MODELO DE SEGURIDAD - Gobierno en línea.
MODELO DE SEGURIDAD - Gobierno en línea.
MODELO DE SEGURIDAD - Gobierno en línea.
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
del servicio. Se recomi<strong>en</strong>da t<strong>en</strong>er <strong>en</strong> cu<strong>en</strong>ta los sigui<strong>en</strong>tes pasos, adoptados del docum<strong>en</strong>to e-<br />
Governm<strong>en</strong>t Strategy Framework Policy and Guidelines 19 :<br />
• Desarrollo del concepto del servicio. Se id<strong>en</strong>tifican los elem<strong>en</strong>tos claves del servicio y cómo se<br />
va a prestar el servicio. Se id<strong>en</strong>tifican los dominios de seguridad que intervi<strong>en</strong><strong>en</strong> <strong>en</strong> la prestación<br />
del servicio (dominio del cli<strong>en</strong>te, dominio de los servicio de <strong>Gobierno</strong> <strong>en</strong> Línea, dominio del<br />
prestador de servicios de Internet, etc.). Se id<strong>en</strong>tifican los requisitos de seguridad para el servicio<br />
basado <strong>en</strong> un análisis y evaluación de riesgos. Se evalúa si el concepto de servicio es posible desde<br />
la perspectiva de seguridad. Se considera qué tan bi<strong>en</strong> trabajará el servicio con otros servicios de<br />
<strong>Gobierno</strong> <strong>en</strong> Línea.<br />
• Especificación de los requisitos del servicio y revisión del cumplimi<strong>en</strong>to. La revisión<br />
detallada de los requisitos de seguridad se realiza paralelam<strong>en</strong>te con el desarrollo y revisión de las<br />
especificaciones del servicio. Esta fase incluye un exam<strong>en</strong> detallado de la información y la<br />
prestación de servicios activos, y un análisis de las am<strong>en</strong>azas y las vulnerabilidades. Los niveles de<br />
riesgo se determinan mediante la evaluación del impacto de am<strong>en</strong>azas tales como: la apropiación<br />
indebida de id<strong>en</strong>tidad del mundo real 20 ; la apropiación indebida de id<strong>en</strong>tidad electrónica 21 o<br />
cred<strong>en</strong>ciales de acceso; el incumplimi<strong>en</strong>to de los compromisos contraídos; la divulgación de<br />
información privada; las fallas accid<strong>en</strong>tales del servicio y / o de infraestructura; un ataque<br />
electrónico malicioso o involuntario. Se deb<strong>en</strong> incluir requisitos para la ret<strong>en</strong>ción y almac<strong>en</strong>ami<strong>en</strong>to<br />
seguro de la información y cumplimi<strong>en</strong>to de reglam<strong>en</strong>tación vig<strong>en</strong>te.<br />
• Diseño, implem<strong>en</strong>tación y pruebas del servicio. El diseño, la implem<strong>en</strong>tación y prueba de los<br />
requisitos de seguridad se realiza paralelam<strong>en</strong>te al diseño, implem<strong>en</strong>tación y prueba del servicio. El<br />
diseño de la seguridad debe t<strong>en</strong>er <strong>en</strong> cu<strong>en</strong>ta la mitigación de riesgos seleccionando los controles<br />
más apropiados, limitando la arquitectura de manera que cubra sólo los servicios requeridos, se<br />
evalúe el riesgo residual y se consider<strong>en</strong> más controles hasta que el riesgo residual sea aceptable.<br />
La implem<strong>en</strong>tación del servicio incluye: el desarrollo y configuración de las medidas de seguridad, el<br />
establecimi<strong>en</strong>to de los procesos de seguridad para el funcionami<strong>en</strong>to y la gestión del servicio<br />
incluy<strong>en</strong>do la auditoria y r<strong>en</strong>dición de cu<strong>en</strong>tas, el desarrollo y aprobación de la docum<strong>en</strong>tación de<br />
seguridad, la elaboración y aprobación de las guías para el manejo de la información asociada con<br />
el servicio específico, el desarrollo de declaraciones de seguridad y consejo para los cli<strong>en</strong>tes del<br />
19 http://www.govtalk.gov.uk/policydocs/policydocs_docum<strong>en</strong>t.asp?docnum=649 último acceso 08/12/05<br />
20 Id<strong>en</strong>tidad del mundo real: conjunto de atributos (nombre, fecha de nacimi<strong>en</strong>to, cedula de ciudadanía) que permite id<strong>en</strong>tificación única <strong>en</strong>tre usuarios.<br />
21 Id<strong>en</strong>tidad electrónica: conjunto de atributos (nombre de usuario, id<strong>en</strong>tificador de certificado digital) que id<strong>en</strong>tifica a un único usuario <strong>en</strong> un sistema de<br />
computador.<br />
Página 205 de 207