Download - Preguntas Frecuentes del PMG-SSI
Red de Expertos PMG - SSl 07-Julio-2010 / Pág. 1 de 13
PREGUNTAS FRECUENTES PMG-SSI
Contenido 1) TEMA: DOMINIOS DE SEGURIDAD DE LA INFORMACIÓN .............................................................. 3
¿De qué se trata el Dominio: Política de Seguridad? ..................................................................... 3
¿En qué consiste el Dominio: Seguridad Organizacional? ............................................................. 3
¿Cuál es el objetivo del Dominio: Clasificación, Control y Etiquetado de Bienes? ........................ 3
¿De qué manera se puede abordar el dominio “clasificación, control y etiquetado de bienes”,
en circunstancias de que los activos de información son muchos?............................................... 4
¿En qué consiste el Dominio: Seguridad del Personal? ................................................................. 4
Respecto a la generación, transmisión, recepción, procesamiento y almacenamiento de
documentos electrónicos ¿cuál es el alcance? ¿sólo XML? .......................................................... 5
¿De qué se trata el Dominio: Seguridad Física y del Ambiente?.................................................... 5
¿Cuál es el objetivo del Dominio: Gestión de las Operaciones y Comunicaciones? ...................... 5
Para los efectos de reducir el riesgo de negligencia o mal uso deliberado de los sistemas,
deberán aplicarse políticas de segregación de funciones. ¿Basta con crear perfiles y usuarios
desde Informática para que los usuarios –en general- no pueden aumentar sus derechos de
acceso? ........................................................................................................................................... 6
¿A qué se refiere cuando se habla de controles adicionales para la verificación de mensajes
(contexto de correo) que no se pueden autenticar? ..................................................................... 6
¿De qué se trata el Dominio: Control de Acceso? .......................................................................... 7
¿Se debiera perseguir que todos los sistemas informáticos cuenten con identificadores? ¿Cuál
es el límite a esto y con qué criterio debemos establecerlo? ........................................................ 8
¿Qué se sugiere para la entrega de identificadores temporales? ................................................. 8
¿Para qué se debe hacer el catastro del equipamiento que permita la reproducción, distribución
o transmisión masiva de información, y de las personas con privilegios de acceso a ellos? ........ 8
¿En qué consiste el Dominio: Desarrollo y Mantenimiento de Sistemas de Información? ........... 8
Si una institución no tiene un Departamento u otro tipo de Unidad de Desarrollo, ¿debe evaluar
las brechas respecto a desarrollo y mantención de sistemas? ...................................................... 9
¿Cuál es el objetivo del Dominio: Gestión de la Continuidad del Negocio? .................................. 9
2) TEMA: ASISTENCIA TÉCNICA EN EL PMG SSI ................................................................................ 10
Red de Expertos PMG - SSl 07-Julio-2010 / Pág. 2 de 13
¿Cuál es el programa de trabajo del PMG SSI? ............................................................................ 10
¿Quiénes son los validadores del PMG SSI? ................................................................................. 10
¿Cómo acceder a los requisitos técnicos del PMG SSI? ............................................................... 10
¿Cómo puedo saber en qué etapa estoy en el PMG SSI? ............................................................ 10
3) TEMA: DIAGNÓSTICO DEL PMG SSI.............................................................................................. 10
¿Qué procesos se deben incorporar en el diagnóstico? .............................................................. 10
¿La definición de criticidad se realiza por procesos o por áreas dentro de la Institución? ......... 11
¿Cómo se incorporan los activos de información en papel? ....................................................... 11
En la nueva versión de la Matriz de Diagnostico (al 14 de junio), los párrafos marcados en
negrilla no aparecen bloqueados y además se suman a la fórmula de cálculo del nivel de
cumplimiento de cada dominio, junto con sus sub-categorías. ¿Se deben diagnosticar esos
párrafos? ...................................................................................................................................... 11
4) TEMA: MARCO LEGAL DEL PMG SSI ............................................................................................. 12
¿Cómo se compatibiliza el PMG SSI con la Ley de Transparencia? .............................................. 12
¿Cómo se incorpora el DS 26 en el diagnóstico del dominio “etiquetado de bienes”, si éste ya se
encuentra obsoleto con la Ley 20.285? ....................................................................................... 12
5) TEMA: ROLES Y FUNCIONES EN EL SSI ......................................................................................... 13
¿Cuál es el perfil del encargado del PMG SSI? ............................................................................. 13
¿Cuál es el rol del Auditor Interno? ............................................................................................. 13
Red de Expertos PMG - SSl 07-Julio-2010 / Pág. 3 de 13
1) TEMA: DOMINIOS DE SEGURIDAD DE LA INFORMACIÓN
¿De qué se trata el Dominio: Política de Seguridad?
