong>tidad.<br />
Los sigui<strong>en</strong>tes son los grupos <strong>en</strong> los que se divid<strong>en</strong> las <strong>en</strong>tidades destinatarias según su naturaleza del<br />
servicio:
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
GRUPO 1 Cafés Internet, Telec<strong>en</strong>tros y Compartel<br />
GRUPO 2 Entidades públicas de ord<strong>en</strong> nacional y<br />
territorial<br />
GRUPO 3 Entidades privadas que pert<strong>en</strong>ezcan a la<br />
cad<strong>en</strong>a de prestación de servicios de<br />
<strong>Gobierno</strong> <strong>en</strong> Línea (como los ISP).<br />
Tabla 12: Clasificación de grupos según la naturaleza de la <strong>en</strong>tidad.<br />
El Modelo de seguridad SGSI propuesto para la Estrategia de <strong>Gobierno</strong> <strong>en</strong> Línea, se pres<strong>en</strong>ta a las<br />
<strong>en</strong>tidades destinatarias <strong>en</strong> forma de políticas, objetivos de control y controles recom<strong>en</strong>dados para su<br />
implem<strong>en</strong>tación y mejorami<strong>en</strong>to. Las Políticas y objetivos de control, dado que son estratégicos y de<br />
alto nivel, serán los mismos para todo el universo de <strong>en</strong>tidades indep<strong>en</strong>di<strong>en</strong>te del grupo al que<br />
pert<strong>en</strong>ezcan; los controles recom<strong>en</strong>dados, si dep<strong>en</strong>derán de la clasificación del grupo, es decir, las<br />
<strong>en</strong>tidades del grupo 1 t<strong>en</strong>drán que cumplir ciertos controles básicos, las del grupo 2 controles básicos<br />
mas controles adicionales, y las del grupo 3, controles avanzados, asi:<br />
GRUPO 1<br />
Cafés Internet, Telec<strong>en</strong>tros y Compartel<br />
GRUPO 2<br />
Entidades públicas de ord<strong>en</strong> nacional y territorial<br />
GRUPO 3<br />
Entidades privadas que pert<strong>en</strong>ezcan a la cad<strong>en</strong>a de prestación de servicios de<br />
<strong>Gobierno</strong> <strong>en</strong> Línea (como los ISP).<br />
Tabla 13: Clasificación de controles según el grupo al que pert<strong>en</strong>ezca la <strong>en</strong>tidad.<br />
Página 68 de 207<br />
Controles<br />
básicos<br />
Controles<br />
medios<br />
Controles<br />
avanzados
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
6.5.2. Niveles de madurez de los controles de seguridad recom<strong>en</strong>dados<br />
Indep<strong>en</strong>di<strong>en</strong>te del grupo y de los controles que las <strong>en</strong>tidades deban aplicar, cada control ti<strong>en</strong>e un nivel<br />
de madurez <strong>en</strong> seguridad de la información categorizado de 0 a 5, que la <strong>en</strong>tidad deberá implem<strong>en</strong>tar<br />
para evid<strong>en</strong>ciar la mejora contínua del Modelo de seguridad SGSI para la Estrategia de <strong>Gobierno</strong> <strong>en</strong><br />
Línea. El Modelo fija niveles mínimos y óptimos de madurez para obt<strong>en</strong>er los registros de seguridad de<br />
la información –RSI que serán otorgados a las <strong>en</strong>tidades que cumplan con estos niveles requeridos. Ver<br />
mayor información relacionada con los registros RSI <strong>en</strong> el numeral 6.5.3. del pres<strong>en</strong>te docum<strong>en</strong>to.<br />
Los niveles de madurez de la seguridad de la información de los controles recom<strong>en</strong>dados por el Modelo<br />
SGSI, son adaptados del Modelo CMM de CobIT versión 4.0 17 , que los clasifican <strong>en</strong> los sigui<strong>en</strong>tes<br />
niveles:<br />
Nivel 0 No Exist<strong>en</strong>te: No hay políticas, procesos, procedimi<strong>en</strong>tos, o controles <strong>en</strong> seguridad<br />
de la información. La <strong>en</strong>tidad no reconoce los riesgos <strong>en</strong> seguridad de la información y por <strong>en</strong>de<br />
la necesidad de su tratami<strong>en</strong>to.<br />
Nivel 1 Inicial: La <strong>en</strong>tidad reconoce que los riesgos <strong>en</strong> seguridad de la información deb<strong>en</strong> ser<br />
tratados/mitigados. No exist<strong>en</strong> políticas ni procesos estandarizados sino procedimi<strong>en</strong>tos o<br />
controles particulares aplicados a casos individuales.<br />
Nivel 2 Repetible: Se desarrollan procesos y procedimi<strong>en</strong>tos <strong>en</strong> seguridad de la información<br />
de forma intuitiva. No hay una comunicación ni <strong>en</strong>tr<strong>en</strong>ami<strong>en</strong>to formal y la responsabilidad de la<br />
seguridad de la información recae <strong>en</strong> el s<strong>en</strong>tido común de los empleados. Hay una excesiva<br />
confianza <strong>en</strong> el conocimi<strong>en</strong>to de los empleados, por tanto, los errores <strong>en</strong> seguridad de la<br />
información son comunes.<br />
Nivel 3 Definido: Los procesos y las políticas se defin<strong>en</strong>, docum<strong>en</strong>tan y se comunican a través<br />
de un <strong>en</strong>tr<strong>en</strong>ami<strong>en</strong>to formal. Es obligatorio el cumplimi<strong>en</strong>to de los procesos y las políticas y por<br />
tanto, la posibilidad de detectar desviaciones es alta. Los procedimi<strong>en</strong>tos por si mismos no son<br />
sofisticados pero se formalizan las prácticas exist<strong>en</strong>tes.<br />
Nivel 4 Administrado: Exist<strong>en</strong> mediciones y monitoreo sobre el cumplimi<strong>en</strong>to de los<br />
procedimi<strong>en</strong>tos <strong>en</strong> seguridad de la información. Los procedimi<strong>en</strong>tos están bajo constante<br />
17 Ver mayor información <strong>en</strong> www.isaca.org<br />
http://www.isaca.org/Cont<strong>en</strong>t/Cont<strong>en</strong>tGroups/Research1/Deliverables/COBIT_Mapping_Mapping_SEI’s_CMM_for_Software_With_COBIT_4_0.htm<br />
Página 69 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
mejorami<strong>en</strong>to y prove<strong>en</strong> bu<strong>en</strong>as practicas. Normalm<strong>en</strong>te requiere de herrami<strong>en</strong>tas<br />
automatizadas para la medición.<br />
Nivel 5 Optimizado: Los procesos, políticas y controles <strong>en</strong> seguridad de la información se<br />
refinan a nivel de bu<strong>en</strong>as prácticas con base <strong>en</strong> los resultados del mejorami<strong>en</strong>to continuo y los<br />
modelos de madurez de otras empresas. Normalm<strong>en</strong>te se cu<strong>en</strong>ta con herrami<strong>en</strong>tas<br />
automatizadas que apoyan a la gestión de la seguridad de la información.<br />
La sigui<strong>en</strong>te ilustración, muestra la repres<strong>en</strong>tación gráfica de los modelos de madurez planteados<br />
para el Modelo de Seguridad:<br />
Ilustración 14: CMM Niveles de madurez. CobIT 4.0. IT Governance Institute.<br />
6.5.3. Registro de Seguridad de la Información RSI - Graduación<br />
El Modelo de Seguridad SGSI determina, de igual forma, la graduación de las <strong>en</strong>tidades destinatarias<br />
según el cumplimi<strong>en</strong>to de los controles recom<strong>en</strong>dados <strong>en</strong> los niveles de madurez requeridos, es decir,<br />
indep<strong>en</strong>di<strong>en</strong>te del grupo al que pert<strong>en</strong>ezcan las <strong>en</strong>tidades, podrán ser graduadas 18 con registros de<br />
18 Esta graduación la otorga el CSIRT como una de sus funciones. Para mayor información, ver el docum<strong>en</strong>to “Diseño de un CSIRT Colombiano, numeral 4.3.<br />
Graduación”.<br />
Página 70 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
seguridad de la información “RSI” <strong>en</strong> grados 1, 2 o 3, dep<strong>en</strong>di<strong>en</strong>do de la madurez <strong>en</strong> la que se<br />
<strong>en</strong>cu<strong>en</strong>tr<strong>en</strong> implem<strong>en</strong>tados sus controles, así:<br />
• Entidades con controles <strong>en</strong> niveles de madurez 0 y 1: Registro RSI Grado 1,<br />
• Entidades con controles <strong>en</strong> niveles de madurez 2 y 3: Registro RSI Grado 2,<br />
• Entidades con controles <strong>en</strong> niveles de madurez 4 y 5: Registro RSI Grado 3.<br />
La clasificación anterior se d<strong>en</strong>omina “Graduación <strong>en</strong> el Sistema”. De tal forma, que si una <strong>en</strong>tidad <strong>en</strong><br />
RSI 1 madura sus controles a nivel 3, podrá ser promocionada a RSI grado 2. Así mismo, el sistema<br />
contempla la promoción de <strong>en</strong>tidades de RSI 2 a RSI 3 si la madurez de los controles pasa a nivel 4 o<br />
superior.<br />
También se puede dar el caso que una <strong>en</strong>tidad descuide los controles, por tanto, baje la madurez, y <strong>en</strong><br />
consecu<strong>en</strong>cia, el sistema lo degrade a un grado RSI inferior o no g<strong>en</strong>ere el registro correspondi<strong>en</strong>te.<br />
En cuanto a la seguridad de la información, se puede hacer un diagnóstico de la situación actual según el<br />
grado RSI de la <strong>en</strong>tidad:<br />
ESTADO <strong>DE</strong> LA <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN EN UNA ENTIDAD EN RSI GRADO 1:<br />
Se id<strong>en</strong>tifican <strong>en</strong> forma g<strong>en</strong>eral los activos de la organización.<br />
Se observan ev<strong>en</strong>tos que at<strong>en</strong>tan contra la seguridad de la información, los activos<br />
y la continuidad del negocio, pero no se le da la debida importancia.<br />
Los empleados no ti<strong>en</strong><strong>en</strong> conci<strong>en</strong>cia de la seguridad de la información (prestan sus<br />
claves, dejan sus equipos sin cerrar sesión, etc.).<br />
Se responde reactivam<strong>en</strong>te a las am<strong>en</strong>azas de intrusión, virus, robo de equipos y de<br />
información.<br />
ESTADO <strong>DE</strong> LA <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN EN UNA ENTIDAD EN RSI GRADO 2:<br />
Se g<strong>en</strong>era un inv<strong>en</strong>tario del hardware y software que hay <strong>en</strong> la organización a partir de<br />
la id<strong>en</strong>tificación de los activos.<br />
Página 71 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
Se id<strong>en</strong>tifican riesgos asociados con la información, los equipos de cómputo y las<br />
aplicaciones, así mismo, se id<strong>en</strong>tifican vulnerabilidades por medio de trabajos no periódicos<br />
<strong>en</strong> seguridad informática (pruebas de vulnerabilidad).<br />
Se empiezan a elaborar informes de los incid<strong>en</strong>tes de seguridad ocurridos.<br />
Se ti<strong>en</strong><strong>en</strong> <strong>en</strong> cu<strong>en</strong>ta algunos procedimi<strong>en</strong>tos de seguridad de la información (por ej.<br />
creación de contraseñas seguras, administración segura de usuarios, clasificación de la<br />
información, desarrollo seguro de software, etc.) pero aún no se han formalizado <strong>en</strong> los<br />
sistemas de gestión docum<strong>en</strong>tal o de calidad de la organización.<br />
Se empieza a observar <strong>en</strong> los empleados una conci<strong>en</strong>cia de la seguridad de la<br />
información, pero aún no demuestran un compromiso con ella.<br />
Se diseña e implem<strong>en</strong>ta el sistema de gestión de seguridad de la información SGSI.<br />
Se defin<strong>en</strong> las Políticas de Seguridad de la Información de la organización<br />
basadas <strong>en</strong> la Norma ISO27001 debido a que se increm<strong>en</strong>ta el interés por<br />
buscar las causas que originaron la ocurr<strong>en</strong>cia de los ev<strong>en</strong>tos que<br />
at<strong>en</strong>taron contra la información, los activos y la continuidad del negocio.<br />
Se divulgan las Políticas de Seguridad de la Información <strong>en</strong> toda la organización.<br />
Se crean indicadores y métricas de seguridad para medir la evolución y mejora del sistema<br />
SGSI.<br />
Se realiza la clasificación de los activos y de la información de la <strong>en</strong>tidad los equipos y<br />
aplicaciones, para así poder dar protección adecuada a cada uno de ellos.<br />
Se cu<strong>en</strong>tan con Planes de continuidad del negocio <strong>en</strong>focados únicam<strong>en</strong>te a la<br />
infraestructura tecnológica (DRP – Planes de recuperación ante desastres), no obstante,<br />
se dejan de lado los procesos críticos de la organización.<br />
Se crean planes de acción y de tratami<strong>en</strong>to del riesgo con responsables y fechas de<br />
cumplimi<strong>en</strong>to.<br />
Se incluy<strong>en</strong> d<strong>en</strong>tro de los procesos de negocio de la organización, las normas de<br />
seguridad de la información (por ej. mejores prácticas <strong>en</strong> c<strong>en</strong>tros de cómputo).<br />
Se empieza a observar un compromiso de los empleados con la seguridad de la<br />
información.<br />
Se establec<strong>en</strong> controles y medidas básicas para disminuir los incid<strong>en</strong>tes y prev<strong>en</strong>ir su<br />
ocurr<strong>en</strong>cia <strong>en</strong> el futuro.<br />
Página 72 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
Se cu<strong>en</strong>ta con procedimi<strong>en</strong>tos que <strong>en</strong>señan a los empleados a manejar la<br />
información y los equipos de cómputo <strong>en</strong> forma segura.<br />
Se monitorea la red de la organización, como una medida prev<strong>en</strong>tiva contra<br />
intrusiones, o infecciones de virus.<br />
ESTADO <strong>DE</strong> LA <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN EN UNA ENTIDAD EN RSI GRADO 3:<br />
Se realizan periódicam<strong>en</strong>te auditorias internas al sistema SGSI.<br />
Se crea el comité de seguridad interdisciplinario con el cuál se busca tratar temas de<br />
Seguridad de la Información que sean de interés para la organización.<br />
Se analizan los indicadores y métricas para medir el cumplimi<strong>en</strong>to del sistema SGSI con<br />
relación a las normas internacionales <strong>en</strong> seguridad de la información para establecer si las<br />
Políticas de Seguridad de la organización (incluy<strong>en</strong>do los contratos con empleados y<br />
terceros), están si<strong>en</strong>do acatadas correctam<strong>en</strong>te.<br />
Los roles del área de Seguridad de la información están bi<strong>en</strong> definidos y se lleva un<br />
registro de las actividades que realiza cada rol.<br />
Se cu<strong>en</strong>ta con Planes de continuidad del negocio (BCP) que contemplan<br />
solo los procesos críticos del negocio (los que garantizan la continuidad del<br />
mismo), no obstante se dejan otros procesos de la organización por fuera.<br />
Se implem<strong>en</strong>tan los controles de seguridad técnicos y no técnicos recom<strong>en</strong>dados <strong>en</strong> los<br />
planes de acción.<br />
Se monitorean periódicam<strong>en</strong>te los activos de la organización.<br />
Se realizan de manera sistemática pruebas a los controles, para determinar si están<br />
funcionando correctam<strong>en</strong>te.<br />
Se hac<strong>en</strong> simulacros de incid<strong>en</strong>tes de seguridad, para probar la efectividad de los<br />
planes BCP – DRP y de respuesta a incid<strong>en</strong>tes.<br />
Se realizan pruebas a las aplicaciones, para verificar el cumplimi<strong>en</strong>to de los<br />
requisitos de seguridad definidos <strong>en</strong> las políticas y controles de seguridad de la<br />
organización.<br />
Página 73 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
Se hac<strong>en</strong> pruebas de intrusión periódicas a los equipos críticos de la organización,<br />
para detectar, claves débiles o fáciles de adivinar, y accesos a ciertos sistemas por<br />
usuarios no autorizados.<br />
El sistema SGSI evoluciona sus indicadores y métricas de seguridad, evid<strong>en</strong>cia la<br />
implem<strong>en</strong>tación de planes de mitigación del riesgo con la puesta <strong>en</strong> producción de controles<br />
recom<strong>en</strong>dados y realiza auditorias periódicas de cumplimi<strong>en</strong>to.<br />
Los empleados apoyan y contribuy<strong>en</strong> al mejorami<strong>en</strong>to de la seguridad de la<br />
información <strong>en</strong> la organización.<br />
La organización apr<strong>en</strong>de continuam<strong>en</strong>te sobre los incid<strong>en</strong>tes de seguridad pres<strong>en</strong>tados.<br />
Se analizan las recom<strong>en</strong>daciones arrojadas por las auditorias y consultorías de seguridad<br />
de la información para que se puedan definir acciones prev<strong>en</strong>tivas más efectivas.<br />
Se incluy<strong>en</strong> todas las áreas y procesos de la organización (críticos y no<br />
críticos), <strong>en</strong> los planes de continuidad y de respuesta a incid<strong>en</strong>tes.<br />
En el docum<strong>en</strong>to “Diseño de un CSIRT Colombiano”, numeral 10 –Presupuesto preliminar de inversión y<br />
funcionami<strong>en</strong>to, se puede obt<strong>en</strong>er mayor información con respecto a las condiciones económicas<br />
planteadas para la graduación de las <strong>en</strong>tidades <strong>en</strong> el Modelo SGSI según su grado RSI.<br />
6.5.4. Controles de de Seguridad de la información recom<strong>en</strong>dados por Grupo<br />
Dado que las políticas estratégicas de seguridad planteadas <strong>en</strong> este docum<strong>en</strong>to, necesitan ser aplicadas<br />
por las <strong>en</strong>tidades destinatarias según su agrupación d<strong>en</strong>tro del Modelo de seguridad, se propon<strong>en</strong> una<br />
serie de controles de seguridad de la información clasificados <strong>en</strong> difer<strong>en</strong>tes niveles según el grupo al<br />
que pert<strong>en</strong>ezca la <strong>en</strong>tidad, para lo cual, se ha establecido la sigui<strong>en</strong>te tabla de controles, que serán<br />
verificados por cada una de las <strong>en</strong>tidades a través de la herrami<strong>en</strong>ta de auto-evaluación:<br />
Página 74 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
6.5.4.1. Controles para <strong>en</strong>tidades clasificadas <strong>en</strong> Grupo 1 (Cafés Internet, Telec<strong>en</strong>tros<br />
y Compartel):<br />
# Control Control Descripción<br />
1<br />
2<br />
Planeación Elaborar y docum<strong>en</strong>tar los planes para mant<strong>en</strong>er y mejorar<br />
el servicio<br />
Id<strong>en</strong>tificación de la<br />
legislación aplicable<br />
Id<strong>en</strong>tificar la reglam<strong>en</strong>tación exist<strong>en</strong>te para el servicio<br />
ofrecido<br />
3 Gestión de riesgos Elaborar y mant<strong>en</strong>er actualizado un mapa de riesgos<br />
Políticas Establecer políticas para el uso adecuado de los recursos,<br />
4<br />
protección de derechos de autor y protección contra<br />
pornografía infantil<br />
5<br />
6<br />
7<br />
8<br />
9<br />
10<br />
11<br />
12<br />
Inv<strong>en</strong>tario de activos Elaborar y mant<strong>en</strong>er un inv<strong>en</strong>tario actualizado de los<br />
activos<br />
Conci<strong>en</strong>cia <strong>en</strong> Entr<strong>en</strong>ar al administrador y al personal de apoyo del<br />
seguridad de<br />
c<strong>en</strong>tro de servicios (café Internet, Telec<strong>en</strong>tro) <strong>en</strong><br />
información<br />
fundam<strong>en</strong>tos básicos de seguridad. Preparar y comunicar<br />
guías básicas para cli<strong>en</strong>tes sobre Internet seguro y uso<br />
aceptable de servicios ofrecidos<br />
Servicios de suministro Proteger los equipos contra fallas <strong>en</strong> el suministro de<br />
<strong>en</strong>ergía<br />
Seguridad del<br />
cableado<br />
Protección contra<br />
inc<strong>en</strong>dios<br />
Seguridad de oficinas,<br />
recintos e instalaciones<br />
Mant<strong>en</strong>imi<strong>en</strong>to de los<br />
equipos<br />
Proteger contra código<br />
malicioso<br />
Proteger el cableado de <strong>en</strong>ergía y de red contra daños<br />
Suministrar equipo apropiado contra inc<strong>en</strong>dios<br />
T<strong>en</strong>er pres<strong>en</strong>te los reglam<strong>en</strong>tos y normas sobre seguridad<br />
y salud (por ejemplo, ergonomía <strong>en</strong> el sitio de trabajo,<br />
limpieza)<br />
Programar mant<strong>en</strong>imi<strong>en</strong>to prev<strong>en</strong>tivo y correctivo de los<br />
equipos<br />
Instalar software antivirus y mant<strong>en</strong>erlo actualizado<br />
13 Registro de fallas Registrar y analizar las fallas de los equipos<br />
14<br />
15<br />
Sincronización de<br />
relojes<br />
Derechos de propiedad<br />
intelectual<br />
Sincronizar los relojes de los equipos con la hora<br />
establecida <strong>en</strong> la página de la SIC<br />
Usar software protegido con las debidas lic<strong>en</strong>cias<br />
16 Uso de firewall Instalar un firewall personal <strong>en</strong> cada estación de trabajo<br />
17<br />
18<br />
19<br />
Estándar de<br />
configuración<br />
Definir e implem<strong>en</strong>tar un estándar para configurar los<br />
equipos del c<strong>en</strong>tro de servicios de manera que controle la<br />
descarga e instalación de software y los cambios <strong>en</strong> la<br />
configuración del sistema<br />
Respaldo Mant<strong>en</strong>er copias de respaldo de la configuración de<br />
equipos y de la red local<br />
Seguridad de oficinas,<br />
recintos e instalaciones<br />
T<strong>en</strong>er pres<strong>en</strong>te los reglam<strong>en</strong>tos y normas sobre seguridad<br />
y salud (por ejemplo, ergonomía <strong>en</strong> el sitio de trabajo,<br />
limpieza)<br />
Página 75 de 207
Política<br />
20<br />
21<br />
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
Monitoreo y control de Controlar uso de los recursos del c<strong>en</strong>tro de servicios<br />
recursos<br />
Administrar parches Implem<strong>en</strong>tar procedimi<strong>en</strong>to para instalar parches de los<br />
sistema operativos<br />
22 Control de acceso Controlar el ingreso y salida de personal<br />
Acuerdos de servicio Establecer acuerdos de servicio con proveedores (ISP,<br />
23<br />
proveedores de equipos y software, mant<strong>en</strong>imi<strong>en</strong>to de<br />
equipos, etc.).<br />
24<br />
Evaluación del servicio Programar <strong>en</strong>cuestas <strong>en</strong>tre los usuarios para evaluar el<br />
servicio<br />
Tabla 15: Controles de seguridad recom<strong>en</strong>dados para las <strong>en</strong>tidades del Grupo 1<br />
6.5.4.2. Controles para <strong>en</strong>tidades clasificadas <strong>en</strong> Grupo 2 (Entidades públicas de ord<strong>en</strong><br />
nacional y territorial):<br />
Objetivo de<br />
Control<br />
# Control<br />
Nombre del<br />
Control<br />
Control de<br />
Acceso<br />
PS1 PS1.1-PS1.8 AC-1 Política y<br />
procedimi<strong>en</strong>tos<br />
de control de<br />
acceso<br />
Página 76 de 207<br />
Descripción<br />
Control: La <strong>en</strong>tidad desarrolla, divulga, revisa<br />
y actualiza periódicam<strong>en</strong>te: (i) una política de<br />
control de acceso formal y docum<strong>en</strong>tada, que<br />
incluye el propósito, alcance, roles,<br />
responsabilidades, compromiso de la<br />
administración, coordinación <strong>en</strong>tre <strong>en</strong>tidades<br />
organizacionales y cumplimi<strong>en</strong>to. (ii)<br />
procedimi<strong>en</strong>tos formales, docum<strong>en</strong>tados para<br />
facilitar la implem<strong>en</strong>tación de la política de<br />
control de acceso y controles asociados.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
PS1 PS1.1, PS1.7 AC-2 Administración de<br />
cu<strong>en</strong>tas<br />
Página 77 de 207<br />
Control: La <strong>en</strong>tidad administra las cu<strong>en</strong>tas de<br />
acceso a los sistemas de información y<br />
servicios de TI e incluye el establecer, activar,<br />
modificar, revisar, desactivar y remover<br />
cu<strong>en</strong>tas. La <strong>en</strong>tidad revisa las cu<strong>en</strong>tas de los<br />
sistemas de información según una<br />
frecu<strong>en</strong>cia definida, por lo m<strong>en</strong>os cada 6<br />
meses.<br />
Mejoras <strong>en</strong> el control:<br />
(1)<br />
La <strong>en</strong>tidad utiliza mecanismos automatizados<br />
para apoyar la administración de cu<strong>en</strong>tas del<br />
sistema de información y servicios de TI.<br />
(2)<br />
Se desactivan automáticam<strong>en</strong>te las cu<strong>en</strong>tas<br />
temporales y de emerg<strong>en</strong>cia después de un<br />
periodo de tiempo definido para cada tipo de<br />
cu<strong>en</strong>ta.<br />
(3)<br />
Se desactivan automáticam<strong>en</strong>te las cu<strong>en</strong>tas<br />
inactivas después de un período de tiempo<br />
establecido.<br />
(4)<br />
La <strong>en</strong>tidad utiliza mecanismos automatizados<br />
para auditar las acciones de creación,<br />
modificación, desactivación y terminación de<br />
cu<strong>en</strong>tas y notifica a los usuarios <strong>en</strong> la medida<br />
<strong>en</strong> que se requiera.<br />
PS1 PS1.2 AC-3 Forzar el acceso Control: Se establec<strong>en</strong> las autorizaciones<br />
asignadas para controlar el acceso al sistema<br />
según la política aplicable.<br />
Mejoras <strong>en</strong> el control:<br />
(1)<br />
Se restringe el acceso a funciones<br />
privilegiadas (instaladas <strong>en</strong> el hardware,<br />
software y firmware) y a la información de<br />
seguridad importante al personal autorizado.<br />
PS1 PS8.1 AC-4 Restringir el flujo<br />
de información<br />
PS1 PS1.2 AC-5 Segregación de<br />
funciones<br />
Control: Se establec<strong>en</strong> las autorizaciones<br />
asignadas para controlar el flujo de<br />
información d<strong>en</strong>tro del sistema y <strong>en</strong>tre<br />
sistemas interconectados de acuerdo con la<br />
política aplicable.<br />
Control: Se establece segregación de<br />
funciones a través de autorizaciones de
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
PS1 PS1.2, PS1.6 AC-6 Principio del<br />
mínimo privilegio<br />
PS1 PS1.8 AC-7 Int<strong>en</strong>tos de login<br />
fallidos<br />
PS1 PS1.8 AC-8 Notificación de<br />
uso del sistema<br />
PS1 PS1.8 AC-9 Notificación de<br />
logon previos<br />
PS1 PS1.8 AC-10 Control de<br />
sesiones<br />
concurr<strong>en</strong>tes<br />
Página 78 de 207<br />
acceso asignadas.<br />
Control: Se establece el conjunto de<br />
derechos y privilegios más restrictivo o los<br />
accesos mínimos necesarios de los<br />
usuarios(o procesos actuando <strong>en</strong><br />
repres<strong>en</strong>tación de los usuarios) para el<br />
desempeño de las tareas específicas.<br />
Control: Se establece un número límite de<br />
int<strong>en</strong>tos de acceso fallidos durante un periodo<br />
de tiempo. Automáticam<strong>en</strong>te se bloquea la<br />
cu<strong>en</strong>ta por sobrepasar el límite de int<strong>en</strong>tos de<br />
acceso fallidos durante un periodo de tiempo<br />
definido.<br />
Control: Se despliega un m<strong>en</strong>saje de<br />
notificación de uso del sistema antes de<br />
autorizar el acceso informando al usuario<br />
pot<strong>en</strong>cial: (i)que el usuario está accesando un<br />
servicio o trámite de <strong>Gobierno</strong> <strong>en</strong> Línea; (ii) el<br />
uso del sistema puede ser monitoreado,<br />
grabado, y sujeto a auditoria; (iii) que el uso<br />
no autorizado del sistema está prohibido y<br />
sujeto a acción p<strong>en</strong>al y civil; y (iv) que el uso<br />
del sistema indica que hay cons<strong>en</strong>so para<br />
monitorear y grabar. El sistema que usa<br />
m<strong>en</strong>sajes de notificación proporciona alertas<br />
de privacidad y seguridad apropiadas y<br />
permanec<strong>en</strong> desplegadas <strong>en</strong> la pantalla hasta<br />
que el usuario ingresa al sistema.<br />
Control: Se notifica al usuario, la fecha y la<br />
hora del último ingreso exitoso, y el número<br />
de int<strong>en</strong>tos de ingreso fallidos desde el último<br />
logon exitoso.<br />
Control: Se limita el número de sesiones<br />
concurr<strong>en</strong>tes para cada usuario según un<br />
número establecido por la <strong>en</strong>tidad.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
PS1 PS1.8 AC-11 Bloqueo de la<br />
sesión<br />
PS1 PS1.8 AC-12 Terminación de la<br />
sesión<br />
PS1 PS1.1, PS1.2 AC-13 Supervisión y<br />
revisión del<br />
control de acceso<br />
PS1 PS1.1 AC-14 Acciones<br />
permitidas sin<br />
id<strong>en</strong>tificación o<br />
aut<strong>en</strong>ticación<br />
PS4 PS4.1, PS4.2 AC-15 Marcación<br />
automatizada<br />
Página 79 de 207<br />
Control: Después de un período de tiempo<br />
de inactividad se bloquea la sesión y se obliga<br />
a iniciar una nueva sesión. El bloqueo<br />
permanece hasta que el usuario se id<strong>en</strong>tifique<br />
y aut<strong>en</strong>tique nuevam<strong>en</strong>te.<br />
Control: El sistema de información<br />
automáticam<strong>en</strong>te termina una sesión remota<br />
después de un período de tiempo de<br />
inactividad establecido por la <strong>en</strong>tidad.<br />
Mejoras al control:<br />
(1)<br />
La terminación automática de la sesión aplica<br />
para sesiones locales y remotas.<br />
Control: La <strong>en</strong>tidad supervisa y revisa las<br />
actividades de los usuarios con respecto a<br />
reforzar y usar los controles de acceso del<br />
sistema de información y servicios de TI.<br />
Mejoras al control:<br />
(1)<br />
Las <strong>en</strong>tidad utiliza mecanismos<br />
automatizados para facilitar la revisión de las<br />
actividades de los usuarios.<br />
Control: La <strong>en</strong>tidad id<strong>en</strong>tifica y docum<strong>en</strong>ta<br />
las acciones específicas del usuario que<br />
pued<strong>en</strong> ser desarrolladas <strong>en</strong> el sistema de<br />
información sin id<strong>en</strong>tificación o aut<strong>en</strong>ticación.<br />
Mejoras al control:<br />
(1)<br />
La <strong>en</strong>tidad permite que se ejecut<strong>en</strong> algunas<br />
acciones sin id<strong>en</strong>tificación o aut<strong>en</strong>ticación<br />
sólo bajo autorización y bajo el principio de<br />
necesidad de conocer, es decir, lo mínimo<br />
necesario para el cumplimi<strong>en</strong>to de una labor.<br />
Control: El sistema de información marca las<br />
salidas de información usando conv<strong>en</strong>ciones<br />
de nombres estándar para id<strong>en</strong>tificar<br />
instrucciones de divulgación, manejo o<br />
distribución especial.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
PS1 PS1.1, PS1.2,PS8.1 AC-17 Acceso remoto Control: La <strong>en</strong>tidad autoriza, monitorea y<br />
controla todos los métodos de acceso remoto<br />
al sistema de información.<br />
Mejoras al control:<br />
(1)<br />
La <strong>en</strong>tidad utiliza mecanismos automatizados<br />
para facilitar el monitoreo y control de los<br />
métodos de acceso remoto.<br />
(2)<br />
La <strong>en</strong>tidad utiliza criptografía para proteger la<br />
confid<strong>en</strong>cialidad e integridad de las sesiones<br />
de acceso remoto.<br />
(3)<br />
La <strong>en</strong>tidad controla todos los acceso remotos<br />
mediante un número limitado de puntos de<br />
control de acceso administrados.<br />
(4)<br />
La <strong>en</strong>tidad permite acceso remoto para<br />
funciones privilegiadas solo para necesidades<br />
operacionales y se docum<strong>en</strong>ta y justifica tal<br />
acceso <strong>en</strong> el plan de seguridad del sistema de<br />
información.<br />
PS1 PS1.1,PS1.2,PS8.1 AC-18 Restricciones de<br />
acceso<br />
inalámbrico<br />
PS1 PS1.1,PS1.2, PS8.1 AC-19 Control de acceso<br />
para dispositivos<br />
móviles y<br />
portátiles.<br />
Página 80 de 207<br />
Control: La <strong>en</strong>tidad: (i) establece restricciones<br />
de uso y guías de implem<strong>en</strong>tación para<br />
tecnologías inalámbricas y (ii) autoriza,<br />
monitorea y controla el acceso inalámbrico al<br />
sistema de información.<br />
Mejoras al control:<br />
(1)<br />
La <strong>en</strong>tidad utiliza aut<strong>en</strong>ticación y <strong>en</strong>cripción<br />
para proteger el acceso inalámbrico al<br />
sistema de información.<br />
(2)<br />
La <strong>en</strong>tidad escanea los puntos de acceso<br />
inalámbrico no autorizados con una<br />
frecu<strong>en</strong>cia establecida y toma las acciones<br />
apropiadas <strong>en</strong> caso de <strong>en</strong>contrar tales puntos<br />
de acceso.<br />
Control: La <strong>en</strong>tidad: (i) establece<br />
restricciones para el uso y una guía de<br />
implem<strong>en</strong>tación para los dispositivos móviles<br />
y portátiles; y (ii) autoriza, monitorea y<br />
controla el acceso de los dispositivos móviles<br />
a los sistemas de información.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
PS1 PS1.1,PS1.2, PS8.1 AC-20 Uso de sistemas<br />
de información<br />
externos<br />
PS1 PS1.3, PS1.4,<br />
PS1.5<br />
Id<strong>en</strong>tificac<br />
ión y<br />
aut<strong>en</strong>ticac<br />
ión<br />
IA-1 Política y<br />
procedimi<strong>en</strong>tos<br />
de id<strong>en</strong>tificación y<br />
aut<strong>en</strong>ticación<br />
Página 81 de 207<br />
Control: La <strong>en</strong>tidad establece términos y<br />
condiciones para usuarios autorizados al: (i)<br />
acceder el sistema de información desde un<br />
sistema de información externo; y (ii)<br />
procesar, almac<strong>en</strong>ar y /o transmitir<br />
información controlada por la organización<br />
mediante un sistema de información externo.<br />
Mejoras al control:<br />
(1)<br />
La <strong>en</strong>tidad prohíbe a los usuarios autorizados<br />
por el sistema de información externo acceder<br />
el sistema de información interno o procesar,<br />
almac<strong>en</strong>ar, o transmitir información controlada<br />
por la organización excepto <strong>en</strong> situaciones<br />
donde la <strong>en</strong>tidad: (i) pueda verificar el empleo<br />
de controles de seguridad requeridos <strong>en</strong> el<br />
sistema externo según lo especificado <strong>en</strong> la<br />
política de seguridad de la información de la<br />
<strong>en</strong>tidad y <strong>en</strong> el plan de seguridad de<br />
sistemas; o (ii) ha aprobado la conexión al<br />
sistema de información o acuerdos de<br />
procesami<strong>en</strong>to con la <strong>en</strong>tidad que hospeda el<br />
sistema de información externo.<br />
Control: La <strong>en</strong>tidad desarrolla, divulga y<br />
revisa o actualiza periódicam<strong>en</strong>te: (i) una<br />
política formal, docum<strong>en</strong>tada de id<strong>en</strong>tificación<br />
y aut<strong>en</strong>ticación que incluye el el propósito,<br />
alcance, roles, responsabilidades,<br />
compromiso de la administración,<br />
coordinación <strong>en</strong>tre <strong>en</strong>tidades<br />
organizacionales y cumplimi<strong>en</strong>to; y (ii)<br />
procedimi<strong>en</strong>tos formales y docum<strong>en</strong>tados<br />
para facilitar la implem<strong>en</strong>tación de la política<br />
de id<strong>en</strong>tificación y aut<strong>en</strong>ticación y los<br />
controles asociados.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
PS1 PS1.3, PS1.4,PS1.5 IA-2 Id<strong>en</strong>tificación y<br />
aut<strong>en</strong>ticación de<br />
usuarios<br />
PS1 PS1.3, PS1.4,PS1.5 IA-3 Dispositivos de<br />
id<strong>en</strong>tificación y<br />
aut<strong>en</strong>ticación<br />
PS1 PS1.4,PS1.5,PS1.7 IA-4 Gestión de<br />
id<strong>en</strong>tificadores<br />
PS1 PS1.4,PS1.5,PS1.7 IA-5 Gestión de<br />
aut<strong>en</strong>ticadores<br />
Página 82 de 207<br />
Control: Se id<strong>en</strong>tifican y aut<strong>en</strong>tican usuarios<br />
únicos (o procesos actuando <strong>en</strong> nombre de<br />
usuarios).<br />
Mejoras al control:<br />
(1)<br />
Se emplea <strong>en</strong> los sistemas de información el<br />
factor de aut<strong>en</strong>ticación múltiple nivel 3 o 4<br />
para acceso remoto al sistema, según la<br />
publicación NIST 800-63.<br />
(2)<br />
Se emplea <strong>en</strong> los sistemas de información el<br />
factor de aut<strong>en</strong>ticación múltiple nivel 3 o 4<br />
para acceso local al sistema, según la<br />
publicación NIST 800-63.<br />
(3)<br />
Se emplea <strong>en</strong> los sistemas de información el<br />
factor de aut<strong>en</strong>ticación múltiple nivel 4 para<br />
acceso remoto al sistema, según la<br />
publicación NIST 800-63.<br />
Control: Se id<strong>en</strong>tifican y aut<strong>en</strong>tican los<br />
dispositivos específicos antes de establecer<br />
una conexión.<br />
Control: La <strong>en</strong>tidad administra los<br />
id<strong>en</strong>tificadores de usuario mediante:<br />
(i)id<strong>en</strong>tificación único de usuario; (ii)<br />
verificando la id<strong>en</strong>tidad de cada usuario; (iii)<br />
recibi<strong>en</strong>do autorización para emitir<br />
id<strong>en</strong>tificador de usuario de un <strong>en</strong>te oficial<br />
aprobado; (iv) <strong>en</strong>trega del id<strong>en</strong>tificador de<br />
usuario a la parte interesada; (v) deshabilitar<br />
el id<strong>en</strong>tificador de usuario después de un<br />
periodo de inactividad y (vi) archivar los<br />
id<strong>en</strong>tificadores de usuario deshabilitados.<br />
Control: La <strong>en</strong>tidad administra los<br />
aut<strong>en</strong>ticadores de los sistemas de información<br />
: (i) defini<strong>en</strong>do un cont<strong>en</strong>ido inicial del<br />
aut<strong>en</strong>ticador; (ii) estableci<strong>en</strong>do<br />
procedimi<strong>en</strong>tos administrativos para<br />
distribución del aut<strong>en</strong>ticador inicial , <strong>en</strong> caso<br />
de pérdida, compromiso o daño del<br />
aut<strong>en</strong>ticador o para revocar los<br />
aut<strong>en</strong>ticadores; (iii) cambiar los<br />
aut<strong>en</strong>ticadores default después de la<br />
instalación del sistema de información ; y (iv)
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
PS1 PS1.4,PS1.5 IA-6 Ocultami<strong>en</strong>to del<br />
aut<strong>en</strong>ticador<br />
PS1 PS1.4,PS1.5 IA-7 Aut<strong>en</strong>ticación con<br />
módulo<br />
criptográfico<br />
PS4,PS6<br />
,PS7<br />
PS4,PS6<br />
,PS7<br />
PS4.1,<br />
PS4.2,PS6.1,PS6.2,<br />
PS6.3,PS7.1,PS7.2<br />
PS4.1,<br />
PS4.2,PS6.1,PS6.2,<br />
PS6.3,PS7.1,PS7.2<br />
Conci<strong>en</strong>ci<br />
a y<br />
<strong>en</strong>tr<strong>en</strong>ami<br />
<strong>en</strong>to<br />
AT-1 Política y<br />
procedimi<strong>en</strong>tos<br />
<strong>en</strong> conci<strong>en</strong>cia y<br />
<strong>en</strong>tr<strong>en</strong>ami<strong>en</strong>to <strong>en</strong><br />
seguridad<br />
AT-2 Conci<strong>en</strong>cia <strong>en</strong><br />
seguridad<br />
Página 83 de 207<br />
cambiar los aut<strong>en</strong>ticadores periódicam<strong>en</strong>te.<br />
Control: La información de aut<strong>en</strong>ticación no<br />
es visible durante el proceso de aut<strong>en</strong>ticación<br />
para evitar posible acceso no autorizado.<br />
Control: Se emplean métodos de<br />
aut<strong>en</strong>ticación que reún<strong>en</strong> los requerimi<strong>en</strong>tos<br />
de políticas, regulaciones, estándares y guías<br />
para aut<strong>en</strong>ticar con un módulo criptográfico.<br />
Control: La <strong>en</strong>tidad desarrolla, divulga, revisa<br />
y actualiza periódicam<strong>en</strong>te : (i) una política<br />
formal y docum<strong>en</strong>tada de conci<strong>en</strong>cia y<br />
<strong>en</strong>tr<strong>en</strong>ami<strong>en</strong>to <strong>en</strong> seguridad de la información<br />
que incluye el propósito, el alcance, roles,<br />
responsabilidades , compromiso de la<br />
administración, coordinación <strong>en</strong>tre <strong>en</strong>tidades<br />
organizacionales y cumplimi<strong>en</strong>to; y (ii)<br />
procedimi<strong>en</strong>tos formales y docum<strong>en</strong>tados<br />
para facilitar la implem<strong>en</strong>tación de la política<br />
de conci<strong>en</strong>cia y <strong>en</strong>tr<strong>en</strong>ami<strong>en</strong>to <strong>en</strong> seguridad y<br />
los controles asociados.<br />
Control: La <strong>en</strong>tidad suministra <strong>en</strong>tr<strong>en</strong>ami<strong>en</strong>to<br />
básico <strong>en</strong> conci<strong>en</strong>cia de seguridad a todos los<br />
usuarios de los sistemas de información<br />
(incluy<strong>en</strong>do administradores y ejecutivos<br />
s<strong>en</strong>ior) antes de autorizar el acceso al<br />
sistema, cuando se requiera por cambios <strong>en</strong><br />
el sistema o regularm<strong>en</strong>te según un período<br />
establecido.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
PS8 PS8.1 AT-3 Entr<strong>en</strong>ami<strong>en</strong>to <strong>en</strong><br />
seguridad<br />
PS9 PS9.1 AT-4 Registros de<br />
<strong>en</strong>tr<strong>en</strong>ami<strong>en</strong>to <strong>en</strong><br />
seguridad<br />
PS8 PS8.1 AT-5 Contactos con<br />
grupos de interés<br />
y asociaciones de<br />
seguridad<br />
Auditoria<br />
y<br />
r<strong>en</strong>dición<br />
de<br />
cu<strong>en</strong>tas<br />
Página 84 de 207<br />
Control: La <strong>en</strong>tidad id<strong>en</strong>tifica al personal que<br />
ti<strong>en</strong>e roles y responsabilidades de seguridad<br />
de los sistemas de información durante el<br />
ciclo de desarrollo del sistema, docum<strong>en</strong>ta<br />
dichos roles y responsabilidades y suministra<br />
apropiado <strong>en</strong>tr<strong>en</strong>ami<strong>en</strong>to <strong>en</strong> seguridad de la<br />
información: (i) antes de autorizar el acceso a<br />
los sistemas y antes de ejecutar las funciones<br />
asignadas; (ii) cuando se requiera por<br />
cambios <strong>en</strong> el sistema; y (iii) regularm<strong>en</strong>te<br />
con una periodicidad establecida.<br />
Control: La <strong>en</strong>tidad docum<strong>en</strong>ta y monitorea<br />
las actividades de <strong>en</strong>tr<strong>en</strong>ami<strong>en</strong>to <strong>en</strong><br />
seguridad del sistema de información<br />
incluy<strong>en</strong>do <strong>en</strong>tr<strong>en</strong>ami<strong>en</strong>to básico y especifico.<br />
Control: La <strong>en</strong>tidad establece y manti<strong>en</strong>e<br />
contacto con grupos de interés especiales,<br />
foros especializados, asociaciones<br />
profesionales, grupos de seguridad,<br />
profesionales de seguridad y organizaciones<br />
similares para mant<strong>en</strong>erse actualizado con las<br />
últimas prácticas o técnicas y tecnologías de<br />
seguridad y compartir información relacionada<br />
con seguridad incluy<strong>en</strong>do am<strong>en</strong>azas,<br />
vulnerabilidades e incid<strong>en</strong>tes.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
PS9 PS9.1 AU-1 Política y<br />
procedimi<strong>en</strong>tos<br />
de auditoria y<br />
r<strong>en</strong>dición de<br />
cu<strong>en</strong>tas<br />
PS9 PS9.1 AU-2 Ev<strong>en</strong>tos<br />
auditables<br />
PS9 PS9.1 AU-3 Cont<strong>en</strong>ido de los<br />
registros de<br />
auditoria<br />
Página 85 de 207<br />
Control: La <strong>en</strong>tidad desarrolla, divulga, revisa<br />
y actualiza periódicam<strong>en</strong>te: (i) una política<br />
formal y docum<strong>en</strong>tada de auditoria y r<strong>en</strong>dición<br />
de cu<strong>en</strong>tas que incluye el propósito, alcance,<br />
roles y responsabilidades, compromiso de la<br />
administración, coordinación <strong>en</strong>tre <strong>en</strong>tidades<br />
organizacionales y cumplimi<strong>en</strong>to; y (ii)<br />
procedimi<strong>en</strong>tos formales y docum<strong>en</strong>tados<br />
para facilitar la implem<strong>en</strong>tación de la política y<br />
los controles asociados.<br />
Control: Se g<strong>en</strong>eran registros de auditoria de<br />
los sigui<strong>en</strong>tes ev<strong>en</strong>tos:<br />
Mejoras al control:<br />
(1)<br />
El sistema de información suministra la<br />
capacidad de compilar los registros de<br />
auditoria a partir de múltiples compon<strong>en</strong>tes<br />
del sistema <strong>en</strong> un archivo de auditoria<br />
correlacionado con el tiempo.<br />
(2)<br />
El sistema de información provee la<br />
capacidad de administrar la selección de<br />
ev<strong>en</strong>tos a ser auditados.<br />
(3)<br />
La <strong>en</strong>tidad revisa y actualiza periódicam<strong>en</strong>te<br />
la lista de ev<strong>en</strong>tos auditables de la<br />
organización.<br />
Control: Los registros de auditoria g<strong>en</strong>erados<br />
por el sistema de información conti<strong>en</strong><strong>en</strong> la<br />
información sufici<strong>en</strong>te para establecer qué<br />
ev<strong>en</strong>tos ocurrieron, las fu<strong>en</strong>tes de los ev<strong>en</strong>tos<br />
y los consecu<strong>en</strong>cias de los ev<strong>en</strong>tos.<br />