Este dominio consiste en proporcionar a la institución, la dirección y soporte para la seguridad de
la información en concordancia con los requerimientos institucionales y las leyes y regulaciones
pertinentes.
La alta dirección debe establecer claramente el enfoque de la política en línea con los objetivos
institucionales y demostrar su apoyo y su compromiso con la seguridad de la información, a través
de la emisión y mantenimiento de un documento de Política General de Seguridad de la
Información en toda la organización.
Volver al índice
¿En qué consiste el Dominio: Seguridad Organizacional?
La finalidad de este dominio es establecer un marco referencial a nivel directivo para iniciar y
controlar la implementación de la seguridad de la información dentro de la institución.
La dirección debe aprobar la política de seguridad de la información, asignar los roles de seguridad a los comités y designar al encargado de seguridad mediante una resolución, el cual debe coordinar y revisar la implementación de la seguridad en toda la institución. Si fuese necesario, se debe establecer una fuente de consultoría sobre seguridad de la
información que esté disponible dentro de la institución.
Se deben desarrollar contactos con los especialistas o grupos de seguridad externos, incluyendo
las autoridades relevantes, para mantenerse actualizado con relación a las tendencias mundiales,
monitorear los estándares, evaluar los métodos y proporcionar vínculos adecuados para el
manejo de los incidentes de seguridad de la información. Se debe fomentar un enfoque
multidisciplinario para la seguridad de la información.
Volver al índice
¿Cuál es el objetivo del Dominio: Clasificación, Control y Etiquetado de
Bienes?
El objetivo de este dominio es lograr y mantener una apropiada protección de los activos
institucionales. Todos los activos deben ser inventariados y contar con un propietario nombrado.
Los propietarios deben identificar todos los activos y deben asignar la responsabilidad por el
mantenimiento de los controles apropiados. La implementación de controles específicos puede
ser delegada por el propietario conforme sea apropiado, pero el propietario sigue siendo
responsable por la protección de los activos.
Red de Expertos PMG - SSl 07-Julio-2010 / Pág. 4 de 13
Adicionalmente se debe asegurar que la información reciba un nivel de protección adecuado. La
información debe ser clasificada para indicar la necesidad, prioridades y grado de protección
esperado en su manejo.
La información puede ser pública o secreta –también se denomina “reservada”- (Ley 20.285), y
contar con diferentes grados de importancia. Algunos activos pueden requerir un nivel de
protección adicional o manejo especial dependiendo de su criticidad y riesgo. Se debe utilizar un
esquema de clasificación de información para definir un conjunto apropiado de niveles de
protección y comunicar la necesidad de medidas de uso especiales.
Volver al índice
¿De qué manera se puede abordar el dominio “clasificación, control y
etiquetado de bienes”, en circunstancias de que los activos de información
son muchos?
Para definir el alcance sobre el cual se aplicará el diagnóstico de este dominio se debe considerar
qué activos de información intervienen en los procesos de provisión de productos institucionales
y que, por lo tanto, permiten que se cumpla la misión del Servicio. También puede haber
procesos de apoyo que sean críticos para “el negocio”, los cuales se deberán incluir. Sobre esos
activos habrá que aplicar la clasificación que plantea la Ley 20.285 (de transparencia), entre
documentos públicos y secretos.
Volver al índice
¿En qué consiste el Dominio: Seguridad del Personal?
Lo que busca este dominio es que antes de la contratación, se debe asegurar que los empleados,
contratistas y terceros entiendan sus responsabilidades, y sean idóneos para los roles para los
cuales son considerados; y reducir el riesgo de robo, fraude y mal uso de los medios.
Las responsabilidades de seguridad deben ser tratadas antes de la contratación en descripciones
de trabajo adecuadas y en los términos y condiciones del empleo.
Los empleados, contratistas y terceros usuarios de los medios de procesamiento de la
información deben firmar un acuerdo sobre sus roles y responsabilidades con relación a la
seguridad.