Mejoras al control:<br />
(1)<br />
La <strong>en</strong>tidad provee la capacidad de incluir<br />
información más detallada <strong>en</strong> los registros de<br />
auditoria para ev<strong>en</strong>tos id<strong>en</strong>tificados por tipo,<br />
ubicación o sujeto.<br />
(2)<br />
El sistema de información provee la<br />
capacidad para administrar c<strong>en</strong>tralizadam<strong>en</strong>te<br />
el cont<strong>en</strong>ido de los registros de auditoria<br />
g<strong>en</strong>erados por compon<strong>en</strong>tes individuales a<br />
través del sistema.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
PS6,PS9 PS6.2, PS9.1 AU-4 Capacidad de<br />
almac<strong>en</strong>ami<strong>en</strong>to<br />
de la auditoria<br />
PS9 PS9.1 AU-5 Respuesta a<br />
fallas <strong>en</strong> la<br />
auditoria al<br />
procesami<strong>en</strong>to<br />
PS9 PS9.1 AU-6 Monitoreo,<br />
análisis y reporte<br />
de auditoria<br />
Página 86 de 207<br />
Control: La <strong>en</strong>tidad asigna sufici<strong>en</strong>te<br />
capacidad de almac<strong>en</strong>ami<strong>en</strong>to para los<br />
registros de auditoria y configura la auditoria<br />
de manera que se reduzca la probabilidad de<br />
que se exceda tal capacidad.<br />
Control: El sistema de información alerta al<br />
responsable apropiado <strong>en</strong> el ev<strong>en</strong>to de una<br />
falla de procesami<strong>en</strong>to y ejecuta las posibles<br />
acciones sigui<strong>en</strong>tes: shutdown, sobre escribe<br />
el registro de auditoria más viejo, para la<br />
g<strong>en</strong>eración de los registros de auditoria).<br />
Mejoras al control:<br />
(1)<br />
El sistema de información despliega una<br />
alerta cuando el volum<strong>en</strong> de almac<strong>en</strong>ami<strong>en</strong>to<br />
de los registros de auditoria llega a la<br />
capacidad máxima definida.<br />
(2)<br />
El sistema de información g<strong>en</strong>era una alerta<br />
<strong>en</strong> tiempo real cuando los ev<strong>en</strong>tos de falla de<br />
auditoria ocurr<strong>en</strong>.<br />
Control: La <strong>en</strong>tidad revisa y analiza<br />
regularm<strong>en</strong>te los registros de auditoria de los<br />
sistemas de información para obt<strong>en</strong>er<br />
indicaciones de actividad no usual o<br />
inapropiada, investigar actividad sospechosa<br />
o violaciones a la seguridad, reporta hallazgos<br />
al personal apropiado y ejecuta las acciones<br />
pertin<strong>en</strong>tes.<br />
Mejoras al control:<br />
(1)<br />
La <strong>en</strong>tidad utiliza mecanismos automáticos<br />
para integrar el monitoreo de auditoria, el<br />
análisis y el reporte <strong>en</strong> un proceso global<br />
para investigación y respuesta ante<br />
actividades sospechosas.<br />
(2)<br />
La <strong>en</strong>tidad utiliza mecanismos automáticos<br />
para alertar al personal de seguridad de las<br />
actividades inapropiadas o inusuales.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
PS9 PS9.1 AU-7 Parametrización<br />
de la auditoria y<br />
g<strong>en</strong>eración de<br />
reporte<br />
PS9 PS9.1 AU-8 Estampación<br />
electrónica<br />
PS9 PS9.1 AU-9 Protección de la<br />
información de<br />
auditoria<br />
Página 87 de 207<br />
Control: El sistema de información permite<br />
disminuir los parámetros de auditoria y<br />
g<strong>en</strong>erar reporte.<br />
Mejoras al control:<br />
(1)<br />
El sistema de información provee la<br />
capacidad para procesar automáticam<strong>en</strong>te los<br />
registros de auditoria para ev<strong>en</strong>tos de interés<br />
basados <strong>en</strong> criterios seleccionables.<br />
Control: El sistema de información provee<br />
estampación electrónica <strong>en</strong> la g<strong>en</strong>eración de<br />
los registros de auditoria.<br />
Mejoras al control:<br />
(1)<br />
La <strong>en</strong>tidad sincroniza los relojes internos de<br />
los sistemas de información con una<br />
frecu<strong>en</strong>cia establecida.<br />
Control: Se protege la información y las<br />
herrami<strong>en</strong>tas de auditoria contra acceso no<br />
autorizado, modificación o borrado.<br />
PS9 PS9.1 AU-10 No repudiación Control: El sistema de información provee la<br />
capacidad para determinar si un usuario <strong>en</strong><br />
particular ejecuta una acción específica.<br />
PS9 PS9.1 AU-11 Ret<strong>en</strong>ción de<br />
registros de<br />
auditoria<br />
Certificaci<br />
ón,<br />
acreditaci<br />
ón y<br />
evaluacio<br />
nes de<br />
Control: La <strong>en</strong>tidad define un periodo de<br />
ret<strong>en</strong>ción de los registros de auditoria para<br />
proporcionar soporte ante investigaciones de<br />
incid<strong>en</strong>tes de seguridad y cumplir con los<br />
requerimi<strong>en</strong>tos regulatorios de ret<strong>en</strong>ción de la<br />
información organizacional.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
seguridad<br />
PS9 PS9.1 CA-1 Certificación,<br />
acreditación y<br />
seguridad<br />
PS9 PS9.1 CA-2 Evaluaciones de<br />
seguridad<br />
PS9 PS9.1 CA-3 Interfaces del<br />
sistema de<br />
información<br />
PS9 PS9.1 CA-4 Certificación de<br />
seguridad<br />
Página 88 de 207<br />
Control: La <strong>en</strong>tidad desarrolla, divulga, revisa<br />
y actualiza periódicam<strong>en</strong>te: (i) políticas<br />
formales y docum<strong>en</strong>tadas de certificación,<br />
acreditación y evaluación de seguridad de la<br />
información que incluye el propósito, alcance,<br />
roles y responsabilidades, compromiso de la<br />
administración, coordinación <strong>en</strong>tre <strong>en</strong>tidades<br />
organizacionales y cumplimi<strong>en</strong>to; y (ii)<br />
procedimi<strong>en</strong>tos formales y docum<strong>en</strong>tados<br />
para facilitar la implem<strong>en</strong>tación de las<br />
políticas y sus controles asociados.<br />
Control: La <strong>en</strong>tidad lleva a cabo evaluación<br />
de los controles de seguridad del sistema de<br />
información con una frecu<strong>en</strong>cia establecida<br />
(por lo m<strong>en</strong>os una vez al año) para determinar<br />
si los controles están implem<strong>en</strong>tados<br />
correctam<strong>en</strong>te, son efectivos y produc<strong>en</strong> los<br />
resultados deseados con respecto a reunir los<br />
requisitos de seguridad para el sistema.<br />
Control: La <strong>en</strong>tidad autoriza todas las<br />
conexiones del sistema de información con<br />
otros sistemas externos mediante el uso de<br />
acuerdos de conexión a sistemas y monitoreo<br />
y control de las conexiones de manera<br />
continúa.<br />
Control: La <strong>en</strong>tidad lleva a cabo una<br />
evaluación de los controles de seguridad <strong>en</strong> el<br />
sistema de información para determinar si<br />
están implem<strong>en</strong>tados correctam<strong>en</strong>te según<br />
los requisitos de seguridad del sistema.<br />
Mejoras al control:<br />
(1)<br />
La <strong>en</strong>tidad se apoya <strong>en</strong> una <strong>en</strong>tidad o equipo<br />
de certificación indep<strong>en</strong>di<strong>en</strong>te para conducir<br />
una evaluación de los controles de seguridad<br />
<strong>en</strong> el sistema de información.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
PS9 PS9.1 CA-5 Plan de acción y<br />
puntos de control<br />
PS9 PS9.1 CA-6 Acreditación de<br />
seguridad<br />
PS9 PS9.1 CA-7 Monitoreo<br />
continuo<br />
Administr<br />
ación de<br />
la<br />
configura<br />
ción<br />
PS8 PS8.1 CM-1 Política y<br />
procedimi<strong>en</strong>tos<br />
de administración<br />
de configuración<br />
Página 89 de 207<br />
Control: La <strong>en</strong>tidad desarrolla y actualiza un<br />
plan de acción y los puntos de control para el<br />
sistema de información y docum<strong>en</strong>ta las<br />
acciones de remediación planeadas,<br />
implem<strong>en</strong>tadas y evaluadas para corregir las<br />
defici<strong>en</strong>cias <strong>en</strong>contradas durante la<br />
evaluación de los controles de seguridad y<br />
reducir o eliminar las vulnerabilidades<br />
conocidas <strong>en</strong> el sistema.<br />
Control: La <strong>en</strong>tidad acredita al sistema de<br />
información antes de su <strong>en</strong>trada <strong>en</strong> operación<br />
y actualiza la autorización <strong>en</strong> un periodo<br />
establecido o cuando surjan cambios<br />
significativos. Un oficial s<strong>en</strong>ior de la <strong>en</strong>tidad<br />
firma y aprueba la acreditación de seguridad.<br />
Control: La <strong>en</strong>tidad monitorea los controles<br />
de seguridad <strong>en</strong> el sistema de información de<br />
manera periódica.<br />
Control: La <strong>en</strong>tidad desarrolla, divulga,<br />
revisa y actualiza periódicam<strong>en</strong>te: (i) una<br />
política formal y docum<strong>en</strong>tada de<br />
administración de la configuración e incluye el<br />
propósito, alcance, roles, responsabilidades,<br />
compromiso de la administración,<br />
coordinación <strong>en</strong>tre <strong>en</strong>tidades<br />
organizacionales y cumplimi<strong>en</strong>to; y (ii)<br />
procedimi<strong>en</strong>tos formales y docum<strong>en</strong>tados<br />
para facilitar la implem<strong>en</strong>tación de la política y<br />
los controles asociados.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
PS8 PS8.1 CM-2 Configuración<br />
básica<br />
PS8 PS8.1 CM-3 Control de<br />
cambios a la<br />
configuración<br />
PS8 PS8.1 CM-4 Monitorear los<br />
cambios a la<br />
configuración<br />
PS8 PS8.1 CM-5 Restricciones de<br />
acceso para<br />
cambios<br />
Página 90 de 207<br />
Control: La <strong>en</strong>tidad desarrolla, docum<strong>en</strong>ta y<br />
manti<strong>en</strong>e una configuración básica del<br />
sistema de información.<br />
Mejoras al control:<br />
(1)<br />
La <strong>en</strong>tidad actualiza la configuración básica<br />
del sistema de información con parte integral<br />
de la instalación de los compon<strong>en</strong>tes del<br />
sistema de información.<br />
(2)<br />
La <strong>en</strong>tidad utiliza mecanismos automáticos<br />
para mant<strong>en</strong>er actualizada, completa, exacta<br />
y disponible la configuración básica del<br />
sistema de información.<br />
Control: La <strong>en</strong>tidad autoriza, docum<strong>en</strong>ta y<br />
controla los cambios al sistema de<br />
información.<br />
Mejoras al control:<br />
(1)<br />
Le <strong>en</strong>tidad utiliza mecanismos automáticos<br />
para: (i) docum<strong>en</strong>tar los cambios propuestos<br />
al sistema de información; (ii) notificar a la<br />
administración responsable de aprobación<br />
apropiada; (iii) Alertar sobre las aprobaciones<br />
que no se han recibido de manera oportuna;<br />
(iv) posponer los cambios hasta que se<br />
reciban las aprobaciones necesarias; y (v)<br />
docum<strong>en</strong>tar los cambios al sistema de<br />
información.<br />
Control: La <strong>en</strong>tidad monitorea los cambios al<br />
sistema de información y conduce un análisis<br />
de impacto a la seguridad para determinar los<br />
efectos de los cambios.<br />
Control: La <strong>en</strong>tidad: (i) aprueba los privilegios<br />
de acceso individuales y establece<br />
restricciones de acceso lógico y físico<br />
asociados con cambios al sistema de<br />
información; y (ii) g<strong>en</strong>era, reti<strong>en</strong>e y revisa los<br />
registros que reflejan todos los cambios.<br />
Mejoras al control:<br />
(1)<br />
La <strong>en</strong>tidad utiliza mecanismos automáticos<br />
para forzar restricciones de acceso y soportar<br />
la auditoria de las acciones.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
PS8 PS8.1 CM-6 Estándares de<br />
configuración<br />
PS8 PS8.1 CM-7 Mínima<br />
funcionalidad<br />
PS8 PS8.1 CM-8 Inv<strong>en</strong>tario de<br />
compon<strong>en</strong>tes del<br />
sistema de<br />
información<br />
Plan de<br />
conting<strong>en</strong><br />
Página 91 de 207<br />
Control: La <strong>en</strong>tidad (i) establece estándares<br />
de configuración obligatorios para los<br />
productos de TI utilizados <strong>en</strong> el sistema de<br />
información; (ii) configura los estándares de<br />
seguridad al modo mas restrictivo posible<br />
según los requisitos operacionales; (iii)<br />
docum<strong>en</strong>ta los estándares de configuración;<br />
y (iv) forza los estándares de configuración<br />
<strong>en</strong> todos los compon<strong>en</strong>tes del sistema de<br />
información.<br />
Mejoras al control:<br />
(1)<br />
La <strong>en</strong>tidad utiliza mecanismos automáticos<br />
para administrar c<strong>en</strong>tralizadam<strong>en</strong>te, aplicar y<br />
verificar los estándares de configuración.<br />
Control: La <strong>en</strong>tidad configura el sistema de<br />
información para proveer solo las<br />
capacidades es<strong>en</strong>ciales y prohíbe o restringe<br />
el uso de funciones, puertos, protocolos, y o<br />
servicios adicionales.<br />
Mejoras al control:<br />
(1)<br />
Le <strong>en</strong>tidad revisa periódicam<strong>en</strong>te el sistema<br />
de información para id<strong>en</strong>tificar y eliminar<br />
funciones, puertos, protocolos, y o servicios<br />
innecesarios.<br />
Control: La <strong>en</strong>tidad desarrolla, docum<strong>en</strong>ta y<br />
manti<strong>en</strong>e un inv<strong>en</strong>tario actualizado de los<br />
compon<strong>en</strong>tes del sistema de información y la<br />
información relevante de los dueños.<br />
Mejoras al control:<br />
(1)<br />
La <strong>en</strong>tidad actualiza el inv<strong>en</strong>tario de los<br />
compon<strong>en</strong>tes del sistema de información<br />
como parte de las instalaciones de los<br />
compon<strong>en</strong>tes del sistema.<br />
(2)<br />
La <strong>en</strong>tidad utiliza mecanismos automáticos<br />
para ayudar a mant<strong>en</strong>er actualizado,<br />
completo, exacto y disponible el inv<strong>en</strong>tario de<br />
compon<strong>en</strong>tes del sistema de información.
PS6 PS6.1, PS6.2,<br />
PS6.3<br />
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
cias<br />
CP-1 Política y<br />
procedimi<strong>en</strong>tos<br />
del plan de<br />
conting<strong>en</strong>cias<br />
PS6 PS6.3 CP-2 Plan de<br />
conting<strong>en</strong>cias<br />
Página 92 de 207<br />
Control: La <strong>en</strong>tidad desarrolla, divulga, revisa<br />
y actualiza periódicam<strong>en</strong>te: (i) una política<br />
formal y docum<strong>en</strong>tada de planeación de<br />
conting<strong>en</strong>cias que incluye el propósito,<br />
alcance, roles, responsabilidades,<br />
compromiso de la administración,<br />
coordinación <strong>en</strong>tre <strong>en</strong>tidades<br />
organizacionales y cumplimi<strong>en</strong>to; y (ii)<br />
procedimi<strong>en</strong>tos formales y docum<strong>en</strong>tados<br />
para facilitar la implem<strong>en</strong>tación de la política<br />
del plan de conting<strong>en</strong>cia y los controles<br />
asociados.<br />
Control: La <strong>en</strong>tidad desarrolla e implem<strong>en</strong>ta<br />
un plan de conting<strong>en</strong>cias para el sistema de<br />
información que incluye roles y<br />
responsabilidades, personal asignado con<br />
información de contacto y actividades<br />
asociadas con la restauración del sistema<br />
después de una interrupción o falla. Se<br />
nombra a los coordinadores del plan d<strong>en</strong>tro<br />
de la <strong>en</strong>tidad <strong>en</strong>cargados de revisar y aprobar<br />
el plan y distribuir las copias al personal clave<br />
de conting<strong>en</strong>cias.<br />
Mejoras al control:<br />
(1)<br />
La <strong>en</strong>tidad coordina el desarrollo del plan de<br />
conting<strong>en</strong>cias con las áreas responsables de<br />
los planes relacionados.<br />
(2)<br />
La <strong>en</strong>tidad conduce una planeación de la<br />
capacidad de manera que se asegure la<br />
exist<strong>en</strong>cia de la capacidad necesaria para el<br />
procesami<strong>en</strong>to de la información, las<br />
telecomunicaciones y el soporte ambi<strong>en</strong>tal<br />
durante las situaciones de crisis.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
PS6 PS6.3 CP-3 Entr<strong>en</strong>ami<strong>en</strong>to <strong>en</strong><br />
conting<strong>en</strong>cias<br />
PS6 PS6.3 CP-4 Pruebas y<br />
simulacros del<br />
plan de<br />
conting<strong>en</strong>cias<br />
Página 93 de 207<br />
Control: La <strong>en</strong>tidad <strong>en</strong>tr<strong>en</strong>a al personal <strong>en</strong><br />
los roles y responsabilidades de conting<strong>en</strong>cia<br />
con relación al sistema de información y<br />
provee capacitación por lo m<strong>en</strong>os<br />
anualm<strong>en</strong>te.<br />
Mejoras al control:<br />
(1)<br />
La <strong>en</strong>tidad incorpora ev<strong>en</strong>tos simulados <strong>en</strong><br />
<strong>en</strong>tr<strong>en</strong>ami<strong>en</strong>to de conting<strong>en</strong>cias para facilitar<br />
respuesta efectiva por el personal <strong>en</strong><br />
situaciones de crisis.<br />
(2)<br />
La <strong>en</strong>tidad utiliza mecanismos automáticos<br />
para proveer un ambi<strong>en</strong>te de <strong>en</strong>tr<strong>en</strong>ami<strong>en</strong>to<br />
más real.<br />
Control: La <strong>en</strong>tidad: (i) prueba y /o realiza<br />
simulacros del plan de conting<strong>en</strong>cias para el<br />
sistema de información por lo m<strong>en</strong>os<br />
anualm<strong>en</strong>te. y (ii) revisa los resultados de las<br />
pruebas al plan y las acciones correctivas<br />
pertin<strong>en</strong>tes.<br />
Mejoras al control:<br />
(1)<br />
La <strong>en</strong>tidad coordina las pruebas al plan de<br />
conting<strong>en</strong>cias con el personal de las áreas<br />
responsables por los planes relacionados.<br />
Ejemplos de planes relacionados son: los<br />
planes de continuidad de negocio, plan de<br />
recuperación de desastres, plan de<br />
continuidad de las operaciones, plan de<br />
recuperación del negocio, plan de respuesta a<br />
incid<strong>en</strong>tes y plan de acción de emerg<strong>en</strong>cias.<br />
(2)<br />
La <strong>en</strong>tidad prueba el plan de conting<strong>en</strong>cias <strong>en</strong><br />
un sitio de procesami<strong>en</strong>to alterno para<br />
familiarizar al personal de conting<strong>en</strong>cias con<br />
las instalaciones y los recursos disponibles y<br />
evaluar las capacidades del sitio para<br />
soportar las operaciones de conting<strong>en</strong>cia.<br />
(3)<br />
La <strong>en</strong>tidad emplea mecanismos automáticos<br />
para realizar pruebas efectivas al plan de<br />
conting<strong>en</strong>cias y proveer un cubrimi<strong>en</strong>to más<br />
completo a los ambi<strong>en</strong>tes y esc<strong>en</strong>arios de<br />
pruebas.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
PS6 PS6.3 CP-5 Actualización del<br />
plan de<br />
conting<strong>en</strong>cias<br />
PS6 PS6.3 CP-6 Sitio de<br />
almac<strong>en</strong>ami<strong>en</strong>to<br />
alterno<br />
Página 94 de 207<br />
Control: La <strong>en</strong>tidad revisa el plan de<br />
conting<strong>en</strong>cias para el sistema de información<br />
por lo m<strong>en</strong>os anualm<strong>en</strong>te para incluir los<br />
cambios al sistema o cambios <strong>en</strong> la<br />
organización o problemas <strong>en</strong>contrados<br />
durante la implem<strong>en</strong>tación, ejecución o<br />
pruebas al plan.<br />
Control: La <strong>en</strong>tidad id<strong>en</strong>tifica un sitio de<br />
almac<strong>en</strong>ami<strong>en</strong>to alterno e inicia los acuerdos<br />
necesarios para permitir almac<strong>en</strong>ami<strong>en</strong>to de<br />
los backups del sistema de información.<br />
Mejoras al control:<br />
(1)<br />
La <strong>en</strong>tidad id<strong>en</strong>tifica un sitio de<br />
almac<strong>en</strong>ami<strong>en</strong>to alterno que está<br />
geográficam<strong>en</strong>te separado del sitio de<br />
almac<strong>en</strong>ami<strong>en</strong>to primario de manera que no<br />
esté expuesto a las mismas am<strong>en</strong>azas.<br />
(2)<br />
La <strong>en</strong>tidad configura el sitio de<br />
almac<strong>en</strong>ami<strong>en</strong>to alterno para facilitar la<br />
oportuna y efectiva operación de<br />
recuperación.<br />
(3)<br />
La <strong>en</strong>tidad id<strong>en</strong>tifica problemas pot<strong>en</strong>ciales de<br />
acceso al sitio de almac<strong>en</strong>ami<strong>en</strong>to alterno <strong>en</strong><br />
el ev<strong>en</strong>to de una interrupción o desastre y<br />
define acciones de mitigación.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
PS6 PS6.3 CP-7 Sitio de<br />
procesami<strong>en</strong>to<br />
alterno<br />
Página 95 de 207<br />
Control: La <strong>en</strong>tidad id<strong>en</strong>tifica un sitio de<br />
procesami<strong>en</strong>to alterno e inicia los acuerdos<br />
necesarios para permitir la restauración de las<br />
operaciones del sistema de información para<br />
las funciones de misión crítica d<strong>en</strong>tro de un<br />
periodo establecido cuando la capacidad<br />
primaria de procesami<strong>en</strong>to no está disponible.<br />
Mejoras al control:<br />
(1)<br />
La <strong>en</strong>tidad id<strong>en</strong>tifica un sitio de procesami<strong>en</strong>to<br />
alterno que está geográficam<strong>en</strong>te separado<br />
del sito de procesami<strong>en</strong>to primario de manera<br />
que no esté expuesto a las mismas<br />
am<strong>en</strong>azas.<br />
(2)<br />
La <strong>en</strong>tidad id<strong>en</strong>tifica problemas pot<strong>en</strong>ciales de<br />
acceso al sitio de procesami<strong>en</strong>to alterno <strong>en</strong> el<br />
ev<strong>en</strong>to de una interrupción o desastre y<br />
establece las acciones de mitigación.<br />
(3)<br />
La <strong>en</strong>tidad desarrolla acuerdos para el sitio de<br />
procesami<strong>en</strong>to alterno que conti<strong>en</strong><strong>en</strong><br />
prioridad <strong>en</strong> la provisión del servicio de<br />
acuerdo con los requisitos de disponibilidad<br />
de la <strong>en</strong>tidad.<br />
(4)<br />
La <strong>en</strong>tidad realiza una configuración completa<br />
del sitio de procesami<strong>en</strong>to alterno de manera<br />
que esté listo para ser usado como el sitio de<br />
soporte operacional según la mínima<br />
capacidad operacional requerida.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
PS6 PS6.1,PS6.2 CP-8 Servicios de<br />
telecomunicacion<br />
es<br />
Página 96 de 207<br />
Control: La <strong>en</strong>tidad id<strong>en</strong>tifica servicios de<br />
telecomunicaciones primarias y alternas para<br />
soportar el sistema de información y los<br />
acuerdos necesarios para restaurar las<br />
operaciones para las funciones de misión<br />
crítica <strong>en</strong> un periodo definido cuando la<br />
capacidad de las telecomunicaciones<br />
primarias no está disponible.<br />
Mejoras al control:<br />
(1)<br />
La <strong>en</strong>tidad desarrolla acuerdos de servicios<br />
de telecomunicaciones primarios y alternos<br />
que priorizan la provisión del servicio de<br />
acuerdo con los requisitos de disponibilidad<br />
de la <strong>en</strong>tidad.<br />
(2)<br />
La <strong>en</strong>tidad obti<strong>en</strong>e servicios de comunicación<br />
alterna que no compart<strong>en</strong> el mismo punto de<br />
falla con los servicios de telecomunicaciones<br />
primarias.<br />
(3)<br />
La <strong>en</strong>tidad acuerda con los proveedores de<br />
servicios de telecomunicaciones alterno de<br />
manera que estén separados sufici<strong>en</strong>tem<strong>en</strong>te<br />
de los proveedores de servicio de<br />
telecomunicaciones primario de manera que<br />
no estén expuestos a las mismas am<strong>en</strong>azas.<br />
(4)<br />
La <strong>en</strong>tidad solicita a los proveedores de<br />
servicio de telecomunicaciones primaria y<br />
alterna que t<strong>en</strong>gan planes de conting<strong>en</strong>cia<br />
apropiados.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
PS6 PS6.3 CP-9 Backup del<br />
sistema de<br />
información<br />
PS6 PS6.3 CP-10 Recuperación del<br />
sistema de<br />
información<br />
Respuesta<br />
a<br />
incid<strong>en</strong>tes<br />
Página 97 de 207<br />
Control: La <strong>en</strong>tidad realiza backup periódicos<br />
a nivel del usuario y a nivel del sistema y<br />
protege la información de backups <strong>en</strong> el sitio<br />
de almac<strong>en</strong>ami<strong>en</strong>to.<br />
Mejoras al control:<br />
(1)<br />
La <strong>en</strong>tidad prueba periódicam<strong>en</strong>te las copias<br />
para verificar la confiabilidad de la media y la<br />
integridad de la información almac<strong>en</strong>ada.<br />
(2)<br />
La <strong>en</strong>tidad utiliza selectivam<strong>en</strong>te los backups<br />
<strong>en</strong> la restauración de las funciones del<br />
sistema de información como parte de las<br />
pruebas al plan de conting<strong>en</strong>cias.<br />
(3)<br />
La <strong>en</strong>tidad almac<strong>en</strong>a las copias del backup<br />
del sistema operacional y otros sistemas de<br />
información críticos <strong>en</strong> un ambi<strong>en</strong>te separado<br />
o <strong>en</strong> un cont<strong>en</strong>edor indep<strong>en</strong>di<strong>en</strong>te del<br />
software operacional.<br />
(4)<br />
La <strong>en</strong>tidad protege los backups de<br />
modificación no autorizada.<br />
Control: La <strong>en</strong>tidad utiliza mecanismos con<br />
procedimi<strong>en</strong>tos de soporte que permitan<br />
recuperar el sistema de información y sea<br />
restablecido a un estado conocido seguro<br />
después de la interrupción o falla.<br />
Mejoras al control:<br />
(1)<br />
La <strong>en</strong>tidad incluye una restauración completa<br />
y restablecimi<strong>en</strong>to del sistema de información<br />
como parte de las pruebas al plan de<br />
conting<strong>en</strong>cias.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
PS8 PS8.1 IR-1 Política y<br />
procedimi<strong>en</strong>tos<br />
de respuesta a<br />
incid<strong>en</strong>tes<br />
PS8 PS8.1 IR-2 Entr<strong>en</strong>ami<strong>en</strong>to <strong>en</strong><br />
respuesta a<br />
incid<strong>en</strong>tes<br />
PS8 PS8.1 IR-3 Pruebas y<br />
simulacros de<br />
respuesta a<br />
incid<strong>en</strong>tes<br />
Página 98 de 207<br />
Control: La <strong>en</strong>tidad, desarrolla, divulga,<br />
revisa y actualiza periódicam<strong>en</strong>te: (i) una<br />
política formal y docum<strong>en</strong>tada de respuesta a<br />
incid<strong>en</strong>tes que incluye el propósito, roles,<br />
responsabilidades, compromiso de la<br />
administración, coordinación <strong>en</strong>tre <strong>en</strong>tidades<br />
organizacionales y cumplimi<strong>en</strong>to; y (ii)<br />
procedimi<strong>en</strong>tos formales y docum<strong>en</strong>tados<br />
para facilitar la implem<strong>en</strong>tación de la política<br />
de respuesta a incid<strong>en</strong>tes y los controles<br />
asociados.<br />
Control: La <strong>en</strong>tidad <strong>en</strong>tr<strong>en</strong>a al personal <strong>en</strong><br />
los roles y responsabilidades de respuesta a<br />
incid<strong>en</strong>tes con respecto al sistema de<br />
información y provee re <strong>en</strong>tr<strong>en</strong>ami<strong>en</strong>to con<br />
una periodicidad establecida.<br />
Mejoras al control:<br />
(1)<br />
Las <strong>en</strong>tidad incorpora simulación de ev<strong>en</strong>tos<br />
<strong>en</strong> el <strong>en</strong>tr<strong>en</strong>ami<strong>en</strong>to de respuesta a incid<strong>en</strong>tes<br />
para facilitar una respuesta efectiva del<br />
personal <strong>en</strong> situaciones de crisis.<br />
(2)<br />
La <strong>en</strong>tidad utiliza mecanismos automatizados<br />
para proveer un ambi<strong>en</strong>te de <strong>en</strong>tr<strong>en</strong>ami<strong>en</strong>to<br />
más ajustado a la realidad.<br />
Control: La <strong>en</strong>tidad prueba periódicam<strong>en</strong>te<br />
(por lo m<strong>en</strong>os una vez al año), la capacidad<br />
de respuesta a incid<strong>en</strong>tes del sistema de<br />
información para determinar la efectividad de<br />
la respuesta al incid<strong>en</strong>te y docum<strong>en</strong>ta los<br />
resultados.<br />
Mejoras al control:<br />
(1)<br />
La <strong>en</strong>tidad utiliza mecanismos automáticos<br />
para probar la capacidad de respuesta a los<br />
incid<strong>en</strong>tes.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
PS8 PS8.1 IR-4 Manejo de<br />
incid<strong>en</strong>tes<br />
PS8 PS8.1 IR-5 Monitoreo de<br />
incid<strong>en</strong>tes<br />
PS8 PS8.1 IR-6 Reporte de<br />
incid<strong>en</strong>tes<br />
PS8 PS8.1 IR-7 Asist<strong>en</strong>cia <strong>en</strong><br />
respuesta a<br />
incid<strong>en</strong>tes<br />
Mant<strong>en</strong>imi<br />
Página 99 de 207<br />
Control: La <strong>en</strong>tidad implem<strong>en</strong>ta una<br />
capacidad de manejo de incid<strong>en</strong>tes para<br />
incid<strong>en</strong>tes de seguridad de manera que<br />
incluya: preparación, detección, análisis,<br />
cont<strong>en</strong>ción, erradicación y recuperación.<br />
Mejoras al control:<br />
(1)<br />
La <strong>en</strong>tidad emplea mecanismos automáticos<br />
para apoyar el proceso de manejo de<br />
incid<strong>en</strong>tes.<br />
Control: La <strong>en</strong>tidad registra y docum<strong>en</strong>ta los<br />
incid<strong>en</strong>tes de seguridad de la información de<br />
manera continua.<br />
Mejoras al control:<br />
(1)<br />
La <strong>en</strong>tidad utiliza mecanismos automáticos<br />
para apoyar <strong>en</strong> el registro de los incid<strong>en</strong>tes de<br />
seguridad y <strong>en</strong> la colección y análisis de la<br />
información del incid<strong>en</strong>te.<br />
Control: La <strong>en</strong>tidad dispone de un función de<br />
soporte de respuesta a incid<strong>en</strong>tes que presta<br />
soporte y asist<strong>en</strong>cia a los usuarios del<br />
sistema de información para el reporte y<br />
manejo de los incid<strong>en</strong>tes de seguridad.<br />
Mejoras al control:<br />
(1)<br />
La <strong>en</strong>tidad emplea mecanismos automáticos<br />
para increm<strong>en</strong>tar la disponibilidad de la<br />
información de respuesta a incid<strong>en</strong>tes<br />
relacionados y el soporte.<br />
Control: La <strong>en</strong>tidad reporta oportunam<strong>en</strong>te la<br />
información del incid<strong>en</strong>te a los niveles<br />
apropiados.<br />
Mejoras al control:<br />
(1)<br />
La <strong>en</strong>tidad utiliza mecanismos automáticos<br />
para increm<strong>en</strong>tar la disponibilidad de la<br />
información de respuesta a incid<strong>en</strong>tes<br />
relacionados y el soporte.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
<strong>en</strong>to<br />
PS6,PS8 PS6.2,PS8.1 MA-1 Política y<br />
procedimi<strong>en</strong>tos<br />
de mant<strong>en</strong>imi<strong>en</strong>to<br />
PS6,PS8 PS6.2,PS8.1 MA-2 Mant<strong>en</strong>imi<strong>en</strong>to<br />
controlado<br />
Página 100 de 207<br />
Control: La <strong>en</strong>tidad desarrolla, divulga, revisa<br />
y actualiza periódicam<strong>en</strong>te: (i) una política<br />
formal y docum<strong>en</strong>tada de mant<strong>en</strong>imi<strong>en</strong>to del<br />
sistema de información que incluye el<br />
propósito, alcance, roles, responsabilidades,<br />
compromiso de la administración,<br />
coordinación <strong>en</strong>tre <strong>en</strong>tidades<br />
organizacionales y cumplimi<strong>en</strong>to; y (ii)<br />
procedimi<strong>en</strong>tos formales y docum<strong>en</strong>tados<br />
para facilitar la implem<strong>en</strong>tación de la política<br />
de mant<strong>en</strong>imi<strong>en</strong>to del sistema de información<br />
y los controles relacionados.<br />
Control: La <strong>en</strong>tidad programa, desarrolla,<br />
docum<strong>en</strong>ta, y revisa los registros de las<br />
rutinas de mant<strong>en</strong>imi<strong>en</strong>to prev<strong>en</strong>tivo y<br />
correctivo de los compon<strong>en</strong>tes del sistema de<br />
información según las especificaciones del<br />
fabricante o v<strong>en</strong>dedor y los requisitos de la<br />
<strong>en</strong>tidad.<br />
Mejoras al control:<br />
(1)<br />
La <strong>en</strong>tidad manti<strong>en</strong>e registros de<br />
mant<strong>en</strong>imi<strong>en</strong>to para el sistema de información<br />
que incluy<strong>en</strong>: (i) fecha y hora del<br />
mant<strong>en</strong>imi<strong>en</strong>to; (ii) nombre de qui<strong>en</strong> realiza el<br />
mant<strong>en</strong>imi<strong>en</strong>to; (iii) nombre de qui<strong>en</strong> lo<br />
escolta, si aplica; (iv) una descripción del<br />
mant<strong>en</strong>imi<strong>en</strong>to realizado; y (v) una lista de<br />
equipos retirados o reemplazados (incluy<strong>en</strong>do<br />
número de id<strong>en</strong>tificación si aplica).<br />
(2)<br />
La <strong>en</strong>tidad utiliza mecanismos automáticos<br />
para programar y conducir el mant<strong>en</strong>imi<strong>en</strong>to<br />
requerido y mant<strong>en</strong>er actualizados, exactos,<br />
completos y disponibles los registros de todas<br />
las acciones de mant<strong>en</strong>imi<strong>en</strong>to realizadas.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
PS6,PS8 PS6.2,PS8.1 MA-3 Herrami<strong>en</strong>tas de<br />
mant<strong>en</strong>imi<strong>en</strong>to<br />
Página 101 de 207<br />
Control: La <strong>en</strong>tidad aprueba, controla y<br />
monitorea el uso de las herrami<strong>en</strong>tas de<br />
mant<strong>en</strong>imi<strong>en</strong>to del sistema de información de<br />
manera continua.<br />
Mejoras al control:<br />
(1)<br />
La <strong>en</strong>tidad inspecciona todas las<br />
herrami<strong>en</strong>tas de mant<strong>en</strong>imi<strong>en</strong>to que están<br />
bajo custodia del personal de mant<strong>en</strong>imi<strong>en</strong>to<br />
para id<strong>en</strong>tificar modificación inapropiada.<br />
(2)<br />
La <strong>en</strong>tidad chequea contra código malicioso<br />
todos los programas de prueba y diagnóstico<br />
antes de ser utilizados para el mant<strong>en</strong>imi<strong>en</strong>to<br />
del sistema.<br />
(3)<br />
La <strong>en</strong>tidad chequea todo el equipo <strong>en</strong><br />
mant<strong>en</strong>imi<strong>en</strong>to y su capacidad de ret<strong>en</strong>ción<br />
de información de manera que la información<br />
de la empresa sea saneada; si el equipo no<br />
puede ser saneado, éste permanece <strong>en</strong> las<br />
instalaciones o es destruido a m<strong>en</strong>os que<br />
haya una autorización expresa de no hacerlo.<br />
(4)<br />
La <strong>en</strong>tidad emplea mecanismos automáticos<br />
para restringir el uso de herrami<strong>en</strong>tas de<br />
mant<strong>en</strong>imi<strong>en</strong>to sólo al personal autorizado.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
PS6,PS8 PS6.2,PS8.1 MA-4 Mant<strong>en</strong>imi<strong>en</strong>to<br />
remoto<br />
PS6 PS6.2,PS8.1 MA-5 Personal de<br />
mant<strong>en</strong>imi<strong>en</strong>to<br />
PS6 PS6.2 MA-6 Mant<strong>en</strong>imi<strong>en</strong>to<br />
oportuno<br />
Protecció<br />
n de los<br />
medios<br />
Página 102 de 207<br />
Control: La <strong>en</strong>tidad autoriza, monitorea y<br />
controla las actividades de mant<strong>en</strong>imi<strong>en</strong>to y<br />
diagnóstico remotas.<br />
Mejoras al control:<br />
(1)<br />
La <strong>en</strong>tidad audita todas las sesiones de<br />
mant<strong>en</strong>imi<strong>en</strong>to y diagnóstico remoto y el<br />
personal apropiado de la <strong>en</strong>tidad revisa los<br />
registros de mant<strong>en</strong>imi<strong>en</strong>to de las sesiones<br />
remotas.<br />
(2)<br />
La <strong>en</strong>tidad incluye la instalación y uso de<br />
mant<strong>en</strong>imi<strong>en</strong>to remoto y links de diagnóstico<br />
<strong>en</strong> el plan de seguridad para el sistema de<br />
información.<br />
(3)<br />
La <strong>en</strong>tidad no permite servicios de<br />
mant<strong>en</strong>imi<strong>en</strong>to o diagnostico remoto de un<br />
proveedor de servicios que no implem<strong>en</strong>te <strong>en</strong><br />
su propio sistema de información un nivel de<br />
seguridad igual o superior al implem<strong>en</strong>tado <strong>en</strong><br />
el sistema de información sujeto a<br />
mant<strong>en</strong>imi<strong>en</strong>to, a m<strong>en</strong>os que los<br />
compon<strong>en</strong>tes del sistema de información que<br />
cont<strong>en</strong>gan información organizacional sean<br />
removidos o saneados(eliminar información<br />
organizacional y cheque de software<br />
malicioso) antes de la ejecución del servicio y<br />
sean saneados antes de ser reconectados al<br />
sistema de información.<br />
Control: La <strong>en</strong>tidad solo permite que el<br />
personal autorizado realice el mant<strong>en</strong>imi<strong>en</strong>to<br />
al sistema de información.<br />
Control: La <strong>en</strong>tidad establece acuerdos con<br />
el proveedor para el mant<strong>en</strong>imi<strong>en</strong>to y<br />
reemplazo de las compon<strong>en</strong>tes del sistema<br />
<strong>en</strong> un período de tiempo establecido.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
PS4 PS4.2 MP-1 Política y<br />
procedimi<strong>en</strong>tos<br />
de protección de<br />
los medios<br />
PS4 PS4.2 MP-2 Acceso a los<br />
medios<br />
PS4 PS4.2 MP-3 Etiquetado de los<br />
medios<br />
PS4 PS4.2 MP-4 Almac<strong>en</strong>ami<strong>en</strong>to<br />
de los medios<br />
Página 103 de 207<br />
Control: La <strong>en</strong>tidad desarrolla, divulga, revisa<br />
y actualiza periódicam<strong>en</strong>te: (i) una política<br />
formal y docum<strong>en</strong>tada que incluya el<br />
propósito, alcance, roles, responsabilidades,<br />
compromiso de la administración,<br />
coordinación <strong>en</strong>tre <strong>en</strong>tidades<br />
organizacionales y cumplimi<strong>en</strong>to; y (ii)<br />
procedimi<strong>en</strong>tos formales y docum<strong>en</strong>tados<br />
para facilitar la implem<strong>en</strong>tación de la política<br />
de protección de los medios y los controles<br />
relacionados.<br />
Control: La <strong>en</strong>tidad restringe el acceso a los<br />
medios del sistema de información a personal<br />
autorizado.<br />
Mejoras al control:<br />
(1)<br />
La <strong>en</strong>tidad utiliza mecanismos automáticos<br />
para restringir el acceso a las áreas de<br />
almac<strong>en</strong>ami<strong>en</strong>to de los medios y audita los<br />
int<strong>en</strong>tos de acceso y los accesos otorgados.<br />
Control: La <strong>en</strong>tidad : (i) coloca etiquetas<br />
externas para los medios removibles del<br />
sistema de información y la información de<br />
salida indicando limitaciones <strong>en</strong> la<br />
distribución, <strong>en</strong> el manejo de advert<strong>en</strong>cias y<br />
marcas de seguridad si aplica; y (ii)una lista<br />
de tipos de medios o hardware ex<strong>en</strong>to de<br />
etiquetas mi<strong>en</strong>tras permanec<strong>en</strong> <strong>en</strong> un<br />
ambi<strong>en</strong>te protegido.<br />
Control: La <strong>en</strong>tidad controla físicam<strong>en</strong>te y<br />
almac<strong>en</strong>a seguram<strong>en</strong>te los medios del<br />
sistema de información d<strong>en</strong>tro de áreas<br />
controladas.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
PS4 PS4.1,PS4.2 MP-5 Transporte de los<br />
medios<br />
PS4 PS4.2 MP-6 Saneami<strong>en</strong>to y<br />
eliminación de los<br />
medios<br />
Protecció<br />
n física y<br />
ambi<strong>en</strong>tal<br />
Página 104 de 207<br />
Control: La <strong>en</strong>tidad protege y controla los<br />
medios del sistema de información durante el<br />
transporte fuera de las áreas controladas y<br />
restringe las actividades relacionadas con el<br />
transporte de los medios sólo al personal<br />
autorizado.<br />
Mejoras al control:<br />
(1)<br />
La <strong>en</strong>tidad protege los medios durante el<br />
transporte fueras de las áreas controladas<br />
utilizando mecanismos tales como:<br />
cont<strong>en</strong>edores asegurados, o mecanismos de<br />
criptografía.<br />
(2)<br />
La <strong>en</strong>tidad docum<strong>en</strong>ta las actividades<br />
asociadas con el transporte de los medios del<br />
sistema de información.<br />
(3)<br />
La <strong>en</strong>tidad utiliza un custodio id<strong>en</strong>tificado para<br />
las actividades de transporte de los medios<br />
del sistema de información.<br />
Control: La <strong>en</strong>tidad sanea los medios del<br />
sistema de información antes de su<br />
eliminación o reutilización.<br />
Mejoras al control:<br />
(1)<br />
La <strong>en</strong>tidad registra, docum<strong>en</strong>ta y verifica las<br />
acciones de saneami<strong>en</strong>to y eliminación de los<br />
medios.<br />
(2)<br />
La <strong>en</strong>tidad prueba periódicam<strong>en</strong>te el<br />
saneami<strong>en</strong>to de los equipos y los<br />
procedimi<strong>en</strong>tos para verificar su correcto<br />
desempeño.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
PS6 PS6.3 PE-1 Política y<br />
procedimi<strong>en</strong>tos<br />
de protección<br />
física y ambi<strong>en</strong>tal<br />
PS4,PS8 PS4.2,PS8.1 PE-2 Autorización de<br />
acceso físico<br />
PS4,PS5<br />
,PS8<br />
PS4,PS5<br />
,PS8<br />
PS4.2,PS5.2,PS8.1 PE-3 Control de acceso<br />
físico<br />
PS4.1,PS5.1, PS8.1 PE-4 Control de acceso<br />
al medio de<br />
transmisión<br />
PS4,PS5 PS4.2, PS5.3 PE-5 Control de acceso<br />
al medio de<br />
despliegue.<br />
Página 105 de 207<br />
Control: La <strong>en</strong>tidad desarrolla, divulga, revisa<br />
y actualiza periódicam<strong>en</strong>te: (i) una política<br />
formal y docum<strong>en</strong>tada de protección física y<br />
ambi<strong>en</strong>tal que incluye el propósito, alcance,<br />
roles, responsabilidades, compromiso de la<br />
administración, coordinación <strong>en</strong>tre <strong>en</strong>tidades<br />
organizacionales y cumplimi<strong>en</strong>to; y (ii)<br />
procedimi<strong>en</strong>tos formales y docum<strong>en</strong>tados<br />
para facilitar la implem<strong>en</strong>tación de la política<br />
de protección física y ambi<strong>en</strong>tal y los<br />
controles relacionados.<br />
Control: La <strong>en</strong>tidad desarrolla y manti<strong>en</strong>e<br />
una lista actualizada del personal con<br />
autorización de acceso a las instalaciones<br />
donde reside el sistema de información y de<br />
las cred<strong>en</strong>ciales de autorización. Los oficiales<br />
de seguridad autorizados revisan y aprueban<br />
las listas de acceso y las cred<strong>en</strong>ciales de<br />
autorización.<br />
Control: La <strong>en</strong>tidad controla todos los puntos<br />
de acceso físico a las instalaciones donde<br />
reside el sistema de información y verifica las<br />
autorizaciones individuales antes de otorgar<br />
el acceso a las instalaciones.<br />
Mejoras al control:<br />
(1)<br />
La <strong>en</strong>tidad controla el acceso físico al sistema<br />
de información indep<strong>en</strong>di<strong>en</strong>te de los controles<br />
de acceso físico a las instalaciones.<br />
Control: La <strong>en</strong>tidad controla el acceso físico<br />
a las <strong>línea</strong>s de transmisión y distribución de<br />
datos del sistema de información d<strong>en</strong>tro de<br />
las instalaciones de la <strong>en</strong>tidad.<br />
Control: La <strong>en</strong>tidad controla el acceso físico<br />
a los dispositivos que despliegan información<br />
del Sistema para prev<strong>en</strong>ir que personas no<br />
autorizadas observ<strong>en</strong> el despliegue de las<br />
salidas.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
PS4,PS5 PS4.2,PS5.3 PE-6 Monitoreo de<br />
acceso físico<br />
PS4,PS5 PS4.2,PS5.3 PE-7 Control de<br />
visitantes<br />
PS4,PS5 PS4.2,PS5.3 PE-8 Registros de<br />
acceso<br />
PS6 PS6.3 PE-9 Equipo de<br />
suministro de<br />
<strong>en</strong>ergía y<br />
cableado de<br />
<strong>en</strong>ergía.<br />
Página 106 de 207<br />
Control: La <strong>en</strong>tidad monitorea el acceso<br />
físico al sistema de información para detectar<br />
y responder a incid<strong>en</strong>tes de seguridad física.<br />
Mejoras al control:<br />
(1)<br />
La <strong>en</strong>tidad monitorea alarmas de intrusión<br />
física <strong>en</strong> tiempo real y equipos de vigilancia.<br />
(2)<br />
La <strong>en</strong>tidad emplea mecanismos automáticos<br />
para reconocer intrusiones pot<strong>en</strong>ciales e<br />
iniciar acciones de respuesta apropiadas.<br />
Control: La <strong>en</strong>tidad controla el acceso físico<br />
al sistema de información aut<strong>en</strong>ticando a los<br />
visitantes antes de autorizar el acceso a las<br />
instalaciones controladas donde reside el<br />
sistema de información.<br />
Mejoras al control:<br />
(1)<br />
La <strong>en</strong>tidad escolta a los visitantes y monitorea<br />
las actividades de estos cuando se requiera.<br />
Control: La <strong>en</strong>tidad manti<strong>en</strong>e registros de<br />
acceso de visitantes a las instalaciones<br />
controladas donde reside el sistema de<br />
información que incluy<strong>en</strong>: (i) nombre y<br />
empresa del visitante; (ii) firma del visitante;<br />
(iii) forma de id<strong>en</strong>tificación; (iv) fecha de<br />
acceso; (v) hora de <strong>en</strong>trada y salida; (vi)<br />
propósito de la visita; y (vii) nombre y<br />
empresa de la persona visitada. Las personas<br />
designadas revisan periódicam<strong>en</strong>te los<br />
registros de acceso de los visitantes.<br />
Mejoras al control:<br />
(1)<br />
La <strong>en</strong>tidad emplea mecanismos automáticos<br />
para facilitar el mant<strong>en</strong>imi<strong>en</strong>to y revisión de<br />
los registros de acceso.<br />
(2)<br />
La <strong>en</strong>tidad manti<strong>en</strong>e un registro del acceso<br />
físico de visitantes y personal autorizado.<br />
Control: La <strong>en</strong>tidad protege el equipo de<br />
suministro de <strong>en</strong>ergía y el cableado de<br />
<strong>en</strong>ergía para el sistema de información contra<br />
daño y destrucción.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
PS6 PS6.2 PE-10 Apagado de<br />
emerg<strong>en</strong>cia<br />
PS6 PS6.2 PE-11 Suministro alterno<br />
de <strong>en</strong>ergía<br />
PS6 PS6.2 PE-12 Luces de<br />
emerg<strong>en</strong>cia<br />
Página 107 de 207<br />
Control: La <strong>en</strong>tidad provee capacidad de<br />
apagado remoto de cualquier compon<strong>en</strong>te del<br />
sistema de información que pueda estar<br />
funcionando incorrectam<strong>en</strong>te o esté<br />
am<strong>en</strong>azado.<br />
Mejoras al control:<br />
(1)<br />
La <strong>en</strong>tidad protege la capacidad de apagado<br />
de emerg<strong>en</strong>cia de activación accid<strong>en</strong>tal o no<br />
autorizada.<br />
Control: La <strong>en</strong>tidad dispone de una UPS para<br />
facilitar el apagado ord<strong>en</strong>ado del sistema de<br />
información <strong>en</strong> el ev<strong>en</strong>to de una pérdida de la<br />
fu<strong>en</strong>te primaria de <strong>en</strong>ergía.<br />
Mejoras al control:<br />
(1)<br />
La <strong>en</strong>tidad dispone de una fu<strong>en</strong>te alterna de<br />
<strong>en</strong>ergía de larga duración para el sistema de<br />
información que permita una capacidad<br />
mínima operacional requerida <strong>en</strong> el ev<strong>en</strong>to de<br />
una pérdida prolongada de la fu<strong>en</strong>te primaria<br />
de <strong>en</strong>ergía.<br />
Control: La <strong>en</strong>tidad utiliza y manti<strong>en</strong>e un<br />
sistema automático de luces de emerg<strong>en</strong>cia<br />
que se activan <strong>en</strong> el ev<strong>en</strong>to de una<br />
interrupción de <strong>en</strong>ergía y cubre salidas de<br />
emerg<strong>en</strong>cia y rutas de evacuación.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
PS6 PE6.3 PE-13 Protección contra<br />
inc<strong>en</strong>dios<br />
PS6 PE6.3 PE-14 Controles de<br />
humedad y<br />
temperatura<br />
PS6 PE6.3 PE-15 Protección contra<br />
fugas de agua<br />
Página 108 de 207<br />
Control: La <strong>en</strong>tidad utiliza y manti<strong>en</strong>e<br />
sistemas de detección y extinción de<br />
inc<strong>en</strong>dios que pued<strong>en</strong> ser activados <strong>en</strong> caso<br />
de inc<strong>en</strong>dio.<br />
Mejoras al control:<br />
(1)<br />
La <strong>en</strong>tidad utiliza sistemas de detección de<br />
fuego que se activan automáticam<strong>en</strong>te y<br />
notifican a la <strong>en</strong>tidad y al equipo de respuesta<br />
a emerg<strong>en</strong>cias.<br />
(2)<br />
La <strong>en</strong>tidad utiliza sistemas de extinción de<br />
inc<strong>en</strong>dios que suministran notificación<br />
automática de cualquier activación a la<br />
<strong>en</strong>tidad y al equipo de respuesta a<br />
emerg<strong>en</strong>cias.<br />
(3)<br />
La <strong>en</strong>tidad dispone de capacidad automática<br />
de extinción de inc<strong>en</strong>dios <strong>en</strong> las instalaciones<br />
donde no hay frecu<strong>en</strong>te disponibilidad de<br />
personal.<br />
Control: La <strong>en</strong>tidad monitorea y manti<strong>en</strong>e<br />
d<strong>en</strong>tro de niveles aceptables la temperatura y<br />
humedad d<strong>en</strong>tro de las instalaciones donde<br />
reside el sistema de información.<br />
Control: La <strong>en</strong>tidad protege el sistema de<br />
información contra daños ocasionados por el<br />
agua resultante de tuberías rotas u otras<br />
fu<strong>en</strong>tes de escape de agua mant<strong>en</strong>i<strong>en</strong>do<br />
válvulas maestras que son accesibles,<br />
trabajan adecuadam<strong>en</strong>te y son conocidas por<br />
el personal clave.<br />
Mejoras al control:<br />
(1)<br />
La <strong>en</strong>tidad utiliza mecanismos automáticos<br />
que proteg<strong>en</strong> el sistema de información de<br />
daños ocasionados por fugas de agua<br />
significativas.<br />
PS4 PS4.2 PE-16 Ingreso y retiro Control: La <strong>en</strong>tidad autoriza y controla el<br />
ingreso y salida de los ítems relacionados con<br />
el sistema de información d<strong>en</strong>tro de las<br />
instalaciones y manti<strong>en</strong>e registros apropiados<br />
de dichos ev<strong>en</strong>tos.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
PS6 PS6.3 PE-17 Sitio de trabajo<br />
alterno<br />
PS6 PS6.3 PE-18 Ubicación de los<br />
compon<strong>en</strong>tes del<br />
sistema de<br />
información<br />
Planeació<br />
n<br />
PS1-PS9 PS1.1 - PS9.1 PL-1 Política y<br />
procedimi<strong>en</strong>tos<br />
de planeación de<br />
la seguridad<br />
PS1-PS9 PS1.1 - PS9.1 PL-2 Plan de seguridad<br />
del sistema<br />
Página 109 de 207<br />
Control: La <strong>en</strong>tidad manti<strong>en</strong>e controles<br />
administrativos, operacionales y técnicos del<br />
sistema de información <strong>en</strong> el sitio alterno.<br />
Control: La <strong>en</strong>tidad ubica de manera segura<br />
los compon<strong>en</strong>tes del sistema de información<br />
para minimizar el daño pot<strong>en</strong>cial de<br />
am<strong>en</strong>azas físicas y ambi<strong>en</strong>tales y acceso no<br />
autorizado.<br />
Mejoras al control:<br />
(1)<br />
La <strong>en</strong>tidad planea las condiciones de<br />
seguridad del sitio de ubicación del sistema<br />
de información considerando las am<strong>en</strong>azas<br />
físicas y ambi<strong>en</strong>tales y actualiza su estrategia<br />
de mitigación del riesgo.<br />
Control: La <strong>en</strong>tidad desarrolla, divulga,<br />
revisa y actualiza periódicam<strong>en</strong>te: (i) una<br />
política formal y docum<strong>en</strong>tada de planeación<br />
de la seguridad que incluye el propósito,<br />
alcance, roles , responsabilidades,<br />
compromiso de la administración,<br />
coordinación <strong>en</strong>tre <strong>en</strong>tidades<br />
organizacionales y cumplimi<strong>en</strong>to; y (ii)<br />
procedimi<strong>en</strong>tos formales y docum<strong>en</strong>tados<br />
para facilitar la implem<strong>en</strong>tación de la política y<br />
los controles relacionados.<br />
Control: La <strong>en</strong>tidad desarrolla e implem<strong>en</strong>ta<br />
un plan de seguridad para el sistema de<br />
información que incluye una revisión de los<br />
requisitos de seguridad para el sistema y una<br />
descripción de los controles de seguridad<br />
implem<strong>en</strong>tados o planeados para reunir los<br />
requerimi<strong>en</strong>tos. Nombra al personal<br />
<strong>en</strong>cargado de revisar y aprobar el plan.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
PS1-PS9 PS1.1 - PS9.1 PL-3 Actualización del<br />
plan de seguridad<br />
PS1 PS1.1 PL-4 Reglas de<br />
comportami<strong>en</strong>to<br />
PS4 PS4.1,PS4.2 PL-5 Evaluación del<br />
impacto a la<br />
privacidad<br />
PS8 PS8.1 PL-6 Planeación de las<br />
actividades<br />
relacionadas con<br />
la seguridad<br />
Seguridad<br />
del<br />
personal<br />
Página 110 de 207<br />
Control: La <strong>en</strong>tidad revisa por lo m<strong>en</strong>os<br />
anualm<strong>en</strong>te, el plan de seguridad del sistema<br />
de información para id<strong>en</strong>tificar necesidades<br />
de cambio organizacional o del sistema<br />
durante la implem<strong>en</strong>tación del plan o <strong>en</strong> las<br />
evaluaciones de seguridad.<br />
Control: La <strong>en</strong>tidad establece y divulga un<br />
conjunto de reglas que describ<strong>en</strong> las<br />
responsabilidades y comportami<strong>en</strong>to<br />
esperado con relación a la información y al<br />
uso del sistema de información. Los usuarios<br />
firman un docum<strong>en</strong>to de compromiso que<br />
indica que han leído, que <strong>en</strong>ti<strong>en</strong>d<strong>en</strong> y que<br />
están de acuerdo con las reglas de<br />
comportami<strong>en</strong>to antes de autorizar el acceso<br />
al sistema de información.<br />
Control: La <strong>en</strong>tidad lleva a cabo una<br />
evaluación del impacto a la privacidad <strong>en</strong> el<br />
sistema de información según la ley de<br />
habeas data (Ley 1266 31 diciembre de 2008)<br />
Control: La <strong>en</strong>tidad planea y coordina las<br />
actividades relacionadas con la seguridad que<br />
afectan el sistema de información antes de<br />
ejecutar dichas actividades con el fin de<br />
reducir el impacto <strong>en</strong> las operaciones, <strong>en</strong> los<br />
activos de información y <strong>en</strong> las personas.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
PS1-PS9 PS1.1 - PS9.1 PS-1 Política y<br />
procedimi<strong>en</strong>tos<br />
para seguridad<br />
del personal<br />
PS1-PS9 PS1.1 - PS9.1 PS-2 Categorización<br />
del cargo<br />
PS1-PS9 PS1.1 - PS9.1 PS-3 Verificación del<br />
personal<br />
PS1-PS9 PS1.1 - PS9.1 PS-4 Terminación del<br />
contrato laboral<br />
PS1-PS9 PS1.1 - PS9.1 PS-5 Transfer<strong>en</strong>cia del<br />
personal<br />
PS1-PS9 PS1.1 - PS9.1 PS-6 Acuerdos de<br />
confid<strong>en</strong>cialidad<br />
Página 111 de 207<br />
Control: La <strong>en</strong>tidad desarrolla, divulga, revisa<br />
y actualiza periódicam<strong>en</strong>te: (i) una política<br />
formal y docum<strong>en</strong>tada de seguridad del<br />
personal que incluye: propósito, alcance,<br />
roles, responsabilidades, compromiso de la<br />
administración, coordinación <strong>en</strong>tre áreas<br />
organizacionales, y cumplimi<strong>en</strong>to; y (ii)<br />
procedimi<strong>en</strong>tos formales y docum<strong>en</strong>tados<br />
para facilitar la implem<strong>en</strong>tación de la política<br />
de seguridad del personal y los controles<br />
relacionados.<br />
Control: La <strong>en</strong>tidad define riesgos de los<br />
cargos y establece criterios para la selección<br />
y contratación del personal para dichos<br />
cargos. La <strong>en</strong>tidad revisa dichos cargos con<br />
una frecu<strong>en</strong>cia establecida.<br />
Control: La <strong>en</strong>tidad realiza revisiones de<br />
verificación del personal que requiere acceso<br />
a la información empresarial y a los sistemas<br />
de información antes de autorizar el acceso.<br />
Control: La <strong>en</strong>tidad retira el acceso a los<br />
sistemas de información antes de la<br />
terminación del contrato laboral, realiza<br />
<strong>en</strong>trevistas de retiro, gestiona la devolución<br />
de activos y autoriza al personal apropiado<br />
para revisar los registros creados <strong>en</strong> el<br />
sistema de información por parte del personal<br />
que se retira.<br />
Control: La <strong>en</strong>tidad revisa las autorizaciones<br />
de acceso al sistema de información cada vez<br />
que se pres<strong>en</strong>ta una reasignación o<br />
transfer<strong>en</strong>cia del personal a otro cargo.<br />
Control: La <strong>en</strong>tidad establece acuerdos de<br />
confid<strong>en</strong>cialidad firmados por los usuarios que<br />
requier<strong>en</strong> acceder la información<br />
organizacional y los sistemas de información<br />
antes de autorizar su acceso y efectúa<br />
revisiones periódicas a dichos acuerdos.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
PS1-PS9 PS1.1 - PS9.1 PS-7 Seguridad del<br />
personal de<br />
terceras partes<br />
PS1-PS9 PS1.1 - PS9.1 PS-8 Sanciones al<br />
personal<br />
Evaluació<br />
n del<br />
riesgo<br />
PS1-PS9 PS1.1 - PS9.1 RA-1 Política y<br />
procedimi<strong>en</strong>tos<br />
de evaluación del<br />
riesgo<br />
PS1-PS9 PS1.1 - PS9.1 RA-2 Categorías de<br />
seguridad<br />
PS1-PS9 PS1.1 - PS9.1 RA-3 Evaluación del<br />
riesgo<br />
Página 112 de 207<br />
Control: La <strong>en</strong>tidad establece requerimi<strong>en</strong>tos<br />
de seguridad del personal incluy<strong>en</strong>do roles y<br />
responsabilidades para contratistas y<br />
proveedores y monitorea su cumplimi<strong>en</strong>to.<br />
Control: La <strong>en</strong>tidad adopta un proceso<br />
disciplinario formal para el personal que viole<br />
el cumplimi<strong>en</strong>to de las políticas y<br />
procedimi<strong>en</strong>tos de seguridad de la<br />
información.<br />
Control: La <strong>en</strong>tidad desarrolla, divulga, revisa<br />
y actualiza periódicam<strong>en</strong>te: (i) una política<br />
formal y docum<strong>en</strong>tada de evaluación del<br />
riesgo que incluya el propósito, alcance, roles,<br />
responsabilidades, compromiso de la<br />
ger<strong>en</strong>cia, coordinación <strong>en</strong>tre áreas<br />
organizacionales y cumplimi<strong>en</strong>to; y (ii)<br />
procedimi<strong>en</strong>tos formales y docum<strong>en</strong>tados<br />
para facilitar la implem<strong>en</strong>tación de la política<br />
de evaluación del riesgo y los controles<br />
relacionados.<br />
Control: La <strong>en</strong>tidad categoriza el sistema de<br />
información y la información procesada,<br />
almac<strong>en</strong>ada o transmitida por el sistema de<br />
acuerdo con la reglam<strong>en</strong>tación, políticas,<br />
estándares y guías aplicables y docum<strong>en</strong>ta<br />
los resultados <strong>en</strong> el plan de seguridad del<br />
sistema. Designa a personal apropiado para<br />
revisar las categorías de seguridad.<br />
Control: La <strong>en</strong>tidad realiza evaluaciones del<br />
riesgo y análisis de impacto del daño<br />
resultante de acceso, uso, revelación,<br />
interrupción, modificación, destrucción no<br />
autorizada de la información y de los sistemas<br />
de información que soportan los servicios de
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
PS1-PS9 PS1.1 - PS9.1 RA-4 Actualización de<br />
la evaluación del<br />
riesgo<br />
PS8 PS8.1 RA-5 Escaneo de<br />
vulnerabilidades<br />
Adquisici<br />
ón de<br />
sistemas<br />
y<br />
servicios<br />
Página 113 de 207<br />
gobierno <strong>en</strong> <strong>línea</strong>.<br />
Control: La <strong>en</strong>tidad revisa periódicam<strong>en</strong>te la<br />
evaluación de riesgos o siempre que se<br />
efectú<strong>en</strong> cambios significativos <strong>en</strong> los<br />
sistemas de información, las instalaciones<br />
donde reside el sistema o que existan otras<br />
condiciones que pued<strong>en</strong> impactar la<br />
seguridad o el estado de acreditación del<br />
sistema.<br />
Control: La <strong>en</strong>tidad escanea periódicam<strong>en</strong>te<br />
las vulnerabilidades del sistema de<br />
información o siempre que se id<strong>en</strong>tifiqu<strong>en</strong> y<br />
report<strong>en</strong> nuevas am<strong>en</strong>azas que puedan<br />
impactar el sistema.<br />
Mejoras al control:<br />
(1)<br />
La <strong>en</strong>tidad utiliza herrami<strong>en</strong>tas de escaneo de<br />
vulnerabilidades que incluy<strong>en</strong> capacidad para<br />
actualizar la lista de vulnerabilidades<br />
escaneadas.<br />
(2)<br />
La <strong>en</strong>tidad actualiza periódicam<strong>en</strong>te la lista de<br />
vulnerabilidades escaneadas o cuando<br />
nuevas vulnerabilidades son id<strong>en</strong>tificadas y<br />
reportadas.<br />
(3)<br />
La <strong>en</strong>tidad implem<strong>en</strong>ta procedimi<strong>en</strong>tos de<br />
escaneo de vulnerabilidades que pued<strong>en</strong><br />
demostrar la cobertura y profundidad del<br />
escaneo incluy<strong>en</strong>do el checkeo de<br />
vulnerabilidades a los compon<strong>en</strong>tes de<br />
sistema de información.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
PS1-PS9 PS1.1 - PS9.1 SA-1 Política y<br />
procedimi<strong>en</strong>tos<br />
de adquisición de<br />
sistemas y<br />
servicios<br />
PS1-PS9 PS1.1 - PS9.1 SA-2 Distribución de<br />
recursos<br />
PS8 PS8.1 SA-3 Ciclo de vida del<br />
soporte<br />
Página 114 de 207<br />
Control: La <strong>en</strong>tidad desarrolla, divulga,<br />
revisa y actualiza periódicam<strong>en</strong>te: (i) una<br />
política formal y docum<strong>en</strong>tada de adquisición<br />
de sistemas y servicios que contempla<br />
consideraciones de seguridad de la<br />
información y que incluye el propósito,<br />
alcance, roles, responsabilidades,<br />
compromiso de la ger<strong>en</strong>cia, coordinación<br />
<strong>en</strong>tre áreas de la <strong>en</strong>tidad y cumplimi<strong>en</strong>to; y (ii)<br />
procedimi<strong>en</strong>tos formales y docum<strong>en</strong>tados<br />
para facilitar la implem<strong>en</strong>tación de la política<br />
de adquisición de sistemas y servicios y los<br />
controles relacionados.<br />
Control: La <strong>en</strong>tidad determina, docum<strong>en</strong>ta y<br />
distribuye como parte de la planeación y<br />
control de inversiones los recursos<br />
requeridos para proteger adecuadam<strong>en</strong>te el<br />
sistema de información.<br />
Control: La <strong>en</strong>tidad administra el sistema de<br />
información adoptando una metodología para<br />
el ciclo de desarrollo de los sistemas de<br />
información que incluye consideraciones de<br />
seguridad de la información.<br />
PS1-PS9 PS1.1 - PS9.1 SA-4 Adquisiciones Control: La <strong>en</strong>tidad incluye las<br />
especificaciones de seguridad <strong>en</strong> los<br />
contratos de adquisición de los sistemas de<br />
información basados <strong>en</strong> un proceso de<br />
evaluación del riesgo y conforme a las<br />
regulaciones, políticas y estándares<br />
aplicables.<br />
Mejoras al control:<br />
(1)<br />
La <strong>en</strong>tidad solicita la docum<strong>en</strong>tación que<br />
describa <strong>en</strong> detalle la funcionalidad de los<br />
controles de seguridad del sistema de<br />
información para permitir analizar y probar<br />
dichos controles.<br />
(2)<br />
La <strong>en</strong>tidad solicita la docum<strong>en</strong>tación detallada<br />
del diseño y detalles de implem<strong>en</strong>tación de<br />
los controles de seguridad del sistema para<br />
permitir analizar y probar dichos controles<br />
(incluy<strong>en</strong>do interfaces <strong>en</strong>tre compon<strong>en</strong>tes).
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
PS8 PS8.1 SA-5 Docum<strong>en</strong>tación<br />
de los sistemas<br />
de información<br />
PS8 PS8.1 SA-6 Restricciones de<br />
uso del software<br />
PS8 PS8.1 SA-7 Software<br />
instalado por los<br />
usuarios<br />
PS8 PS8.1 SA-8 Principios de<br />
ing<strong>en</strong>iería de<br />
seguridad<br />
PS8 PS8.1 SA-9 Servicios de<br />
desarrollo,<br />
mant<strong>en</strong>imi<strong>en</strong>to y<br />
soporte externo<br />
del sistema de<br />
información<br />
PS8 PS8.1 SA-10 Administración de<br />
la configuración<br />
del desarrollador<br />
Página 115 de 207<br />
Control: La <strong>en</strong>tidad obti<strong>en</strong>e, protege y<br />
manti<strong>en</strong>e disponible al personal autorizado la<br />
docum<strong>en</strong>tación del sistema de información.<br />
Mejoras al control:<br />
(1)<br />
La <strong>en</strong>tidad obti<strong>en</strong>e además de las guías del<br />
usuario y del administrador, la<br />
docum<strong>en</strong>tación detallada de la funcionalidad<br />
de los controles de seguridad del sistema de<br />
información para permitir análisis y prueba de<br />
los controles.<br />
(2)<br />
La <strong>en</strong>tidad obti<strong>en</strong>e además de las guías de<br />
usuario y del administrador, la docum<strong>en</strong>tación<br />
detallada del diseño de los controles de<br />
seguridad del sistema de información para<br />
permitir análisis y prueba de los controles.<br />
Control: La <strong>en</strong>tidad cumple con las<br />
restricciones de uso del software.<br />
Control: La <strong>en</strong>tidad forza al cumplimi<strong>en</strong>to de<br />
reglas explicitas que gobiernan la instalación<br />
de software por parte de los usuarios.<br />
Control: La <strong>en</strong>tidad designa e implem<strong>en</strong>ta el<br />
sistema de información utilizando principios<br />
de ing<strong>en</strong>iería de seguridad.<br />
Control: La <strong>en</strong>tidad: (i) requiere que los<br />
proveedores de servicio adopt<strong>en</strong> controles de<br />
seguridad de conformidad con la<br />
reglam<strong>en</strong>tación, políticas y estándares<br />
aplicables y según los ANS establecidos; y<br />
(ii) monitoree el cumplimi<strong>en</strong>to de los controles<br />
de seguridad.<br />
Control: La <strong>en</strong>tidad exige a los<br />
desarrolladores del sistema de información<br />
crear e implem<strong>en</strong>tar un plan de configuración<br />
que controle los cambios al sistema durante el<br />
desarrollo, rastree las fallas de seguridad y<br />
docum<strong>en</strong>te el plan y su implem<strong>en</strong>tación.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
PS8 PS8.1 SA-11 Pruebas de<br />
seguridad del<br />
desarrollador<br />
Protecció<br />
n del<br />
sistema y<br />
las<br />
comunica<br />
ciones<br />
PS8 PS8.1 SC-1 Política y<br />
procedimi<strong>en</strong>tos<br />
de protección del<br />
sistema y las<br />
comunicaciones<br />
PS1,PS8 PS1.2,PS8.1 SC-2 Particionar la<br />
aplicación<br />
Página 116 de 207<br />
Control: La <strong>en</strong>tidad exige al desarrollador del<br />
sistema crear un plan de evaluación y<br />
pruebas de seguridad, implem<strong>en</strong>tar el plan, y<br />
docum<strong>en</strong>tar los resultados.<br />
Control: La <strong>en</strong>tidad desarrolla, divulga, revisa<br />
y actualiza periódicam<strong>en</strong>te: (i) una política<br />
formal y docum<strong>en</strong>tada de protección del<br />
sistema y las comunicaciones que incluye: el<br />
propósito, alcance, roles, responsabilidades,<br />
compromiso de la ger<strong>en</strong>cia, coordinación<br />
<strong>en</strong>tre áreas de la <strong>en</strong>tidad y cumplimi<strong>en</strong>to; y (ii)<br />
procedimi<strong>en</strong>tos formales y docum<strong>en</strong>tados<br />
para facilitar la implem<strong>en</strong>tación de la política<br />
de protección del sistema y las<br />
comunicaciones y los controles relacionados.<br />
Control: Las funciones del usuario y las<br />
funciones administrativas del sistema se<br />
<strong>en</strong>cu<strong>en</strong>tran separadas <strong>en</strong> el sistema de<br />
información.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
PS1,PS8 PS1.2,PS8.1 SC-3 Aislami<strong>en</strong>to de la<br />
función de<br />
seguridad<br />
PS4 PS4.1,PS4.2 SC-4 Revelación de<br />
información<br />
Página 117 de 207<br />
Control: Se aíslan <strong>en</strong> el sistema de<br />
información las funciones de seguridad de las<br />
otras funciones.<br />
Mejoras al control:<br />
(1)<br />
En el sistema de información se utilizan<br />
mecanismos de separación del hardware para<br />
facilitar el aislami<strong>en</strong>to de la función de<br />
seguridad.<br />
(2)<br />
En el sistema de información se aíslan las<br />
funciones de seguridad críticas (por ejemplo:<br />
control de acceso y control del flujo de<br />
información) de las funciones de seguridad y<br />
demás funciones.<br />
(3)<br />
En el sistema de información es mínimo el<br />
número de funciones que no son de<br />
seguridad incluidas <strong>en</strong> la frontera de<br />
aislami<strong>en</strong>to que conti<strong>en</strong>e las funciones de<br />
seguridad.<br />
(4)<br />
En el sistema de información las funciones de<br />
seguridad se implem<strong>en</strong>tan como módulos<br />
indep<strong>en</strong>di<strong>en</strong>tes grandes de manera que<br />
evit<strong>en</strong> interacciones innecesarias <strong>en</strong>tre<br />
módulos.<br />
(5)<br />
En el sistema de información se implem<strong>en</strong>tan<br />
las funciones de seguridad con una estructura<br />
de capas de manera que minimice las<br />
interacciones <strong>en</strong>tre capas del diseño evitando<br />
dep<strong>en</strong>d<strong>en</strong>cia funcional de capas más bajas o<br />
correcciones <strong>en</strong> las capas más altas.<br />
Control: el sistema de información previ<strong>en</strong>e<br />
de transfer<strong>en</strong>cia no autorizada de información<br />
a través de recursos del sistema compartidos.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
PS6,PS8 PS6.1,PS8.1 SC-5 Protección contra<br />
d<strong>en</strong>egación del<br />
servicio<br />
PS8 PS8.1 SC-7 Protección de<br />
fronteras<br />
Página 118 de 207<br />
Control: El sistema de información protege o<br />
limita los efectos de los ataques de<br />
d<strong>en</strong>egación.<br />
Mejora al control:<br />
(1)<br />
Se restringe <strong>en</strong> el sistema de información la<br />
capacidad de los usuarios para g<strong>en</strong>erar<br />
ataques de d<strong>en</strong>egación del servicio contra<br />
otros sistemas de información o redes.<br />
(2)<br />
Se gestiona <strong>en</strong> el sistema el exceso de<br />
capacidad, ancho de banda u otra<br />
redundancia para limitar los efectos de<br />
ataques de d<strong>en</strong>egación del servicio.<br />
Control: En el sistema de información se<br />
monitorean y controlan las comunicaciones<br />
<strong>en</strong>tre las fronteras externas del sistema y las<br />
fronteras internas.<br />
Mejoras al control:<br />
(1)<br />
La <strong>en</strong>tidad físicam<strong>en</strong>te distribuye los<br />
compon<strong>en</strong>tes del sistema accesibles para<br />
separar las subredes de las interfaces de red<br />
físicas.<br />
(2)<br />
La <strong>en</strong>tidad previ<strong>en</strong>e de acceso público <strong>en</strong> las<br />
redes internas de la <strong>en</strong>tidad con excepciones<br />
pl<strong>en</strong>am<strong>en</strong>te justificadas.<br />
(3)<br />
La <strong>en</strong>tidad limita el número de puntos de<br />
acceso al sistema de información para<br />
permitir un mejor monitoreo del tráfico<br />
<strong>en</strong>trante y sali<strong>en</strong>te de la red.<br />
(4)<br />
La <strong>en</strong>tidad implem<strong>en</strong>ta una interfase<br />
administrada a través de un servicio de<br />
telecomunicaciones externas, implem<strong>en</strong>tando<br />
controles apropiados para proteger la<br />
integridad y la confid<strong>en</strong>cialidad de la<br />
información a ser transmitida.<br />
(5)<br />
El sistema de información restringe el tráfico<br />
de red por default y permite el tráfico de red<br />
por excepción.<br />
(6)<br />
La <strong>en</strong>tidad previ<strong>en</strong>e de la salida no autorizada<br />
de información fuera de las fronteras del<br />
sistema de información cuando existe una<br />
falla de los mecanismos de protección de<br />
fronteras.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
PS5 PS5.1 SC-8 Integridad de la<br />
transmisión<br />
PS4 PS4.1 SC-9 Confid<strong>en</strong>cialidad<br />
de la transmisión<br />
PS8 PS8.1 SC-10 Desconexión de<br />
la red<br />
PS3,PS8 PS3.1, PS8.1 SC-12 Gestión de llaves<br />
criptográficas<br />
PS4 PS4.2 SC-13 Uso de<br />
criptografía<br />
PS4,PS5<br />
,PS8<br />
PS4.2,PS5.3, PS8.1 SC-14 Protección del<br />
acceso público<br />
Página 119 de 207<br />
Control: El sistema de información protege la<br />
integridad de la información transmitida.<br />
Mejoras al control:<br />
(1)<br />
La <strong>en</strong>tidad emplea mecanismos criptográficos<br />
para reconocer cambios a la información<br />
durante la transmisión a m<strong>en</strong>os que existan<br />
otros mecanismos físicos alternos de<br />
protección.<br />
Control: El sistema de información protege la<br />
confid<strong>en</strong>cialidad de la información transmitida.<br />
Mejoras al control:<br />
(1)<br />
La <strong>en</strong>tidad utiliza mecanismos criptográficos<br />
para prev<strong>en</strong>ir de revelación no autorizada de<br />
información durante la transmisión a m<strong>en</strong>os<br />
que existan mecanismos físicos alternos de<br />
protección.<br />
Control: El sistema de información finaliza<br />
una conexión de red al final de la sesión o<br />
después de un periodo de tiempo de<br />
inactividad.<br />
Control: La <strong>en</strong>tidad establece y gestiona las<br />
llaves criptográficas mediante mecanismos<br />
automáticos y la implem<strong>en</strong>tación de<br />
procedimi<strong>en</strong>tos.<br />
Control: El sistema de información<br />
implem<strong>en</strong>ta mecanismos criptográficos que<br />
cumpl<strong>en</strong> con la reglam<strong>en</strong>tación, políticas,<br />
estándares y guías aplicables.<br />
Control: El sistema de información protege la<br />
integridad y disponibilidad de la información y<br />
aplicaciones públicam<strong>en</strong>te disponibles.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
PS8 PS8.1 SC-15 Computación<br />
colaborativa<br />
PS2 PS2.1 - PS2.4 SC-17 Certificados de<br />
infraestructura de<br />
clave pública<br />
Página 120 de 207<br />
Control: el sistema de información prohíbe la<br />
activación remota de mecanismos de<br />
computación colaborativa y provee una<br />
indicación clara de uso solo para usuarios<br />
locales.<br />
Mejoras al control:<br />
(1)<br />
El sistema de información suministra<br />
desconexión física de cámaras y micrófonos<br />
de manera que soporte facilidad de uso.<br />
Control: La <strong>en</strong>tidad emite certificados de<br />
clave pública mediante una política de<br />
certificados apropiada u obti<strong>en</strong>e certificados<br />
de clave pública a través de un proveedor de<br />
servicios aprobado.<br />
PS8 PS8.1 SC-18 Código Móvil Control: La <strong>en</strong>tidad : (i) establece<br />
restricciones de uso y guía de implem<strong>en</strong>tación<br />
para las tecnologías de código móvil basadas<br />
<strong>en</strong> el pot<strong>en</strong>cial para causar daño al sistema<br />
de información si se usa inadecuadam<strong>en</strong>te; y<br />
(ii) autoriza, monitorea y controla el uso de<br />
código móvil d<strong>en</strong>tro del sistema de<br />
información.<br />
PS8 PS8.1 SC-19 Protocolos de voz<br />
sobre Internet<br />
PS8 PS8.1 SC-20 Servicios de<br />
resolución de<br />
nombres y<br />
direcciones<br />
(fu<strong>en</strong>te<br />
autorizada)<br />
Control: La <strong>en</strong>tidad (i) establece restricciones<br />
de uso y guía de implem<strong>en</strong>tación para<br />
tecnologías de protocolos de voz sobre<br />
Internet (VoIP) basadas <strong>en</strong> el pot<strong>en</strong>cial para<br />
causar daño al sistema de información si se<br />
usan indebidam<strong>en</strong>te y (ii) autoriza, monitorea<br />
y controla el uso VoIP d<strong>en</strong>tro del sistema de<br />
información.<br />
Control: El sistema de información<br />
proporciona servicios de resolución de<br />
nombres además del dato de orig<strong>en</strong> y el<br />
artefacto de integridad junto con el dato de<br />
respuesta a la resolución de los queries (ver<br />
más detalle <strong>en</strong> SP 800-81).
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
PS8 PS8.1 SC-21 Servicios de<br />
resolución de<br />
nombres y<br />
direcciones(Resol<br />
ución recursiva o<br />
de Caché)<br />
PS8 PS8.1 SC-22 Arquitectura y<br />
prestación de los<br />
servicios de<br />
resolución de<br />
nombres y<br />
direcciones<br />
PS2 PS2.1 - PS2.4 SC-23 Aut<strong>en</strong>ticidad de<br />
las sesiones<br />
Integridad<br />
del<br />
sistema y<br />
de la<br />
informaci<br />
ón<br />
Página 121 de 207<br />
Control: El sistema de información provee<br />
servicios de resolución de nombres y<br />
direcciones para cli<strong>en</strong>tes locales y desarrolla<br />
aut<strong>en</strong>ticación del orig<strong>en</strong> de datos y<br />
verificación de la integridad de los datos <strong>en</strong><br />
las respuestas de resolución que recibe de<br />
fu<strong>en</strong>tes autorizadas cuando son requeridas<br />
por los cli<strong>en</strong>tes del sistema.<br />
Mejoras al control:<br />
(1)<br />
El sistema de información desarrolla<br />
aut<strong>en</strong>ticación del orig<strong>en</strong> del dato y verificación<br />
de la integridad de la información <strong>en</strong> todas las<br />
respuestas de resolución ya sean o no<br />
cli<strong>en</strong>tes locales que requier<strong>en</strong> explícitam<strong>en</strong>te<br />
el servicio.<br />
Control: El sistema de información que<br />
provee servicios de resolución de nombres y<br />
direcciones son tolerantes a fallas e<br />
implem<strong>en</strong>tan separación de roles.<br />
Control: El sistema de información provee<br />
mecanismos para proteger la aut<strong>en</strong>ticidad de<br />
las sesiones.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
PS5 PS5.1 - PS5.4 SI-1 Política y<br />
procedimi<strong>en</strong>tos<br />
de integridad del<br />
sistema y de la<br />
información<br />
PS8 PS8.1 SI-2 Corrección de<br />
errores<br />
PS8 PS8.1 SI-3 Protección contra<br />
código malicioso<br />
Página 122 de 207<br />
Control: La <strong>en</strong>tidad desarrolla, divulga,<br />
revisa y actualiza periódicam<strong>en</strong>te: (i) una<br />
política formal y docum<strong>en</strong>tada de integridad<br />
del sistema y de la información que incluya el<br />
propósito, alcance, roles, responsabilidades,<br />
compromiso de la ger<strong>en</strong>cia, coordinación<br />
<strong>en</strong>tre áreas de la <strong>en</strong>tidad y cumplimi<strong>en</strong>to; y (ii)<br />
procedimi<strong>en</strong>tos formales y docum<strong>en</strong>tados que<br />
facilit<strong>en</strong> la implem<strong>en</strong>tación de la política y los<br />
controles relacionados.<br />
Control: La <strong>en</strong>tidad id<strong>en</strong>tifica, reporta y corrige<br />
los errores <strong>en</strong> el sistema de información.<br />
Mejoras al control:<br />
(1)<br />
La <strong>en</strong>tidad administra c<strong>en</strong>tralizadam<strong>en</strong>te el<br />
proceso de corrección de errores e instala<br />
automáticam<strong>en</strong>te las versiones de<br />
actualización.<br />
(2)<br />
La <strong>en</strong>tidad utiliza mecanismos automáticos<br />
para determinar periódicam<strong>en</strong>te o por<br />
demanda, el estado de los compon<strong>en</strong>tes del<br />
sistema de información con relación a la<br />
corrección de los errores.<br />
Control: El sistema de información ti<strong>en</strong>e<br />
implem<strong>en</strong>tado protección contra código<br />
malicioso.<br />
Mejoras al control:<br />
(1)<br />
La <strong>en</strong>tidad administra c<strong>en</strong>tralizadam<strong>en</strong>te los<br />
mecanismos de protección contra código<br />
malicioso.<br />
(2)<br />
el sistema de información actualiza<br />
automáticam<strong>en</strong>te los mecanismos de<br />
protección contra código malicioso.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
PS8,PS9 PS8.1, PS9.1 SI-4 Herrami<strong>en</strong>tas y<br />
técnicas de<br />
monitoreo del<br />
sistema de<br />
información<br />
PS8 PS8.1 SI-5 Alertas de<br />
seguridad y<br />
recom<strong>en</strong>daciones<br />
Página 123 de 207<br />
Control: La <strong>en</strong>tidad utiliza herrami<strong>en</strong>tas y<br />
técnicas para monitorear los ev<strong>en</strong>tos <strong>en</strong> el<br />
sistema de información, detectar ataques, y<br />
proveer id<strong>en</strong>tificación de uso no autorizado<br />
del sistema.Mejoras al control:(1)La <strong>en</strong>tidad<br />
interconecta y configura las herrami<strong>en</strong>tas de<br />
detección de intrusión individual con el<br />
sistema de detección e intrusión g<strong>en</strong>eral de la<br />
<strong>en</strong>tidad utilizando protocolos comunes.(2)La<br />
<strong>en</strong>tidad utiliza herrami<strong>en</strong>tas automáticas para<br />
soportar análisis de ev<strong>en</strong>tos <strong>en</strong> tiempo real.<br />
(3)La <strong>en</strong>tidad utiliza herrami<strong>en</strong>tas automáticas<br />
para integrar las herrami<strong>en</strong>tas de detección<br />
de intrusión con los mecanismos de control de<br />
acceso y control de flujo de información para<br />
una rápida respuesta ante ataques<br />
permiti<strong>en</strong>do la reconfiguración de estos<br />
mecanismos para aislar y eliminar los<br />
ataques.(4)El sistema de información<br />
monitorea las comunicaciones <strong>en</strong>trantes y<br />
sali<strong>en</strong>tes para detectar actividades o<br />
condiciones inusuales o no autorizadas.(5)El<br />
sistema de información suministra alertas <strong>en</strong><br />
tiempo real cuando ocurre un compromiso de<br />
la seguridad.<br />
Control: la <strong>en</strong>tidad recibe continuam<strong>en</strong>te<br />
reportes de alertas y recom<strong>en</strong>daciones de<br />
seguridad y los <strong>en</strong>vía al personal apropiado<br />
para que se tom<strong>en</strong> las acciones pertin<strong>en</strong>tes.<br />
Mejoras al control:<br />
(1)<br />
La <strong>en</strong>tidad utiliza mecanismos automáticos<br />
para hacer que las alertas y recom<strong>en</strong>daciones<br />
de seguridad estén disponibles para toda la<br />
<strong>en</strong>tidad <strong>en</strong> la medida <strong>en</strong> que se requieran.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
PS8 PS8.1 SI-6 Verificación de la<br />
funcionalidad de<br />
la seguridad<br />
PS5,PS8 PS5.3, PS8.1 SI-7 Integridad del<br />
software y de la<br />
información<br />
PS8 PS8.1 SI-8 Protección contra<br />
spam<br />
Página 124 de 207<br />
El sistema de información verifica<br />
periódicam<strong>en</strong>te la operación correcta de las<br />
funciones de seguridad (Ej.: start y restart y<br />
comandos de usuarios con privilegio<br />
apropiado) y ejecuta una lista de acciones<br />
posibles tales como: notificar al administrador<br />
del sistema, apagar el sistema o reiniciar el<br />
sistema cuando se detectan anomalías.<br />
Mejoras al control:<br />
(1)<br />
La <strong>en</strong>tidad utiliza mecanismos automáticos<br />
que notifican las fallas <strong>en</strong> las pruebas de<br />
seguridad.<br />
(2)<br />
La <strong>en</strong>tidad utiliza mecanismos automáticos<br />
para soportar la administración de las pruebas<br />
de seguridad distribuidas.<br />
Control: El sistema de información detecta y<br />
protege contra cambios no autorizados al<br />
software y a la información.<br />
Mejoras al control:<br />
(1)<br />
La <strong>en</strong>tidad evalúa periódicam<strong>en</strong>te la<br />
integridad del software y de la información<br />
mediante escanéos de integridad del sistema.<br />
(2)<br />
La <strong>en</strong>tidad utiliza herrami<strong>en</strong>tas automatizadas<br />
para notificar al personal apropiado sobre las<br />
discrepancias id<strong>en</strong>tificadas durante la<br />
verificación de la integridad.<br />
(3)<br />
La <strong>en</strong>tidad utiliza administración c<strong>en</strong>tralizada<br />
de las herrami<strong>en</strong>tas de verificación de<br />
integridad.<br />
Control: El sistema de información ti<strong>en</strong>e<br />
implem<strong>en</strong>tado protección contra spam.<br />
Mejoras al control:<br />
(1)<br />
La <strong>en</strong>tidad administra c<strong>en</strong>tralizadam<strong>en</strong>te los<br />
mecanismos de protección contra spam.<br />
(2)<br />
El sistema de información actualiza<br />
automáticam<strong>en</strong>te los mecanismos de<br />
protección contra spam.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
PS8 PS8.1 SI-9 Restricciones <strong>en</strong><br />
el ingreso de<br />
datos<br />
PS8 PS8.1 SI-10 Chequeo de<br />
información<br />
exacta, completa,<br />
válida y auténtica<br />
PS8 PS8.1 SI-11 Manejo de<br />
errores<br />
PS4,PS5 PS4.2,PS5.4 SI-12 Manejo y<br />
ret<strong>en</strong>ción de las<br />
salidas de<br />
información<br />
PS8 Proteger<br />
las<br />
comunica<br />
ciones<br />
electrónic<br />
as<br />
PS8 PS8.1 CE-1 Política y<br />
procedimi<strong>en</strong>tos<br />
de uso aceptable<br />
de las<br />
comunicaciones<br />
electrónicas<br />
Página 125 de 207<br />
Control: La <strong>en</strong>tidad limita la capacidad de<br />
<strong>en</strong>trada de datos al sistema de información<br />
sólo al personal autorizado.<br />
Control: El sistema de información chequea<br />
que la información sea exacta, completa<br />
valida y auténtica.<br />
Control: El sistema de información id<strong>en</strong>tifica<br />
y maneja las condiciones de error de manera<br />
s<strong>en</strong>cilla sin suministrar información adicional<br />
que pueda ser aprovechada por atacantes.<br />
Control: La <strong>en</strong>tidad maneja y reti<strong>en</strong>e las<br />
salidas del sistema de acuerdo con la<br />
reglam<strong>en</strong>tación, políticas, estándares, guías<br />
aplicables y los requerimi<strong>en</strong>tos operacionales.<br />
Control: La <strong>en</strong>tidad desarrolla, divulga,<br />
revisa y actualiza periódicam<strong>en</strong>te: (i) una<br />
política formal y docum<strong>en</strong>tada de uso<br />
aceptable y protección de las comunicaciones<br />
electrónicas que incluya el propósito, alcance,<br />
roles, responsabilidades, compromiso de la<br />
ger<strong>en</strong>cia, coordinación <strong>en</strong>tre áreas de la<br />
<strong>en</strong>tidad y cumplimi<strong>en</strong>to; y (ii) procedimi<strong>en</strong>tos<br />
formales y docum<strong>en</strong>tados que facilit<strong>en</strong> la<br />
implem<strong>en</strong>tación de la política y los controles<br />
relacionados.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
PS8 PS8.1 CE-2 Aprobación de<br />
uso<br />
PS8 PS8.1 CE-3 Guías de uso de<br />
correo<br />
Página 126 de 207<br />
Control: Exigir aprobación del uso de las<br />
comunicaciones electrónicas (correo<br />
electrónico, la m<strong>en</strong>sajería instantánea, el<br />
acceso a Internet, red de VoIP, acceso<br />
inalámbrico) por el nivel de autoridad<br />
apropiado<br />
Control: Incluir <strong>en</strong> el procedimi<strong>en</strong>to o guía<br />
para el uso del correo electrónico lo sigui<strong>en</strong>te:<br />
a) el uso de correo para el desempeño de las<br />
funciones asignadas y prohibir el uso para<br />
fines personales<br />
b) id<strong>en</strong>tificar los tipos de correo permitidos<br />
(por ejemplo, servicios corporativos tales<br />
como Lotus Notes o Microsoft Exchange)<br />
c) guías de uso aceptable del correo (por<br />
ejemplo, prohibir el uso de declaraciones<br />
of<strong>en</strong>sivas, )<br />
d) incluir <strong>en</strong> las guías una lista de<br />
prohibiciones (por ejemplo, prohibir el uso del<br />
Web mail, propaganda no autorizada, abril<br />
archivos adjuntos de fu<strong>en</strong>tes desconocidas,<br />
<strong>en</strong>cripción privada de correos o archivos<br />
adjuntos, re<strong>en</strong>vió automático de correos<br />
internos a direcciones de correo externas)<br />
d)dar detalles de las actividades de monitoreo<br />
que se realizan<br />
e) el correo personal debe estar etiquetado<br />
como "personal" y debe estar sujeto a los<br />
acuerdos de uso establecidos<br />
f) dar pautas sobre cómo proteger la<br />
confid<strong>en</strong>cialidad e integridad de los<br />
m<strong>en</strong>sajes(por ejemplo, mediante el uso de<br />
<strong>en</strong>criptación, certificados digitales y firmas<br />
digitales).