Durante las labores se debe asegurar que los usuarios empleados, contratistas y terceras personas
estén al tanto de las amenazas e inquietudes de la seguridad de la información, sus
responsabilidades y obligaciones, y estén equipadas para apoyar la política de seguridad
organizacional en el curso de su trabajo normal, y reducir el riesgo de error humano e incidentes
de seguridad.
Se debe proporcionar a todos los usuarios, empleados, contratistas y terceras personas un nivel
adecuado de conocimiento, educación y capacitación en procedimientos de seguridad y uso
correcto de los medios de procesamiento, activos y servicios de información para minimizar los
Red de Expertos PMG - SSl 07-Julio-2010 / Pág. 5 de 13
posibles riesgos de seguridad. Se debe establecer un proceso disciplinario normal para manejar
las fallas en la seguridad.
Volver al índice
Respecto a la generación, transmisión, recepción, procesamiento y
almacenamiento de documentos electrónicos ¿cuál es el alcance? ¿sólo
XML?
No. Se debe entender la frase refiriendo a los “activos de información” en general. Cuando
hablamos de seguridad del personal, es de TODO el personal; en caso de que haya personas que
manejan activos de información clasificados como “secretos”, se les deberá instruir respecto del
manejo de esta información específica. Este dominio se relaciona con el de “clasificación, control
y etiquetado de activos de información”.
Volver al índice
¿De qué se trata el Dominio: Seguridad Física y del Ambiente?
Este dominio consiste en prevenir el acceso no autorizado, daño e interferencia a las
instalaciones de la institución y a la información.
Los equipos de procesamiento de información crítica o sensible de la institución se deben
mantener en áreas seguras, protegidos por un perímetro de seguridad definido, con barreras
apropiadas de seguridad y controles de entrada. Éstos deben estar físicamente protegidos del
acceso no autorizado, daño e interferencia.
Es necesaria la protección de los equipos, incluyendo los portátiles usados fuera de las
dependencias, para reducir el riesgo de acceso no autorizado a datos y para prevenir la pérdida o
daño. Se pueden necesitar controles especiales para protegerlos de riesgos o accesos no
autorizados, y salvaguardar las instalaciones de apoyo, tales como el suministro eléctrico y la
infraestructura de cables.
Volver al índice
¿Cuál es el objetivo del Dominio: Gestión de las Operaciones y
Comunicaciones?
El objetivo de este dominio es crear procedimientos y responsabilidades operacionales de
manera de asegurar la operación correcta y segura de los medios de procesamiento de la
información.
Cuando sea pertinente, se debe implementar la segregación de deberes para reducir el riesgo de
negligencia o mal uso deliberado del sistema.
El software y los medios de procesamiento de la información son vulnerables a la introducción de
códigos maliciosos, como virus de cómputo, virus de red, caballos Troyanos y bombas lógicas. Los
Red de Expertos PMG - SSl 07-Julio-2010 / Pág. 6 de 13
usuarios deben estar al tanto de los peligros de los códigos maliciosos. Se deben introducir
controles para evitar, detectar y eliminar los códigos maliciosos y controlar los códigos móviles a
través de antivirus, de manera de proteger la integridad del software y la integración.
Se deben establecer los procedimientos de rutina para implementar la política de respaldo
acordada y la estrategia para tomar copias de respaldo de la data y practicar su restauración
oportuna.
Se debe asegurar la protección de la información que viaja por correo electrónico y su
infraestructura de soporte. La gestión segura del correo electrónico, requiere de la cuidadosa
consideración de la información que es transmitida, su confidencialidad, implicancias legales,
monitoreo y protección.
También se pueden requerir controles adicionales para proteger la información confidencial que
pasa a través de redes públicas.
Volver al índice
Para los efectos de reducir el riesgo de negligencia o mal uso deliberado de
los sistemas, deberán aplicarse políticas de segregación de funciones.
¿Basta con crear perfiles y usuarios desde Informática para que los usuarios
–en general- no pueden aumentar sus derechos de acceso?
Se debe verificar que en los sistemas sea técnicamente posible reducir este riesgo a través de
perfiles de usuarios y mostrando evidencia de que efectivamente se está utilizando dicho
perfilamiento, es decir, aplicación de controles. De todos modos, los controles no son sólo
informáticos, puesto que se trata de cuestiones que implican la conducta de las personas. Una
alternativa que puede ser admisible es incorporarlo en el reglamento de RRHH o similar con el
cual funcione la Institución.