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
PS8 PS8.1 CE-4 Guías de uso de<br />
m<strong>en</strong>sajería<br />
instantánea<br />
Página 127 de 207<br />
Control: Incluir <strong>en</strong> el procedimi<strong>en</strong>to o guía<br />
para el uso de la m<strong>en</strong>sajería instantánea lo<br />
sigui<strong>en</strong>te:<br />
a) el uso de m<strong>en</strong>sajería para el desempeño<br />
de las funciones asignadas y prohibir el uso<br />
para fines personales<br />
b) id<strong>en</strong>tificar los tipos de m<strong>en</strong>sajería<br />
permitidos (por ejemplo, servicios públicos<br />
tales como AOL, Google Talk, Windows<br />
Mess<strong>en</strong>ger y !Yahoo o servicios internos tales<br />
como Lotus Sametime, Windows Meeting<br />
Space, WebEx y Jabber)<br />
c) usar guías de uso aceptable (por ejemplo,<br />
prohibir el uso de declaraciones of<strong>en</strong>sivas )<br />
d) dar detalles de las actividades de<br />
monitoreo que se realizan<br />
e) el uso personal de la m<strong>en</strong>sajería debe<br />
estar etiquetado como "personal" y debe estar<br />
sujeto a los acuerdos de uso establecidos<br />
f) dar pautas sobre cómo proteger la<br />
confid<strong>en</strong>cialidad e integridad de los<br />
m<strong>en</strong>sajes(por ejemplo, mediante el uso de<br />
<strong>en</strong>criptación, certificados digitales y firmas<br />
digitales).
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
PS8 PS8.1 CE-5 Guías de uso<br />
seguro de<br />
Internet<br />
Página 128 de 207<br />
Control: Definir estándares para el acceso a<br />
Internet (por ejemplo, web browser de Mozilla,<br />
Firefox, Microsoft Internet Explorer, Opera or<br />
Apple Safari) y g<strong>en</strong>erar guías que incluyan lo<br />
sigui<strong>en</strong>te:<br />
a) protección de estaciones de trabajo con<br />
acceso a Internet (por ejemplo, control de<br />
acceso, protección de malware, firewall<br />
personal y copias de respaldo)<br />
b) id<strong>en</strong>tificar los tipos de servicios de Internet<br />
permitidos<br />
c) usar guías de uso aceptable (por ejemplo,<br />
prohibir el uso de declaraciones of<strong>en</strong>sivas y<br />
prohibir para uso personal)<br />
d) dar detalles de las actividades de<br />
monitoreo que se realizan<br />
e) aplicar actualizaciones del software rápida<br />
y efici<strong>en</strong>tem<strong>en</strong>te<br />
f) restringir la descarga de código móvil (por<br />
ejemplo, excluir las categorías de software<br />
ejecutable usando un firewall personal o<br />
equival<strong>en</strong>te)<br />
g) usar firewall personal<br />
h) instalar software de detección e intrusión<br />
de host (HIDS)<br />
i) Advertir a los usuarios sobre las sigui<strong>en</strong>tes<br />
am<strong>en</strong>azas:<br />
- peligros de descargar código móvil (por<br />
ejemplo, Java applets, MS ActiveX,<br />
JavaScripts, VBScript)<br />
- implicaciones de aceptar o rechazar<br />
‘cookies’<br />
- abrir archivos descargados de Internet
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
PS8 PS8.1 CE-6 Guías de uso de<br />
redes de voz<br />
sobre IP<br />
PS8 PS8.1 CE-7 Guías de acceso<br />
inalámbrico<br />
Tabla 16: Controles de seguridad recom<strong>en</strong>dados para el Grupo 2.<br />
Página 129 de 207<br />
Control: Definir estándares para los servicios<br />
VoIP(por ejemplo, la aplicación e<br />
infraestructura de soporte) y g<strong>en</strong>erar guías<br />
que incluyan lo sigui<strong>en</strong>te:<br />
a) guías para el uso del negocio y uso<br />
personal (por ejemplo, usarlo para uso<br />
personal fuera del horario laboral)<br />
b) id<strong>en</strong>tificar los tipos de servicios de VoIP<br />
permitidos (por ejemplo servicios tales como<br />
Skype y Google Talk o servicios internos de<br />
proveedores tales como Avaya, Cisco y<br />
3Com)<br />
c) usar guías de uso aceptable (por ejemplo,<br />
voice-mail, servicios de confer<strong>en</strong>cias y<br />
m<strong>en</strong>sajería unificada)<br />
d) dar detalles de las actividades de<br />
monitoreo que se realizan<br />
e) Advertir a los usuarios sobre los riesgos<br />
específicos del software de VoIP<br />
Control: Definir estándares para el acceso<br />
inalámbrico (por ejemplo, el software y la<br />
infraestructura de soporte) y g<strong>en</strong>erar guías<br />
que incluyan lo sigui<strong>en</strong>te:<br />
a) guías para el uso sólo <strong>en</strong> el desempeño de<br />
las funciones y prohibirlo para uso personal<br />
b) id<strong>en</strong>tificar los tipos de servicios de acceso<br />
permitidos (por ejemplo, permitir conexión a<br />
puntos de acceso inalámbrico corporativo o<br />
conectarse a la red corporativa usando VPN<br />
cuando se trabaje <strong>en</strong> sitios remotos)<br />
c) usar guías de uso aceptable (por ejemplo,<br />
prohibir conectarse desde equipos personales<br />
o no autorizados)<br />
d) dar detalles de las actividades de<br />
monitoreo que se realizan<br />
e) advertir a los usuarios sobre:<br />
- las am<strong>en</strong>azas asociadas con el acceso<br />
inalámbrico (por ejemplo, monitoreo de tráfico<br />
de red, romper claves de <strong>en</strong>cripción<br />
inalámbricas, interceptación e interfer<strong>en</strong>cia)<br />
- los pasos para minimizar los riesgos<br />
asociados con el acceso inalámbrico (por<br />
ejemplo, activar la tarjeta de interfase de red<br />
inalámbrica cuando se requiera, usar<br />
<strong>en</strong>cripción tal como WPA o WPA2 y proteger<br />
los detalles de aut<strong>en</strong>ticación tales como la<br />
<strong>en</strong>cripción de claves, contraseñas y tok<strong>en</strong>s)
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
6.5.4.3. Controles para <strong>en</strong>tidades clasificadas <strong>en</strong> Grupo 3 (Entidades privadas que<br />
pert<strong>en</strong>ezcan a la cad<strong>en</strong>a de prestación de servicios de <strong>Gobierno</strong> <strong>en</strong> Línea):<br />
#<br />
Control<br />
Nombre del Control Descripción<br />
GESTIÓN <strong>DE</strong><br />
<strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN<br />
SM1 Direccionami<strong>en</strong>to<br />
estratégico<br />
SM1.1 Compromiso de la dirección<br />
SM1.1.1 Control: La dirección debe t<strong>en</strong>er un alto nivel de<br />
compromiso para:<br />
a) Alcanzar altos estándares de gobierno corporativo<br />
b) <strong>en</strong>focar la seguridad de la información como un<br />
asunto de la empresa<br />
c) crear un <strong>en</strong>torno positivo de seguridad<br />
d) demostrar a terceros que la empresa se ocupa de la<br />
seguridad de la información de manera profesional.<br />
SM1.1.2 Control: La dirección debe t<strong>en</strong>er un alto nivel de<br />
compromiso con la aplicación de los principios<br />
fundam<strong>en</strong>tales, que incluy<strong>en</strong>:<br />
a) asumir la responsabilidad de los controles internos de<br />
la organización<br />
b) garantizar que los controles sobre la información y los<br />
sistemas son proporcionales al riesgo<br />
c) asignar la responsabilidad para id<strong>en</strong>tificar, clasificar y<br />
salvaguardar la información y los sistemas a propietarios<br />
individuales<br />
d) garantizar el acceso a la información y los sistemas de<br />
acuerdo con criterios explícitos.<br />
Página 130 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
SM1.1.3 Control: La dirección debe demostrar su compromiso<br />
con la seguridad de la información para:<br />
a) asignar la responsabilidad g<strong>en</strong>eral de la seguridad de<br />
la información a un órgano de nivel ejecutivo o<br />
equival<strong>en</strong>te (por ejemplo, un Oficial de Seguridad de la<br />
Información)<br />
b) compartir aspectos claves de seguridad de la<br />
información con grupos de trabajo, comités o su<br />
equival<strong>en</strong>te<br />
c) monitorear las condiciones de seguridad de la<br />
información de la organización<br />
d) asignar recursos sufici<strong>en</strong>tes para la seguridad de la<br />
información.<br />
SM1.1.4 Control: La dirección debe demostrar su compromiso<br />
aprobando la docum<strong>en</strong>tación de alto nivel que incluye:<br />
a) la estrategia para la seguridad de la información<br />
b) la política de seguridad de la información<br />
c) la arquitectura de seguridad para la organización<br />
SM1.2 Política de seguridad de la<br />
información<br />
SM1.2.1 Control: Se debe docum<strong>en</strong>tar y aprobar el docum<strong>en</strong>to<br />
de la política de seguridad de la información para ser<br />
aplicada <strong>en</strong> toda la empresa. Se debe asignar la<br />
responsabilidad por el mant<strong>en</strong>imi<strong>en</strong>to de la política.<br />
SM1.2.2 Control: La política de seguridad de la información debe<br />
definir las responsabilidades asociadas con la seguridad<br />
de la información y los principios de seguridad que debe<br />
seguir todo el personal.<br />
SM1.2.3 Control: La política de seguridad de la información debe<br />
exigir que:<br />
a) se clasifique la información de manera que indique la<br />
importancia para la organización<br />
b) se nombre a los dueños de la información y sistemas<br />
críticos (por lo g<strong>en</strong>eral son las personas <strong>en</strong>cargadas de<br />
los procesos de negocio que dep<strong>en</strong>d<strong>en</strong> de la información<br />
y los sistemas)<br />
c) se realice un análisis de riesgos sobre la información y<br />
los sistemas de manera periódica<br />
d) el personal adquiera conci<strong>en</strong>cia <strong>en</strong> seguridad de la<br />
información<br />
e) se cumpla con el lic<strong>en</strong>ciami<strong>en</strong>to de software y con<br />
otras disposiciones legales, reglam<strong>en</strong>tarias y<br />
contractuales<br />
f) se comunican las brechas de seguridad de la<br />
información y la sospecha de debilidades de seguridad<br />
de la información<br />
g) se protege la información <strong>en</strong> términos de los requisitos<br />
de confid<strong>en</strong>cialidad, integridad y disponibilidad<br />
Página 131 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
SM1.2.4 Control: La política de seguridad de la información debe:<br />
a) estar alineada con otras políticas de alto nivel (por<br />
ejemplo, las relativas a los recursos humanos, la salud y<br />
la seguridad, las finanzas y la<br />
tecnología de la información)<br />
b) ser comunicada a todos los funcionarios y personas<br />
externas con acceso a la información o a los sistemas de<br />
la organización y revisarse periódicam<strong>en</strong>te según un<br />
proceso de revisión determinado<br />
c) ser revisada para que se t<strong>en</strong>ga <strong>en</strong> cu<strong>en</strong>ta los cambios<br />
<strong>en</strong> el <strong>en</strong>torno (por ejemplo, nuevas am<strong>en</strong>azas,<br />
vulnerabilidades y riesgos, la reorganización de la<br />
empresa, los cambios contractuales, legales y los<br />
requisitos reglam<strong>en</strong>tarios, o cambios <strong>en</strong> la infraestructura<br />
de TI).<br />
SM1.2.5 Control: La política de seguridad de la información<br />
debería:<br />
a) ser apoyada por métodos para evaluar el<br />
cumplimi<strong>en</strong>to<br />
b) advertir que se pued<strong>en</strong> tomar las acciones<br />
disciplinarias contra las personas que viol<strong>en</strong> sus<br />
disposiciones.<br />
SM1.2.6 Control: La política debería instruir a los usuarios para:<br />
a) asegurar los medios removibles y la docum<strong>en</strong>tación<br />
que cont<strong>en</strong>ga información privada cuando no esté <strong>en</strong> uso<br />
b) salir o bloquear la sesión del sistema cuando se deja<br />
la Terminal abandonada<br />
SM1.2.6 Control: La política de seguridad debería prohibir:<br />
a) el uso no autorizado de la información y los sistemas<br />
de la empresa<br />
b) la utilización de la información y los sistemas para<br />
fines difer<strong>en</strong>tes a los laborales<br />
c) la discriminación sexual, racista u otras declaraciones<br />
que sean of<strong>en</strong>sivas (por ejemplo, al utilizar el correo<br />
electrónico, la m<strong>en</strong>sajería instantánea, el Internet o el<br />
teléfono)<br />
hacer obsc<strong>en</strong>o, discriminatorio o de acoso declaraciones,<br />
que puede ser ilegal (por ejemplo, al utilizar el correo<br />
electrónico, al instante<br />
m<strong>en</strong>sajería, Internet o teléfono)<br />
d) la descarga de material ilegal (por ejemplo, con<br />
cont<strong>en</strong>ido obsc<strong>en</strong>o o discriminatorio)<br />
e) el retiro de información o equipos fuera de las<br />
instalaciones sin la debida autorización<br />
f) usar sin autorización software, equipos y dispositivos<br />
removibles( por ejemplo, software de terceros, USB y<br />
otros dispositivos removibles)<br />
g) la copia no autorizada de información o software<br />
h) la revelación de contraseñas<br />
i) la utilización de información de id<strong>en</strong>tificación personal<br />
a m<strong>en</strong>os que exista una autorización expresa<br />
j) com<strong>en</strong>tar sobre la información de la empresa <strong>en</strong> sitios<br />
públicos<br />
k) manipular la evid<strong>en</strong>cia <strong>en</strong> el caso de incid<strong>en</strong>tes de<br />
Página 132 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
seguridad de la información que requieran una<br />
investigación for<strong>en</strong>se.<br />
SM1.3 Acuerdos con el personal<br />
SM1.3.1 Control: Las responsabilidades de seguridad de la<br />
información para todo el personal de la empresa debe<br />
estar especificado <strong>en</strong> las descripciones del puesto y <strong>en</strong><br />
los términos y condiciones del empleo (por ejemplo, <strong>en</strong> el<br />
contrato de trabajo).<br />
SM1.3.2 Control: Los términos y condiciones del empleo<br />
deberían:<br />
a) declarar que las responsabilidades de seguridad de la<br />
información se exti<strong>en</strong>d<strong>en</strong> fuera de las horas normales de<br />
trabajo y continúan después de la terminación del<br />
empleo.<br />
b) explicar las responsabilidades legales y derechos del<br />
empleado incluy<strong>en</strong>do la cláusula de confid<strong>en</strong>cialidad y no<br />
revelación.<br />
SM1.3.3 Control: Los empleados, contratistas y personal de<br />
terceros deberían aceptar y firmar los acuerdos de<br />
confid<strong>en</strong>cialidad.<br />
SM1.3.4 Control: Debería establecerse un requisito docum<strong>en</strong>tado<br />
para revocar inmediatam<strong>en</strong>te los privilegios de acceso<br />
cuando un usuario autorizado ya no requiere el acceso a<br />
la información o a los sistemas como parte de su trabajo,<br />
o cuando se retira de la empresa.<br />
SM1.3.5 Control: Se deb<strong>en</strong> verificar los anteced<strong>en</strong>tes de los<br />
aspirantes a ser empleados, contratistas o usuarios de<br />
terceros antes de la contratación laboral.<br />
SM1.3.6 Control: Los docum<strong>en</strong>tos del personal clave tales como<br />
las políticas o las descripciones del puesto, deb<strong>en</strong> ser<br />
revisados por un especialista <strong>en</strong> seguridad de la<br />
información y aprobados por la dirección y mant<strong>en</strong>erse<br />
actualizados.<br />
SM1.3.7 Control: Al terminar la contratación laboral, los<br />
empleados y el personal de terceros debería docum<strong>en</strong>tar<br />
la información relacionada con los procesos que maneja<br />
y que son críticos para la empresa y devolver:<br />
a) el equipo que pert<strong>en</strong>ece a la empresa<br />
b) la información importante ya sea <strong>en</strong> formato<br />
electrónico o <strong>en</strong> copia dura<br />
c) el software<br />
d) el hardware de aut<strong>en</strong>ticación (por ejemplo, las<br />
smartcards y tok<strong>en</strong>s)<br />
SM2 Organización de<br />
seguridad<br />
SM2.1 Control de Alto nivel<br />
SM2.1.1 Control: Se debería asignar la responsabilidad g<strong>en</strong>eral<br />
por la seguridad de la información a un ejecutivo de alto<br />
nivel o su equival<strong>en</strong>te.<br />
Página 133 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
SM2.1.2 Control: Se debería establecer un grupo de trabajo de<br />
alto nivel técnico o un comité u organismo equival<strong>en</strong>te<br />
para coordinar las actividades de seguridad <strong>en</strong> toda la<br />
organización. El grupo debería reunirse de forma<br />
periódica (por ejemplo, tres o más veces al año) y<br />
docum<strong>en</strong>tar las acciones acordadas <strong>en</strong> las reuniones.<br />
SM2.1.3 Control: El grupo coordinador de la seguridad debería<br />
estar conformado por:<br />
a) un miembro de la dirección<br />
b) uno o más dueños de aplicaciones y procesos<br />
c) el jefe de seguridad de la información, o su<br />
equival<strong>en</strong>te (por ejemplo, el Oficial Jefe de Seguridad de<br />
la Información)<br />
d) repres<strong>en</strong>tantes de otras funciones relacionadas con la<br />
seguridad (por ejemplo, accesoria legal, riesgo<br />
operacional, auditoria interna, seguros, recursos<br />
humanos y seguridad física)<br />
e) el jefe de tecnología de la información (o equival<strong>en</strong>te).<br />
SM2.1.4 Control: El grupo coordinador de la seguridad debe ser<br />
responsable de:<br />
a) considerar la seguridad de la información <strong>en</strong> toda la<br />
empresa<br />
b) asegurar que la seguridad de la información se <strong>en</strong>foca<br />
de manera coher<strong>en</strong>te y consist<strong>en</strong>te<br />
c) aprobar las políticas de seguridad de la información<br />
así como las normas y procedimi<strong>en</strong>tos<br />
d) monitorear la exposición de la empresa a am<strong>en</strong>azas<br />
de seguridad de la información<br />
e) Monitorear el desempeño de la seguridad de la<br />
información (por ejemplo, analizar el actual estado de<br />
seguridad, manejo de incid<strong>en</strong>tes de seguridad de la<br />
información, y los costos)<br />
f) aprobar y dar prioridad a las actividades de mejora de<br />
seguridad de la información<br />
g) garantizar que la seguridad de la información se<br />
<strong>en</strong>foca <strong>en</strong> los procesos de planeación de Ti de la<br />
empresa<br />
h) <strong>en</strong>fatizar la importancia de la seguridad de la<br />
información <strong>en</strong> la organización.<br />
SM2.2 Función de seguridad de la<br />
información<br />
SM2.2.1 Control: La organización debe estar apoyada por una<br />
función de seguridad de la información (o equival<strong>en</strong>te),<br />
que ti<strong>en</strong>e la responsabilidad<br />
para la promoción de bu<strong>en</strong>as prácticas <strong>en</strong> seguridad de<br />
la información <strong>en</strong> toda la empresa. El jefe de la función<br />
de seguridad de la información<br />
debería t<strong>en</strong>er dedicación de tiempo completo a la<br />
seguridad de la información<br />
Página 134 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
SM2.2.2 Control: La función de seguridad de la información<br />
debería:<br />
a) desarrollar y mant<strong>en</strong>er una estrategia de seguridad de<br />
la información<br />
b) coordinar la seguridad de la información a través de la<br />
organización<br />
c) definir un conjunto de servicios de seguridad (por<br />
ejemplo, servicios de id<strong>en</strong>tidad, servicios de<br />
aut<strong>en</strong>ticación, cifrado de servicios), que<br />
proporcionan una gama coher<strong>en</strong>te de capacidades de<br />
seguridad<br />
d) desarrollar normas, procedimi<strong>en</strong>tos y guías de<br />
seguridad de la información<br />
e) proveer consejo especializado <strong>en</strong> todos los aspectos<br />
de la seguridad de la información (por ejemplo,<br />
información de análisis de riesgos, la seguridad de la<br />
información, administración de incid<strong>en</strong>tes y protección<br />
contra malware)<br />
f) supervisar la gestión de incid<strong>en</strong>tes de seguridad de la<br />
información<br />
g) ejecutar uno o más programas de s<strong>en</strong>sibilización<br />
sobre la seguridad de la información y desarrollar<br />
habilidades <strong>en</strong> seguridad para todo el personal de la<br />
empresa<br />
h) evaluar las implicaciones de seguridad de las<br />
iniciativas de negocio especializadas (por ejemplo, la<br />
subcontratación, iniciativas de comercio electrónico y de<br />
intercambio de información)<br />
i) supervisar la eficacia de los acuerdos de seguridad de<br />
la información<br />
SM2.2.3 Control: La función de seguridad de la información<br />
debería proveer soporte para:<br />
a) las actividades de análisis de riesgos de información<br />
b) importantes proyectos relacionados con la seguridad<br />
c) los requisitos de seguridad de los principales<br />
proyectos de TI<br />
d) auditorias y revisiones de seguridad<br />
e) clasificar la información y los sistemas de acuerdo con<br />
su importancia para la organización<br />
f) el uso de la criptografía<br />
g) la inclusión de los requisitos de seguridad de la<br />
información <strong>en</strong> los docum<strong>en</strong>tos de acuerdos(por ejemplo,<br />
contratos o acuerdos de niveles de servicios)<br />
i) el desarrollo de planes de continuidad de negocio<br />
Página 135 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
SM2.2.4 Control: La función de seguridad de la información<br />
debería monitorear:<br />
a) las t<strong>en</strong>d<strong>en</strong>cias g<strong>en</strong>erales de los negocios (por<br />
ejemplo, las perspectivas de crecimi<strong>en</strong>to, la<br />
internacionalización, el comercio electrónico y la<br />
contratación externa)<br />
b) los avances tecnológicos (por ejemplo, la tecnología<br />
basada <strong>en</strong> la web, arquitectura ori<strong>en</strong>tada a servicios<br />
(SOA) y Voz sobre IP)<br />
c) las am<strong>en</strong>azas nuevas y emerg<strong>en</strong>tes (por ejemplo, el<br />
robo de id<strong>en</strong>tidad, ataques de phishing y Bluetooth)<br />
d) nuevas vulnerabilidades <strong>en</strong> los principales sistemas<br />
operativos, aplicaciones y otros programas (por ejemplo,<br />
utilizando los sitios web de proveedores y listas de<br />
correo)<br />
e) nuevas soluciones de seguridad de la información (por<br />
ejemplo, la gestión de derechos digitales y de prev<strong>en</strong>ción<br />
de intrusiones)<br />
f) los estándares emerg<strong>en</strong>tes de la industria relacionadas<br />
con la seguridad de la información (por ejemplo, las<br />
Normas de Bu<strong>en</strong>as Prácticas<br />
ISO / IEC 27002 (17799), y COBIT v4.1)<br />
g) las nuevas leyes o reglam<strong>en</strong>tación relacionada con la<br />
seguridad de la información (por ejemplo, los<br />
relacionados con la privacidad de los datos,<br />
digital signatures and industry-specific standards such as<br />
Basel II 1998 and the Paym<strong>en</strong>t Card Industry (PCI)<br />
Estándar de seguridad de datos).<br />
SM2.2.5 Control: La función de seguridad de la información<br />
debería:<br />
a) contar con recursos sufici<strong>en</strong>tes con respecto al<br />
número de personas, su rango y nivel de habilidades,<br />
herrami<strong>en</strong>tas o<br />
técnicas (por ejemplo, información de metodologías de<br />
análisis de riesgos, software de investigación for<strong>en</strong>se y<br />
una arquitectura de seguridad empresarial)<br />
b) t<strong>en</strong>er sufici<strong>en</strong>te impacto <strong>en</strong> la organización y un fuerte<br />
apoyo de la dirección, de los ger<strong>en</strong>tes de negocio y<br />
ger<strong>en</strong>tes de TI.<br />
y los administradores de TI<br />
c) mant<strong>en</strong>er el contacto con sus homólogos <strong>en</strong> el mundo<br />
comercial, el gobierno, las <strong>en</strong>tidades de control y los<br />
expertos <strong>en</strong> seguridad informática / empresas de<br />
software y proveedores de servicios<br />
d) ser revisado de forma periódica<br />
SM2.3 Coordinación local de<br />
seguridad<br />
SM2.3.1 Control: Se debe asignar la responsabilidad por la<br />
seguridad de la información a cada jefe de unidad de<br />
negocio o departam<strong>en</strong>to.<br />
Página 136 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
SM2.3.2 Control: Los coordinadores locales de seguridad de la<br />
información deb<strong>en</strong> ser designados para coordinar la<br />
seguridad de la información <strong>en</strong> la empresa incluy<strong>en</strong>do<br />
las aplicaciones comerciales, de instalaciones de<br />
computación, los ambi<strong>en</strong>tes de red, las actividades de<br />
desarrollo del sistema y ambi<strong>en</strong>tes de usuario final.<br />
SM2.3.3 Control: Los coordinadores locales de seguridad de la<br />
información deb<strong>en</strong> t<strong>en</strong>er:<br />
a) una clara compr<strong>en</strong>sión de sus roles y<br />
responsabilidades<br />
b) sufici<strong>en</strong>tes conocimi<strong>en</strong>tos técnicos, tiempo,<br />
herrami<strong>en</strong>tas necesarias (por ejemplo, listas de<br />
verificación y especialistas <strong>en</strong> productos de software) y la<br />
autoridad para llevar a cabo sus funciones asignadas<br />
c) acceso a expertos internos o externos <strong>en</strong> seguridad de<br />
la información<br />
d) normas y procedimi<strong>en</strong>tos docum<strong>en</strong>tados para apoyar<br />
el día a día las actividades de seguridad de la<br />
información<br />
e) información actualizada sobre técnicas (por ejemplo,<br />
información de metodologías de análisis de riesgos, de<br />
investigación for<strong>en</strong>se, arquitectura de seguridad<br />
empresarial) relacionados con la seguridad de la<br />
información.<br />
SM2.3.4 Control: La información acerca de la condición de<br />
seguridad de la información debería ser:<br />
a) reportada al jefe de la función de seguridad de la<br />
información<br />
b) pres<strong>en</strong>tada periódicam<strong>en</strong>te de manera consist<strong>en</strong>te<br />
SM2.4 Conci<strong>en</strong>cia de seguridad<br />
SM2.4.1 Control: Se deb<strong>en</strong> desarrollar actividades específicas<br />
para promover conci<strong>en</strong>cia de seguridad <strong>en</strong> toda la<br />
empresa. Estas actividades deb<strong>en</strong><br />
ser:<br />
a) aprobadas por la dirección<br />
b) responsabilidad de una persona <strong>en</strong> particular, de una<br />
unidad de la organización, de un grupo de trabajo o<br />
comité<br />
c) apoyado por un conjunto de objetivos docum<strong>en</strong>tado<br />
d) <strong>en</strong>tregadas como parte de un programa de conci<strong>en</strong>cia<br />
<strong>en</strong> seguridad<br />
e) sujetas a disciplinas de gestión de proyectos<br />
f) mant<strong>en</strong>erse actualizadas con las prácticas y requisitos<br />
actuales<br />
g) basadas <strong>en</strong> los resultados de un análisis de riesgos de<br />
información docum<strong>en</strong>tado<br />
h) ori<strong>en</strong>tadas a reducir la frecu<strong>en</strong>cia y magnitud de los<br />
incid<strong>en</strong>tes de seguridad de la información<br />
i) medibles.<br />
Página 137 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
SM2.4.2 Control: La conci<strong>en</strong>cia de seguridad debe ser<br />
promovida:<br />
a) por la dirección, los ger<strong>en</strong>tes, el personal de TI y<br />
asesores externos<br />
b) <strong>en</strong> conjunto con el <strong>en</strong>tr<strong>en</strong>ami<strong>en</strong>to <strong>en</strong> seguridad (por<br />
ejemplo, utilizando técnicas tales como pres<strong>en</strong>taciones y<br />
<strong>en</strong>tr<strong>en</strong>ami<strong>en</strong>to basado <strong>en</strong> computadores (CBT))<br />
c) mediante el suministro de material de s<strong>en</strong>sibilización,<br />
tales como folletos, fichas, carteles y docum<strong>en</strong>tos<br />
electrónicos <strong>en</strong> la intranet.<br />
SM2.4.3 Control: Se debería <strong>en</strong>tregar al personal guías que le<br />
ayud<strong>en</strong> a compr<strong>en</strong>der:<br />
a) el significado de seguridad de la información (es decir,<br />
la protección de la confid<strong>en</strong>cialidad, integridad y<br />
disponibilidad<br />
de información)<br />
b) la importancia de cumplir con las políticas de<br />
seguridad de la información y la aplicación de las<br />
correspondi<strong>en</strong>tes normas y procedimi<strong>en</strong>tos<br />
c) sus responsabilidades personales por la seguridad de<br />
la información (por ejemplo, la pres<strong>en</strong>tación de reportes<br />
sobre incid<strong>en</strong>tes de seguridad de la información)<br />
SM2.4.4 Control: Se debe monitorear la efectividad de la<br />
conci<strong>en</strong>cia <strong>en</strong> seguridad:<br />
a) midi<strong>en</strong>do el nivel de conci<strong>en</strong>cia de seguridad del<br />
personal<br />
b) revisar periódicam<strong>en</strong>te el nivel de conci<strong>en</strong>cia de<br />
seguridad de la información<br />
c) midi<strong>en</strong>do los b<strong>en</strong>eficios de las actividades de<br />
s<strong>en</strong>sibilización (por ejemplo, monitorear la frecu<strong>en</strong>cia y<br />
magnitud de los<br />
incid<strong>en</strong>tes de seguridad de la información).<br />
SM2.4.5 Control: El comportami<strong>en</strong>to positivo <strong>en</strong> seguridad<br />
debería ser promovido por:<br />
a) <strong>en</strong>tr<strong>en</strong>ami<strong>en</strong>to obligatorio <strong>en</strong> toma de conci<strong>en</strong>cia <strong>en</strong><br />
seguridad<br />
b) divulgación de los éxitos y fallas de seguridad <strong>en</strong> toda<br />
la organización<br />
c) vincular la seguridad a los objetivos de desempeño y<br />
evaluaciones del personal<br />
SM2.5 Educación y <strong>en</strong>tr<strong>en</strong>ami<strong>en</strong>to <strong>en</strong><br />
seguridad<br />
SM2.5.1 Control: La educación y <strong>en</strong>tr<strong>en</strong>ami<strong>en</strong>to <strong>en</strong> seguridad<br />
debería proporcionar al personal las habilidades que<br />
necesitan para:<br />
a) evaluar los requisitos de seguridad<br />
b) proponer los controles de seguridad de la información<br />
c) garantizar que los controles de seguridad funcionan de<br />
manera eficaz <strong>en</strong> los ambi<strong>en</strong>tes <strong>en</strong> los que se aplican<br />
Página 138 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
SM2.5.2 Control: La educación y el <strong>en</strong>tr<strong>en</strong>ami<strong>en</strong>to <strong>en</strong> seguridad<br />
debería proporcionar a los usuarios las habilidades<br />
necesarias para:<br />
a) usar correctam<strong>en</strong>te los sistemas<br />
b) aplicar los controles de seguridad de la información<br />
SM2.5.3 Control: La educación y <strong>en</strong>tr<strong>en</strong>ami<strong>en</strong>to <strong>en</strong> seguridad<br />
debería proporcionar al personal de TI las habilidades<br />
que necesitan para:<br />
a) diseñar y desarrollar los controles de seguridad de los<br />
sistemas de manera disciplinada<br />
b) aplicar controles de seguridad de la información<br />
c) operar correctam<strong>en</strong>te las instalaciones de TI y aplicar<br />
de manera efectiva los controles de seguridad<br />
d) operar correctam<strong>en</strong>te las redes y aplicar los controles<br />
de seguridad requeridos<br />
SM2.5.4 Control: La educación y <strong>en</strong>tr<strong>en</strong>ami<strong>en</strong>to <strong>en</strong> seguridad<br />
debería ser proporcionada para permitir a especialistas<br />
de seguridad de la información:<br />
a) compr<strong>en</strong>der el <strong>en</strong>torno empresarial<br />
b) ejecutar proyectos relacionados con la seguridad<br />
c) comunicarse de manera eficaz (por ejemplo, hacer<br />
pres<strong>en</strong>taciones, facilitar o influir <strong>en</strong> la gestión de<br />
reuniones)<br />
d) realizar actiivdades especiales de seguridad (por<br />
ejemplo, análisis de riesgos de información, investigación<br />
for<strong>en</strong>se y planeación de continuidad del negocio)<br />
SM3 Requerimi<strong>en</strong>tos de<br />
seguridad<br />
SM3.1 Clasificación de información<br />
SM3.1.1 Control: Se debería aplicar un sistema de clasificación<br />
de la información <strong>en</strong> toda la empresa que:<br />
a) t<strong>en</strong>ga <strong>en</strong> cu<strong>en</strong>ta el impacto pot<strong>en</strong>cial <strong>en</strong> el negocio<br />
ante la pérdida de confid<strong>en</strong>cialidad de la información<br />
b) se utiliza para determinar distintos niveles de<br />
confid<strong>en</strong>cialidad de la información (por ejemplo, top<br />
secret, <strong>en</strong> confianza y pública)<br />
SM3.1.2 Control: El sistema de clasificación de la información<br />
que se establezca debe clasificar:<br />
a) la información almac<strong>en</strong>ada <strong>en</strong> papel (por ejemplo,<br />
contratos, planos y docum<strong>en</strong>tación sobre el sistema,<br />
celebrada <strong>en</strong> forma impresa)<br />
b) la información almac<strong>en</strong>ada <strong>en</strong> formato electrónico<br />
(archivos creados <strong>en</strong> bases de datos, procesadores de<br />
palabra, hojas de cálculo, etc.)<br />
c) las comunicaciones electrónicas (por ejemplo, los<br />
m<strong>en</strong>sajes <strong>en</strong>viados por e-mail, m<strong>en</strong>sajería instantánea)<br />
Página 139 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
SM3.1.3 Control: El esquema de clasificación de la información<br />
debería exigir:<br />
a) que la información esté protegida de conformidad con<br />
su clasificación de información<br />
b) que sea aprobada por el dueño del negocio la<br />
clasificación asignada a la información<br />
c) que las clasificaciones se revis<strong>en</strong> y actualic<strong>en</strong><br />
periódicam<strong>en</strong>te y cuando surjan cambios<br />
SM3.1.4 Control: El esquema de clasificación de la información<br />
debería:<br />
a) proporcionar ori<strong>en</strong>tación sobre los requisitos de<br />
manejo de cada clasificación (por ejemplo, cuando se<br />
copia, almac<strong>en</strong>a y destruye la información)<br />
b) explicar cómo resolver los conflictos de las<br />
clasificaciones<br />
SM3.1.5 Control: El sistema de clasificación de la información<br />
debería aplicarse a la información asociada con:<br />
a)aplicaciones de negocio<br />
b) instalaciones informáticas<br />
c) redes<br />
d) sistemas <strong>en</strong> desarrollo<br />
e) <strong>en</strong>tornos de usuario final<br />
SM3.1.6 Control: Se deb<strong>en</strong> aprobar los métodos de etiquetado<br />
de la información clasificada para:<br />
a) la información almac<strong>en</strong>ada <strong>en</strong> papel (por ejemplo,<br />
utilizando sellos de goma de tinta, etiquetas adhesivas,<br />
hologramas)<br />
b) la información almac<strong>en</strong>ada <strong>en</strong> formato electrónico (por<br />
ejemplo, marcas de agua electrónicas, etiquetas de<br />
<strong>en</strong>cabezados y pies de página, uso de conv<strong>en</strong>ciones<br />
para nombres de archivo)<br />
c) comunicaciones electrónicas (por ejemplo, utilizando<br />
la firma digital e id<strong>en</strong>tificando claram<strong>en</strong>te la clasificación<br />
<strong>en</strong> las cabeceras de los m<strong>en</strong>sajes de correo electrónico)<br />
SM3.1.7 Control: Se debería mant<strong>en</strong>er un inv<strong>en</strong>tario de los<br />
detalles de las clasificaciones de la información (por<br />
ejemplo, <strong>en</strong> una base de datos, mediante un software<br />
especializado, o <strong>en</strong> papel)<br />
SM3.1.8 Control: Los detalles de la clasificación de información<br />
registrada deb<strong>en</strong> incluir:<br />
a) la clasificación de la información<br />
b) la id<strong>en</strong>tidad del propietario de la información<br />
c) una breve descripción de la información clasificada.<br />
SM3.2 Propiedad<br />
SM3.2.1 Control: Se debe asignar la propiedad de los sistemas y<br />
la información crítica y docum<strong>en</strong>tar las responsabilidades<br />
de los propietarios. Se deb<strong>en</strong> comunicar las<br />
responsabilidades para proteger la información y los<br />
sistemas a los propietarios y ser aceptadas por ellos<br />
Página 140 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
SM3.2.2 Control: Las responsabilidades de los propietarios<br />
deberían incluir:<br />
a) id<strong>en</strong>tificar los requisitos del negocio (incluy<strong>en</strong>do la<br />
seguridad de la información) y aprobarlos<br />
b) garantizar la protección de la información y los<br />
sistemas de conformidad con la importancia para la<br />
organización<br />
c) la definición de los acuerdos de intercambio de<br />
información (o equival<strong>en</strong>te)<br />
d) el desarrollo de acuerdos de nivel de servicio (SLA)<br />
e) autorizar nuevos o significativos cambios <strong>en</strong> los<br />
sistemas<br />
f) participar <strong>en</strong> auditorias y revisiones de seguridad<br />
SM3.2.3 Control: Las responsabilidades de los propietarios<br />
deberían involucrar:<br />
a) determinar cuales usuarios son autorizados para<br />
acceder la información y los sistemas bajo su control<br />
b) aprobar los privilegios de acceso para casa usuario o<br />
grupo de usuarios<br />
c) asegurar que los usuarios sean conci<strong>en</strong>tes de sus<br />
responsabilidades con respecto a la seguridad y las<br />
asuman<br />
SM3.2.4 Control: Se debería establecer un proceso para:<br />
a) proveer a los propietarios de los conocimi<strong>en</strong>tos<br />
necesarios, las herrami<strong>en</strong>tas, el personal y la autoridad<br />
para cumplir con sus responsabilidades<br />
b) asignar responsabilidades para la protección de los<br />
sistemas y la información cuando el propietario no esté<br />
disponible<br />
c) reasignar la propiedad cuando un propietario cambia o<br />
deja sus funciones<br />
SM3.3 Administrar el análisis de<br />
riesgos de la información<br />
SM3.3.1 Control: Qui<strong>en</strong>es toman las decisiones (incluida la<br />
dirección, los jefes de unidades de negocio y<br />
departam<strong>en</strong>tos, y los propietarios de las aplicaciones del<br />
negocio, de las instalaciones informáticas, las redes, los<br />
sistemas <strong>en</strong> desarrollo y los <strong>en</strong>tornos de usuario final)<br />
deberían<br />
ser consci<strong>en</strong>tes de la necesidad de aplicar el análisis de<br />
riesgos de información para <strong>en</strong>tornos críticos d<strong>en</strong>tro de<br />
la organización.<br />
Página 141 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
SM3.3.2 Control: Las normas y procedimi<strong>en</strong>tos para realizar<br />
análisis de riesgos de información deberán ser<br />
docum<strong>en</strong>tados. Se debería exigir que los riesgos sean<br />
analizados para:<br />
a) la información y los sistemas que son importantes<br />
para la organización<br />
b) los sistemas <strong>en</strong> una fase temprana de su desarrollo<br />
c) los sistemas sujetos a importantes cambios, <strong>en</strong> una<br />
fase temprana <strong>en</strong> el proceso de cambio<br />
d) la introducción de nuevas tecnologías (por ejemplo,<br />
redes inalámbricas, la m<strong>en</strong>sajería instantánea y voz<br />
sobre IP)<br />
e) las solicitudes para permitir el acceso desde sitios<br />
externos<br />
f) las solicitudes para permitir el acceso a los sistemas y<br />
a la información para personas externas a la<br />
organización (por ejemplo, consultores, contratistas, y<br />
personal de terceros)<br />
SM3.3.3 Control: Las normas y procedimi<strong>en</strong>tos deberían<br />
especificar que el análisis de riesgos:<br />
a) se lleve a cabo periódicam<strong>en</strong>te<br />
b) involucre a los dueños de los negocios, los<br />
especialistas <strong>en</strong> TI, los principales repres<strong>en</strong>tantes de los<br />
usuarios, los expertos <strong>en</strong> análisis de riesgos y los<br />
especialistas <strong>en</strong> seguridad de la información<br />
SM3.3.4 Control: Los resultados del análisis de riesgos deb<strong>en</strong><br />
ser:<br />
a) reportados a la dirección<br />
b) utilizados para ayudar a determinar programas de<br />
trabajo <strong>en</strong> seguridad de la información (por ejemplo, la<br />
acciones correctivas y las nuevas<br />
iniciativas <strong>en</strong> materia de seguridad)<br />
c) integrados con otras actividades de gestión del riesgo<br />
(por ejemplo, la gestión de riesgo operativo)<br />
SM3.4 Metodologías de análisis de<br />
riesgos de información<br />
SM3.4.1 Control: Los riesgos asociados con la información y los<br />
sistemas de la organización deb<strong>en</strong> ser analizados<br />
utilizando metodologías estructuradas de análisis de<br />
riesgos información<br />
Página 142 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
SM3.4.2 Control: Las metodología de análisis de riesgos debería<br />
ser:<br />
a) docum<strong>en</strong>tada<br />
b) aprobada por la dirección<br />
c) consist<strong>en</strong>te <strong>en</strong> toda la organización<br />
d) automatizado (por ejemplo, utilizando herrami<strong>en</strong>tas de<br />
software especializado)<br />
e) revisarse periódicam<strong>en</strong>te para garantizar que cumpl<strong>en</strong><br />
las necesidades del negocio<br />
f) aplicable a sistemas de difer<strong>en</strong>tes tamaños y tipos<br />
g) compr<strong>en</strong>sible para los repres<strong>en</strong>tantes de las unidades<br />
negocio.<br />
SM3.4.3 Control: La metodología de análisis de riesgos de<br />
información debe exigir que todos los análisis de riesgo<br />
t<strong>en</strong>gan un alcance claram<strong>en</strong>te definido.<br />
SM3.4.4 Control: La metodología de análisis de riesgos de<br />
información debe determinar el riesgo evaluando:<br />
a) el impacto pot<strong>en</strong>cial para el negocio asociadas con el<br />
sistema, la red, o las instalaciones de computación<br />
b) las am<strong>en</strong>azas int<strong>en</strong>cionales a la confid<strong>en</strong>cialidad,<br />
integridad y disponibilidad de la información y los<br />
sistemas (por ejemplo, llevar a cabo<br />
ataques de d<strong>en</strong>egación de servicio, el malware, la<br />
instalación de software no autorizado, mal uso de los<br />
sistemas para cometer un fraude)<br />
c) las am<strong>en</strong>azas accid<strong>en</strong>tales a la confid<strong>en</strong>cialidad,<br />
integridad y disponibilidad de la información y los<br />
sistemas (por ejemplo, la interrupción del suministro de<br />
<strong>en</strong>ergía, mal funcionami<strong>en</strong>to del sistema o del software)<br />
d) las vulnerabilidades ocasionadas por defici<strong>en</strong>cias de<br />
control<br />
e) las vulnerabilidades debidas a situaciones que<br />
aum<strong>en</strong>tan la probabilidad de ocurr<strong>en</strong>cia de un grave<br />
incid<strong>en</strong>te de seguridad de la información<br />
(por ejemplo, el uso de Internet, permitir el acceso a<br />
terceros o la ubicación de un servidor <strong>en</strong> una zona<br />
prop<strong>en</strong>sa a terremotos o inundaciones)<br />
SM3.4.5 Control: La metodología de análisis de riesgos debería<br />
t<strong>en</strong>er <strong>en</strong> cu<strong>en</strong>ta:<br />
a) los requisitos de cumplimi<strong>en</strong>to (por ejemplo, con la<br />
legislación, la reglam<strong>en</strong>tación, las cláusulas<br />
contractuales, las normas de la industria y<br />
políticas internas)<br />
b) los objetivos de la organización<br />
c) los requisitos de clasificación de la información<br />
d) el análisis de riesgos previo de la aplicación, la red o<br />
la instalación de computo que se está evaluando<br />
e) las características del ambi<strong>en</strong>te operativo de la<br />
aplicación, la red o la instalación de computo que se está<br />
evaluando<br />
Página 143 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
SM3.4.6 Control: La metodología de análisis de riesgos debe<br />
asegurar que los resultados del análisis de riesgos se<br />
docum<strong>en</strong>t<strong>en</strong> e incluyan:<br />
a) una clara id<strong>en</strong>tificación de los principales riesgos<br />
b) una evaluación del impacto pot<strong>en</strong>cial de cada riesgo<br />
para el negocio<br />
c) acciones recom<strong>en</strong>dadas para reducir el riesgo a un<br />
nivel aceptable<br />
SM3.4.7 Control: La metodología de análisis de riesgos debería<br />
ser utilizada para ayudar:<br />
a) a seleccionar los controles de seguridad que reduzcan<br />
la probabilidad de ocurr<strong>en</strong>cia de graves incid<strong>en</strong>tes de<br />
seguridad de la información<br />
b) a seleccionar los controles de seguridad que<br />
satisfagan los requisitos de cumplimi<strong>en</strong>to<br />
c) a evaluar las fortalezas y debilidades de los controles<br />
de seguridad<br />
d) a determinar los costos de la aplicación de controles<br />
de seguridad (por ejemplo, los costos relacionados con:<br />
diseño, compra,<br />
aplicación y seguimi<strong>en</strong>to de los controles de hardware y<br />
software, formación, gastos g<strong>en</strong>erales, tales como<br />
instalaciones;<br />
y honorarios de consultoría)<br />
e) a id<strong>en</strong>tificar controles de seguridad especializados<br />
requeridos por los ambi<strong>en</strong>tes (por ejemplo, el cifrado de<br />
datos o fuerte<br />
aut<strong>en</strong>ticación)<br />
SM3.4.8 Control: La metodología de análisis de riesgos debería<br />
asegurar que los resultados del análisis sea:<br />
a) comunicado a los dueños de los procesos o de la<br />
información o de los sistemas<br />
b) aprobado por los dueños<br />
c) comparado con el análisis de riesgos realizado <strong>en</strong><br />
otras áreas de la organización<br />
SM3.5 Cumplimi<strong>en</strong>to legal y<br />
regulatorio<br />
SM3.5.1 Control: Los requisitos legales y regulatorios que<br />
afectan la seguridad de la información deb<strong>en</strong> ser<br />
reconocidos por:<br />
a) la dirección<br />
b) los dueños de los negocios<br />
c) el jefe de seguridad de la información (o equival<strong>en</strong>te)<br />
d) los repres<strong>en</strong>tantes de otras funciones relacionadas<br />
con la seguridad (por ejemplo, accesoria legal, el riesgo<br />
operacional, la auditoria interna, seguros, recursos<br />
humanos y la seguridad física)<br />
Página 144 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
SM3.5.2 Control: Se debe establecer un proceso para asegurar<br />
cumplimi<strong>en</strong>to con los requisitos legales y regulatorios<br />
que afectan la seguridad de la información y debe<br />
considerar:<br />
a) la legislación específica sobre seguridad de la<br />
información (por ejemplo, la ley de delitos informáticos,<br />
ley de habeas data, ley de comercio electrónico)<br />
b) la legislación g<strong>en</strong>eral que ti<strong>en</strong>e implicaciones para la<br />
seguridad (por ejemplo, la constitución nacional, la ley de<br />
habeas data, la ley de propiedad intelectual, etc.)<br />
c)las regulaciones (por ejemplo, la circular 052 de la<br />
Superfinanciera, el lavado de activos, la regulación<br />
ambi<strong>en</strong>tal, regulación de la industria de tarjetas de pago<br />
(PCI), etc.).<br />
SM3.5.3 Control: El proceso de cumplimi<strong>en</strong>to debe permitir a<br />
qui<strong>en</strong>es toman decisiones:<br />
a) descubrir las leyes y reglam<strong>en</strong>tos que afectan la<br />
seguridad de la información<br />
b) interpretar las implicaciones de seguridad de la<br />
información de estas leyes y reglam<strong>en</strong>tos<br />
c) id<strong>en</strong>tificar el posible incumplimi<strong>en</strong>to legal y<br />
reglam<strong>en</strong>tario<br />
d) determinar acciones sobre el posible incumplimi<strong>en</strong>to<br />
SM3.5.4 Control: El proceso de cumplimi<strong>en</strong>to debe ser<br />
docum<strong>en</strong>tado, aprobado por la dirección, y mant<strong>en</strong>erse<br />
actualizado<br />
SM3.5.5 Control: Una revisión del cumplimi<strong>en</strong>to de los requisitos<br />
legales y reglam<strong>en</strong>tarios debe ser:<br />
a) realizado periódicam<strong>en</strong>te o cuando nueva legislación<br />
o requisitos reglam<strong>en</strong>tarios <strong>en</strong>tr<strong>en</strong> <strong>en</strong> vig<strong>en</strong>cia<br />
b) llevada a cabo por repres<strong>en</strong>tantes de las principales<br />
áreas de la organización (por ejemplo, la dirección, los<br />
propietarios de los negocios, el departam<strong>en</strong>to legal, la<br />
administración de TI, y la función de seguridad de la<br />
información)<br />
SM3.5.6 Control: Se debe considerar la actualización de las<br />
normas y procedimi<strong>en</strong>tos de seguridad de la información<br />
como resultado de la revisión del cumplimi<strong>en</strong>to legal y<br />
regulatorio<br />
SM4 Ambi<strong>en</strong>te seguro<br />
SM4.1 Arquitectura de Seguridad<br />
SM4.1.1 Control: Se debe establecer una arquitectura de<br />
seguridad integrada con la arquitectura empresarial de la<br />
organización (o su equival<strong>en</strong>te)<br />
Página 145 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
SM4.1.2 Control: El desarrollo de la arquitectura de seguridad<br />
debería involucrar:<br />
a) una evaluación de los requisitos de seguridad para el<br />
negocio<br />
b) el uso de un modelo de arquitectura de seguridad <strong>en</strong><br />
capas (por ejemplo, las capas conceptual, lógica y física)<br />
c) la definición de los principios de la arquitectura de<br />
seguridad<br />
d) la id<strong>en</strong>tificación de los compon<strong>en</strong>tes de seguridad que<br />
pued<strong>en</strong> incluirse <strong>en</strong> la arquitectura de seguridad (por<br />
ejemplo, los controles de seguridad, los servicios de<br />
seguridad y tecnologías de seguridad)<br />
e) el desarrollo de herrami<strong>en</strong>tas y recursos que se<br />
utilizarán para ayudar a administrar la arquitectura de<br />
seguridad (por ejemplo,<br />
repositorios de soluciones, patrones de diseño, ejemplos<br />
de código y de interfaces de programación de<br />
aplicaciones (API))<br />
SM4.1.3 Control: El desarrollo de la arquitectura de seguridad<br />
debería incluir:<br />
a) el aporte de especialistas internos pertin<strong>en</strong>tes (por<br />
ejemplo, un arquitecto de seguridad, arquitecto técnico o<br />
especialista <strong>en</strong> seguridad de la información)<br />
b) uso de un especialista externo <strong>en</strong> arquitectura de<br />
seguridad<br />
c) la capacitación de las personas que necesitan utilizar<br />
la arquitectura de seguridad (por ejemplo, especialistas<br />
<strong>en</strong> seguridad de la información, desarrolladores de<br />
software e implem<strong>en</strong>tadores de TI)<br />
d) la introducción de un método para medir la adopción<br />
de la arquitectura de seguridad <strong>en</strong> toda la organización<br />
SM4.1.4 Control: La arquitectura de seguridad debería ser<br />
aplicada para:<br />
a) el desarrollo de aplicaciones de negocio (por ejemplo,<br />
para ayudar a administrar la complejidad y escala, tomar<br />
decisiones efectivas de diseño y mejorar la calidad y la<br />
seguridad de las aplicaciones de negocio)<br />
b) ayudar a gestionar la infraestructura de TI (por<br />
ejemplo, para ayudar <strong>en</strong> el desarrollo de una<br />
infraestructura de TI segura, y ayudar <strong>en</strong> la<br />
revisión y análisis de la actual infraestructura de TI)<br />
c) los principales proyectos de TI (por ejemplo, para<br />
ayudar a hacer fr<strong>en</strong>te a la complejidad, los nuevos<br />
riesgos de información y ambi<strong>en</strong>tes de gran escala)<br />
Página 146 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
SM4.1.5 Control: La arquitectura de seguridad debería ser :<br />
a) docum<strong>en</strong>tada (por ejemplo <strong>en</strong> forma de blueprints,<br />
diseños, diagramas, tablas o modelos)<br />
b) aprobada por el negocio, por la TI y por los<br />
administradores de seguridad de la información<br />
c) asignada a un propietario (por ejemplo, un arquitecto o<br />
un grupo de alto nivel, tales como una Junta de<br />
Arquitectura, o equival<strong>en</strong>te)<br />
d) mejorada (por ejemplo, mediante revisiones, manejo<br />
de excepciones y administración de cambios)<br />
SM4.1.6 Control: Debe haber un proceso para implem<strong>en</strong>tar de<br />
manera coher<strong>en</strong>te y consist<strong>en</strong>te los servicios de<br />
seguridad (por ejemplo, servicios de id<strong>en</strong>tidad, servicios<br />
de aut<strong>en</strong>ticación y servicios de cifrado) y el<br />
establecimi<strong>en</strong>to de interfaces de usuario y de<br />
programación de aplicaciones (API).<br />
SM4.1.7 Control: Se deb<strong>en</strong> establecer acuerdos a nivel empresa<br />
para:<br />
a) minimizar la diversidad de hardware y software<br />
utilizado<br />
b) proporcionar la funcionalidad de seguridad coher<strong>en</strong>te<br />
a través de las difer<strong>en</strong>tes plataformas de hardware y<br />
software<br />
c) integrar los controles de seguridad <strong>en</strong> la aplicación, <strong>en</strong><br />
el ambi<strong>en</strong>te del computador y <strong>en</strong> la red<br />
d) aplicar técnicas criptográficas consist<strong>en</strong>tes<br />
e) implem<strong>en</strong>tar conv<strong>en</strong>ciones de nom<strong>en</strong>clatura común<br />
f) segregar los ambi<strong>en</strong>tes con difer<strong>en</strong>tes requisitos de<br />
seguridad (por ejemplo, mediante la creación de<br />
dominios de seguridad "confiables" y "no confiables")<br />
g) controlar el flujo de información <strong>en</strong>tre los difer<strong>en</strong>tes<br />
ambi<strong>en</strong>tes<br />
SM4.2 Privacidad de la información<br />
SM4.2.1 Control: Se debe establecer un comité directivo que<br />
será responsable por la gestión de privacidad de la<br />
información y debe designarse a una persona que<br />
coordine la actividad de privacidad de la información (por<br />
ejemplo, un Oficial de Privacidad o un administrador de<br />
protección de datos)<br />
SM4.2.2 Control: El comité directivo debería ser conci<strong>en</strong>te de:<br />
a) la ubicación (s) de la información de id<strong>en</strong>tificación<br />
personal de las personas<br />
b) cómo y cuándo usar la información de id<strong>en</strong>tificación<br />
personal<br />
Página 147 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
SM4.2.3 Control: Se deb<strong>en</strong> establecer procedimi<strong>en</strong>tos para<br />
manejar la privacidad de la información el cual cubre:<br />
a) uso aceptable de la información de id<strong>en</strong>tificación<br />
personal<br />
b) los derechos de las personas sobre los cuales se ti<strong>en</strong>e<br />
la información de id<strong>en</strong>tificación personal<br />
c) la evaluación de la privacidad, los programas de<br />
conci<strong>en</strong>cia y cumplimi<strong>en</strong>to<br />
d) los requerimi<strong>en</strong>tos legales y regulatorios para la<br />
privacidad<br />
SM4.2.4 Control: En caso de que la información de id<strong>en</strong>tificación<br />
personal se almac<strong>en</strong>e o transforme, deb<strong>en</strong> existir<br />
procesos para asegurar que ésta es:<br />
a) adecuada, pertin<strong>en</strong>te y no excesiva para los fines<br />
para los que se recolecta<br />
b) exacta (es decir, registrada correctam<strong>en</strong>te y<br />
actualizada)<br />
c) mant<strong>en</strong>erse confid<strong>en</strong>cial, procesada legalm<strong>en</strong>te y<br />
utilizada sólo para los propósitos explícitos y legítimos<br />
especificados<br />
d) manejada <strong>en</strong> un formato que permita la id<strong>en</strong>tificación<br />
de personas sólo por el tiempo necesario<br />
e) sólo <strong>en</strong>tregada a terceros, siempre que éstos puedan<br />
demostrar el cumplimi<strong>en</strong>to de requerimi<strong>en</strong>tos legales y<br />
regulatorios para<br />
el manejo de la información de id<strong>en</strong>tificación personal<br />
f) recuperable <strong>en</strong> el caso de una solicitud legítima de<br />
acceso<br />
SM4.2.5 Control: A las personas dueñas de la información de<br />
id<strong>en</strong>tificación personal se les debería:<br />
a) solicitar su probación antes de que la información sea<br />
recogida, almac<strong>en</strong>ada, procesada o revelada a terceros<br />
b) informar de cómo se utilizará esta información,<br />
permitir que se compruebe su exactitud y t<strong>en</strong>er sus<br />
registros<br />
corregidos o eliminados<br />
SM4.2.6 Control: La información de id<strong>en</strong>tificación personal debe<br />
ser tratada de conformidad con la legislación vig<strong>en</strong>te<br />
SM4.2.7 Control: Se debe designar a una persona o un grupo<br />
para:<br />
a) realizar una evaluación de la privacidad (por ejemplo,<br />
para determinar el nivel de cumplimi<strong>en</strong>to con la<br />
legislación pertin<strong>en</strong>te y las políticas internas)<br />
b) implem<strong>en</strong>tar un programa de cumplimi<strong>en</strong>to de la<br />
privacidad<br />
c) hacer que el personal y los terceros (por ejemplo,<br />
cli<strong>en</strong>tes, cli<strong>en</strong>tes y proveedores), sean consci<strong>en</strong>tes de la<br />
importancia de la privacidad de la información<br />
SM4.3 Gestión de activos<br />
Página 148 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
SM4.3.1 Control: Deberían existir procedimi<strong>en</strong>tos docum<strong>en</strong>tados<br />
para la gestión de activos, que incluyan:<br />
a) la adquisición de software y hardware<br />
b) el lic<strong>en</strong>ciami<strong>en</strong>to de software<br />
c) el registro de activos <strong>en</strong> un inv<strong>en</strong>tario (o equival<strong>en</strong>te)<br />
d) el archivo de la información importante<br />
SM4.3.2 Control: Cuando se adquiera hardware y software se<br />
debería:<br />
a) seleccionar una lista de proveedores aprobados<br />
b) considerar los requisitos de seguridad<br />
c) debe darse alta prioridad a la confiabilidad<br />
d) acordar los términos contractuales con los<br />
proveedores.<br />
SM4.3.3 Control: Se debe reducir el riesgo de debilidades de<br />
seguridad del hardware y software mediante:<br />
a) la obt<strong>en</strong>ción de las evaluaciones externas por parte<br />
de fu<strong>en</strong>tes de confianza<br />
b) la id<strong>en</strong>tificación de las defici<strong>en</strong>cias de seguridad (por<br />
ejemplo, inspección detallada, la refer<strong>en</strong>cia a las fu<strong>en</strong>tes<br />
publicadas, o mediante la participación de los usuarios<br />
o grupos de discusión)<br />
c) considerar métodos alternativos para proporcionar el<br />
nivel necesario de seguridad<br />
SM4.3.4 Control: La adquisición de hardware y software debe ser<br />
revisado por el personal que t<strong>en</strong>ga las habilidades<br />
necesarias para evaluar el proceso y se debe contar con<br />
la aprobación del repres<strong>en</strong>tante del negocio apropiado.<br />
SM4.3.5 Control: Se deb<strong>en</strong> cumplir con los requisitos de<br />
lic<strong>en</strong>ciami<strong>en</strong>to para el uso previsto del software y el<br />
suministro de prueba de propiedad del software<br />
SM4.3.6 Control: El Hardware y software (incluy<strong>en</strong>do<br />
aplicaciones de escritorio críticas) se deb<strong>en</strong> registrar <strong>en</strong><br />
los inv<strong>en</strong>tarios que especifican una única descripción de<br />
hardware / software <strong>en</strong> uso, junto con su versión y la<br />
ubicación.<br />
SM4.3.7 Control: El inv<strong>en</strong>tario de Hardware y software debería<br />
ser:<br />
a) protegido contra cambios no autorizados<br />
b) verificado periódicam<strong>en</strong>te contra los activos físicos<br />
c) mant<strong>en</strong>ido al día<br />
d) revisado indep<strong>en</strong>di<strong>en</strong>tem<strong>en</strong>te.<br />
SM4.3.8 Control: La información importante debería ser ret<strong>en</strong>ida<br />
de conformidad con los requisitos jurídico y<br />
reglam<strong>en</strong>tarios<br />
SM4.4 Gestión de id<strong>en</strong>tidad y de<br />
acceso<br />
SM4.4.1 Control: Se deb<strong>en</strong> establecer procesos de gestión de<br />
id<strong>en</strong>tidad y de acceso <strong>en</strong> toda la empresa<br />
SM4.4.2 Control: Se deb<strong>en</strong> establecer acuerdos para la gestión<br />
de id<strong>en</strong>tidad y acceso y ser incorporados <strong>en</strong> una solución<br />
empresarial y estos acuerdos deb<strong>en</strong> aplicarse para<br />
nuevas aplicaciones.<br />
Página 149 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
SM4.4.3 Control: Los acuerdos de gestión de id<strong>en</strong>tidad y acceso<br />
deb<strong>en</strong>:<br />
a) incluir un método de validación de las id<strong>en</strong>tidades de<br />
los usuarios antes de activar las cu<strong>en</strong>tas de usuario<br />
b) mant<strong>en</strong>er un número mínimo de cu<strong>en</strong>tas de usuario<br />
para inicio de sesión<br />
SM4.4.4 Control: Los acuerdos de gestión de id<strong>en</strong>tidad y acceso<br />
deb<strong>en</strong> proveer un conjunto consist<strong>en</strong>te de métodos para:<br />
a) la id<strong>en</strong>tificación de los usuarios (por ejemplo,<br />
utilizando únicas user ID).<br />
Aut<strong>en</strong>ticación de usuarios (por ejemplo, utilizando<br />
contraseñas, fichas o datos biométricos)<br />
el usuario de inicio de sesión <strong>en</strong> proceso<br />
se autoriza a los usuarios privilegios de acceso<br />
administrar los privilegios de acceso de usuario.<br />
SM4.4.5 Control: Se deb<strong>en</strong> desarrollar acuerdos de<br />
administración de id<strong>en</strong>tidad y de acceso para mejorar la<br />
integridad de la información del usuario para:<br />
a) que la información esté disponible para que sea<br />
validada por lo usuarios<br />
b) permitir a los usuarios corregir sus propia información<br />
c) mant<strong>en</strong>er un número limitado de almac<strong>en</strong>ami<strong>en</strong>tos de<br />
id<strong>en</strong>tidad(es decir, el lugar donde la información de<br />
aut<strong>en</strong>ticación de usuario se almac<strong>en</strong>a, como una base<br />
de datos, X500 / servicio de directorio Lightweight<br />
Directory Access Protocol (LDAP), o productos<br />
comerciales de gestión de id<strong>en</strong>tidad y acceso)<br />
d) utilizar un sistema automatizado de dotación (<strong>en</strong> virtud<br />
del cual se crean cu<strong>en</strong>tas de usuario para todos los<br />
sistemas, sigui<strong>en</strong>do la creación de una <strong>en</strong>trada inicial de<br />
un usuario <strong>en</strong> una aplicación c<strong>en</strong>tral de gestión de<br />
id<strong>en</strong>tidad y acceso)<br />
e) utilizar un sistema c<strong>en</strong>tralizado de gestión del cambio<br />
SM4.4.6 Control: Los acuerdos de gestión de id<strong>en</strong>tidad y acceso<br />
deb<strong>en</strong> permitir:<br />
a) que los derechos de acceso sean rápida y fácilm<strong>en</strong>te<br />
concedidos, modificado o eliminados para un gran<br />
número de usuarios (por ejemplo, instalando derechos<br />
de acceso basado <strong>en</strong> roles)<br />
b) que la gestión de privilegios de acceso de los usuarios<br />
sea realizada por los propietarios de los sistema<br />
SM4.5 Protección Física<br />
SM4.5.1 Control: Deb<strong>en</strong> existir normas y procedimi<strong>en</strong>tos para la<br />
protección física <strong>en</strong> las zonas donde se alojan los<br />
servicios de TI críticos d<strong>en</strong>tro de la organización<br />
Página 150 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
SM4.5.2 Control: Los estándares y procedimi<strong>en</strong>tos deb<strong>en</strong> cubrir<br />
la protección de:<br />
a) edificios contra el acceso no autorizado (por ejemplo,<br />
mediante el uso de candados, los guardias de seguridad<br />
y vigilancia por vídeo)<br />
b) docum<strong>en</strong>tos importantes y medios de almac<strong>en</strong>ami<strong>en</strong>to<br />
removible (por ejemplo CD, DVD y USB de memoria)<br />
contra el robo o copiado<br />
c) áreas de almac<strong>en</strong>ami<strong>en</strong>to (por ejemplo, que podrían<br />
ser utilizados para almac<strong>en</strong>ar los activos de la<br />
organización, equipo y medios de almac<strong>en</strong>ami<strong>en</strong>to o<br />
docum<strong>en</strong>tos importantes <strong>en</strong> papel)<br />
d) personal vulnerables a la intimidación por parte de<br />
terceros malint<strong>en</strong>cionados<br />
SM4.5.3 Control: Se deb<strong>en</strong> proteger los edificios que albergan<br />
las instalaciones de TI críticas contra acceso no<br />
autorizado mediante:<br />
a)suministro de cerraduras, tornillos (o equival<strong>en</strong>te) <strong>en</strong><br />
puertas y v<strong>en</strong>tanas vulnerables<br />
b) el empleo de guardias de seguridad<br />
c) la instalación de un circuito cerrado de televisión<br />
(CCTV), o su equival<strong>en</strong>te<br />
SM4.5.4 Control: Se deb<strong>en</strong> proteger los docum<strong>en</strong>tos<br />
importantes y medios de almac<strong>en</strong>ami<strong>en</strong>to extraíbles (por<br />
ejemplo CD, DVD y USB de memoria) contra robo o<br />
copiado mediante:<br />
a) almac<strong>en</strong>ami<strong>en</strong>to de material s<strong>en</strong>sitivo <strong>en</strong> gabinetes<br />
bajo llave (o similar) cuando no están <strong>en</strong> uso (por<br />
ejemplo, mediante la aplicación de una política de<br />
escritorio limpio)<br />
b) la restricción del acceso físico a importantes puntos<br />
post o de fax<br />
c) la localización de equipos usados para material<br />
s<strong>en</strong>sitivo impreso <strong>en</strong> áreas físicas seguras<br />
SM4.5.5 Control: El personal debe estar protegido contra la<br />
intimidación por parte de terceros malint<strong>en</strong>cionados<br />
proporcionando alarmas de coacción <strong>en</strong><br />
áreas públicas susceptibles y estableci<strong>en</strong>do un proceso<br />
para responder a situaciones de emerg<strong>en</strong>cia.<br />
SM4.6 Gestión de incid<strong>en</strong>tes de<br />
seguridad de la información<br />
SM4.6.1 Control: Se debe establecer capacidad para el gobierno<br />
de la gestión de incid<strong>en</strong>tes de seguridad de la<br />
información que comprometan la confid<strong>en</strong>cialidad,<br />
integridad o disponibilidad de la información<br />
Página 151 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
SM4.6.2 Control: La gestión de incid<strong>en</strong>tes de seguridad de la<br />
información debe ser respaldada por normas y<br />
procedimi<strong>en</strong>tos docum<strong>en</strong>tados los cuales deb<strong>en</strong>:<br />
a) cubrir la participación de los interesados pertin<strong>en</strong>tes<br />
(por ejemplo, departam<strong>en</strong>to legal, relaciones públicas,<br />
recursos humanos, los organismos de control, los<br />
reguladores de la industria)<br />
b) detallar los tipos de información necesarios para<br />
apoyar la gestión de incid<strong>en</strong>tes de seguridad de la<br />
información (por ejemplo, los registros de ev<strong>en</strong>tos de<br />
seguridad, los diagramas de configuración de la red y los<br />
detalles de clasificación de la información)<br />
c) especificar las herrami<strong>en</strong>tas necesarias para apoyar la<br />
gestión de incid<strong>en</strong>tes de seguridad de la información (por<br />
ejemplo, listas de chequeo, formatos y plantillas, los<br />
analizadores de logs, software de seguimi<strong>en</strong>to de<br />
incid<strong>en</strong>tes y software de análisis for<strong>en</strong>se)<br />
SM4.6.3 Control: Las normas y procedimi<strong>en</strong>tos de gestión de<br />
incid<strong>en</strong>tes de seguridad de la información deb<strong>en</strong> ser:<br />
a) aprobados por la dirección<br />
b) revisados periódicam<strong>en</strong>te<br />
c) mant<strong>en</strong>idos al día<br />
SM4.6.4 Control: Debe haber un proceso para la gestión de los<br />
incid<strong>en</strong>tes de seguridad de la información, que incluya:<br />
a) la id<strong>en</strong>tificación de incid<strong>en</strong>tes de seguridad de la<br />
información (por ejemplo, la recepción de informes de<br />
incid<strong>en</strong>tes de seguridad de la información, la evaluación<br />
del impacto sobre el negocio, la categorización y<br />
clasificación de los incid<strong>en</strong>tes de seguridad de la<br />
información, y el registro de la información sobre el<br />
incid<strong>en</strong>te de seguridad de la información)<br />
b) la respuesta a los incid<strong>en</strong>tes de seguridad de la<br />
información (por ejemplo, el escalami<strong>en</strong>to al equipo de<br />
gestión de incid<strong>en</strong>tes de seguridad de la información, la<br />
investigación, cont<strong>en</strong>ción y erradicación de la causa del<br />
incid<strong>en</strong>te de seguridad de la información)<br />
c) la recuperación después de un incid<strong>en</strong>te de seguridad<br />
de la información (por ejemplo, la reconstrucción de los<br />
sistemas y la restauración de datos, y el cierre del<br />
incid<strong>en</strong>te de seguridad de la información)<br />
d) el seguimi<strong>en</strong>to de los incid<strong>en</strong>tes de seguridad de la<br />
información (por ejemplo, las actividades posteriores a<br />
los incid<strong>en</strong>tes, tales como el análisis de causa raíz, la<br />
investigación for<strong>en</strong>se y la pres<strong>en</strong>tación de informes al<br />
negocio)<br />
Página 152 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
SM4.6.5 Control: Debe existir una persona o equipo responsable<br />
de la gestión de incid<strong>en</strong>tes de seguridad de la<br />
información, que<br />
t<strong>en</strong>ga:<br />
a) sus funciones y responsabilidades definidas<br />
b) sufici<strong>en</strong>tes compet<strong>en</strong>cias y experi<strong>en</strong>cia <strong>en</strong> la gestión<br />
de incid<strong>en</strong>tes de seguridad de la información<br />
c) autoridad para tomar decisiones críticas para negocio<br />
d) métodos para involucrar a los interesados directos<br />
internos y externos (por ejemplo, departam<strong>en</strong>to legal,<br />
relaciones públicas, recursos humanos, los organismos<br />
de control y los reguladores de la industria)<br />
SM4.6.6 Control: La información pertin<strong>en</strong>te para la gestión de<br />
incid<strong>en</strong>tes de seguridad de la información (por ejemplo,<br />
diagramas de red, los registros de sucesos, los procesos<br />
de los negocios y los informes de auditoria de seguridad)<br />
debe estar disponible para ayudar al personal a seguir, y<br />
tomar decisiones importantes durante el proceso de<br />
gestión de incid<strong>en</strong>tes de seguridad de la información<br />
SM4.6.7 Control: Las personas responsables de la gestión de<br />
incid<strong>en</strong>tes de seguridad de la información se deb<strong>en</strong><br />
apoyar <strong>en</strong> herrami<strong>en</strong>tas (por ejemplo, software para la<br />
gestión de seguridad de la información, el manejo de<br />
evid<strong>en</strong>cia, las copias de respaldo y recuperación, y la<br />
investigación for<strong>en</strong>se) para ayudar a completar cada<br />
etapa del proceso de gestión de incid<strong>en</strong>tes de seguridad<br />
SM4.7 Continuidad del negocio<br />
SM4.7.1 Control: Deb<strong>en</strong> existir normas y procedimi<strong>en</strong>tos para<br />
desarrollar planes de continuidad de negocios que<br />
especifiqu<strong>en</strong> que los planes son:<br />
a) suministrados a todas las partes críticas de la<br />
organización<br />
b) basados <strong>en</strong> los resultados de un análisis de riesgos de<br />
información docum<strong>en</strong>tado<br />
c) distribuidos a las personas que lo requieran <strong>en</strong> caso<br />
de emerg<strong>en</strong>cia<br />
d) mant<strong>en</strong>idos al día y sujetos a prácticas de<br />
administración de cambios<br />
e) sujetos a copias de respaldo y las copias<br />
almac<strong>en</strong>adas fuera del sitio<br />
Página 153 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
SM4.7.2 Control: Los planes de continuidad del negocio deb<strong>en</strong><br />
incluir:<br />
a) las guías para garantizar la seguridad de las personas<br />
b) una lista de los servicios y la información que debe<br />
recuperarse, <strong>en</strong> ord<strong>en</strong> de prioridad<br />
c) un programa de tareas y actividades que se llevarán a<br />
cabo, la id<strong>en</strong>tificación de responsabilidades para cada<br />
tarea<br />
d) las guías a seguir <strong>en</strong> la realización de tareas y<br />
actividades, incluy<strong>en</strong>do procedimi<strong>en</strong>tos de emerg<strong>en</strong>cia,<br />
y procedimi<strong>en</strong>tos de reanudación<br />
e) sufici<strong>en</strong>te detalle para que puedan ser seguidas por<br />
personas que no suel<strong>en</strong> llevarlos a cabo<br />
f) detalle de las tareas que se empr<strong>en</strong>derán después de<br />
la recuperación y restauración (por ejemplo, comprobar<br />
que los sistemas se restaur<strong>en</strong> al mismo estado que<br />
t<strong>en</strong>ían antes de que el plan de continuidad fuera<br />
invocado)<br />
SM4.7.3 Control: Se deb<strong>en</strong> docum<strong>en</strong>tar las normas y<br />
procedimi<strong>en</strong>tos para los acuerdos de continuidad del<br />
negocio (por ejemplo<br />
instalaciones de procesami<strong>en</strong>to separadas, acuerdos de<br />
reciprocidad con otra organización o un contrato con un<br />
proveedor especialista<br />
<strong>en</strong> acuerdos de continuidad del negocio)<br />
SM4.7.4 Control: Los acuerdos de continuidad del negocio deb<strong>en</strong><br />
cubrir la indisponibilidad prolongada de:<br />
a) personas clave (por ejemplo, debido a <strong>en</strong>fermedad,<br />
lesiones, vacaciones o viaje)<br />
b) ingreso a las oficinas (por ejemplo, debido a acciones<br />
de la policía, el ejército o las acciones terroristas,<br />
desastres naturales, o retiro de los<br />
servicios de transporte)<br />
c) los sistemas o software de aplicaciones<br />
d) la información del negocio (<strong>en</strong> papel o <strong>en</strong> formato<br />
electrónico)<br />
e) el computador, las comunicaciones y los equipos de<br />
control ambi<strong>en</strong>tal<br />
f) los servicios de red (por ejemplo, debido a la pérdida<br />
de voz, datos u otras comunicaciones<br />
g) los servicios es<strong>en</strong>ciales (por ejemplo, electricidad, gas<br />
o agua).<br />
SM4.7.5 Control: Los acuerdos de continuidad del negocio deb<strong>en</strong><br />
cubrir:<br />
a) aplicaciones del negocio<br />
b) las áreas del negocio (por ejemplo, c<strong>en</strong>tros de control<br />
de procesos y c<strong>en</strong>tros de llamadas)<br />
Página 154 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
SM4.7.6 Control: Los acuerdos de continuidad del negocio deb<strong>en</strong><br />
ser probados periódicam<strong>en</strong>te, utilizando simulaciones<br />
realistas (que implican tanto a los usuarios como al<br />
personal de TI), para demostrar si el personal es capaz<br />
de recuperar la información crítica y los sistemas d<strong>en</strong>tro<br />
de escalas de tiempo críticas.<br />
SM4.7.7 Control: Los acuerdos de continuidad del negocio<br />
deb<strong>en</strong> exigir que el personal apropiado esté informado<br />
sobre las responsabilidades <strong>en</strong> la continuidad del<br />
negocio y esté <strong>en</strong>tr<strong>en</strong>ado para asumirlas<br />
SM5 Ataques maliciosos<br />
SM5.1 Protección g<strong>en</strong>eral contra<br />
malware<br />
SM5.1.1 Control: Deb<strong>en</strong> existir normas y procedimi<strong>en</strong>tos<br />
docum<strong>en</strong>tados los cuales:<br />
a) proporcionan a los usuarios información sobre los<br />
programas maliciosos<br />
b) adviertan a los usuarios la manera de reducir el riesgo<br />
de infección de malware<br />
SM5.1.2 Control; Los usuarios deberían ser:<br />
a) advertidos sobre la preval<strong>en</strong>cia de los programas<br />
maliciosos y los peligros que plantea<br />
b) educados con respecto a la forma <strong>en</strong> que el malware<br />
puede instalarse <strong>en</strong> las estaciones de trabajo<br />
c) informados de los síntomas más comunes de los<br />
programas maliciosos (por ejemplo, pobre r<strong>en</strong>dimi<strong>en</strong>to<br />
del sistema, comportami<strong>en</strong>to inesperado de la aplicación,<br />
terminación rep<strong>en</strong>tina de una aplicación)<br />
d) notificados rápidam<strong>en</strong>te de nuevos e importantes<br />
riesgos relacionados con el malware (por ejemplo, por<br />
correo electrónico o a través de una intranet)<br />
e) instruidos para reportar programas maliciosos a un<br />
único punto de contacto para soporte (por ejemplo, un<br />
servicio de mesa de ayuda )<br />
f) apoyados por especialistas de soporte técnico las<br />
veces que sea necesario (por ejemplo, las 24 horas del<br />
día, 365 días al año)<br />
SM5.1.3 Control: El riesgo de infección por virus debería<br />
reducirse alertando a los usuarios para no:<br />
a) instalar el software de fu<strong>en</strong>tes no confiables<br />
b) abrir archivos adjuntos no confiables<br />
c) hacer clic <strong>en</strong> <strong>en</strong>laces d<strong>en</strong>tro de correos electrónicos o<br />
docum<strong>en</strong>tos<br />
d) int<strong>en</strong>tar resolver manualm<strong>en</strong>te problemas de malware<br />
Página 155 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
SM5.1.4 Control: La protección contra virus debería incluir:<br />
a) la aplicación de procedimi<strong>en</strong>tos de emerg<strong>en</strong>cia para<br />
hacer fr<strong>en</strong>te a incid<strong>en</strong>tes relacionados con programas<br />
maliciosos<br />
b) el monitoreo de fu<strong>en</strong>tes externas para obt<strong>en</strong>er<br />
conocimi<strong>en</strong>to sobre nuevas am<strong>en</strong>azas de malware<br />
c) informar a los terceros sobre las normas y<br />
procedimi<strong>en</strong>tos de protección contra malware<br />
SM5.2 Software de protección contra<br />
el malware (por ejemplo: virus,<br />
gusanos, caballos troyanos,<br />
spyware, adware, código móvil<br />
malicioso)<br />
SM5.2.1 Control: Deb<strong>en</strong> existir normas y procedimi<strong>en</strong>tos<br />
docum<strong>en</strong>tados relacionados con la protección contra<br />
software malicioso que especifiqu<strong>en</strong>:<br />
a) los métodos para instalar y configurar el software de<br />
protección contra programas maliciosos (por ejemplo,<br />
software de protección antivirus, software antispyware)<br />
b) los mecanismos para la actualización de software de<br />
protección contra programas maliciosos (incluy<strong>en</strong>do<br />
actualizaciones automáticas).<br />
SM5.2.2 Control: Se debe instalar el software de protección<br />
contra el malware <strong>en</strong> sistemas que son susceptibles a<br />
los programas maliciosos como son:<br />
a) los servidores (por ejemplo, los servidores de<br />
archivos, servidores de impresión, servidores de<br />
aplicaciones, servidores web y servidores de bases de<br />
datos)<br />
b) gateways de m<strong>en</strong>sajería (por ejemplo, los que<br />
exploran el tráfico de la red y m<strong>en</strong>sajes electrónicos <strong>en</strong><br />
tiempo real)<br />
c) computadores de escritorio (desktop computers)<br />
d) computadores portátiles (laptop computers)<br />
e) dispositivos de computación manuales (hand-held)<br />
(por ejemplo, teléfonos móviles basados <strong>en</strong> WAP,<br />
teléfonos intelig<strong>en</strong>tes y asist<strong>en</strong>tes digitales personales<br />
(PDA)).<br />
SM5.2.3 Control: El software de protección contra el malware<br />
debe distribuirse automáticam<strong>en</strong>te, y d<strong>en</strong>tro de los<br />
plazos definidos con el fin de reducir el riesgo de<br />
exposición al malware más reci<strong>en</strong>te (incluidos los que<br />
están asociados con ataques del "Día cero" )<br />
SM5.2.4 Control: El software de protección contra el malware<br />
debe proteger contra todas las modalidades de<br />
programas maliciosos (por ejemplo, virus informáticos,<br />
gusanos, caballos de troya, spyware, adware y código<br />
malicioso móvil)<br />
Página 156 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
SM5.2.5 Control: El software de protección contra el malware<br />
debe estar configurado para escanear o explorar:<br />
a) la memoria del computador<br />
b) los archivos ejecutables (incluidos las macros del<br />
software de oficina)<br />
c) los archivos protegidos (por ejemplo, los archivos<br />
comprimidos y los protegidos con contraseña)<br />
d) los medios de almac<strong>en</strong>ami<strong>en</strong>to extraíbles (por ejemplo<br />
CD, DVD y dispositivos de almac<strong>en</strong>ami<strong>en</strong>to USB)<br />
e) el tráfico <strong>en</strong>trante de la red corporativa (incluy<strong>en</strong>do el<br />
correo electrónico y descargas de Internet)<br />
f) el tráfico sali<strong>en</strong>te de la red corporativa (incluy<strong>en</strong>do el<br />
correo electrónico)<br />
SM5.2.6 Control: El software de protección contra el malware<br />
debe estar configurado para:<br />
a) estar activo <strong>en</strong> todo mom<strong>en</strong>to<br />
b) proporcionar una notificación cuando se id<strong>en</strong>tifique<br />
malware sospechoso (por ejemplo, producir un log de<br />
ev<strong>en</strong>tos de <strong>en</strong>trada y el suministro de alertas)<br />
c) dejar <strong>en</strong> cuar<strong>en</strong>t<strong>en</strong>a los archivos sospechosos de<br />
cont<strong>en</strong>er malware (por ejemplo, para una investigación<br />
posterior)<br />
d) eliminar el malware y los archivos asociados o<br />
restablecer la configuración del sistema<br />
e) garantizar que la configuración no se pueda desactivar<br />
o reducir al mínimo la funcionalidad.<br />
SM5.2.7 Control: Se deb<strong>en</strong> efectuar revisiones periódicas de los<br />
servidores, computadoras de escritorio, computadoras<br />
portátiles y dispositivos de computación manuales para<br />
garantizar que:<br />
a) el software de protección contra el malware no ha<br />
sido desactivado<br />
b) la configuración del software de protección contra el<br />
malware es correcta<br />
c) las actualizaciones se aplican d<strong>en</strong>tro de los plazos<br />
definidos<br />
d) se han establecido los procedimi<strong>en</strong>tos de emerg<strong>en</strong>cia<br />
para manejar los incid<strong>en</strong>tes relacionados con el malware<br />
Página 157 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
SM5.2.8 Control: Se debe reducir el riesgo de descargar malware<br />
mediante:<br />
a) la restricción de las fu<strong>en</strong>tes donde se pueda descargar<br />
el código móvil (por ejemplo, proporcionando una lista<br />
negra de sitios web prohibidos)<br />
b) la prev<strong>en</strong>ción de descarga de determinados tipos de<br />
código móvil (por ejemplo, los relacionados con<br />
vulnerabilidades conocidas tales como controles ActiveX,<br />
JavaScript y objetos de ayuda del navegador)<br />
c) la configuración de los navegadores web para que los<br />
usuarios se les pregunte si desean instalar el código<br />
móvil<br />
d) la descarga de código móvil confiable (es decir,<br />
firmado con un certificado digital de confianza)<br />
e) la ejecución de código móvil <strong>en</strong> un <strong>en</strong>torno protegido<br />
(por ejemplo, un área de cuar<strong>en</strong>t<strong>en</strong>a, tales como Java<br />
'sandbox' o un servidor proxy <strong>en</strong> una "zona<br />
desmilitarizada" (DMZ))<br />
SM5.3 Detección de intrusos<br />
SM5.3.1 Control: Deb<strong>en</strong> emplearse mecanismos de detección de<br />
intrusos para redes y sistemas críticos con el fin de<br />
id<strong>en</strong>tificar previam<strong>en</strong>te los nuevos tipos de ataque.<br />
SM5.3.2 Control: Deb<strong>en</strong> existir normas y procedimi<strong>en</strong>tos<br />
docum<strong>en</strong>tados para detección de intrusos que incluyan:<br />
a) métodos de id<strong>en</strong>tificación de la actividad no autorizada<br />
b) análisis de las intrusiones sospechosas<br />
c) respuesta apropiada a los distintos tipos de ataque<br />
(por ejemplo, mediante un proceso de gestión de<br />
incid<strong>en</strong>tes de seguridad de la información)<br />
SM5.3.3 Control: Los métodos de detección de intrusos deb<strong>en</strong><br />
id<strong>en</strong>tificar:<br />
a) el acceso no autorizado a los sistemas y a la<br />
información<br />
b) el comportami<strong>en</strong>to inesperado del usuario o de la<br />
aplicación<br />
c) la terminación no planeada de los procesos o<br />
aplicaciones<br />
d) la actividad típicam<strong>en</strong>te asociada con el malware<br />
SM5.3.4 Control: Se debe contar con software especializado<br />
para la detección de intrusos tales como host de<br />
sistemas de detección de intrusiones<br />
(HIDS) y sistemas de detección de intrusiones de red<br />
(NIDS). Este software debe ser evaluado antes de la<br />
compra.<br />
SM5.3.5 Control: Se deb<strong>en</strong> proteger los s<strong>en</strong>sores de detección<br />
de intrusión <strong>en</strong> la red (es decir, hardware especializado<br />
que sirve para id<strong>en</strong>tificar la actividad no autorizada <strong>en</strong> el<br />
tráfico de la red) contra ataques (por ejemplo, limitando<br />
la transmisión de cualquier tráfico de red externo,<br />
o mediante un dispositivo de red, network tap, para<br />
ocultar la pres<strong>en</strong>cia del s<strong>en</strong>sor).<br />
Página 158 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
SM5.3.6 Control: El software de detección de intrusos debe ser:<br />
a) actualizado automáticam<strong>en</strong>te y d<strong>en</strong>tro de plazos<br />
definidos (por ejemplo, la distribución de archivos de<br />
firmas de ataque para los<br />
s<strong>en</strong>sores de detección de intrusos a través de una<br />
consola de administración c<strong>en</strong>tral)<br />
b) configurado para proporcionar alertas cuando se<br />
detectan actividades sospechosas (por ejemplo, a través<br />