Volver al índice
¿A qué se refiere cuando se habla de controles adicionales para la
verificación de mensajes (contexto de correo) que no se pueden autenticar?
Está referido al uso de Firma Electrónica Avanzada (FEA). Cabe señalar que el DS 83 se
complementa con la Ley N° 19799, el DS. 181 y el DS 81. No obstante, para la primera etapa de
diagnóstico, este control se puede evidenciar con la restricción del servicio de “relay” dentro de
los servidores de correo electrónico, es decir, que no permitan el ingreso de mensajes no
autenticados.
Volver al índice
Red de Expertos PMG - SSl 07-Julio-2010 / Pág. 7 de 13
¿De qué se trata el Dominio: Control de Acceso?
La finalidad de este dominio es asegurar que el acceso del usuario es debidamente autorizado y
evitar el acceso no autorizado a los sistemas de información. Se deben establecer
procedimientos formales para controlar la asignación de los derechos de acceso a los sistemas y
servicios de información.
Los procedimientos deben abarcar todas las etapas en el ciclo de vida del acceso del usuario,
desde el registro inicial de usuarios nuevos hasta la dada de baja de los usuarios que ya no
requieren acceso a los sistemas y servicios de información. Cuando sea apropiado, se debe
prestar atención especial a la necesidad de controlar la asignación de derechos de acceso
privilegiados, lo que permite a los usuarios superar los controles del sistema.
La cooperación de los usuarios autorizados es esencial para una seguridad efectiva. Los usuarios
deben estar al tanto de sus responsabilidades para mantener controles de acceso efectivos,
particularmente con relación al uso de claves secretas, su no divulgación y la seguridad del equipo
asignado a él.
Se debe implementar una política de escritorio y pantalla limpios para reducir el riesgo de acceso
no autorizado o daño a los papeles y medios de almacenamiento de la información.
Deben implementarse controles efectivos de manera de evitar el acceso no autorizado a los
servicios de la red. Se debe controlar el acceso a los servicios de redes internas y externas.
El acceso del usuario a las redes no debe comprometer la seguridad de los servicios de la red
asegurando:
a) Que existan las interfaces apropiadas entre la red de la institución y las redes de otras
organizaciones, y redes públicas;
b) Se apliquen los mecanismos de autenticación apropiados para los usuarios y el equipo;
c) Que el control del acceso del usuario a la información sea obligatorio.
Se deben utilizar medios de seguridad para restringir el acceso a los sistemas operativos a los
usuarios autorizados. Los medios deben tener la capacidad para:
a) Autenticar a los usuarios autorizados, en concordancia con una política de control de acceso
definida;
b) Registrar los intentos exitosos y fallidos de autenticación del sistema;
c) Registrar el uso de los privilegios especiales del sistema;
d) Emitir alarmas cuando se violan las políticas de seguridad del sistema;
e) Proporcionar los medios de autenticación apropiados;
f) Cuando sea apropiado, restringir el tiempo de conexión de los usuarios.
Volver al índice
Red de Expertos PMG - SSl 07-Julio-2010 / Pág. 8 de 13
¿Se debiera perseguir que todos los sistemas informáticos cuenten con
identificadores? ¿Cuál es el límite a esto y con qué criterio debemos
establecerlo?
Todos los sistemas deben ser evaluados en este aspecto, aunque se debe comenzar por el
negocio, sobre la base de la clasificación realizada a los activos, teniendo en cuenta que para
llegar a abarcarlos todos se tiene un horizonte de tres años.
De todos modos, este dominio se refiere fundamentalmente a los perfiles de acceso a los
sistemas, por lo tanto, adicionalmente se debe considerar las cuentas con altos privilegios
(administradores de red, de servidores, etc.)
Volver al índice
¿Qué se sugiere para la entrega de identificadores temporales?
Primero, en la etapa de diagnóstico se debe declarar la brecha. Como alternativa se plantea el
uso de papel, es decir, la entrega de contraseñas en sobres cerrados con acuse de recibo.
Volver al índice
¿Para qué se debe hacer el catastro del equipamiento que permita la
reproducción, distribución o transmisión masiva de información, y de las
personas con privilegios de acceso a ellos?
Para efectos del diagnóstico interesa conocer la existencia del catastro con la asignación de
responsable para cada equipo (medio de verificación). Apunta a la detección de vulnerabilidades
sobre las cuales habrá que aplicar los controles en el futuro.
Volver al índice
¿En qué consiste el Dominio: Desarrollo y Mantenimiento de Sistemas de
Información?