de una consola de administración, m<strong>en</strong>sajes de correo<br />
electrónico o m<strong>en</strong>sajes de texto SMS para teléfonos<br />
móviles)<br />
SM5.3.7 Control: Se deb<strong>en</strong> realizar revisiones periódicas para<br />
asegurar que:<br />
a) la configuración del software de detección de intrusión<br />
cumple las normas internas<br />
b) el software de detección de intrusiones no ha sido<br />
desactivado<br />
c) las actualizaciones se han aplicado d<strong>en</strong>tro de los<br />
plazos definidos<br />
SM5.3.8 Control: Se deb<strong>en</strong> analizar las intrusiones sospechosas<br />
y evaluar el impacto pot<strong>en</strong>cial para el negocio. El análisis<br />
debe incluir:<br />
a) confirmar si un ataque se está produci<strong>en</strong>do realm<strong>en</strong>te<br />
(por ejemplo, mediante la eliminación de falsos positivos)<br />
b) determinar el tipo de ataque (por ejemplo, los<br />
gusanos, los ataques por desbordami<strong>en</strong>to de búfer o de<br />
d<strong>en</strong>egación del servicio)<br />
c) id<strong>en</strong>tificar el punto de orig<strong>en</strong> de un ataque<br />
d) cuantificar el impacto de un posible ataque.<br />
SM5.3.9 Control: Se debe evaluar el estado de un ataque <strong>en</strong><br />
términos de:<br />
a) el tiempo transcurrido desde el inicio del ataque y<br />
desde la detección del ataque<br />
b) la escala (por ejemplo, sistemas y redes afectadas)<br />
SM5.3.10 Control: Se deb<strong>en</strong> docum<strong>en</strong>tar los métodos para<br />
reportar los ataques serios (por ejemplo, para un equipo<br />
de respuesta a emerg<strong>en</strong>cias)<br />
SM5.4 Respuesta a emerg<strong>en</strong>cias<br />
SM5.4.1 Control: Debe existir un proceso de respuesta a<br />
emerg<strong>en</strong>cias para manejar ataques serios<br />
SM5.4.2 Control: El proceso de respuesta a emerg<strong>en</strong>cias debe<br />
ser apoyado por un equipo de alto nivel que incluya a<br />
personas calificadas para responder a los ataques<br />
graves y además a un repres<strong>en</strong>tante de la dirección<br />
Página 159 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
SM5.4.3 Control: El proceso de respuesta a los ataques graves<br />
debe incluir:<br />
a) una definición de la situación de emerg<strong>en</strong>cia<br />
b) la asignación de funciones y responsabilidades<br />
c) la definición de un método para que se tom<strong>en</strong><br />
decisiones crítica lo más rápidam<strong>en</strong>te posible<br />
d) la definición clara de los pasos que deb<strong>en</strong> tomarse <strong>en</strong><br />
situaciones de emerg<strong>en</strong>cia<br />
e) la ejecución de los pasos<br />
f) los detalles de contacto de las personas claves<br />
(incluso los relacionados con los terceros)<br />
g) los métodos de tratar con terceros<br />
SM5.4.4 Control: El proceso debe incluir métodos para:<br />
a) permitir a los investigadores reaccionar rápidam<strong>en</strong>te<br />
<strong>en</strong> caso de emerg<strong>en</strong>cia<br />
b) obt<strong>en</strong>er la aprobación de las medidas recom<strong>en</strong>dadas<br />
d<strong>en</strong>tro de un plazo de tiempo crítico<br />
SM5.4.5 Control: El proceso debe asegurar que después de la<br />
ocurr<strong>en</strong>cia de un ataque:<br />
a) los computadores afectados por el ataque se les hace<br />
una labor de limpieza (por ejemplo, los programas<br />
maliciosos y los archivos relacionados son removidos del<br />
computador)<br />
b) se minimiza la probabilidad de ataques similares<br />
c) se revisan los controles de seguridad<br />
SM5.5 Investigaciones for<strong>en</strong>ses<br />
SM5.5.1 Control: Se debe establecer un proceso para manejar<br />
incid<strong>en</strong>tes de seguridad de la información que puedan<br />
requerir investigación for<strong>en</strong>se<br />
SM5.5.2 Control: Deb<strong>en</strong> existir normas y procedimi<strong>en</strong>tos<br />
docum<strong>en</strong>tados para manejar los incid<strong>en</strong>tes de seguridad<br />
de la información que requieran la investigación for<strong>en</strong>se,<br />
los cuales deb<strong>en</strong> cubrir:<br />
a) la protección inmediata de las pruebas ante un<br />
incid<strong>en</strong>te de seguridad de la información<br />
b) cumplir con la norma o código de práctica para la<br />
recuperación de la evid<strong>en</strong>cia admisible<br />
c) mant<strong>en</strong>er un registro de las pruebas recuperadas y los<br />
procesos de investigación empr<strong>en</strong>didas<br />
d) la necesidad de buscar asesoría jurídico sobre la<br />
evid<strong>en</strong>cia que se recuperó<br />
e) las acciones que deb<strong>en</strong> ser objeto de seguimi<strong>en</strong>to<br />
durante la investigación<br />
Página 160 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
SM5.5.3 Control: La evid<strong>en</strong>cia debe ser recolectada:<br />
a) con la int<strong>en</strong>ción de posibles acciones legales<br />
b) con el respeto por la privacidad de los individuos y los<br />
derechos humanos<br />
c) a partir de fu<strong>en</strong>tes de TI relevantes para el incid<strong>en</strong>te<br />
de seguridad de la información (por ejemplo, archivos<br />
activos, temporales y borrados, los archivos eliminados,<br />
el uso del correo electrónico o uso de Internet, memoria<br />
cachés y registros de la red)<br />
d) a partir de fu<strong>en</strong>tes difer<strong>en</strong>tes de TI que sean<br />
relevantes para el incid<strong>en</strong>te de seguridad de la<br />
información (por ejemplo, grabaciones de CCTV, los<br />
registros de acceso a las instalaciones, las revelaciones<br />
de testigos)<br />
SM5.5.4 Control: Durante una investigación for<strong>en</strong>se se deb<strong>en</strong><br />
seguir pasos para:<br />
a) establecer y docum<strong>en</strong>tar una secu<strong>en</strong>cia cronológica<br />
de ev<strong>en</strong>tos<br />
b) registrar las acciones de investigación<br />
c) demostrar que la evid<strong>en</strong>cia apropiada se ha recogido,<br />
preservado y que no ha sido modificada<br />
d) proteger los equipos informáticos contra el acceso no<br />
autorizado y la posible manipulación de las pruebas<br />
e) analizar las pruebas <strong>en</strong> un ambi<strong>en</strong>te controlado (por<br />
ejemplo, utilizando una copia o "imag<strong>en</strong>" de la<br />
computadora para evitar la corrupción del original)<br />
f) examinar las pruebas por un experto indep<strong>en</strong>di<strong>en</strong>te e<br />
imparcial que cumple con los requisitos legales y<br />
reglam<strong>en</strong>tarios<br />
g) garantizar que los procesos utilizados para crear y<br />
preservar las pruebas se puede repetir por una tercera<br />
parte indep<strong>en</strong>di<strong>en</strong>te<br />
h) limitar la información sobre una investigación a unos<br />
pocas personas asignadas y garantizar que la<br />
información se manti<strong>en</strong>e confid<strong>en</strong>cial<br />
SM5.5.5 Control: Los resultados de una investigación for<strong>en</strong>se se<br />
deb<strong>en</strong> comunicar a la ger<strong>en</strong>cia apropiada (por ejemplo,<br />
la dirección y los jefes de las unidades de negocio) y a<br />
los organismos judiciales y regulatorios apropiados.<br />
SM5.6 Gestión de parches<br />
SM5.6.1 Control: Deb<strong>en</strong> existir normas y procedimi<strong>en</strong>tos<br />
docum<strong>en</strong>tados para gestión de parches que indiqu<strong>en</strong>:<br />
a) los requisitos para parchar los equipos, las<br />
aplicaciones de negocio, los sistemas operativos, el<br />
software y los compon<strong>en</strong>tes de la red<br />
b) el <strong>en</strong>foque de la organización para la gestión de e<br />
parches<br />
c) los requisitos de pruebas<br />
d) la revisión de los métodos de distribución de parches<br />
Página 161 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
SM5.6.2 Control: Las normas y procedimi<strong>en</strong>tos para parches<br />
deb<strong>en</strong> incluir un método para:<br />
a) la definición de roles y responsabilidades <strong>en</strong> la gestión<br />
de parches<br />
b) determinar la importancia de los sistemas (por<br />
ejemplo, sobre la base de la información que se maneja,<br />
los procesos de negocio<br />
soportados y los ambi<strong>en</strong>tes <strong>en</strong> los que se utilizan)<br />
c) registrar los parches que se han aplicado (por<br />
ejemplo, utilizando un inv<strong>en</strong>tario de los activos que<br />
incluya las versiones de los parches)<br />
SM5.6.3 Control: Se debe establecer un proceso de gestión de<br />
parches para regular la aplicación de parches <strong>en</strong> el día a<br />
día. El proceso debe estar docum<strong>en</strong>tado y aprobado por<br />
la ger<strong>en</strong>cia correspondi<strong>en</strong>te, y se debe asignar un dueño<br />
de este proceso.<br />
SM5.6.4 Control: El proceso de gestión de parches debería:<br />
a) determinar los métodos de obt<strong>en</strong>ción de los parches<br />
b) especificar los métodos de validación de los parches<br />
(por ejemplo, garantizando que el parche es de una<br />
fu<strong>en</strong>te autorizada)<br />
c) id<strong>en</strong>tificar las vulnerabilidades que son aplicables a las<br />
aplicaciones y sistemas utilizados por la organización<br />
d) evaluar el impacto que ti<strong>en</strong>e para la empresa la<br />
aplicación de parches (o la no aplicación de un parche<br />
específico)<br />
e) garantizar que los parches se prueban contra criterios<br />
conocidos<br />
f) describir los métodos de instalar los parches (por<br />
ejemplo, utilizando las herrami<strong>en</strong>tas de distribución de<br />
software)<br />
g) informar sobre el estado de instalación de parches <strong>en</strong><br />
toda la organización<br />
h) incluir la aplicación de métodos para manejar las fallas<br />
<strong>en</strong> la instalación de un parche<br />
SM5.6.5 Control: Se deb<strong>en</strong> establecer métodos para proteger la<br />
información y los sistemas si no hay parches disponibles<br />
para vulnerabilidades id<strong>en</strong>tificadas (por ejemplo, la<br />
desactivación de servicios y agregar controles de acceso<br />
adicionales)<br />
SM6 Tópicos especiales<br />
SM6.1 Soluciones criptográficas<br />
Página 162 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
SM6.1.1 Control: La criptografía debe ser utilizada <strong>en</strong> toda la<br />
empresa para:<br />
a) proteger la confid<strong>en</strong>cialidad de la información s<strong>en</strong>sible<br />
(por ejemplo, mediante el uso de la codificación)<br />
b) determinar si la información crítica se ha modificado<br />
(por ejemplo, mediante la realización de funciones de<br />
hash)<br />
c) proporcionar aut<strong>en</strong>ticación fuerte para los usuarios de<br />
sistemas y aplicaciones (por ejemplo, utilizando<br />
certificados digitales y<br />
tarjetas intelig<strong>en</strong>tes)<br />
d) permitir la prueba de la id<strong>en</strong>tidad del autor de la<br />
información crítica (por ejemplo, utilizando la firma digital<br />
para no-repudio.<br />
SM6.1.2 Control: Se deb<strong>en</strong> establecer y docum<strong>en</strong>tar las normas<br />
y procedimi<strong>en</strong>tos para criptografía que cubran:<br />
a) la definición de las circunstancias <strong>en</strong> que se debe<br />
utilizar la criptografía (por ejemplo, para transacciones de<br />
alto valor que involucran organismos externos o para<br />
transmitir información confid<strong>en</strong>cial a través de redes<br />
abiertas tales como Internet)<br />
b) la selección de algoritmos criptográficos aprobados<br />
(por ejemplo, Advanced Encryption Standard (AES) para<br />
confid<strong>en</strong>cialidad,<br />
y SHA-1 o MD5 para la integridad)<br />
c) la gestión (incluida la protección), de claves<br />
criptográficas<br />
d) las restricciones <strong>en</strong> el uso de soluciones de cifrado<br />
e) la idoneidad de las soluciones de cifrado utilizadas<br />
(incluidos los algoritmos y longitudes de claves de<br />
<strong>en</strong>criptación)<br />
SM6.1.3 Control: Se deb<strong>en</strong> definir claram<strong>en</strong>te las<br />
responsabilidades para la gestión de claves<br />
criptográficas y la gestión de lic<strong>en</strong>cias<br />
asociadas con el uso de soluciones criptográficas<br />
internacionales<br />
SM6.1.4 Control: Los directivos apropiados deb<strong>en</strong> t<strong>en</strong>er acceso<br />
a:<br />
a) consejo de expertos técnicos y asesoría jurídica sobre<br />
la utilización de la criptografía<br />
b) una lista de soluciones criptográficas<br />
c) un inv<strong>en</strong>tario actualizado (o equival<strong>en</strong>te) donde se<br />
detallan las soluciones criptográficas que se aplican <strong>en</strong><br />
la organización<br />
SM6.2 Infraestructura de clave pública<br />
Página 163 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
SM6.2.1 Control: La organización que hace uso de una<br />
infraestructura de clave pública (PKI), debe establecer y<br />
docum<strong>en</strong>tar normas y procedimi<strong>en</strong>tos que definan:<br />
a) el proceso necesario para la gestión de claves<br />
criptográficas y certificados digitales d<strong>en</strong>tro de la PKI<br />
b) los métodos necesarios para el funcionami<strong>en</strong>to del<br />
PKI<br />
c) las medidas que deb<strong>en</strong> adoptarse <strong>en</strong> caso de un<br />
compromiso o una sospecha de compromiso de la PKI<br />
SM6.2.2 Control: Los usuarios de PKI deb<strong>en</strong> ser consci<strong>en</strong>tes del<br />
propósito y función de la PKI, y su responsabilidad para<br />
proteger las claves privadas y para utilizar la firma digital<br />
SM6.2.3 Control: Una Autoridad de Certificación (CA) está<br />
compuesto por las personas, los procesos y las<br />
herrami<strong>en</strong>tas que son responsables de la creación,<br />
g<strong>en</strong>eración y administración de los certificados de clave<br />
pública que se utilizan d<strong>en</strong>tro de una PKI. Donde una<br />
PKI es soportada por una CA interna la cual debe estar<br />
protegida por:<br />
a) la restricción de acceso a personas autorizadas (por<br />
ejemplo, utilizando mecanismos de control de acceso y<br />
aut<strong>en</strong>ticación fuerte)<br />
b) el asegurami<strong>en</strong>to del sistema operativo que lo soporta<br />
(por ejemplo, mediante la eliminación de todas las<br />
vulnerabilidades conocidas)<br />
c) el empleo de otros controles g<strong>en</strong>erales (por ejemplo,<br />
la gestión de cambios) de manera organizada<br />
SM6.2.4 Control: Los planes de conting<strong>en</strong>cia para las<br />
aplicaciones que se soportan <strong>en</strong> PKI deberían incluir los<br />
métodos para la recuperación de la PKI <strong>en</strong><br />
el ev<strong>en</strong>to de un desastre<br />
SM6.3 Correo electrónico<br />
SM6.3.1 Control: Se deb<strong>en</strong> establecer y docum<strong>en</strong>tar normas y<br />
procedimi<strong>en</strong>tos para la provisión y uso del correo<br />
electrónico, los cuales deb<strong>en</strong> especificar métodos para:<br />
a) configurar los servidores de correo (por ejemplo, para<br />
limitar el tamaño de los m<strong>en</strong>sajes o buzones de usuario)<br />
b) escanear los m<strong>en</strong>sajes de correo electrónico (por<br />
ejemplo, para el malware, cad<strong>en</strong>as de m<strong>en</strong>sajes o el<br />
cont<strong>en</strong>ido of<strong>en</strong>sivo)<br />
c) mejorar la seguridad de los m<strong>en</strong>sajes de correo<br />
electrónico (por ejemplo, mediante la utilización de<br />
descargos de responsabilidad, algoritmos de hashing,<br />
cifrado o técnicas de no-repudio)<br />
d) hacer que los usuarios sean más consci<strong>en</strong>tes de las<br />
consecu<strong>en</strong>cias de sus acciones al utilizar el correo<br />
electrónico<br />
Página 164 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
SM6.3.2 Control: Los servidores de correo deb<strong>en</strong> estar<br />
configurados para prev<strong>en</strong>ir que el sistema de m<strong>en</strong>sajería<br />
está sobrecargado estableci<strong>en</strong>do limites <strong>en</strong> el tamaño de<br />
los m<strong>en</strong>sajes o los buzones de usuario, restringi<strong>en</strong>do el<br />
uso de grandes listas de distribución e id<strong>en</strong>tificando y<br />
cancelando automáticam<strong>en</strong>te los loops del correo<br />
electrónico<br />
SM6.3.3 Control: Los sistemas de correo electrónico deb<strong>en</strong><br />
revisarse periódicam<strong>en</strong>te para garantizar que se<br />
satisfac<strong>en</strong> los requisitos de oportunidad y disponibilidad<br />
futura<br />
SM6.3.4 Control: Los m<strong>en</strong>sajes de correo electrónico deb<strong>en</strong><br />
escanear:<br />
a) los archivos adjuntos que pued<strong>en</strong> cont<strong>en</strong>er código<br />
malicioso (por ejemplo, el código malicioso oculto <strong>en</strong> el<br />
auto-extracción de archivos zip o videoclips MPEG)<br />
b) las palabras prohibidas (por ejemplo, palabras que<br />
son racistas, of<strong>en</strong>sivas, difamatorias u obsc<strong>en</strong>as)<br />
c) las frases asociadas con el malware (por ejemplo, las<br />
de uso común <strong>en</strong> los virus hoax o cad<strong>en</strong>as de m<strong>en</strong>sajes)<br />
SM6.3.5 Control: Los sistemas de correo electrónico deb<strong>en</strong><br />
suministrar protección mediante:<br />
a) el bloqueo de los m<strong>en</strong>sajes considerados indeseables<br />
b) el uso de firmas digitales para determinar si los<br />
m<strong>en</strong>sajes de correo electrónico han sido modificados <strong>en</strong><br />
el tránsito, y la <strong>en</strong>criptación de los m<strong>en</strong>sajes de correo<br />
s<strong>en</strong>sitivos o confid<strong>en</strong>ciales<br />
c) la garantía de no repudio de orig<strong>en</strong> para los m<strong>en</strong>sajes<br />
de correo más importantes (por ejemplo, utilizando la<br />
firma digital)<br />
d) el suministro de no repudio <strong>en</strong> el recibo de m<strong>en</strong>sajes<br />
importantes<br />
SM6.3.6 Control: Se debe proteger la integridad mediante:<br />
a) la inserción de información legal y detalles de la<br />
dirección de retorno para el correo empresarial<br />
b) la advert<strong>en</strong>cia a los usuarios que el cont<strong>en</strong>ido de los<br />
m<strong>en</strong>sajes de correo electrónico pued<strong>en</strong> ser contractual y<br />
jurídicam<strong>en</strong>te vinculantes y que el uso del correo<br />
electrónico puede ser monitoreado<br />
SM6.3.7 Control: La organización debe prohibir:<br />
a) el uso del correo de los sitios web<br />
b) el desvío automático de correo electrónico a<br />
direcciones externas<br />
c) la publicidad no autorizada<br />
d) la <strong>en</strong>criptación privada del correo electrónico o<br />
archivos adjuntos<br />
e) la apertura de archivos adjuntos de fu<strong>en</strong>tes<br />
desconocidas o no confiables<br />
Página 165 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
SM6.3.8 Control: El uso personal del correo electrónico de la<br />
empresa debe estar claram<strong>en</strong>te etiquetado como<br />
personal y sujeto a los términos de los acuerdos para<br />
usuarios de correo<br />
SM6.4 Trabajo remoto<br />
SM4.6.1 Control: El trabajo remoto debe estar soportado por<br />
normas y procedimi<strong>en</strong>tos que cubran:<br />
a) los requisitos de seguridad asociados con el trabajo<br />
remoto<br />
b) los tipos de dispositivo que pued<strong>en</strong> ser utilizados por<br />
el personal que trabaja <strong>en</strong> lugares remotos (por ejemplo,<br />
computadores portátiles, dispositivos manuales como el<br />
PDA, los teléfonos intelig<strong>en</strong>tes)<br />
c) la implem<strong>en</strong>tación y mant<strong>en</strong>imi<strong>en</strong>to de equipos<br />
remotos<br />
d) el suministro de software para proteger las estaciones<br />
de trabajo (por ejemplo, herrami<strong>en</strong>tas de administración<br />
de sistemas, mecanismos de control de acceso, software<br />
de protección contra el malware y las capacidades de<br />
cifrado)<br />
e) la configuración del software<br />
f) la protección contra código móvil malicioso (por<br />
ejemplo, los applets de Java, ActiveX, JavaScript o<br />
VBScript que se han escrito deliberadam<strong>en</strong>te para<br />
realizar funciones no autorizadas)<br />
g) la autorización de un repres<strong>en</strong>tante del nivel<br />
apropiado para la persona que requiere trabajar<br />
remotam<strong>en</strong>te<br />
SM4.6.2 Control: Al personal que requiere trabajar remotam<strong>en</strong>te<br />
se le debe suministrar computadores que sean:<br />
a) adquiridos a partir de proveedores aprobados<br />
b) soportados por acuerdos de mant<strong>en</strong>imi<strong>en</strong>to<br />
c) protegidos por controles físicos (por ejemplo,<br />
cerraduras, alarmas y marcas indelebles)<br />
SM4.6.3 Control: Los computadores utilizados por el personal<br />
que trabaja <strong>en</strong> lugares remotos se les debe instalar o<br />
aplicar:<br />
a) configuraciones técnicas estándar<br />
b) un conjunto completo de herrami<strong>en</strong>tas de<br />
administración del sistema (por ejemplo, utilidades de<br />
mant<strong>en</strong>imi<strong>en</strong>to y copias de respaldo)<br />
c) mecanismos de control de acceso para restringir el<br />
acceso al equipo remoto<br />
d) el software de protección contra malware, para<br />
proteger contra virus, gusanos, troyanos, software espía<br />
y adware<br />
e) el software de <strong>en</strong>criptación para proteger la<br />
información almac<strong>en</strong>ada <strong>en</strong> el computador (por ejemplo,<br />
utilizando cifrado del discos duro)<br />
o transmitida por el equipo (por ejemplo, utilizando una<br />
red privada virtual (VPN) para conectarse a la red de la<br />
organización)<br />
Página 166 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
SM4.6.4 Control: Se debe restringir el acceso a las<br />
computadoras utilizadas <strong>en</strong> lugares remotos mediante la<br />
<strong>en</strong>criptación de contraseñas y la prev<strong>en</strong>ción de acceso<br />
lógico a la capacidad de las computadoras personales<br />
desat<strong>en</strong>didas (por ejemplo, mediante el bloqueo de clave<br />
o contraseña)<br />
SM4.6.5 Control: El personal que trabaja <strong>en</strong> ubicaciones<br />
remotas, incluidas las zonas públicas (por ejemplo,<br />
hoteles, tr<strong>en</strong>es, aeropuertos y cafés de Internet) o <strong>en</strong> el<br />
hogar, debe estar:<br />
a) autorizado para trabajar sólo <strong>en</strong> determinadas<br />
localidades<br />
b) equipados con las destrezas necesarias para realizar<br />
tareas de seguridad necesarias (por ejemplo, restringir el<br />
acceso, sacar copias de respaldo y la <strong>en</strong>criptación de<br />
archivos de claves)<br />
c) consci<strong>en</strong>te de los riesgos adicionales relacionados con<br />
el trabajo remoto (incluido el aum<strong>en</strong>to de la probabilidad<br />
de robo de los equipos o revelación de información<br />
confid<strong>en</strong>cial)<br />
d) apoyado con soporte técnico adecuado (por ejemplo,<br />
a través de un servicio de mesa de ayuda)<br />
e) <strong>en</strong> cumplimi<strong>en</strong>to con los requisitos legales y<br />
reglam<strong>en</strong>tarios<br />
f) respaldado con acuerdos de trabajo alternativos <strong>en</strong><br />
caso de emerg<strong>en</strong>cia<br />
SM4.6.6 Control: Los computadores y dispositivos portátiles<br />
deb<strong>en</strong> estar protegidos contra robo mediante:<br />
a) el suministro a los usuarios con candados físicos o<br />
dispositivos de seguridad equival<strong>en</strong>te<br />
b) etiquetas de id<strong>en</strong>tificación<br />
c) el uso de marcas indelebles<br />
SM4.6.7 Control: Se deb<strong>en</strong> implem<strong>en</strong>tar controles adicionales<br />
que deb<strong>en</strong> aplicarse <strong>en</strong> las estaciones de trabajo con la<br />
capacidad de conectarse a la<br />
Internet mediante:<br />
a) el uso de navegadores web con una configuración<br />
estándar<br />
b) la prev<strong>en</strong>ción de los usuarios con la desactivación o<br />
modificación de las opciones de seguridad <strong>en</strong> los<br />
navegadores web<br />
c) la aplicación de las actualizaciones del software de<br />
navegador web con rapidez y eficacia<br />
d) la utilización de software tal como un firewall personal<br />
y protección contra malware<br />
e) la advert<strong>en</strong>cia a los usuarios de los peligros de<br />
descargar código móvil y las consecu<strong>en</strong>cias de aceptar o<br />
rechazar "Cookies"<br />
f) la restricción de descarga de código móvil para<br />
bloquear determinados tipos de ejecutables<br />
SM6.5 Acceso a terceros<br />
Página 167 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
SM6.5.1 Control: La prestación de acceso a terceros debe ser<br />
apoyado por las normas y procedimi<strong>en</strong>tos docum<strong>en</strong>tados<br />
que especifican<br />
que, antes de la conexión:<br />
a) se deb<strong>en</strong> evaluar los riesgos del negocio asociados<br />
con el acceso a terceros<br />
b) se asigne la responsabilidad para la autorización de<br />
acceso a terceros al personal apropiado<br />
c) se realice la debida dilig<strong>en</strong>cia y se implem<strong>en</strong>t<strong>en</strong> los<br />
controles de seguridad acordados<br />
d) se efectú<strong>en</strong> pruebas<br />
e) se formalic<strong>en</strong> los acuerdos <strong>en</strong> los contratos<br />
SM6.5.2 Control: Se deb<strong>en</strong> aplicar métodos para:<br />
a) garantizar que los controles de terceros sean<br />
proporcionales a los riesgos del negocio<br />
b) proteger los intereses de la organización <strong>en</strong> relación<br />
con la propiedad de la información y los sistemas<br />
c) limitar los pasivos de la organización a terceros (por<br />
ejemplo, mediante el uso de las condiciones<br />
contractuales y advert<strong>en</strong>cias que aparec<strong>en</strong> <strong>en</strong> la<br />
pantalla)<br />
d) cumplir con las obligaciones legales<br />
e) hacer responsables a los terceros por sus acciones<br />
SM6.5.3 Control: Cuando se trata de conexiones individuales a<br />
terceros, se debe establecer un proceso para:<br />
a) lograr la compatibilidad técnica<br />
b) proteger la información s<strong>en</strong>sible almac<strong>en</strong>ada <strong>en</strong> los<br />
sistemas o <strong>en</strong> su tránsito hacia instalaciones de terceros<br />
c) mant<strong>en</strong>er registros de actividades (por ejemplo, para<br />
ayudar a rastrear las transacciones individuales y hacer<br />
cumplir la r<strong>en</strong>dición de cu<strong>en</strong>tas)<br />
d) proporcionar un único punto de contacto para la<br />
at<strong>en</strong>ción de problemas (por ejemplo, un servicio de mesa<br />
de ayuda o c<strong>en</strong>tro de llamadas)<br />
SM6.5.4 Control: El acceso de terceros a través de las<br />
conexiones debe ser administrado mediante:<br />
a) la restricción de métodos de conexión (por ejemplo,<br />
define los puntos de <strong>en</strong>trada sólo a través de firewalls)<br />
b) la aut<strong>en</strong>ticación de usuarios alineado con la función<br />
que desempeñan<br />
c) la restricción de los tipos de acceso permitido (es<br />
decir, <strong>en</strong> términos de información, capacidades de la<br />
aplicación y privilegios de acceso)<br />
d) el otorgami<strong>en</strong>to de acceso a la información y los<br />
sistemas de la organización bajo el principio de "el<br />
mínimo acceso"<br />
e) la terminación de conexiones cuando no se necesitan<br />
SM6.5.5 Control: Las conexiones que proporcionan el acceso a<br />
terceros se deb<strong>en</strong> id<strong>en</strong>tificar individualm<strong>en</strong>te, deb<strong>en</strong> ser<br />
aprobadas por el dueño del negocio, deb<strong>en</strong> ser<br />
registradas y acordadas por las partes <strong>en</strong> un contrato<br />
docum<strong>en</strong>tado<br />
Página 168 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
SM6.5.6 Control: Las personas responsables por la<br />
administración de conexiones a terceros deb<strong>en</strong> t<strong>en</strong>er<br />
acceso a:<br />
a) la información sobre los riesgos asociados con el<br />
acceso a terceros<br />
b) las normas y procedimi<strong>en</strong>tos que ilustran las medidas<br />
que se deb<strong>en</strong> adoptar para lograr conexiones seguras<br />
c) las herrami<strong>en</strong>tas de soporte (por ejemplo, listas de<br />
chequeo, muestras de contratos y acuerdos de niveles<br />
de servicio)<br />
d) las fu<strong>en</strong>tes de conocimi<strong>en</strong>to para obt<strong>en</strong>er consejo y<br />
accesoria de especialistas (por ejemplo, la función de<br />
seguridad de la información)<br />
SM6.6 Comercio electrónico<br />
SM6.6.1 Control: Se debe responsabilizar a un ger<strong>en</strong>te de alto<br />
nivel para todo lo relacionado con las iniciativas de<br />
comercio electrónico<br />
SM6.6.2 Control: Se debe establecer un comité directivo o grupo<br />
directivo para coordinar las iniciativas de comercio<br />
electrónico que incluya repres<strong>en</strong>tantes de las áreas<br />
claves de la organización que participan <strong>en</strong> las iniciativas<br />
de comercio electrónico (por ejemplo, la alta dirección,<br />
los propietarios de negocio, el departam<strong>en</strong>to jurídico, la<br />
administración de TI, y la función de seguridad de la<br />
información)<br />
SM6.6.3 Control: Los riesgos asociados con iniciativas de<br />
comercio electrónico deb<strong>en</strong> ser objeto de un análisis de<br />
riesgos de información<br />
SM6.6.4 Control: Se deb<strong>en</strong> establecer y docum<strong>en</strong>tar normas y<br />
procedimi<strong>en</strong>tos para administrar las iniciativas de<br />
comercio electrónico las cuales requier<strong>en</strong> que:<br />
a) las bu<strong>en</strong>as prácticas de seguridad de la información<br />
no se sacrifiqu<strong>en</strong> <strong>en</strong> aras de la velocidad de <strong>en</strong>trega<br />
b) las iniciativas estén impulsadas por los requerimi<strong>en</strong>tos<br />
del negocio<br />
c) se minimice la dep<strong>en</strong>d<strong>en</strong>cia de la tecnología inmadura<br />
d) se evalú<strong>en</strong> las implicaciones de seguridad al<br />
implem<strong>en</strong>tar las soluciones de proveedores<br />
SM6.6.5 Control: Se debe establecer un proceso para asegurar<br />
que los tomadores de decisiones:<br />
a) compr<strong>en</strong>dan las necesidades de seguridad de los<br />
cli<strong>en</strong>tes<br />
b) sean consci<strong>en</strong>tes de los riesgos asociados con el<br />
comercio electrónico y no pas<strong>en</strong> por alto las principales<br />
am<strong>en</strong>azas técnicas<br />
c) aprueban los riesgos residuales<br />
d) id<strong>en</strong>tifican las compet<strong>en</strong>cias necesarias de seguridad<br />
para apoyar las iniciativas de comercio electrónico y<br />
emplean al personal sufici<strong>en</strong>te con las habilidades<br />
necesarias (por ejemplo, utilizando terceros que sean<br />
expertos o capacitando al personal interno)<br />
Página 169 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
SM6.6.6 Control: Antes de instalarse <strong>en</strong> producción, las<br />
iniciativas de comercio electrónico deb<strong>en</strong> ser<br />
rigurosam<strong>en</strong>te probadas, revisadas por un especialista<br />
<strong>en</strong> seguridad de la información y aprobadas por la<br />
dirección<br />
SM6.6.7 Control: Debe existir un proceso que garantice que:<br />
a) los registros importantes de nombres de dominio son<br />
r<strong>en</strong>ovados (por ejemplo, cada dos años)<br />
b) los nombres de dominio que pued<strong>en</strong> ser utilizado para<br />
ocultar la organización son registrados por la<br />
organización<br />
c) se monitorean los sitios web que pued<strong>en</strong> haber sido<br />
instalados usando los nombres de dominio similares a<br />
los utilizados por la organización<br />
d) los sitios web ilegítimos son cerrados con la mayor<br />
rapidez posible<br />
e) las relaciones con los proveedores de servicios de<br />
Internet están cubiertos por acuerdos de niveles de<br />
servicio (SLA)<br />
SM6.7 Outsourcing<br />
SM6.7.1 Control: Se debe establecer un procedimi<strong>en</strong>to<br />
docum<strong>en</strong>tado para regular la selección de proveedores<br />
de outsourcing y la transfer<strong>en</strong>cia de las actividades hacia<br />
ellos<br />
SM6.7.2 Control: Al determinar los requisitos para el outsourcing,<br />
la organización debería:<br />
a) evaluar los riesgos de información asociados con los<br />
acuerdos de outsourcing y las funciones de la empresa<br />
que pued<strong>en</strong> ser contratadas<br />
b) Id<strong>en</strong>tificar los ambi<strong>en</strong>tes s<strong>en</strong>sitivos o críticos<br />
c) evaluar las prácticas y normas de seguridad de la<br />
información de los posibles proveedores de outsourcing<br />
d) considerar las interdep<strong>en</strong>d<strong>en</strong>cias <strong>en</strong>tre la función a ser<br />
contratada y las otras funciones del negocio<br />
e) desarrollar estrategias para finalizar las relaciones<br />
ante la ev<strong>en</strong>tualidad de una terminación anticipada de<br />
los acuerdos<br />
SM6.7.3 Control: Antes de transferir la administración de un<br />
ambi<strong>en</strong>te particular, el dueño del negocio debe aprobar<br />
la transfer<strong>en</strong>cia y se deb<strong>en</strong> acordar los controles de<br />
seguridad de la información con el proveedor de<br />
outsourcing.<br />
Página 170 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
SM6.7.4 Control: Se deb<strong>en</strong> establecer y docum<strong>en</strong>tar los<br />
acuerdos que obligan a los proveedores a :<br />
a) cumplir con las bu<strong>en</strong>as prácticas para la seguridad de<br />
la información<br />
b) facilitar información sobre incid<strong>en</strong>tes de seguridad de<br />
la información<br />
c) mant<strong>en</strong>er la confid<strong>en</strong>cialidad de la información<br />
obt<strong>en</strong>ida a través del contrato de outsourcing<br />
d) proteger la integridad de la información utilizada <strong>en</strong> el<br />
desempeño de los trabajos<br />
e) garantizar la disponibilidad de la información y los<br />
sistemas<br />
SM6.7.5 Control: Los acuerdos deb<strong>en</strong> exigir que los<br />
proveedores:<br />
a) limit<strong>en</strong> el acceso a los activos de la organización sólo<br />
para el personal autorizado<br />
b) protejan la información de id<strong>en</strong>tificación personal<br />
c) proporcion<strong>en</strong> los acuerdos de continuidad del negocio<br />
d) cumplan con los requisitos legales y reglam<strong>en</strong>tarios<br />
e) garantic<strong>en</strong> la calidad y exactitud del trabajo realizado<br />
f) devolver o destruir la información, el software o equipo<br />
<strong>en</strong> una fecha conv<strong>en</strong>ida, o previa solicitud<br />
g) definir la forma <strong>en</strong> que el proveedor se le permite<br />
contratar con terceros<br />
h) seguir un proceso de gestión del cambio<br />
i) proporcionar una eficaz gestión de incid<strong>en</strong>tes de<br />
seguridad de la información<br />
SM6.7.6 Control: Se debe establecer un proceso para hacer<br />
fr<strong>en</strong>te a los problemas de seguridad mediante unos<br />
puntos de contacto del proveedor de outsourcing<br />
SM6.7.7 Control: Los acuerdos deb<strong>en</strong> especificar: el derecho a<br />
auditar las actividades del proveedor, los detalles de los<br />
acuerdos de lic<strong>en</strong>ciami<strong>en</strong>to y la propiedad de la<br />
información y de los derechos de propiedad intelectual<br />
SM6.7.8 Control: Se deb<strong>en</strong> implem<strong>en</strong>tar las medidas de<br />
conting<strong>en</strong>cia para administrar los ambi<strong>en</strong>tes contratados<br />
<strong>en</strong> el ev<strong>en</strong>to <strong>en</strong> que el proveedor no esté disponible (por<br />
ejemplo, debido a un desastre o conflicto)<br />
SM6.8 M<strong>en</strong>sajería instantánea<br />
SM6.8.1 Control: Se deb<strong>en</strong> establecer y docum<strong>en</strong>tar normas y<br />
procedimi<strong>en</strong>tos para los servicios de m<strong>en</strong>sajería<br />
instantánea que incluyan:<br />
a) guías para el uso <strong>en</strong> el trabajo y el uso personal<br />
b) los tipos de servicios de m<strong>en</strong>sajería instantánea<br />
permitidos (por ejemplo, los servicios públicos, como<br />
AOL, Google Talk, Windows Mess<strong>en</strong>ger y Yahoo!, O los<br />
servicios internos tales como Lotus Sametime, Windows<br />
Meeting Space, Webex y Jabber)<br />
c) guías para usuarios sobre el uso aceptable (por<br />
ejemplo, la prohibición de las declaraciones of<strong>en</strong>sivas)<br />
d) detalles de cualquier actividad de seguimi<strong>en</strong>to a<br />
realizar<br />
Página 171 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
SM6.8.2 Control: Se debe mejorar la seguridad de las<br />
aplicaciones de m<strong>en</strong>sajería instantánea mediante:<br />
a) la desactivación de características no adecuadas (por<br />
ejemplo, el uso compartido de archivos, video y audio)<br />
b) el uso de la <strong>en</strong>criptación para proteger el cont<strong>en</strong>ido de<br />
los m<strong>en</strong>sajes s<strong>en</strong>sibles<br />
c) el chequeo de malware <strong>en</strong> las estaciones de trabajo<br />
d) el registro de ev<strong>en</strong>tos claves<br />
e) dirigir el tráfico de m<strong>en</strong>sajería instantánea a través de<br />
un filtro de cont<strong>en</strong>ido<br />
SM6.8.3 Control: Se debe proteger la m<strong>en</strong>sajería instantánea<br />
mediante:<br />
a) el empleo de un estándar de configuración del cli<strong>en</strong>te<br />
para la aplicación de m<strong>en</strong>sajería instantánea<br />
b) el asegurami<strong>en</strong>to de los servidores de m<strong>en</strong>sajería<br />
instantánea<br />
c) la configuración de firewall para bloquear el tráfico no<br />
autorizado de m<strong>en</strong>sajes instantáneos<br />
SM7 Revisión de la<br />
Ger<strong>en</strong>cia<br />
SM7.1 Revisión y auditoria de<br />
seguridad<br />
SM7.1.1 Control: Se deb<strong>en</strong> realizar periódicam<strong>en</strong>te revisiones y<br />
auditorias de seguridad para ambi<strong>en</strong>tes críticos de la<br />
organización, que incluyan:<br />
a) aplicaciones de negocio<br />
b) instalaciones de computación y redes<br />
c) actividades de desarrollo de sistemas<br />
d) actividades de seguridad claves para la empresa (por<br />
ejemplo, la gestión de una arquitectura de seguridad,<br />
ejecutar programas de s<strong>en</strong>sibilización o la supervisión de<br />
los acuerdos de seguridad de la información)<br />
e) <strong>en</strong>tornos de usuario final<br />
Página 172 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
SM7.1.2 Control: Las auditorias y revisiones de seguridad deb<strong>en</strong><br />
ser:<br />
a) acordadas con los dueños de los ambi<strong>en</strong>tes sujetos a<br />
revisión<br />
b) realizadas por personas que pose<strong>en</strong> las habilidades y<br />
conocimi<strong>en</strong>to técnico sufici<strong>en</strong>te <strong>en</strong> seguridad de la<br />
información<br />
c) llevadas a cabo a profundidad (<strong>en</strong> términos de alcance<br />
y magnitud) para garantizar que los controles de<br />
seguridad funcionan como se espera<br />
d) ori<strong>en</strong>tadas a comprobar que los controles son lo<br />
sufici<strong>en</strong>tem<strong>en</strong>te efectivos para reducir el riesgo a un nivel<br />
aceptable<br />
e) apoyadas por el uso automatizado de herrami<strong>en</strong>tas de<br />
software<br />
f) validados por las personas compet<strong>en</strong>tes<br />
g) complem<strong>en</strong>tada por revisiones realizados por terceros<br />
indep<strong>en</strong>di<strong>en</strong>tes.<br />
SM7.1.3 Control: Las revisiones y auditorias de seguridad deb<strong>en</strong><br />
ser administradas por:<br />
para acordar los requisitos especiales o rutinas de<br />
procesami<strong>en</strong>to de las pruebas (por ejemplo, pruebas de<br />
p<strong>en</strong>etración) con los propietarios de la<br />
ambi<strong>en</strong>tes que se examina<br />
restringir el acceso a los sistemas de auditoria y los<br />
equipos<br />
seguimi<strong>en</strong>to y registro de las actividades de auditoria y<br />
los equipos<br />
la eliminación de la copia de información empresarial a<br />
los efectos de las auditorias y exám<strong>en</strong>es tan pronto<br />
como ya no es<br />
requerido<br />
protección de software de herrami<strong>en</strong>tas utilizadas <strong>en</strong> la<br />
realización de auditorias y exám<strong>en</strong>es (por ejemplo, por<br />
mant<strong>en</strong>erlos separados de los instrum<strong>en</strong>tos /<br />
los servicios públicos utilizados <strong>en</strong> el <strong>en</strong>torno, y la<br />
celebración <strong>en</strong> las instalaciones de almac<strong>en</strong>ami<strong>en</strong>to<br />
seguro, como Restringido<br />
bibliotecas de software).<br />
SM7.1.4 Control: Las recom<strong>en</strong>daciones de seguridad que<br />
result<strong>en</strong> de las revisiones o auditorias deb<strong>en</strong> ser<br />
acordadas con los dueños de los ambi<strong>en</strong>tes sujetos a<br />
revisión y ser reportadas a la dirección<br />
SM7.2 Monitoreo de seguridad<br />
SM7.2.1 Control: Se deb<strong>en</strong> establecer acuerdos docum<strong>en</strong>tados<br />
con la dirección para el monitoreo de la seguridad de la<br />
información <strong>en</strong> la organización. Los monitoreos deb<strong>en</strong><br />
realizarse periódicam<strong>en</strong>te.<br />
Página 173 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
SM7.2.2 Control: El análisis desarrollado como parte de los<br />
acuerdos de monitoreo de la seguridad debe ser:<br />
a) basado <strong>en</strong> métricas de seguridad cuantitativas (por<br />
ejemplo, el número, la frecu<strong>en</strong>cia y el impacto para el<br />
negocio de los incid<strong>en</strong>tes de seguridad de la información,<br />
los hallazgos de la auditoria, las estadísticas de<br />
seguridad operacional, los costos asociados con las<br />
pérdidas financieras, multas, fraude etc.).<br />
b) pres<strong>en</strong>tados <strong>en</strong> un formato estándar (por ejemplo, el<br />
tablero balanceado de gestión u otra herrami<strong>en</strong>ta de<br />
gestión)<br />
SM7.2.3 Control: La información recopilada como parte de las<br />
medidas de vigilancia de seguridad deberá incluir<br />
detalles sobre todos los aspectos de los riesgos de<br />
información (por ejemplo, la criticidad de la información,<br />
las vulnerabilidades id<strong>en</strong>tificadas y el nivel de las<br />
am<strong>en</strong>azas, el impacto pot<strong>en</strong>cial para el negocio y el<br />
estado de los controles de seguridad implem<strong>en</strong>tados)<br />
SM7.2.4 Control: Se debe informar sobre la condición de<br />