Aquellas instituciones que desarrollen software internamente o, en su defecto, encarguen su
elaboración a un proveedor calificado, se debe garantizar que la seguridad sea una parte integral
de los sistemas de información y se incluya en la etapa de formulación del software.
Los sistemas de información incluyen sistemas de operación, infraestructura, aplicaciones de
negocio, servicios y aplicaciones desarrolladas por el usuario. El diseño e implementación del
sistema de información que soporta el proceso de negocio puede ser crucial para la seguridad. Se
deben identificar y acordar todos los requerimientos de seguridad antes del desarrollo y/o
implementación de los sistemas de información en la fase de requerimientos de un proyecto; y
deben ser justificados, acordados y documentados como parte de las formalidades para un
sistema de información.
Volver al índice
Red de Expertos PMG - SSl 07-Julio-2010 / Pág. 9 de 13
Si una institución no tiene un Departamento u otro tipo de Unidad de
Desarrollo, ¿debe evaluar las brechas respecto a desarrollo y mantención
de sistemas?
Este dominio aplica siempre y cuando la institución haga desarrollo y mantención, independiente
de si cuenta con una orgánica para ello. En caso de que no lo haga, las brechas se deben
determinar contra los contratos de desarrollo de software. El resultado del análisis podrá ser la
contratación de mejoras sobre los sistemas, en lo que a seguridad se refiere y la aplicación de
estos controles en los nuevos contratos que se realicen.
Volver al índice
¿Cuál es el objetivo del Dominio: Gestión de la Continuidad del Negocio?
El objetivo de este dominio es considerar los aspectos de la seguridad de la información de la
gestión de la continuidad operativa de manera de hacer frente a las interrupciones de las
actividades institucionales y proteger los procesos críticos de los efectos de fallas importantes o
desastres en los sistemas de información y asegurar su reanudación oportuna.
Se debe implementar el proceso de gestión de la continuidad del negocio para minimizar el
impacto sobre la institución y lograr recuperarse de la pérdidas de activos de información (lo cual
puede ser resultado de, por ejemplo, desastres naturales, accidentes, fallas del equipo y acciones
deliberadas) hasta un nivel aceptable a través de una combinación de controles preventivos y de
recuperación. Este proceso debe identificar los procesos institucionales críticos e integrar los
requerimientos de gestión de la seguridad de la información de la continuidad del negocio con
otros requerimientos de continuidad relacionados con aspectos como operaciones, personal,
materiales, transporte y medios.
Las consecuencias de los desastres, fallas en la seguridad, pérdida del servicio y la disponibilidad
del servicio deben estar sujetos a un análisis del impacto en el negocio. Se deben desarrollar e
implementar planes para la continuidad del negocio para asegurar la reanudación oportuna de las
operaciones esenciales. La seguridad de la información debe ser una parte integral del proceso
general de continuidad del negocio, y otros procesos importantes dentro de la organización.
La gestión de la continuidad del negocio debe incluir controles para identificar y reducir los
riesgos, además del proceso general de evaluación de riesgos, debe limitar las consecuencias de
incidentes dañinos y asegurar que esté disponible la información requerida para los procesos
institucionales.
Volver al índice
Red de Expertos PMG - SSl 07-Julio-2010 / Pág. 10 de 13
2) TEMA: ASISTENCIA TÉCNICA EN EL PMG SSI
¿Cuál es el programa de trabajo del PMG SSI?
Incluye un proceso de asistencia técnica desde abril a julio de 2010, luego los servicios deberán
entregar un informe de avance en el mes de julio, al cual la Red de Expertos realizará
observaciones, que se resuelven en un segundo proceso de asistencia técnica, de septiembre a
noviembre. El proceso cierra con la entrega del informe final de validación, en diciembre de 2010.
Más detalles en http://ssi.pmg-gov.cl, sección “Cronograma de Actividades”.
Volver al índice
¿Quiénes son los validadores del PMG SSI?
La Red de Expertos responsable de validar el PMG SSI es la Dirección de Presupuestos del
Ministerio de Hacienda y la Subsecretaría de Interior.
Volver al índice
¿Cómo acceder a los requisitos técnicos del PMG SSI?
Los requisitos técnicos y medios de verificación del PMG SSI están publicados en el sitio
www.dipres.gob.cl, en la documentación general del PMG. Para ahondar de manera específica en
cada requisito y la modalidad de reporte, se debe consultar la Guía Metodológica del PMG SSI,
disponible en http://www.dipres.cl/572/propertyvalue-16887.html. Adicionalmente hay
información complementaria en http://ssi.pmg.gov.cl .
Volver al índice
¿Cómo puedo saber en qué etapa estoy en el PMG SSI?
Debe consultar con el Coordinador del PMG de su servicio. Esta es la persona que coordina todos
los sistemas que componen el PMG, y es quien debe asesorar al Jefe de Servicio respecto de los
compromisos contraídos por su institución.
Volver al índice
3) TEMA: DIAGNÓSTICO DEL PMG SSI
¿Qué procesos se deben incorporar en el diagnóstico?
El diagnóstico debe considerar los procesos de apoyo a la gestión del servicio y los procesos de
negocio. No obstante, hay dominios que están acotados sólo a estos últimos. Estos son los de:
- Clasificación, Control y Etiquetado de Bienes,
- Seguridad Física y del Ambiente, y
- Gestión de la Continuidad del Negocio.
Red de Expertos PMG - SSl 07-Julio-2010 / Pág. 11 de 13
Como paso previo al levantamiento de brechas de estos dominios, se debe definir cuáles de estos
procesos son críticos (porque no podemos abarcar todos y cada uno de ellos), cuestión que se
realiza tomando los procesos de provisión de bienes y servicios definidos en el Sistema de
Planificación y Control de Gestión (ficha A 1). La idea del SSI es que otorguemos mayores niveles
de seguridad a los procesos que tienen más impacto y cuya discontinuidad represente mayores
riesgos para el servicio. Este es el mismo criterio que se ha aplicado en el servicio para priorizar
procesos para el Sistema de Gobierno Electrónico.
Luego de haber levantado las brechas, en las etapas posteriores al diagnóstico, se deben planificar
las mejoras a tales procesos desde el punto de vista de la seguridad, definiendo aquéllas de corto,
mediano y largo plazo. En la medida que tales procesos van mejorando se irá ampliando el
alcance del SSI.
El diagnóstico para el resto de los dominios aborda, además, todos los otros procesos, incluidos
los de apoyo, cuyo levantamiento se ha adelantado a través del Programa Marco Básico y
Avanzado del PMG.
Volver al índice
¿La definición de criticidad se realiza por procesos o por áreas dentro de la
Institución?
Siempre es recomendable que se realice por proceso. Porque habitualmente los procesos críticos
son transversales a las instituciones, es decir, abarcan más de un área, división o departamento.
Este criterio permite abordar cada proceso incluyendo sus fronteras, de inicio y finalización,
facilitando que las mejoras incorporen controles de seguridad en todas las etapas donde se
requiera, y no sólo en aquellas que son responsabilidad de una división o departamento.
Volver al índice
¿Cómo se incorporan los activos de información en papel?
El DS 83 fija su cometido en el documento electrónico. Sin embargo, para efectos de realizar el
diagnóstico del PMG SSI, se recogen los dominios allí señalados, pero se han de aplicar a todos los
soportes de información de los procesos críticos definidos. Esto significa que se debe considerar
la información que circula en papeles (oficios, memos, minutas, fichas, expedientes, etc.),
entendiendo que se trata de activos de información relevantes para tales procesos.
Volver al índice
En la nueva versión de la Matriz de Diagnostico (al 14 de junio), los
párrafos marcados en negrilla no aparecen bloqueados y además se
suman a la fórmula de cálculo del nivel de cumplimiento de cada dominio,
junto con sus sub-categorías. ¿Se deben diagnosticar esos párrafos?
Efectivamente, se hace necesario completar los párrafos que están en negrita, ya que puede
existir el elemento al que se hace mención en esta descripción y, sin embargo, no cumpla con los
requisitos específicos pedido en los numerales o sub-categorías, por ejemplo:
Red de Expertos PMG - SSl 07-Julio-2010 / Pág. 12 de 13
DOMINIO 1: POLITICA DE SEGURIDAD:
Deberá establecerse una política que fije las directrices generales que orienten la materia de
seguridad dentro de cada institución, que refleje claramente el compromiso, apoyo e interés en
el fomento y desarrollo de una cultura de seguridad institucional. La política de seguridad
deberá incluir, como mínimo, lo siguiente:
a) Una definición de seguridad del documento electrónico, sus objetivos globales, alcance e
importancia.
b) La difusión de sus contenidos al interior de la organización.
c) Su reevaluación en forma periódica, a lo menos cada 3 años. Las políticas de seguridad
deberán documentarse y explicitar la periodicidad con que su cumplimiento será revisado.