seguridad de la organización a los principales tomadores<br />
de decisiones (incluida la<br />
la dirección, los miembros del comité directivo de<br />
seguridad, y los órganos externos)<br />
SM7.2.5 Control: Los acuerdos de monitoreo de las seguridad<br />
deberían proporcionar a los tomadores de decisiones<br />
una visión de:<br />
a) la eficacia y la efici<strong>en</strong>cia de los acuerdos de seguridad<br />
de la información<br />
b) las áreas donde se requiere mejorar<br />
c) la información y los sistemas que están <strong>en</strong> un nivel<br />
inaceptable de riesgo<br />
d) el desempeño cuantitativo fr<strong>en</strong>te a los objetivos<br />
propuestos<br />
e) las medidas necesarias para ayudar a minimizar el<br />
riesgo<br />
SM7.2.6 Control: Los acuerdos para monitorear la seguridad<br />
deb<strong>en</strong> proporcionar a los tomadores de decisiones<br />
información financiera que incluya:<br />
a) el costo de los controles de seguridad<br />
b) el impacto financiero de los incid<strong>en</strong>tes de seguridad<br />
de la información<br />
c) el retorno de la inversión <strong>en</strong> seguridad (ROSI), de los<br />
controles implem<strong>en</strong>tados (por ejemplo, los b<strong>en</strong>eficios no<br />
financieros, los b<strong>en</strong>eficios financieros y los costos)<br />
Página 174 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
SM7.2.7 Control: Los acuerdos para monitorear la seguridad<br />
deb<strong>en</strong> permitir a los tomadores de decisiones:<br />
a) gestionar los riesgos de información de manera<br />
efectiva<br />
b) relacionar los riesgos de información con los riesgos<br />
operacionales y del negocio<br />
c) demostrar el cumplimi<strong>en</strong>to de requisitos legales y<br />
reglam<strong>en</strong>tarios, y las normas y procedimi<strong>en</strong>tos internos<br />
de seguridad de la información<br />
SM7.2.8 Control: La información g<strong>en</strong>erada como resultado del<br />
monitoreo de las condiciones de seguridad de la<br />
información de la organización debe ser<br />
utilizada para medir la eficacia de la estrategia, de la<br />
política y de la arquitectura de seguridad de la<br />
información<br />
<strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
RED<br />
NW1 Administración de<br />
la Red<br />
NW1.1 Roles y responsabilidades<br />
NW1.1.1 Control: Se debe designar un dueño para gestionar la<br />
red. Las responsabilidades por las principales tareas de<br />
gestión de red<br />
deb<strong>en</strong> ser claram<strong>en</strong>te asignados a una o más personas<br />
capaces, que deb<strong>en</strong> aceptar las responsabilidades<br />
(incluidas las<br />
los de la seguridad de la información) relacionadas con<br />
estas funciones.<br />
NW1.1.2 Control: El personal de la red debería ser:<br />
a) compet<strong>en</strong>te para operar la red <strong>en</strong> condiciones<br />
normales<br />
b) capacitado para hacer fr<strong>en</strong>te a errores, las<br />
condiciones de excepción y de emerg<strong>en</strong>cia<br />
c) <strong>en</strong> número sufici<strong>en</strong>te para manejar la carga normal y<br />
los picos de trabajo<br />
Página 175 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
NW1.1.3 Control: Se debe reducir el riesgo de que el personal<br />
interrumpa el funcionami<strong>en</strong>to de la red, ya sea por error<br />
o por mala int<strong>en</strong>ción mediante:<br />
a) la separación de funciones del personal que opera la<br />
red de las funciones del personal que diseña y desarrolla<br />
la red<br />
b) garantizar que el personal interno (por ejemplo, los<br />
operadores y administradores de la red) y las personas<br />
externas (por ejemplo, consultores,<br />
contratistas, ing<strong>en</strong>ieros) firm<strong>en</strong> los acuerdos de<br />
confid<strong>en</strong>cialidad y no divulgación<br />
c) minimizar la dep<strong>en</strong>d<strong>en</strong>cia de personas clave (por<br />
ejemplo, mediante la automatización de procesos,<br />
garantizar que la docum<strong>en</strong>tación de apoyo esté completa<br />
y exacta, y las conting<strong>en</strong>cias para cubrir los puestos<br />
clave)<br />
d) la organización de funciones de manera que se<br />
reduzca al mínimo el riesgo de robo, fraude, error y<br />
cambios no autorizados a la información<br />
e) la investigación de anteced<strong>en</strong>tes de los solicitantes<br />
para puestos de operación y administración de la red<br />
NW1.1.4 Control: Se deb<strong>en</strong> implem<strong>en</strong>tar y docum<strong>en</strong>tar las<br />
normas y procedimi<strong>en</strong>tos a ser aplicados <strong>en</strong> la red, los<br />
cuales deb<strong>en</strong> ser:<br />
a) consist<strong>en</strong>tes con las políticas de seguridad de la<br />
información que se aplican <strong>en</strong> toda la empresa<br />
b) comunicados al personal internos y externos que<br />
participa <strong>en</strong> la gestión de la red<br />
c) aprobados por un repres<strong>en</strong>tante del negocio,<br />
revisados periódicam<strong>en</strong>te y actualizados a la fecha<br />
NW1.1.5 Control: Las actividades de las personas que operan y<br />
administran la red deb<strong>en</strong> ser controladas (por ejemplo,<br />
proporcionar supervisión, registrar las actividades y<br />
mant<strong>en</strong>er las pistas de auditoria)<br />
NW1.2 Diseño de la red<br />
NW1.2.1 Control: El diseño de la red debe estar apoyado <strong>en</strong><br />
normas y procedimi<strong>en</strong>tos que requier<strong>en</strong>:<br />
a) que el diseño t<strong>en</strong>ga <strong>en</strong> cu<strong>en</strong>ta los requisitos de los<br />
usuarios de los servicios (por ejemplo, tal como se<br />
defin<strong>en</strong> los acuerdos de niveles del servicio)<br />
b) que la red sea compatible con otras redes utilizados<br />
por la organización<br />
c) que la red esté configurada para hacer fr<strong>en</strong>te a la<br />
evolución previsible del uso de las TI <strong>en</strong> la organización<br />
Página 176 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
NW1.2.2 Control: El diseño de la red deberia:<br />
a) incorporar un conjunto integrado y coher<strong>en</strong>te de<br />
normas técnicas<br />
b) apoyarse <strong>en</strong> conv<strong>en</strong>ciones de nom<strong>en</strong>clatura<br />
coher<strong>en</strong>te (por ejemplo, cuando se asignan las<br />
direcciones IP)<br />
c) incorporar el uso de dominios de seguridad para<br />
separar los sistemas de los requisitos de seguridad<br />
d) emplear firewalls de manera que impidan que sean<br />
pasados por alto<br />
e) minimizar los puntos de falla (por ejemplo,<br />
proporcionando balance de carga, duplicar o mant<strong>en</strong>er<br />
redundancia <strong>en</strong> dispositivos críticos de la red<br />
f) restringir el número de puntos de <strong>en</strong>trada a la red<br />
g) permitir la gestión de red de extremo a extremo desde<br />
una ubicación principal<br />
h) permitir que la red se pueda configurar remotam<strong>en</strong>te,<br />
y monitoreada automáticam<strong>en</strong>te fr<strong>en</strong>te a los umbrales<br />
predefinidos<br />
i) permitir que los informes de gestión de la red y los<br />
registros de auditoria se mant<strong>en</strong>gan<br />
j) cumplir con la reglam<strong>en</strong>tación legal y las regulaciones<br />
de la industria<br />
k) evitar que los dispositivos no autorizados sean<br />
conectados a la red (por ejemplo, forzando la<br />
aut<strong>en</strong>ticación a nivel de la red)<br />
l) incluir el cifrado del acceso administrativo a los<br />
dispositivos de red (por ejemplo, firewalls y s<strong>en</strong>sores de<br />
detección de intrusos)<br />
NW1.3.1 Resili<strong>en</strong>cia de la red<br />
NW1.3.1 Control: Se deb<strong>en</strong> id<strong>en</strong>tificar las instalaciones de la red<br />
que son críticas para el funcionami<strong>en</strong>to de la red<br />
NW1.3.2 Control: Los puntos simples de falla deb<strong>en</strong> ser<br />
minimizados mediante:<br />
a) re-<strong>en</strong>rutami<strong>en</strong>to automático del tráfico de la red<br />
cuando los nodos críticos o los <strong>en</strong>laces fallan<br />
b) la provisión de sitios alternos a partir de los cuales se<br />
puede administrar la red<br />
c) la instalación de redundancia <strong>en</strong> los equipos de<br />
comunicaciones críticas tales como: firewall, filtros de<br />
tráfico de la red, switches principales, y las fu<strong>en</strong>tes de<br />
suministro de <strong>en</strong>ergía<br />
f) crítica a los equipos de comunicaciones<br />
g) acuerdos con proveedores de servicios externos para<br />
disponer de puntos de conexión y <strong>en</strong>laces alternos<br />
Página 177 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
NW1.3.3 Control: Se deb<strong>en</strong> reducir los riesgos de mal<br />
funcionami<strong>en</strong>to de los equipos de comunicaciones<br />
críticas, el software, <strong>en</strong>laces y servicios para :<br />
a) dar alta prioridad a la fiabilidad, compatibilidad y<br />
capacidad <strong>en</strong> el proceso de adquisición<br />
b) garantizar el cumplimi<strong>en</strong>to de las normas comunes o<br />
de la industria<br />
c) utilizando equipos, software, <strong>en</strong>laces y servicios<br />
probados y actualizados<br />
d) mant<strong>en</strong>i<strong>en</strong>do versiones consist<strong>en</strong>tes de equipos y<br />
software a través de la red<br />
e) garantizando que los principales compon<strong>en</strong>tes de la<br />
red puedan ser reemplazados d<strong>en</strong>tro de los plazos<br />
críticos<br />
NW1.3.4 Control: Se debe proteger la disponibilidad de los<br />
servicios de red externos mediante:<br />
a) el suministro de puntos de conexión duplicados o<br />
alternos para los transportadores de las comunicaciones<br />
externas<br />
b) el <strong>en</strong>rutami<strong>en</strong>to de <strong>en</strong>laces críticos a más de un c<strong>en</strong>tro<br />
de intercambio o switcheo externo<br />
c) acuerdos para el uso de un carrier de comunicaciones<br />
alterno<br />
NW1.3.5 Control: Se debe implem<strong>en</strong>tar un proceso para tratar las<br />
vulnerabilidades de los firewalls que incluya:<br />
a) monitoreo de vulnerabilidades <strong>en</strong> los firewalls<br />
b) la elaboración de guías para el personal de red sobre<br />
las medidas que deb<strong>en</strong> adoptarse <strong>en</strong> caso de falla de<br />
algún firewall<br />
c) el re-<strong>en</strong>rutami<strong>en</strong>to automático del tráfico de la red a<br />
otro firewall alterno<br />
d) las pruebas a los parches para los firewalls y su<br />
aplicación <strong>en</strong> el mom<strong>en</strong>to oportuno<br />
NW1.4 Docum<strong>en</strong>tación de la red<br />
NW1.4.1 Control: Se deb<strong>en</strong> implem<strong>en</strong>tar normas y<br />
procedimi<strong>en</strong>tos para la red que incluyan la<br />
docum<strong>en</strong>tación de:<br />
a) la configuración de la red, incluy<strong>en</strong>do todos los nodos<br />
y conexiones<br />
b) los equipo, el software, los <strong>en</strong>laces y servicios de<br />
comunicaciones<br />
c) el cableado de red<br />
NW1.4.2 Control: La docum<strong>en</strong>tación de la red debe incluir:<br />
a) los diagramas de configuración de la red con los<br />
nodos y conexiones<br />
b) un inv<strong>en</strong>tario de equipos de comunicaciones, software<br />
y servicios suministrados por terceros<br />
c) uno o más diagramas de cableado de la red<br />
Página 178 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
NW1.4.3 Control: La docum<strong>en</strong>tación de la red debe ser:<br />
a) actualizada<br />
b) fácilm<strong>en</strong>te accesible a las personas autorizadas<br />
c) sujeta a revisiones supervisadas<br />
d) g<strong>en</strong>erada automáticam<strong>en</strong>te, utilizando herrami<strong>en</strong>tas<br />
de software<br />
NW1.4.4 Control: Se deb<strong>en</strong> colocar etiquetas de id<strong>en</strong>tificación a<br />
los equipos y cables de comunicaciones<br />
NW1.5 Proveedores de servicios<br />
NW1.5.1 Control: Se deb<strong>en</strong> establecer acuerdos docum<strong>en</strong>tados<br />
con todos los proveedores de servicios internos y<br />
externos<br />
NW1.5.2 Control: Los acuerdos con los proveedores de servicios<br />
deb<strong>en</strong> especificar:<br />
a) las personas responsables del servicio d<strong>en</strong>tro de las<br />
dos partes <strong>en</strong> el acuerdo<br />
b) los requisitos de capacidad, fechas y horarios de los<br />
servicios de red que son requeridos y los plazos de<br />
tiempo críticos de la red<br />
c) las restricciones <strong>en</strong> los métodos de conexión y el<br />
acceso a determinados servicios<br />
NW1.5.3 Control: Los acuerdos con los proveedores de servicios<br />
deb<strong>en</strong> especificar los requisitos para:<br />
a) garantizar la continuidad del servicio<br />
b) el parcheo de los dispositivos de red<br />
c) la protección de la información confid<strong>en</strong>cial <strong>en</strong> tránsito<br />
d) la separación de los compon<strong>en</strong>tes de la red, tales<br />
como <strong>línea</strong>s dedicadas para el tráfico de red s<strong>en</strong>sitivo<br />
e) el desempeño de la gestión de cambios y la gestión<br />
de incid<strong>en</strong>tes de seguridad de la información<br />
f) la detección de interrupciones de servicio y la<br />
recuperación de los mismos<br />
g) las actividades de instalación y mant<strong>en</strong>imi<strong>en</strong>to de las<br />
actividades relacionadas con la red<br />
NW1.5.4 Control: Las condiciones de los acuerdos con los<br />
proveedores de servicios deb<strong>en</strong> ser aplicadas y<br />
revisadas periódicam<strong>en</strong>te<br />
NW1.5.5 Control: Se deberían adoptar medidas con el proveedor<br />
de servicios (s) para hacer fr<strong>en</strong>te a problemas de<br />
seguridad de la información a través de un punto de<br />
contacto definido y de una persona que sea compet<strong>en</strong>te<br />
para tratar los problemas de seguridad de manera eficaz<br />
NW1.5.6 Control: Se deb<strong>en</strong> establecer acuerdos para:<br />
a) restringir el uso de los servicios aprobados a los<br />
proveedores de la red<br />
b) obt<strong>en</strong>er una confirmación indep<strong>en</strong>di<strong>en</strong>te de los<br />
controles de seguridad aplicados por los proveedores de<br />
servicios<br />
Página 179 de 207
NW2 Administración del<br />
tráfico<br />
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
NW2.1 Configurar dispositivos de red<br />
NW2.1.1 Control: Se deb<strong>en</strong> implem<strong>en</strong>tar normas y<br />
procedimi<strong>en</strong>tos para configurar los dispositivos de red los<br />
cuales deb<strong>en</strong> cubrir:<br />
a) la gestión de cambios de las tablas de <strong>en</strong>rutami<strong>en</strong>to y<br />
la configuración de dispositivos de red<br />
b) la restricción del acceso a los dispositivos de red<br />
c) la prev<strong>en</strong>ción de actualizaciones no autorizadas o<br />
incorrectas a las tablas de <strong>en</strong>rutami<strong>en</strong>to<br />
d) la revisión periódica de la configuración de<br />
dispositivos de red<br />
NW2.1.2 Control: Los dispositivos de red deb<strong>en</strong> ser configurados<br />
para:<br />
a) negar el tráfico de red por defecto<br />
b) alertar sobre la sobrecarga de la red o las condiciones<br />
de excepción cuando se produc<strong>en</strong><br />
c) registrar los ev<strong>en</strong>tos <strong>en</strong> una forma adecuada para su<br />
revisión y grabarlos <strong>en</strong> sistemas separados<br />
d) copiar la información de control (por ejemplo, los<br />
registros de ev<strong>en</strong>tos y tablas) a medios de<br />
almac<strong>en</strong>ami<strong>en</strong>to extraíbles (por ejemplo, CD o cinta<br />
magnética)<br />
e) integrar con mecanismos de control de acceso <strong>en</strong><br />
otros dispositivos (por ejemplo, para proporcionar fuerte<br />
aut<strong>en</strong>ticación)<br />
f) usar una configuración segura predefinida antes de su<br />
puesta <strong>en</strong> operación<br />
g) cambiar los parámetros por defecto suministrados por<br />
los proveedores<br />
h) garantizar que las contraseñas no son <strong>en</strong>viadas <strong>en</strong><br />
forma de texto claro<br />
i) desactivar el <strong>en</strong>rutami<strong>en</strong>to de orig<strong>en</strong> (para mant<strong>en</strong>er el<br />
control <strong>en</strong> los dispositivos de <strong>en</strong>vío de paquetes)<br />
j) desactivar los servicios que no son necesarios para el<br />
funcionami<strong>en</strong>to normal de la red (por ejemplo, RPC,<br />
rlogin, rsh, rexec y NetBIOS)<br />
NW2.1.3 Control: Se debe restringir los dispositivos de red al<br />
personal autorizado utilizando los controles de acceso<br />
que soportan la contabilidad individual y la protección<br />
contra acceso no autorizado<br />
NW2.1.4 Control: Se deb<strong>en</strong> configurar los routers para prev<strong>en</strong>ir<br />
actualizaciones no autorizadas o incorrectas<br />
NW2.1.5 Control: Se deb<strong>en</strong> revisar periódicam<strong>en</strong>te los<br />
dispositivos de red para verificar los parámetros de<br />
configuración (por ejemplo, tablas y parámetros de<br />
<strong>en</strong>rutami<strong>en</strong>to) y evaluar las actividades realizadas a<br />
través de los dispositivos de red<br />
NW2.2 Firewall<br />
Página 180 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
NW2.2.1 Control: La red debe ser protegida de otras redes o subredes<br />
(internas o externas) mediante uno o más firewalls<br />
NW2.2.2 Control: Se deb<strong>en</strong> establecer normas y procedimi<strong>en</strong>tos<br />
para administrar firewalls que cubran:<br />
a) el filtrado de tipos específicos o fu<strong>en</strong>tes de tráfico de<br />
la red (por ejemplo, direcciones IP, puertos TCP o<br />
información sobre el estado de las comunicaciones y los<br />
usuarios)<br />
b) el bloqueo o la restricción de determinados tipos u<br />
otras fu<strong>en</strong>tes de tráfico de la red<br />
c) el desarrollo de normas predefinidas (o tablas) para<br />
filtrar el tráfico de la red<br />
d) la protección de firewalls contra ataques o fallas<br />
e) limitar la revelación de información acerca de la red<br />
NW2.2.3 Control: Los firewalls deb<strong>en</strong> ser utilizados para<br />
chequear:<br />
a) las direcciones de destino y los puertos<br />
b) la información sobre el estado de las comunicaciones<br />
asociadas<br />
c) la información sobre el estado de los usuarios<br />
d) la validez de un servicio de red<br />
NW2.2.4 Control: Los firewalls deb<strong>en</strong> ser configurados para:<br />
a) negar el tráfico de red por defecto<br />
b) proteger los protocolos de comunicación que son<br />
prop<strong>en</strong>sos a los abusos (por ejemplo, DNS, FTP, NNTP,<br />
RIP, SMTP, Telnet, UUCP)<br />
c) bloquear los paquetes de red usados para la ejecutar<br />
ataques de "d<strong>en</strong>egación del servicio"<br />
d) negar el tráfico <strong>en</strong>trante para la dirección fu<strong>en</strong>te que<br />
ha sido suplantada<br />
e) negar el tráfico sali<strong>en</strong>te para la dirección que han sido<br />
suplantada<br />
NW2.2.5 Control: Los firewalls debe configurarse para bloquear o<br />
restringir las comunicaciones basadas <strong>en</strong> una fu<strong>en</strong>te o<br />
destino especifico (por ejemplo, direcciones IP o puertos<br />
tales como: 20 y 21 para FTP, 23 para Telnet)<br />
NW2.2.6 Control: El filtrado del tráfico de la red debe basarse <strong>en</strong><br />
reglas predefinidas que:<br />
a) han sido desarrollados por personal de confianza y<br />
están sujetas a revisión<br />
b) se basan <strong>en</strong> el principio del "mínimo acceso"<br />
c) se docum<strong>en</strong>tan y se manti<strong>en</strong><strong>en</strong> actualizadas<br />
d) son t<strong>en</strong>idas <strong>en</strong> cu<strong>en</strong>ta <strong>en</strong> una política de seguridad de<br />
la información, <strong>en</strong> las normas y procedimi<strong>en</strong>tos de la red<br />
y <strong>en</strong> los requisitos de los usuarios<br />
NW2.2.7 Control: Antes que se apliqu<strong>en</strong> nuevas reglas o se<br />
cambi<strong>en</strong> otras, se debe verificar si son fuertes y<br />
correctas y deb<strong>en</strong> ser aprobadas por el dueño de la red<br />
Página 181 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
NW2.2.8 Control: La revelación de información sobre la red se<br />
debe limitar:<br />
a) a nivel de la red mediante el uso de traslación de<br />
direcciones de red (NAT)<br />
b) a nivel de aplicación mediante el uso de la traslación<br />
de direcciones de puerto (PAT)<br />
NW2.3 Acceso externo<br />
NW2.3.1 Control: Se deb<strong>en</strong> docum<strong>en</strong>tar normas y procedimi<strong>en</strong>tos<br />
para controlar el acceso externo a la red, los cuales<br />
especifican:<br />
a) que se deb<strong>en</strong> id<strong>en</strong>tificar las conexiones externas<br />
b) que se debe configurar la red para restringir el acceso<br />
c) que sólo se permit<strong>en</strong> los tipos de dispositivos de<br />
conexión de acceso remoto autorizados<br />
d) que se deb<strong>en</strong> docum<strong>en</strong>tar los detalles de las<br />
conexiones externas<br />
e) que se deb<strong>en</strong> remover las conexiones externas<br />
cuando no sean necesarias<br />
NW2.3.2 Control: Las conexiones externas se deb<strong>en</strong> id<strong>en</strong>tificar<br />
individualm<strong>en</strong>te y ser aprobadas por el propietario de la<br />
red<br />
NW2.3.3 Control: Se debe mant<strong>en</strong>er un registro de las<br />
conexiones externas que incluya:<br />
a) detalles de las personas externas autorizadas<br />
b) áreas de la infraestructura de TI a disposición de los<br />
usuarios externos<br />
NW2.3.4 Control: La red debe ser diseñada para:<br />
a) ocultar los nombres de red y topologías a partes<br />
externas<br />
b) restringir el tráfico de la red externa a sólo<br />
determinadas partes de la red<br />
c) restringir las conexiones a los puntos de <strong>en</strong>trada<br />
definidos<br />
d) verificar el orig<strong>en</strong> de las conexiones externas<br />
NW2.3.5 Control: Se deb<strong>en</strong> id<strong>en</strong>tificar las conexiones externas no<br />
autorizadas mediante:<br />
a) el desarrollo de auditorias de los equipos de la red y la<br />
docum<strong>en</strong>tación para id<strong>en</strong>tificar discrepancias con los<br />
registros de conexiones externas conocidas<br />
b) el uso de herrami<strong>en</strong>tas de gestión y de diagnóstico de<br />
la red<br />
c) el control de los registros contables de las facturas<br />
pagadas a los proveedores de telecomunicaciones y<br />
conciliación con las conexiones conocidas.<br />
Página 182 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
NW2.3.6 Control: Las conexiones de acceso telefónico deb<strong>en</strong> ser<br />
protegidas mediante el uso de seguridad dial-back la<br />
cual debe implem<strong>en</strong>tarse mediante:<br />
a) la configuración dial-back obligatoria para todas las<br />
cu<strong>en</strong>tas autorizadas a conectarse a través de un punto<br />
de acceso<br />
b) la desconexión de la <strong>línea</strong> <strong>en</strong> el host, <strong>en</strong> lugar de la<br />
del cli<strong>en</strong>te<br />
c) desactivar el re<strong>en</strong>vío de llamadas para la <strong>línea</strong> dialback<br />
NW2.3.7 Control: El acceso externo debe ser suministrado<br />
utilizando un servidor de acceso remoto dedicado el cual:<br />
a) proporciona aut<strong>en</strong>ticación completa y confiable para<br />
las conexiones externas (por ejemplo, utilizando un<br />
sistema de aut<strong>en</strong>ticación tal como el Radius o<br />
TACACS+)<br />
b) proporciona información para solución de problemas<br />
c) registra todas las conexiones y sesiones incluy<strong>en</strong>do<br />
detalles de los tiempos de inicio y finalización de la<br />
llamada, duración, y seguimi<strong>en</strong>to a usuarios<br />
d) ayuda a id<strong>en</strong>tificar posibles brechas de seguridad de<br />
la información<br />
NW2.3.8 Control: Las conexiones externas se deb<strong>en</strong> eliminar<br />
cuando ya no se requieran y sus compon<strong>en</strong>tes deb<strong>en</strong><br />
desactivarse o eliminarse<br />
NW2.4 Acceso inalámbrico<br />
NW2.4.1 Control: El acceso inalámbrico a la red debe estar sujeto<br />
a un análisis de riesgos de información y ser aprobado<br />
por el dueño de la red antes de su implem<strong>en</strong>tación<br />
NW2.4.2 Control: Se deb<strong>en</strong> establecer y docum<strong>en</strong>tar normas y<br />
procedimi<strong>en</strong>tos para controlar el acceso inalámbrico a la<br />
red los cuales incluy<strong>en</strong>:<br />
a) implem<strong>en</strong>tar métodos para limitar el acceso a usuarios<br />
autorizados <strong>en</strong> el proceso de instalación y configuración<br />
de los puntos de acceso inalámbrico<br />
b) usar la <strong>en</strong>criptación ( por ejemplo, WEP, WPA, WPA2)<br />
para proteger la información <strong>en</strong> tránsito<br />
c) la detección de puntos de acceso y dispositivos<br />
inalámbricos no autorizados<br />
NW2.4.3 Control: Los puntos de acceso inalámbrico deb<strong>en</strong> ser:<br />
a) configurados al más bajo poder para limitar el rango<br />
b) instalados <strong>en</strong> sitios que minimic<strong>en</strong> el riesgo de<br />
interfer<strong>en</strong>cia<br />
c) configurados y administrados c<strong>en</strong>tralizadam<strong>en</strong>te<br />
d) asignados a un conjunto de id<strong>en</strong>tificadores de servicio<br />
único (unique Service Set Id<strong>en</strong>tifier SSID)<br />
NW2.4.4 Control: Se debe proteger la red contra acceso<br />
inalámbrico no autorizado usando un dispositivo de<br />
filtrado (por ejemplo, un firewall o un edge server)<br />
Página 183 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
NW2.4.5 Control: El acceso inalámbrico debe estar protegido<br />
mediante el uso de:<br />
a) control de acceso a la red (por ejemplo, IEEE 802.1X)<br />
b) aut<strong>en</strong>ticación de dispositivo (por ejemplo, EAP-TLS)<br />
c) aut<strong>en</strong>ticación de usuario<br />
NW2.4.6 Control: El acceso inalámbrico debe estar protegido por:<br />
a) el uso de <strong>en</strong>criptación (por ejemplo, WEP, WPA y<br />
WPA2) <strong>en</strong>tre dispositivos de computación puntos de<br />
acceso inalámbrico<br />
b) el cambio periódico de las claves de <strong>en</strong>criptación<br />
NW2.4.7 Control: Las conexiones de acceso inalámbrico críticas<br />
deb<strong>en</strong> estar sujetas a controles de seguridad adicionales<br />
tales como redes virtuales privadas, VPNs<br />
NW3 Operación de la red<br />
NW3.1 Monitoreo de la red<br />
NW3.1.1 Control: El desempeño de la red debe ser monitoreado:<br />
a) fr<strong>en</strong>te a los objetivos acordados<br />
b) revisando la utilización actual de las facilidades de red<br />
<strong>en</strong> periodos normales y periodos pico o de mayor<br />
demanda<br />
c) usando software automatizado de monitoreo de red<br />
d) revisando periódicam<strong>en</strong>te los registros de actividad de<br />
la red<br />
e) investigando problemas tales como cuellos de botella<br />
o sobrecarga<br />
NW3.1.2 Control: Se deb<strong>en</strong> llevar a cabo actividades de<br />
planeación de la capacidad para permitir capacidad extra<br />
de la red antes de que ocurran incid<strong>en</strong>tes como cuellos<br />
de botella y sobrecarga<br />
NW3.1.3 Control: Las actividades de monitoreo deb<strong>en</strong> ser<br />
periódicas y debe incluir:<br />
a) el escaneo de vulnerabilidades para servidores y<br />
dispositivos de red usando productos especializados (por<br />
ejemplo, Nessus, Pingware o SATAN)<br />
b) la verificación de desactivación <strong>en</strong> los dispositivos de<br />
red de los comandos y utilitarios innecesarios<br />
c) la verificación de la exist<strong>en</strong>cia de redes inalámbricas<br />
no autorizadas (por ejemplo, usando productos de<br />
terceros tales como Netstumbler, KISMET y Airsnort)<br />
d) el descubrimi<strong>en</strong>to de la exist<strong>en</strong>cia de sistemas no<br />
autorizados<br />
NW3.1.4 Control: Se deb<strong>en</strong> utilizar mecanismos de detección e<br />
intrusión de manera que cubran:<br />
a) la detección de características de ataques conocidas<br />
b) un proceso para desarrollar actualizaciones periódicas<br />
al software de detección de intrusos<br />
c) la protección de los mecanismos de detección de<br />
intrusos contra ataques<br />
Página 184 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
NW3.1.5 Control: El uso de herrami<strong>en</strong>tas para análisis y<br />
monitoreo de la red debe estar restringido a personas<br />
autorizadas<br />
NW3.1.6 Control: Se deb<strong>en</strong> revisar los reportes <strong>en</strong>viados por los<br />
proveedores de servicios para descubrir uso inusual de<br />
la red u otras facilidades de red<br />
NW3.1.7 Control: El dueño de la red debe revisar los resultados<br />
de las actividades de monitoreo y comunicarlos a los<br />
dueños de las aplicaciones e instalaciones para qui<strong>en</strong>es<br />
se prestan los servicios<br />
NW3.2 Administración de cambios<br />
NW3.2.1 Control: Se debe establecer un proceso de gestión de<br />
cambios que cubra todos los tipos de cambios <strong>en</strong> la red<br />
(por ejemplo, actualizaciones de equipos de<br />
comunicaciones y software, la introducción de nuevos<br />
servicios de los proveedores de servicios y<br />
ajustes temporales o de emerg<strong>en</strong>cia a la red)<br />
NW3.2.2 Control: El proceso de gestión de cambios debe estar<br />
docum<strong>en</strong>tado e incluir:<br />
a) la aprobación de los cambios y las pruebas para<br />
asegurarse de que no pongan <strong>en</strong> peligro los controles de<br />
seguridad<br />
b) la realización de cambios y su aprobación para<br />
asegurarse de que se realizan correctam<strong>en</strong>te y de forma<br />
segura<br />
c) la revisión de los cambios realizados para garantizar<br />
que no se aplican cambios no autorizados<br />
NW3.2.3 Control: Antes de que sean aplicados los cambios al<br />
ambi<strong>en</strong>te productivo de la red se debe considerar:<br />
a) la docum<strong>en</strong>tación de las solicitudes de cambio y la<br />
aceptación por parte de las personas autorizadas<br />
b) los cambios deb<strong>en</strong> ser aprobados por el repres<strong>en</strong>tante<br />
del negocio apropiado<br />
c) se debe evaluar el impacto pot<strong>en</strong>cial para el negocio<br />
de los cambios a ser realizados<br />
d) los cambios deb<strong>en</strong> ser probados<br />
e) los cambios deb<strong>en</strong> ser revisados para garantizar que<br />
no comprometan los controles de seguridad<br />
f) se debe realizar un copia de respaldo de manera que<br />
se pueda restaurar la red después de cambios fallidos o<br />
resultados inesperados<br />
NW3.2.4 Control: Los cambios <strong>en</strong> la red deb<strong>en</strong> ser:<br />
a) realizados por personal capacitado y compet<strong>en</strong>te<br />
b) supervisados por un especialista de la red<br />
c) aprobados por el repres<strong>en</strong>tante del negocio apropiado<br />
Página 185 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
NW3.2.5 Control: Se deb<strong>en</strong> establecer acuerdos para garantizar<br />
que una vez se apliqu<strong>en</strong> los cambios:<br />
a) se manti<strong>en</strong>e un control de versiones<br />
b) se lleva un registro de los cambios que muestra lo que<br />
fue cambiado, cuándo y por quién<br />
c) se comunican los detalles de los cambios a las<br />
personas pertin<strong>en</strong>tes<br />
d) se realizan verificaciones para confirmar que sólo se<br />
han hecho cambios autorizados<br />
e) se actualiza la docum<strong>en</strong>tación de la red<br />
NW3.3 Administración de incid<strong>en</strong>tes<br />
de seguridad de la información<br />
NW3.3.1 Control: Se debe establecer y docum<strong>en</strong>tar un proceso<br />
de gestión de incid<strong>en</strong>tes de seguridad para la red<br />
NW3.3.2 Control: El proceso de gestión de incid<strong>en</strong>tes de<br />
seguridad debe incluir<br />
a) la id<strong>en</strong>tificación de incid<strong>en</strong>tes de seguridad de la<br />
información<br />
b) la respuesta a los incid<strong>en</strong>tes de seguridad de la<br />
información<br />
c) la recuperación de los incid<strong>en</strong>tes de seguridad de la<br />
información<br />
d) el seguimi<strong>en</strong>to de los incid<strong>en</strong>tes de seguridad de la<br />
información.<br />
NW3.3.3 Control: Los incid<strong>en</strong>tes de seguridad de la información<br />
deberían ser:<br />
a) reportados previam<strong>en</strong>te a un contacto (por ejemplo,<br />
un servicio de asist<strong>en</strong>cia, <strong>línea</strong> telefónica o equipo de<br />
especialistas de TI)<br />
b) grabados <strong>en</strong> un registro, o equival<strong>en</strong>te<br />
c) categorizados y clasificados<br />
NW3.3.4 Control: el impacto de los incid<strong>en</strong>tes graves de<br />
seguridad relacionados con la red debe ser evaluado por<br />
parte de especialistas de la red, de los dueños de la red,<br />
de los dueños de las aplicaciones soportadas por la red y<br />
por parte de especialistas de seguridad de la información<br />
NW3.3.5 Control: La respuesta a incid<strong>en</strong>tes de seguridad de la<br />
información relacionados con la red debe incluir:<br />
a) el análisis de la información disponible<br />
b) el manejo seguro de la evid<strong>en</strong>cia necesaria<br />
c) la investigación de las causas del incid<strong>en</strong>te de<br />
seguridad de la información<br />
d) la cont<strong>en</strong>ción y erradicación del incid<strong>en</strong>te de<br />
seguridad de la información<br />
Página 186 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
NW3.3.6 Control: La recuperación de los incid<strong>en</strong>tes de seguridad<br />
relacionados con la red debe involucrar:<br />
a) la reconstrucción de las redes a un estado seguro<br />
antes conocido (es decir, el mismo estado que<br />
se <strong>en</strong>contraban antes del incid<strong>en</strong>te de seguridad de la<br />
información)<br />
b) la restauración a partir de la información que no ha<br />
sido comprometida por el incid<strong>en</strong>te de seguridad de la<br />
información<br />
c) el cierre del incid<strong>en</strong>te de seguridad de la información<br />
NW3.3.7 Control: Después de la recuperación del incid<strong>en</strong>te de<br />
seguridad de la información relacionada con la red se<br />
debe:<br />
a) investigar la causa y el efecto del incid<strong>en</strong>te de<br />
seguridad y las correspondi<strong>en</strong>tes medidas de<br />
recuperación<br />
b) realizar la investigación for<strong>en</strong>se si es necesario<br />
c) revisar los controles de seguridad para determinar si<br />
son adecuados<br />
d) se deb<strong>en</strong> empr<strong>en</strong>der las acciones correctivas para<br />
reducir al mínimo la probabilidad de ocurr<strong>en</strong>cia de<br />
incid<strong>en</strong>tes similares<br />
e) se deb<strong>en</strong> docum<strong>en</strong>tar los detalles de los incid<strong>en</strong>tes de<br />
seguridad de la información <strong>en</strong> un informe posterior al<br />
incid<strong>en</strong>te<br />
NW3.4 Seguridad fisica<br />
NW3.4.1 Control: Se debe restringir el acceso físico a las áreas<br />
críticas de la red sólo a personas autorizadas. El<br />
personal externo (por ejemplo, consultores, contratistas,<br />
ing<strong>en</strong>ieros) debe ser supervisado cuando ti<strong>en</strong>e acceso a<br />
equipos de comunicaciones<br />
NW3.4.2 Control: Se debe proteger el acceso a las áreas críticas<br />
de la red de:<br />
a) las am<strong>en</strong>azas naturales (por ejemplo, inc<strong>en</strong>dios e<br />
inundaciones)<br />
b) las fallas de suministro de <strong>en</strong>ergía (por ejemplo,<br />
mediante el uso de sistemas de alim<strong>en</strong>tación<br />
ininterrumpida (UPS) y baterías)<br />
c) los intrusos (por ejemplo, mediante la instalación de<br />
cerraduras <strong>en</strong> las puertas y persianas <strong>en</strong> las v<strong>en</strong>tanas).<br />
NW3.4.3 Control: Los cables de red deb<strong>en</strong> ser protegidos<br />
mediante:<br />
a) su instalación oculta<br />
b) sus conductos blindados<br />
c) inspecciones bloqueadas y puntos de terminación<br />
d) el <strong>en</strong>rutami<strong>en</strong>to<br />
e) evitar las rutas a través de zonas de acceso público<br />
Página 187 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
NW3.4.4 Control: Los puntos de acceso a la red deb<strong>en</strong> ser<br />
protegidos mediante:<br />
a) la ubicación <strong>en</strong> <strong>en</strong>tornos seguros<br />
b) la desactivación <strong>en</strong> el dispositivo de red hasta que se<br />
requiera<br />
NW3.5 Copias de respaldo<br />
NW3.5.1 Control: Las copias de respaldo de la información y el<br />
software importante se deb<strong>en</strong> realizar con la frecu<strong>en</strong>cia<br />
necesaria para satisfacer los requerimi<strong>en</strong>tos del negocio<br />
NW3.5.2 Control: Las copias de respaldo deb<strong>en</strong> ser:<br />
a) realizadas utilizando un software de administración de<br />
copias para reforzar la seguridad de la información<br />
b) cifradadas para proteger la información importante<br />
c) grabados <strong>en</strong> un registro (o equival<strong>en</strong>te), que incluye<br />
detalles acerca de los datos cont<strong>en</strong>idos <strong>en</strong> la copia de<br />
seguridad, la fecha y hora, y el medio utilizado<br />
d) verificadas para comprobar su restauración exitosa<br />
NW3.5.3 Control: Los acuerdos para las copias de seguridad<br />
deb<strong>en</strong> permitir que la red sea restaurada d<strong>en</strong>tro de los<br />
plazos críticos<br />
NW3.5.4 Control: Las copias de respaldo deb<strong>en</strong> ser protegidas<br />
contra pérdida, daño y acceso no autorizado mediante:<br />
a) su almac<strong>en</strong>ami<strong>en</strong>to <strong>en</strong> sitios seguros a prueba de<br />
fuego<br />
b) la disposición de copias alternas fuera de las<br />
instalaciones<br />
c) la restricción de acceso a personas autorizadas<br />
NW3.6 Continuidad del servicio<br />
NW3.6.1 Control: Se debe verificar si la continuidad de los<br />
servicios de red se incluye <strong>en</strong> los planes de conting<strong>en</strong>cia<br />
de TI y <strong>en</strong> los pñanes de continuidad del negocio<br />
relacionados con las actividades apoyadas por los<br />
servicios de red<br />
NW3.6.2 Control: Se deb<strong>en</strong> adoptar medidas para asegurar la<br />
prestación continua de los servicios críticos de la red <strong>en</strong><br />
caso de una prolongada<br />
falta de disponibilidad de:<br />
a) el c<strong>en</strong>tro de operaciones de la red (s)<br />
b) los equipos de red críticos<br />
c) los <strong>en</strong>laces de red <strong>en</strong> las instalaciones de la empresa<br />
d) el software de comunicaciones, los datos de control y<br />
la docum<strong>en</strong>tación<br />
e) el personal de la red<br />
f) los edificios, salas de equipo, <strong>en</strong>ergía y otros servicios<br />
vitales<br />
Página 188 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
NW3.6.3 Control: Los acuerdos de continuidad del servicio deb<strong>en</strong><br />
ser:<br />
a) docum<strong>en</strong>tados<br />
b) revisados por los repres<strong>en</strong>tantes de los usuarios<br />
c) aprobados por el propietario de la red<br />
d) sujetos a un proceso de gestión del cambio<br />
e) probados periódicam<strong>en</strong>te utilizando simulaciones<br />
realistas, y con la participación de personal de la red<br />
f) actualizados después de cambios importantes<br />
NW3.6.4 Control: Los g<strong>en</strong>eradores de copias de respaldo deb<strong>en</strong>:<br />
a) estar disponibles para manejar una interrupción<br />
prolongada de <strong>en</strong>ergía <strong>en</strong> los equipos de<br />
comunicaciones críticas<br />
b) ser probados periódicam<strong>en</strong>te<br />
NW3.7 Mant<strong>en</strong>imi<strong>en</strong>to remoto<br />
NW3.7.1 Control: El acceso a la red de personas externas para<br />
fines de mant<strong>en</strong>imi<strong>en</strong>to remoto debe ser administrado de<br />
manera que incluya:<br />
a) definir y acordar los objetivos y el alcance de trabajo<br />
previsto<br />
b) autorizar sesiones individuales<br />
c) restringir los derechos de acceso al mínimo necesario<br />
de acuerdo con los objetivos y el alcance del trabajo<br />
planeado<br />
d) registrar todas las actividades realizadas<br />
e) revocar los derechos de acceso y el cambio de<br />
contraseñas inmediatam<strong>en</strong>te después de completar las<br />
tareas de mant<strong>en</strong>imi<strong>en</strong>to<br />
f) desarrollar una revisión indep<strong>en</strong>di<strong>en</strong>te de las<br />
actividades de mant<strong>en</strong>imi<strong>en</strong>to remoto<br />
NW3.7.2 Control: Se deb<strong>en</strong> proteger los puertos de diagnostico<br />
de la red implem<strong>en</strong>tando controles de acceso<br />
NW4 Administración de<br />
la seguridad local<br />
NW4.1 Coordinación<br />
NW4.1.1 Control: El propietario de la red debe t<strong>en</strong>er la<br />
responsabilidad g<strong>en</strong>eral de la seguridad de la<br />
información <strong>en</strong> relación con la red.<br />
Se debe nombrar uno más coordinadores locales de<br />
seguridad de la información, qui<strong>en</strong>es son responsables<br />
de coordinar los acuerdos de seguridad de la información<br />
para la red y actuar como un único punto de contacto <strong>en</strong><br />
asuntos sobre seguridad de la información<br />
Página 189 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
NW4.1.2 Control: Los coordinadores locales de seguridad deb<strong>en</strong><br />
t<strong>en</strong>er:<br />
a) una bu<strong>en</strong>a compr<strong>en</strong>sión de los roles y<br />
responsabilidades de la seguridad de la información<br />
b) sufici<strong>en</strong>tes conocimi<strong>en</strong>tos técnicos, el tiempo, las<br />
herrami<strong>en</strong>tas y la autoridad para llevar a cabo su rol<br />
asignado<br />
c) acceso a expertos internos o externos <strong>en</strong> seguridad de<br />
la información<br />
d) procedimi<strong>en</strong>tos y normas docum<strong>en</strong>tadas para apoyar<br />
las actividades diarias de seguridad<br />
e) información actualizada relacionada con seguridad de<br />
la información<br />
f) un canal de comunicación con la función de seguridad<br />
de la información<br />
NW4.1.3 Control: El coordinador local de la seguridad de la<br />
información debe reunirse periódicam<strong>en</strong>te con el<br />
propietario de la red para examinar la situación de<br />
seguridad de la información y acordar las actividades de<br />
seguridad a ser desarrolladas<br />
NW4.2 Conci<strong>en</strong>cia de seguridad<br />
NW4.2.1 Control: Se debe establecer una política de seguridad<br />
de la información para la red. El personal de la red debe<br />
ser consci<strong>en</strong>te y cumplir con la política de seguridad de<br />
la información.<br />
NW4.2.2 Control: El personal de la red debe:<br />
a) participar <strong>en</strong> un programa de s<strong>en</strong>sibilización de<br />
seguridad<br />
b) estar capacitado y <strong>en</strong>tr<strong>en</strong>ado <strong>en</strong> seguridad de la<br />
información<br />
c) ser dotado con material de s<strong>en</strong>sibilización <strong>en</strong><br />
seguridad<br />
NW4.2.3 Control: El personal de la red debe ser conci<strong>en</strong>te de:<br />
a) el significado de la seguridad de la información<br />
b) la necesidad de la seguridad de la información para<br />
proteger la red<br />
c) la importancia de cumplir con las políticas de<br />
seguridad de la información y la aplicación de las<br />
correspondi<strong>en</strong>tes normas y procedimi<strong>en</strong>tos<br />
d) sus responsabilidades con relación a la seguridad de<br />
la información<br />
Página 190 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
NW4.2.4 Control: El personal de la red debe ser consci<strong>en</strong>te de<br />
que está prohibido:<br />
a) el uso no autorizado de cualquier parte de la red<br />
b) el uso de la red para fines que no están relacionados<br />
con el trabajo<br />
c) hacer declaraciones sexuales, racistas que pued<strong>en</strong><br />
ser of<strong>en</strong>sivos (por ejemplo, al utilizar el correo<br />
electrónico, m<strong>en</strong>sajería instantánea, la<br />
Internet o el teléfono)<br />
d) hacer declaraciones obsc<strong>en</strong>as, discriminatorias, o de<br />
acoso<br />
e) la descarga de material ilegal<br />
f) la utilización no autorizada de los compon<strong>en</strong>tes de la<br />
red (por ejemplo, utilizando software de terceros no<br />
autorizados o módems)<br />
g) la copia no autorizada de información o software<br />
h) la revelación de información confid<strong>en</strong>cial a personas<br />
no autorizadas<br />
i) comprometer las contraseñas<br />
j) utilizar la información de id<strong>en</strong>tificación personal a<br />
m<strong>en</strong>os que sea explícitam<strong>en</strong>te autorizada<br />
k) la manipulación de evid<strong>en</strong>cia <strong>en</strong> el caso de incid<strong>en</strong>tes<br />
de seguridad de la información que puedan requerir la<br />
investigación for<strong>en</strong>se<br />
NW4.2.5 Control: El personal de la red debe estar advertido de<br />
los peligros de ser escuchados cuando se discute sobre<br />
la información del negocio por teléfono o <strong>en</strong> lugares<br />
públicos<br />
NW4.3 Clasificación de información<br />
NW4.3.1 Control: La información transmitida sobre la red debe<br />
ser objeto de un método de clasificación de la<br />
información<br />
NW4.3.2 Control: El método de clasificación de la información<br />
debe:<br />
a) t<strong>en</strong>er <strong>en</strong> cu<strong>en</strong>ta el impacto pot<strong>en</strong>cial para la empresa<br />
de la pérdida de confid<strong>en</strong>cialidad de la información<br />
b) ser utilizado para determinar distintos niveles de<br />
confid<strong>en</strong>cialidad de la información<br />
NW4.3.3 Control: El método de clasificación de la información<br />
debe ser usado para clasificar:<br />
a) la información almac<strong>en</strong>ada <strong>en</strong> papel (por ejemplo,<br />
contratos, planos y docum<strong>en</strong>tación del sistema,<br />
celebrada <strong>en</strong> forma impresa)<br />
b) la información transmitida a través de la red (por<br />
ejemplo, las transacciones comerciales, financieras, el<br />
diseño de productos detalles de cli<strong>en</strong>tes y archivos)<br />
c) la comunicación electrónica (por ejemplo, correo<br />
electrónico y m<strong>en</strong>sajería instantánea)<br />
Página 191 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
NW4.3.4 Control: Las clasificaciones de la información asociadas<br />
con la red deb<strong>en</strong>:<br />
a) aprobados por un repres<strong>en</strong>tante del negocio<br />
b) revisadas periódicam<strong>en</strong>te y cuando se realizan<br />
cambios a la red<br />
NW4.3.5 Control: Los detalles de clasificación de la información<br />
asociadas con la red deb<strong>en</strong> ser registrados <strong>en</strong>:<br />
a) un inv<strong>en</strong>tario, o equival<strong>en</strong>te (por ejemplo, una base de<br />
datos, software especializado, o <strong>en</strong> papel)<br />
b) acuerdos con los proveedores de servicios (por<br />
ejemplo, acuerdos de nivel de servicio).<br />
NW4.3.6 Control: Los detalles de la clasificación de información<br />
deb<strong>en</strong> incluir:<br />
a) la clasificación de la información (por ejemplo,<br />
altam<strong>en</strong>te secreta, <strong>en</strong> confianza y pública)<br />
b) la id<strong>en</strong>tidad del propietario de la información<br />
c) una breve descripción de la información clasificada<br />
NW4.4 Análisis de riesgos de<br />
información<br />
NW4.4.1 Control: La red debe estar sujeta a un análisis de<br />
riesgos de información desarrollado según las normas y<br />
procedimi<strong>en</strong>tos para análisis de riesgos de la empresa y<br />
utilizando una metodología de análisis de riesgos<br />
NW4.4.2 Control: El análisis de riesgos de información debe<br />
tomar <strong>en</strong> consideración las aplicaciones críticas de<br />
negocio soportadas por la red y los acuerdos de nivel de<br />
servicio asociados<br />
NW4.4.3 Control: El análisis de riesgos debe involucrar:<br />
a) los propietarios de las aplicaciones críticas de negocio<br />
soportadas <strong>en</strong> la red<br />
b) el propietario de la red<br />
c) los especialistas de la red<br />
d) los principales repres<strong>en</strong>tantes de los usuarios<br />
e) un experto <strong>en</strong> análisis de riesgos<br />
f) un especialista <strong>en</strong> seguridad de la información<br />
NW4.4.4 Control: El análisis de riesgos debe determinar los<br />
riesgos evaluando:<br />
a) el nivel del impacto pot<strong>en</strong>cial de las am<strong>en</strong>azas<br />
asociadas con la red<br />
b) las am<strong>en</strong>azas accid<strong>en</strong>tales y deliberadas a la<br />
confid<strong>en</strong>cialidad, integridad y disponibilidad de la<br />
información<br />
c) las vulnerabilidades debidas a defici<strong>en</strong>cias de control<br />
d) las vulnerabilidades debidas a las circunstancias que<br />
aum<strong>en</strong>tan la probabilidad de ocurr<strong>en</strong>cia de un grave<br />
incid<strong>en</strong>te de seguridad de la información<br />
Página 192 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
NW4.4.5 Control: El análisis de riesgos de seguridad de la<br />
información debe t<strong>en</strong>er <strong>en</strong> cu<strong>en</strong>ta:<br />
a) el cumplimi<strong>en</strong>to de requisitos<br />
b) los objetivos de la organización<br />
c) los requisitos de clasificación de la información<br />
d) el análisis de riesgos realizado <strong>en</strong> las instalación de<br />
computación a ser evaluados<br />
e) las características del <strong>en</strong>torno operativo de la<br />
aplicación y las instalaciones de computación y de la red<br />
a ser evaluadas<br />
NW4.4.6 Control: Se deb<strong>en</strong> docum<strong>en</strong>tar los resultados del<br />
análisis de riesgos de información e incluir:<br />
a) una clara id<strong>en</strong>tificación de los principales riesgos<br />
b) una evaluación del impacto pot<strong>en</strong>cial para la empresa<br />
de cada riesgo<br />
c) las recom<strong>en</strong>daciones para las acciones requeridas<br />
para reducir los riesgos a un nivel aceptable.<br />
NW4.4.7 Control: El análisis de riesgos de información debe ser<br />
utilizado para ayudar:<br />
a) a seleccionar los controles de seguridad la<br />
información que reduzcan la probabilidad de ocurr<strong>en</strong>cia<br />
de graves incid<strong>en</strong>tes de seguridad de la información<br />
b) a seleccionar los controles de seguridad de la<br />
información que satisfagan los requisitos de<br />
cumplimi<strong>en</strong>to<br />
c) a determinar los costos de la aplicación de controles<br />
de seguridad<br />
d) a evaluar las fortalezas y debilidades de los controles<br />
de seguridad<br />
e) a id<strong>en</strong>tificar los controles de seguridad especializados<br />
requeridos por la red<br />
NW4.4.8 Control: Los resultados del análisis de riesgos de<br />
información deberían ser:<br />
a) comunicados al dueño de la red y a la dirección<br />
b) aprobados por un repres<strong>en</strong>tante del negocio<br />
NW4.4.9 Control: El análisis de riesgos de Información de la red<br />
debe realizarse periódicam<strong>en</strong>te y antes de introducir<br />
cambios importantes <strong>en</strong> la red<br />
NW4.5 Revisiones de auditoria de<br />
seguridad<br />
NW4.5.1 Control: Las auditorias y revisiones de seguridad de la<br />
red deb<strong>en</strong> ser indep<strong>en</strong>di<strong>en</strong>tes y realizarse<br />
periódicam<strong>en</strong>te<br />
NW4.5.2 Control: Las auditorias y revisiones de seguridad de la<br />
red deb<strong>en</strong>:<br />
a) evaluar los riesgos de negocio asociados con la red<br />
b) considerar los requisitos de seguridad de la<br />
información de las aplicaciones de negocios soportados<br />
por la red<br />
Página 193 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
NW4.5.3 Control: Las auditorias y revisiones de seguridad de la<br />
red deb<strong>en</strong> evaluar la situación de los acuerdos de<br />
seguridad de la información <strong>en</strong> áreas claves (por<br />
ejemplo, la gestión de la red, gestión del tráfico,<br />
operaciones de red y gestión de la seguridad local)<br />
NW4.5.4 Control: Las revisiones y auditorias de seguridad deb<strong>en</strong><br />
ser:<br />
a) acordadas con el propietario de la red<br />
b) definidas <strong>en</strong> su alcance y docum<strong>en</strong>tadas<br />
c) realizadas por personas compet<strong>en</strong>tes y con las el<br />
sufici<strong>en</strong>te conocimi<strong>en</strong>to y habilidades técnicas <strong>en</strong><br />
seguridad de la información<br />
d) llevadas a cabo con frecu<strong>en</strong>cia y <strong>en</strong> profundidad (<strong>en</strong><br />
términos de alcance y magnitud) para garantizar que los<br />
controles de seguridad<br />
funcionan según lo dispuesto<br />
e) c<strong>en</strong>tradas <strong>en</strong> garantizar que los controles son lo<br />
sufici<strong>en</strong>tem<strong>en</strong>te efectivos para reducir los riesgos a<br />
niveles aceptables<br />
f) complem<strong>en</strong>tados por el uso de herrami<strong>en</strong>tas<br />
automatizadas de software<br />
g) validados por las personas compet<strong>en</strong>tes<br />
h) complem<strong>en</strong>tada por revisiones realizados por terceros<br />
indep<strong>en</strong>di<strong>en</strong>tes<br />
NW4.5.5 Control: Las auditorias y revisiones de seguridad deb<strong>en</strong><br />
ser administradas para:<br />
a)acordar con el dueño de la red los requisitos<br />
especiales para las pruebas o rutinas de procesami<strong>en</strong>to<br />
especial<br />
b) restringir el acceso a la red para el equipo de auditoria<br />
c) hacer seguimi<strong>en</strong>to y registro de las actividades del<br />
equipo de auditoria<br />
d) la eliminación de la información copiada para<br />
propósitos de la auditoria tan pronto como ya no sea<br />
necesario<br />
e) la protección de las herrami<strong>en</strong>tas de software<br />
utilizadas <strong>en</strong> la ejecución de las auditorias<br />
f) la protección de docum<strong>en</strong>tos y archivos del sistema<br />
relacionados con la auditoria<br />
NW4.5.6 Control: Las recom<strong>en</strong>daciones resultantes de las<br />
revisiones y auditorias de seguridad de la red deb<strong>en</strong> ser<br />
acordadas con el propietario de la red e informadas a la<br />
dirección<br />
NW5 Redes de voz<br />
NW5.1 Docum<strong>en</strong>tación de las redes de<br />
voz<br />
Página 194 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
NW5.1.1 Control: Se deb<strong>en</strong> establecer normas y procedimi<strong>en</strong>tos<br />
para las redes de voz que cubran:<br />
a) el uso de los teléfonos de la empresa<br />
b) los movimi<strong>en</strong>tos y cambios de los teléfonos de los<br />
usuarios<br />
c) registro y aut<strong>en</strong>ticación de usuarios con acceso al<br />
buzón de voz<br />
d) manejo de llamadas telefónicas am<strong>en</strong>azantes y<br />
abusivas<br />
e) protección del sistema de correo de voz contra el<br />
acceso no autorizado<br />
NW5.1.2 Control: La configuración y ajustes para el intercambio<br />
de teléfonos internos deb<strong>en</strong> ser soportados por<br />
docum<strong>en</strong>tación exacta y completa<br />
NW5.1.3 Control: Teléfonos de cable e inalámbricos deb<strong>en</strong> estar<br />
docum<strong>en</strong>tados <strong>en</strong> un inv<strong>en</strong>tario actualizado<br />
NW5.2 Resili<strong>en</strong>cia de las redes de voz<br />
NW5.2.1 Control: El intercambio telefónico debe t<strong>en</strong>er:<br />
a) sufici<strong>en</strong>te capacidad para hacer fr<strong>en</strong>te a picos de<br />
trabajo<br />
b) las capacidades de expansión y actualización para<br />
hacer fr<strong>en</strong>te a la demanda proyectada<br />
c) las fu<strong>en</strong>tes de alim<strong>en</strong>tación alternativas, como las<br />
baterías para hacer fr<strong>en</strong>te a las breves cortes de <strong>en</strong>ergía<br />
d) un mecanismo de control y de seguimi<strong>en</strong>to capaz de<br />
proporcionar informes sobre estadísticas de uso y el<br />
tráfico<br />
NW5.2.2 Control: El intercambio telefónico debe ser protegido<br />
para:<br />
a) duplicación de los procesadores y tarjetas de función<br />
b) bypass de emerg<strong>en</strong>cia, a fin de que puedan regresar a<br />
las llamadas directas<br />
c) duplicar grupos de intercambio de <strong>línea</strong>s<br />
el acceso a intercambios principales alternos operados<br />
por los proveedores de servicios<br />
f) una fu<strong>en</strong>te de poder capaz de hacer fr<strong>en</strong>te a fallas<br />
prolongadas del suministro eléctrico<br />
NW5.2.3 Control: Se debe asegurar <strong>en</strong> los contratos de<br />
mant<strong>en</strong>imi<strong>en</strong>to la reparación oportuna para los switches<br />
telefónicos, consolas de operador y los teléfonos de<br />
cableado e inalámbricos<br />
NW5.2.4 Control: Los switches críticos y las consolas de<br />
operador debe ser alojados <strong>en</strong> ambi<strong>en</strong>tes físicam<strong>en</strong>te<br />
seguros<br />
NW5.2.5 Control: El cableado telefónico e inalámbrico debe ser<br />
etiquetado y protegido de daño accid<strong>en</strong>tal o<br />
interceptación<br />
Página 195 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
NW5.2.6 Control: Se deb<strong>en</strong> llevar a cabo revisiones para<br />
garantizar que la continuidad de las comunicaciones de<br />
voz esté contempladas <strong>en</strong>:<br />
a) Los planes de conting<strong>en</strong>cia de TI y los acuerdos<br />
relacionados con las instalaciones de TI accesibles por la<br />
red<br />
b) los planes de continuidad del negocio y los acuerdos<br />
asociados con las actividades de negocio apoyadas por<br />
la red<br />
NW5.3 Controles para las redes de voz<br />
NW5.3.1 Control: El acceso a las consolas de operador<br />
asociados con los switches debe ser restringido<br />
mediante el uso de contraseñas las cuales deb<strong>en</strong> ser:<br />
a) cambiados <strong>en</strong> la instalación, para garantizar que las<br />
contraseñas por defecto establecidas por el proveedor<br />
no pued<strong>en</strong> ser explotadas por<br />
personas no autorizadas<br />
b) aplicados a los puertos de acceso utilizado para el<br />
diagnóstico remoto<br />
NW5.3.2 Control: Los cambios a la configuración de los switches<br />
telefónicos deb<strong>en</strong> ser realizadas por personas<br />
autorizadas<br />
NW5.3.3 Control: Los patrones de uso del teléfono deb<strong>en</strong> ser<br />
monitoreados para determinar lo adecuado de la<br />
capacidad de la c<strong>en</strong>tral telefónica y los requisitos de<br />
personal para evitar sobrecargas del operador<br />
NW5.3.4 Control: Las facturas para las redes de voz facturas<br />
deb<strong>en</strong> ser inspeccionadas para id<strong>en</strong>tificar patrones<br />
inusuales de uso lo que puede indicar fraude<br />
comportami<strong>en</strong>to impropio<br />
NW5.4 Redes de voz sobre IP<br />
NW5.4.1 Control: Se deb<strong>en</strong> establecer y docum<strong>en</strong>tar normas y<br />
procedimi<strong>en</strong>tos para las redes de VoIP, que:<br />
a) cubran los controles g<strong>en</strong>erales de la red para VoIP<br />
b) Incluyan controles específicos para VoIP (por<br />
ejemplo, la separación de tráfico de voz utilizando redes<br />
virtuales de área local (LAN), el asegurami<strong>en</strong>to de<br />
dispositivos de VoIP, tales como teléfonos IP, IP PBX y<br />
routers, redes de exploración de vulnerabilidades de<br />
VoIP, <strong>en</strong>criptación<br />
s<strong>en</strong>sibles del tráfico de VoIP, VoIP y monitoreo a<br />
registros de ev<strong>en</strong>tos de VoIP<br />
c) prohíban el uso no autorizado de la tecnología VoIP<br />
(por ejemplo, las conexiones no autorizadas a los<br />
servicios de VoIP externos, tales<br />
como Skype, utilizando un software telefónico)<br />
Página 196 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
NW5.4.2 Control: Los controles g<strong>en</strong>erales para la seguridad de<br />
VoIP deb<strong>en</strong> incluir:<br />
a) el monitoreo del ancho de banda utilizando<br />
herrami<strong>en</strong>tas que son capaces de reconocer el tráfico de<br />
VoIP<br />
b) instalar los compon<strong>en</strong>tes de la red para proporcionar<br />
resist<strong>en</strong>cia y redundancia<br />
c) implem<strong>en</strong>tar firewalls que pued<strong>en</strong> filtrar el tráfico de<br />
VoIP<br />
d) restringir el acceso a la red VoIP a dispositivos<br />
autorizados<br />
NW5.4.3 Control: Los controles específicos de VoIP deb<strong>en</strong> incluir:<br />
a) la separación de tráfico de voz utilizando redes<br />
virtuales de área local (VLAN)<br />
b) el asegurami<strong>en</strong>to de los dispositivos de VoIP (por<br />
ejemplo, teléfonos IP, IP PBX y routers)<br />
c) la exploración de vulnerabilidades de redes VoIP<br />
d) la <strong>en</strong>criptación de tráfico VoIP s<strong>en</strong>sitivo<br />
e) el monitoreo de los registros de ev<strong>en</strong>tos de VoIP<br />
Tabla 17: Controles de seguridad recom<strong>en</strong>dados para las <strong>en</strong>tidades del Grupo 3.<br />
Página 197 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
6.6. Metodología de Clasificación y Control de Activos.<br />
La consultoría elaboró el docum<strong>en</strong>to Metodología de Clasificación de Activos, ver docum<strong>en</strong>to “Entregable 3<br />
- Anexo 1: Metodología de Clasificación de Activos”, el cual puede ser adoptado por las <strong>en</strong>tidades<br />
proveedoras de servicios para la Estrategia de <strong>Gobierno</strong> <strong>en</strong> Línea.<br />
6.7. Enfoque para la Gestión del Riesgo.<br />
La gestión del riesgo es un proceso fundam<strong>en</strong>tal <strong>en</strong> todo el ciclo de gestión de la seguridad de la<br />
información. Las <strong>en</strong>tidades del estado, mediante la implantación del sistema integrado de gestión y control<br />
han logrado mejorar el proceso. Por lo tanto, cada <strong>en</strong>tidad puede aplicar la metodología que ti<strong>en</strong>e<br />
establecida. La consultoría sin embargo, elaboró una Metodología de Gestión de Riesgos propuesta, ver<br />
docum<strong>en</strong>to “Entregable 4 - Anexo 2: Metodología de Gestión del riesgo”, el cual puede ser utilizado por las<br />
<strong>en</strong>tidades que lo requieran.<br />
6.8. Recom<strong>en</strong>daciones G<strong>en</strong>erales para la Gestión de Continuidad del Negocio.<br />
Asegurar la continuidad de los servicios de <strong>Gobierno</strong> <strong>en</strong> Línea es un requerimi<strong>en</strong>to del pres<strong>en</strong>te Modelo de<br />
seguridad SGSI, por lo tanto, la consultoría elaboró una Guía para la Gestión de Continuidad del Negocio,<br />
ver docum<strong>en</strong>to “Entregable 4 - Anexo 3: recom<strong>en</strong>daciones g<strong>en</strong>erales continuidad negocio para las<br />
<strong>en</strong>tidades del estado”. Adicionalm<strong>en</strong>te, el ICONTEC g<strong>en</strong>eró la guía técnica GTC 176, Sistema de Gestión<br />
de Continuidad del Negocio, para establecer, implem<strong>en</strong>tar, operar, hacer seguimi<strong>en</strong>to, revisar, mant<strong>en</strong>er y<br />
mejorar, un sistema de gestión de la continuidad del negocio (SGCN). Estas guías se constituy<strong>en</strong> <strong>en</strong> apoyo<br />
y consejo para asegurar la continuidad de los servicios y trámites de <strong>Gobierno</strong> <strong>en</strong> Línea <strong>en</strong> las <strong>en</strong>tidades<br />
públicas y privadas.<br />
6.9. Definición del Sistema de Gestión Docum<strong>en</strong>tal<br />
Para ori<strong>en</strong>tar a las <strong>en</strong>tidades <strong>en</strong> la implem<strong>en</strong>tación de la gestión docum<strong>en</strong>tal para el Modelo de seguridad<br />
de la información SGSI, se elaboró el sigui<strong>en</strong>te cuadro resum<strong>en</strong>, basado <strong>en</strong> los requisitos de<br />
docum<strong>en</strong>tación de la Norma Técnica Colombiana NTC-ISO/IEC 27001 y de la Norma Técnica de Calidad<br />
para la Gestión Pública NTCGP 1000:2004:<br />
Página 198 de 207
La docum<strong>en</strong>tación del Modelo SGSI debe incluir:<br />
• El alcance del SGSI<br />
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
CONTENIDO <strong>DE</strong>L SGSI<br />
• La declaración docum<strong>en</strong>tada de la política y objetivos del SGSI<br />
• Los procedimi<strong>en</strong>tos y controles que apoyan el SGSI<br />
• La descripción de la metodología de evaluación de riesgos<br />
• El informe de evaluación de riesgos resultante de aplicar la metodología de evaluación de riesgos a<br />
los activos de información de los servicios de <strong>Gobierno</strong> <strong>en</strong> Línea<br />
• El plan de tratami<strong>en</strong>to de riesgos<br />
• Los registros del SGSI (t<strong>en</strong>er <strong>en</strong> cu<strong>en</strong>ta el requisito 4.2.4 de la norma NTCGP 1000:2004)<br />
• La declaración de aplicabilidad (SOA) que conti<strong>en</strong>e los objetivos de control y los controles<br />
contemplados por el SGSI, basado <strong>en</strong> los resultados de los procesos de evaluación y tratami<strong>en</strong>to<br />
de riesgos, justificando inclusiones y exclusiones.<br />
CONTROL <strong>DE</strong> DOCUMENTOS<br />
Se debe establecer un procedimi<strong>en</strong>to que defina las acciones de gestión necesarias para:<br />
• Aprobar los docum<strong>en</strong>tos antes de su publicación.<br />
• Revisar y actualizar los docum<strong>en</strong>tos cuando sea necesario y aprobarlos nuevam<strong>en</strong>te.<br />
• Asegurar que se id<strong>en</strong>tifican los cambios y el estado de revisión actual de los docum<strong>en</strong>tos.<br />
• Asegurar que las versiones más reci<strong>en</strong>tes de los docum<strong>en</strong>tos pertin<strong>en</strong>tes están disponibles <strong>en</strong> los<br />
puntos de uso.<br />
Página 199 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
• Asegurar que los docum<strong>en</strong>tos permanec<strong>en</strong> legibles y fácilm<strong>en</strong>te id<strong>en</strong>tificables.<br />
• Asegurar que los docum<strong>en</strong>tos estén disponibles para qui<strong>en</strong>es los necesit<strong>en</strong> y que se apliqu<strong>en</strong> los<br />
procedimi<strong>en</strong>tos pertin<strong>en</strong>tes de acuerdo con su clasificación, para su transfer<strong>en</strong>cia, almac<strong>en</strong>ami<strong>en</strong>to<br />
y disposición final.<br />
• Asegurar que los docum<strong>en</strong>tos de orig<strong>en</strong> externo estén id<strong>en</strong>tificados.<br />
• Asegurar que la distribución de docum<strong>en</strong>tos esté controlada.<br />
• Prev<strong>en</strong>ir el uso no int<strong>en</strong>cionado de docum<strong>en</strong>tos obsoletos y aplicarles una id<strong>en</strong>tificación adecuada<br />
<strong>en</strong> el caso de que se mant<strong>en</strong>gan por cualquier razón.<br />
• Id<strong>en</strong>tificar e implem<strong>en</strong>tar las disposiciones legales aplicables sobre el control de docum<strong>en</strong>tos (Ley<br />
594 de 2000).<br />
CONTROL <strong>DE</strong> REGISTROS<br />
Se deb<strong>en</strong> controlar los registros de acuerdo con los sigui<strong>en</strong>tes requisitos:<br />
• Los registros deb<strong>en</strong> establecerse y mant<strong>en</strong>erse para proporcionar evid<strong>en</strong>cia de la conformidad con<br />
los requisitos así como de la operación eficaz, efici<strong>en</strong>te y efectiva del SGSI<br />
• Los registros deb<strong>en</strong> permanecer legibles, fácilm<strong>en</strong>te id<strong>en</strong>tificables y recuperables.<br />
• Se debe establecer un procedimi<strong>en</strong>to docum<strong>en</strong>tado para la id<strong>en</strong>tificación, almac<strong>en</strong>ami<strong>en</strong>to,<br />
protección, recuperación, tiempo de ret<strong>en</strong>ción y disposición de los registros acorde con las<br />
disposiciones legales vig<strong>en</strong>tes sobre la materia, por ejemplo, la Ley 594 de 2000.<br />
• Se deb<strong>en</strong> llevar registros del desempeño de los procesos, y de todos los casos de incid<strong>en</strong>tes de<br />
seguridad significativos relacionados con el SGSI.<br />
Página 200 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
6.10. Recom<strong>en</strong>daciones para la Implem<strong>en</strong>tación del Modelo de Seguridad de la<br />
Información<br />
Para una efectiva implem<strong>en</strong>tación del modelo de seguridad de la información para la Estrategia de<br />
<strong>Gobierno</strong> <strong>en</strong> Línea, se recomi<strong>en</strong>da t<strong>en</strong>er <strong>en</strong> cu<strong>en</strong>ta los sigui<strong>en</strong>tes factores críticos de éxito que plantea la<br />
norma ISO27002, los cuales son aplicables para este contexto y se pres<strong>en</strong>tan a continuación:<br />
6.10.1. Apoyo por parte de la Alta Dirección<br />
La Alta Dirección de la <strong>en</strong>tidad es quién debe liderar el proceso de implantación y mejora continua del SGSI<br />
<strong>en</strong> cada <strong>en</strong>tidad. T<strong>en</strong>i<strong>en</strong>do <strong>en</strong> cu<strong>en</strong>ta que los riesgos que se int<strong>en</strong>tan minimizar mediante un SGSI son, <strong>en</strong><br />
primera instancia, riesgos para el negocio, es la Alta Dirección qui<strong>en</strong> debe tomar decisiones sobre estos y<br />
su tratami<strong>en</strong>to o aceptación. Además, la implantación del modelo SGSI implicará cambios de m<strong>en</strong>talidad,<br />
de s<strong>en</strong>sibilización, de procedimi<strong>en</strong>tos y planes de acción a corto, mediano y largo plazo. La Alta Dirección<br />
es la única responsable de apoyar y facilitar la implem<strong>en</strong>tación, gestión y mejora del Modelo SGSI <strong>en</strong> la<br />
<strong>en</strong>tidad.<br />
Sin el apoyo decidido de la Alta Dirección, no es posible la implantación exitosa del Modelo de Seguridad<br />
de la Información para la Estrategia de <strong>Gobierno</strong> <strong>en</strong> Línea <strong>en</strong> la <strong>en</strong>tidad.<br />
6.10.2. Compromiso de la Alta Dirección<br />
La Alta Dirección de cada <strong>en</strong>tidad debe comprometerse con el establecimi<strong>en</strong>to, implem<strong>en</strong>tación,<br />
operación, monitoreo, revisión, mant<strong>en</strong>imi<strong>en</strong>to y mejora del modelo SGSI propuesto. Para ello, debe tomar<br />
las sigui<strong>en</strong>tes iniciativas:<br />
• Establecer y apoyar la política de seguridad de la información.<br />
• Asegurarse de que se establec<strong>en</strong> objetivos y planes del SGSI <strong>en</strong> su <strong>en</strong>tidad.<br />
• Establecer roles y responsabilidades de seguridad de la información.<br />
• Comunicar a la organización tanto la importancia de lograr los objetivos de seguridad de la<br />
información y de cumplir con la política de seguridad, como sus responsabilidades legales,<br />
contractuales y la necesidad de mejora continua.<br />
• Asignar sufici<strong>en</strong>tes recursos al Modelo SGSI <strong>en</strong> todas sus fases.<br />
• Decidir los criterios de aceptación de riesgos y sus correspondi<strong>en</strong>tes niveles.<br />
Página 201 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
• Asegurar que se realizan auditorias internas (seguimi<strong>en</strong>to) y externas (autoridades de vigilancia y<br />
control).<br />
• Realizar revisiones periódicas al Modelo SGSI.<br />
• Asignación de recursos: Para el correcto desarrollo de todas las actividades relacionadas con<br />
el Modelo SGSI, es imprescindible la asignación de recursos. Es responsabilidad de la alta<br />
dirección garantizar que se asignan los sufici<strong>en</strong>tes para:<br />
o Establecer, implem<strong>en</strong>tar, operar, monitorear, revisar, mant<strong>en</strong>er y mejorar el Modelo SGSI.<br />
o Garantizar que los procedimi<strong>en</strong>tos de seguridad de la información apoyan los requerimi<strong>en</strong>tos<br />
de seguridad para la Estrategia de <strong>Gobierno</strong> <strong>en</strong> Línea.<br />
o Id<strong>en</strong>tificar y tratar todos los requerimi<strong>en</strong>tos legales y normativos, así como las obligaciones<br />
contractuales de seguridad.<br />
o Aplicar correctam<strong>en</strong>te todos los controles implem<strong>en</strong>tados, mant<strong>en</strong>i<strong>en</strong>do de esa forma la<br />
seguridad adecuada.<br />
o Realizar revisiones cuando sea necesario y actuar adecuadam<strong>en</strong>te según los resultados de<br />
las mismas.<br />
o Mejorar la eficacia del SGSI donde sea necesario.<br />
6.10.3. Formación y s<strong>en</strong>sibilización<br />
La formación y la s<strong>en</strong>sibilización <strong>en</strong> seguridad de la información son elem<strong>en</strong>tos básicos para el<br />
éxito del Modelo SGSI para la Estrategia de <strong>Gobierno</strong> <strong>en</strong> Línea. Por ello, la alta dirección de cada<br />
<strong>en</strong>tidad deberá asegurar que todo el personal de su organización, al que se le asign<strong>en</strong><br />
responsabilidades definidas <strong>en</strong> el Modelo SGSI, esté sufici<strong>en</strong>tem<strong>en</strong>te capacitado y culturizado. Se deberá:<br />
• Determinar las compet<strong>en</strong>cias necesarias para el personal que realiza tareas <strong>en</strong> la implem<strong>en</strong>tación<br />
del Modelo SGSI.<br />
• Satisfacer dichas necesidades por medio de formación o de otras acciones como, p. ej.,<br />
contratación de personal ya capacitado.<br />
• Evaluar la eficacia de las acciones realizadas.<br />
• Mant<strong>en</strong>er registros de estudios, formación, habilidades, experi<strong>en</strong>cia y calificación. Además, la alta<br />
dirección debe asegurar que todo el personal relevante esté s<strong>en</strong>sibilizado de la importancia de<br />
Página 202 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
sus actividades para la seguridad de la información y de cómo contribuye a la consecución de<br />
los objetivos del Modelo SGSI y por <strong>en</strong>de, a los de la organización.<br />
6.10.4. Revisión (Auditorias) del SGSI<br />
A la alta dirección de la organización se le asigna también la tarea de, al m<strong>en</strong>os una vez al año, revisar el<br />
Modelo SGSI, para asegurar que continúe si<strong>en</strong>do adecuado y eficaz y demuestre evolución. Para ello, debe<br />
recibir una serie de informaciones, que le ayud<strong>en</strong> a tomar decisiones, <strong>en</strong>tre las que se pued<strong>en</strong> <strong>en</strong>umerar:<br />
• Resultados de auditorias y revisiones del Modelo SGSI.<br />
• Observaciones de las partes interesadas.<br />
• Técnicas, productos o procedimi<strong>en</strong>tos que pudieran ser útiles para mejorar el r<strong>en</strong>dimi<strong>en</strong>to y eficacia<br />
del SGSI.<br />
• Información sobre el estado de acciones prev<strong>en</strong>tivas y correctivas.<br />
• Vulnerabilidades o am<strong>en</strong>azas que no fueran tratadas adecuadam<strong>en</strong>te <strong>en</strong> evaluaciones de riesgos<br />
anteriores.<br />
• Resultados de las mediciones de eficacia / métricas de seguridad.<br />
• Estado de las acciones iniciadas a raíz de revisiones anteriores de la alta dirección.<br />
• Cualquier cambio que pueda afectar al SGSI.<br />
• Recom<strong>en</strong>daciones de mejora.<br />
Basándose <strong>en</strong> toda esta información, la alta dirección debe revisar el cumplimi<strong>en</strong>to actual del Modelo<br />
SGSI y tomar decisiones y acciones relativas a:<br />
• Mejora de la eficacia del SGSI –mejora de la madurez de los controles.<br />
• Actualización de la evaluación de riesgos y del plan de tratami<strong>en</strong>to de riesgos.<br />
• Modificación de los procedimi<strong>en</strong>tos y controles que afect<strong>en</strong> a la seguridad de la información, <strong>en</strong><br />
respuesta a cambios internos o externos <strong>en</strong> los requisitos normativos, requerimi<strong>en</strong>tos de seguridad,<br />
procesos de negocio, marco legal, obligaciones contractuales, niveles de riesgo y criterios de<br />
aceptación de riesgos.<br />
Página 203 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
• Necesidades de recursos, implem<strong>en</strong>tación de controles recom<strong>en</strong>dados.<br />
• Apoyar la implem<strong>en</strong>tación del plan de acción.<br />
• Disponer de políticas, objetivos y actividades de seguridad que reflej<strong>en</strong> la función misional de las<br />
<strong>en</strong>tidades.<br />
• Disponer de un <strong>en</strong>foque y un marco de trabajo para implem<strong>en</strong>tar, mant<strong>en</strong>er, monitorear y mejorar<br />
la seguridad de la información, que sean consist<strong>en</strong>tes con la cultura de la organización. Apoyarse<br />
<strong>en</strong> el software de auto-evaluación para id<strong>en</strong>tificar aspectos por mejorar.<br />
• Asegurar soporte y compromiso visibles <strong>en</strong> toda la organización.<br />
• Asegurar un bu<strong>en</strong> <strong>en</strong>t<strong>en</strong>dimi<strong>en</strong>to de los requisitos de seguridad de la información apoyándose <strong>en</strong><br />
metodologías para gestión de riesgos. Las <strong>en</strong>tidades del estado dispon<strong>en</strong> de la Guía de<br />
Administración de Riesgos del DAFP. Existe la norma técnica NTC 5244 Gestión del riesgo.<br />
Adicionalm<strong>en</strong>te, la pres<strong>en</strong>te consultoría pone a disposición el docum<strong>en</strong>to: “Entregable 4, Anexo 2:<br />
Metodología de gestión del riesgo”. En el docum<strong>en</strong>to “Diagnóstico de la Situación Actual” se<br />
id<strong>en</strong>tifican otros docum<strong>en</strong>tos que se relacionan con la gestión de riesgos.<br />
• Realizar un mercadeo eficaz de la seguridad de la información para todos los directores, empleados<br />
y otras partes para lograr la s<strong>en</strong>sibilización adecuada.<br />
• Distribuir guías sobre la política y las normas de seguridad de la información para todos los<br />
directores, empleados y otras partes.<br />
• Obt<strong>en</strong>er provisión de fondos para las actividades de gestión de seguridad de la información.<br />
• Mant<strong>en</strong>er programas continuos y adecuados de formación, educación y s<strong>en</strong>sibilización. Apoyarse <strong>en</strong><br />
el material de capacitación y s<strong>en</strong>sibilización <strong>en</strong>tregado por la pres<strong>en</strong>te consultoría (ver docum<strong>en</strong>to<br />
“Capacitación y s<strong>en</strong>sibilización para el Modelo de Seguridad”.<br />
• Establecer un proceso eficaz para la gestión de incid<strong>en</strong>tes de seguridad de la información. Se<br />
dispone de la guía técnica GTC 169 Gestión de Incid<strong>en</strong>tes de Seguridad de la Información. Así<br />
mismo, apoyarse <strong>en</strong> el CSIRT para una efectiva respuesta a incid<strong>en</strong>tes (ver docum<strong>en</strong>to “Diseño de<br />
un CSIRT Colombiano”).<br />
• Implem<strong>en</strong>tar un sistema de medición para evaluar el desempeño <strong>en</strong> la gestión de seguridad de la<br />
información y retroalim<strong>en</strong>tar suger<strong>en</strong>cias para la mejora. Apoyarse <strong>en</strong> el software de autoevaluación,<br />
así como <strong>en</strong> guías internacionales tales como el docum<strong>en</strong>to NIST SP 800-55<br />
Performance Measuring Guide For Information Security.<br />
Por otra parte, la implem<strong>en</strong>tación de la seguridad de la información <strong>en</strong> los servicios de <strong>Gobierno</strong> <strong>en</strong><br />
Línea requiere que se contempl<strong>en</strong> los requisitos de seguridad desde la fase de inicio de la concepción<br />
Página 204 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
del servicio. Se recomi<strong>en</strong>da t<strong>en</strong>er <strong>en</strong> cu<strong>en</strong>ta los sigui<strong>en</strong>tes pasos, adoptados del docum<strong>en</strong>to e-<br />
Governm<strong>en</strong>t Strategy Framework Policy and Guidelines 19 :<br />
• Desarrollo del concepto del servicio. Se id<strong>en</strong>tifican los elem<strong>en</strong>tos claves del servicio y cómo se<br />
va a prestar el servicio. Se id<strong>en</strong>tifican los dominios de seguridad que intervi<strong>en</strong><strong>en</strong> <strong>en</strong> la prestación<br />
del servicio (dominio del cli<strong>en</strong>te, dominio de los servicio de <strong>Gobierno</strong> <strong>en</strong> Línea, dominio del<br />
prestador de servicios de Internet, etc.). Se id<strong>en</strong>tifican los requisitos de seguridad para el servicio<br />
basado <strong>en</strong> un análisis y evaluación de riesgos. Se evalúa si el concepto de servicio es posible desde<br />
la perspectiva de seguridad. Se considera qué tan bi<strong>en</strong> trabajará el servicio con otros servicios de<br />
<strong>Gobierno</strong> <strong>en</strong> Línea.<br />
• Especificación de los requisitos del servicio y revisión del cumplimi<strong>en</strong>to. La revisión<br />
detallada de los requisitos de seguridad se realiza paralelam<strong>en</strong>te con el desarrollo y revisión de las<br />
especificaciones del servicio. Esta fase incluye un exam<strong>en</strong> detallado de la información y la<br />
prestación de servicios activos, y un análisis de las am<strong>en</strong>azas y las vulnerabilidades. Los niveles de<br />
riesgo se determinan mediante la evaluación del impacto de am<strong>en</strong>azas tales como: la apropiación<br />
indebida de id<strong>en</strong>tidad del mundo real 20 ; la apropiación indebida de id<strong>en</strong>tidad electrónica 21 o<br />
cred<strong>en</strong>ciales de acceso; el incumplimi<strong>en</strong>to de los compromisos contraídos; la divulgación de<br />
información privada; las fallas accid<strong>en</strong>tales del servicio y / o de infraestructura; un ataque<br />
electrónico malicioso o involuntario. Se deb<strong>en</strong> incluir requisitos para la ret<strong>en</strong>ción y almac<strong>en</strong>ami<strong>en</strong>to<br />
seguro de la información y cumplimi<strong>en</strong>to de reglam<strong>en</strong>tación vig<strong>en</strong>te.<br />
• Diseño, implem<strong>en</strong>tación y pruebas del servicio. El diseño, la implem<strong>en</strong>tación y prueba de los<br />
requisitos de seguridad se realiza paralelam<strong>en</strong>te al diseño, implem<strong>en</strong>tación y prueba del servicio. El<br />
diseño de la seguridad debe t<strong>en</strong>er <strong>en</strong> cu<strong>en</strong>ta la mitigación de riesgos seleccionando los controles<br />
más apropiados, limitando la arquitectura de manera que cubra sólo los servicios requeridos, se<br />
evalúe el riesgo residual y se consider<strong>en</strong> más controles hasta que el riesgo residual sea aceptable.<br />
La implem<strong>en</strong>tación del servicio incluye: el desarrollo y configuración de las medidas de seguridad, el<br />
establecimi<strong>en</strong>to de los procesos de seguridad para el funcionami<strong>en</strong>to y la gestión del servicio<br />
incluy<strong>en</strong>do la auditoria y r<strong>en</strong>dición de cu<strong>en</strong>tas, el desarrollo y aprobación de la docum<strong>en</strong>tación de<br />
seguridad, la elaboración y aprobación de las guías para el manejo de la información asociada con<br />
el servicio específico, el desarrollo de declaraciones de seguridad y consejo para los cli<strong>en</strong>tes del<br />
19 http://www.govtalk.gov.uk/policydocs/policydocs_docum<strong>en</strong>t.asp?docnum=649 último acceso 08/12/05<br />
20 Id<strong>en</strong>tidad del mundo real: conjunto de atributos (nombre, fecha de nacimi<strong>en</strong>to, cedula de ciudadanía) que permite id<strong>en</strong>tificación única <strong>en</strong>tre usuarios.<br />
21 Id<strong>en</strong>tidad electrónica: conjunto de atributos (nombre de usuario, id<strong>en</strong>tificador de certificado digital) que id<strong>en</strong>tifica a un único usuario <strong>en</strong> un sistema de<br />
computador.<br />
Página 205 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
servicio. Las pruebas de seguridad incluy<strong>en</strong> la comprobación de que la configuración del sistema es<br />
compatible con la política de seguridad.<br />
• Aceptación del servicio. Paralelo a la aceptación del servicio se realiza una acreditación de<br />
seguridad.<br />
• Prestación del servicio. Se debe garantizar la fiabilidad y disponibilidad del servicio <strong>en</strong> el<br />
mant<strong>en</strong>imi<strong>en</strong>to rutinario del software. Se deb<strong>en</strong> realizar auditorias periódicas para evaluar la<br />
efectividad de los controles e implem<strong>en</strong>tar las mejoras solicitadas. Se debe garantizar que se t<strong>en</strong>ga<br />
<strong>en</strong> cu<strong>en</strong>ta la seguridad <strong>en</strong> los cambios increm<strong>en</strong>tales <strong>en</strong> el servicio.<br />
• Cierre del servicio. Se debe asegurar que los activos de información se transfier<strong>en</strong> a un nuevo<br />
servicio o se destruy<strong>en</strong> o se almac<strong>en</strong>an de forma segura de conformidad con las políticas<br />
específicas del servicio.<br />
Página 206 de 207
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
Página 207 de 207<br />
7. ANEXOS