Explicación:
En este caso, perfectamente podríamos tener una política que fije las directrices generales; que
esté sancionada y difundida, y sin embargo no contenga lo específico en las secciones a), b) y c).
Para este caso, el enunciado en negrita queda como "cumple" y los numerales como "no cumple";
por lo tanto nos orienta que la estrategia preliminar para cerrar la brecha será modificar la
política actual y completarla con los requerimientos.
Lo mismo aplica para el resto de los controles.
Volver al índice
4) TEMA: MARCO LEGAL DEL PMG SSI
¿Cómo se compatibiliza el PMG SSI con la Ley de Transparencia?
El PMG SSI y la Ley de Transparencia son complementarios. Esta normativa exige a los servicios
contar con información fiable y oportuna, lo cual se dificulta cuando no se cuenta con un SSI
adecuado. La definición de que toda la información es pública, salvo las excepciones descritas en
la misma Ley, no debe ser entendida como un obstáculo. La confidencialidad, como atributo a
proteger en el PMG SSI, responde a la necesidad de que la información esté en poder de quien
corresponda para el desarrollo de las funciones respectivas, con la oportunidad e integridad
requerida, y en caso de que la ciudadanía así también la solicite, ésta se entregue sin demoras.
Volver al índice
¿Cómo se incorpora el DS 26 en el diagnóstico del dominio “etiquetado de
bienes”, si éste ya se encuentra obsoleto con la Ley 20.285?
El DS 83, cuyos dominios de seguridad son recogidos en el PMG SSI, en su artículo 13 señala que la
clasificación debe realizarse de conformidad con el DS 26 del año 2001. Efectivamente este
Decreto fue derogado en forma tácita por la reforma constitucional del año 2005,
específicamente en el artículo 8 de la Carta Fundamental, y de manera explícita en el DS 134 del
mismo año.
Red de Expertos PMG - SSl 07-Julio-2010 / Pág. 13 de 13
Con la entrada en vigencia de la Ley 20.285 en el año 2009, la clasificación que se haya dispuesto
con anterioridad para cualquier activo de información queda obsoleta, puesto que dicha Ley
establece que toda la información es pública, salvo excepciones de secreto o reserva. Es decir, no
obstante que el PMG recoge el DS 83, para efectos del dominio “etiquetado de bienes”, el
referente es la Ley 20.285.
Volver al índice
5) TEMA: ROLES Y FUNCIONES EN EL SSI
¿Cuál es el perfil del encargado del PMG SSI?
Para definir este perfil, es importante considerar el tamaño de la institución, así como la
complejidad y cantidad de procesos críticos que deba resguardar.
En términos generales, el Encargado/a del PMG SSI debe ser un profesional cuyo conocimiento de
la institución le permita detectar y comprender las necesidades de la organización en materia de
Seguridad de la Información(SI), e incorporarlas de manera coherente a la estrategia institucional.
Este profesional debe estar capacitado para realizar levantamiento de procesos, visualizando
aquellos aspectos críticos que requieran la incorporación de TIC’s, controlar la gestión de la SI,
sopesar riesgos e integrar las actividades de manera de lograr la eficacia, eficiencia y calidad en la
implementación del Sistema de Seguridad de la Información(SSI), coordinando equipos de trabajo
compuestos por diferentes estamentos del servicio (directivos, RRHH, Informática, gestión de
calidad, equipos jurídicos, auditores, entre otros), comunicando a la autoridad institucional de
forma oportuna sobre las materias en que se requiera su apoyo y -a través de ello- lograr alinear a
los funcionarios de la institución en torno a las políticas y procedimientos del SSI.
Volver al índice
¿Cuál es el rol del Auditor Interno?
El Auditor Interno de cada servicio público adquiere un rol importante dentro de este Sistema.
Este funcionario ha liderado procesos de análisis de riesgo basados en una metodología
transversal a nivel de Gobierno, cuya aplicación también es requerida para el SSI. Este funcionario
deberá participar en la determinación de los riesgos institucionales que representan las
vulnerabilidades en la SI de los procesos críticos, para luego desarrollar auditorías que verifiquen
la reducción y/o eliminación de tales brechas.
Volver al índice
CCM/JZC/FMC