Académique Documents
Professionnel Documents
Culture Documents
Poltica de seguridad
Organizacin de la Seguridad de la Informacin
Gestin de Activos
Seguridad de recursos humanos
Seguridad Fsica y Ambiental
Gestin de las comunicaciones y operaciones
Control de acceso
Adquisicin, desarrollo y mantenimiento de los sistemas de informacin
Gestin de un incidente en la seguridad de la informacin
Gestin de la continuidad del negocio
Cumplimiento
ESTADO DE LA INSTITUCION (DIAGNOSTICO)
% CUMPLIMIENTO
COBERTURA
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
66
Red de Exp
Subsecretara del Interior - Divi
0.00
Poltica de seguridad 0.00
66
Red de Expertos
Subsecretara del Interior - Divisin Informtica
Series1
66
Red de Expertos
Subsecretara del Interior - Divisin Informtica
66
Nombre de la Institucin:
DESCRIPCIN DE PROCESOS
Proceso
Subproceso
Etapa
relevante
Activo
Identificador o
cdigo
Tipo
ANLISIS DE CRITICIDAD
Medio de
Tiempo de
Recuperacin
Confidencialidad
Disposicin
almacenamiento retencin
(criterio)
ANLISIS DE CRITICIDAD
Integridad Disponibilidad Criticidad
Nombre de la Institucin:
IDENTIFICACIN Y ANLISIS DE RIESGOS DE SI
Proceso
Activo
Criticidad
Amenazas
Severidad
Control/es para
mitigar el riesgo (NCH
27001 y DS 83)
NOTA:
De acuerdo a las evidencias que seale la Institucin en este reporte, para los controles declarados como cumplidos, la Red de Expertos le solicitar las evidencias - que estime necesarias para certificar la suficiencia y completitud de ellas para sustentar tal declaracin, en el marco de la Asistencia Tcnica del PMG SSI. Del mismo modo, dichas evidencias deben posibilitar la
realizacin de cualquier otro tipo de revisin o auditora, tanto dentro de la Institucin, como por organismos externos a ella.
Nombre de la Institucin:
PROGRAMA DE TRABAJO
Producto esperado
Difusin/Sensibilizacin
Capacitacin
Responsable de la actividad
Nombre de la Institucin:
Nombre del indicador
Frmula de clculo
Fecha de inicio
de la medicin
Frecuencia de
la medicin
Efectiva a
Efectiva a Octubre
Agosto de 2012
de 2012
(1) Adaptado de: "INSTRUCCIONES PARA LA FORMULACIN PRESUPUESTARIA. FORMULARIO H. INDICADORES DE DESEMPEO AO 2011". Disponible e
(2) Indicadores de gestin en los servicios pblicos. Serie Gua Metodolgica. Santiago de Chile, junio de 1996. Direccin de Presupuestos, citado en "SIS
Disponible en: http://siac.msgg.gob.cl/uploads/f15be81f87_guia_final[1].pdf (30 de Marzo de 2012)
Efectiva a
Diciembre de 2012
Meta
Medios de verificacin
Supuestos
Notas
A continuacin se muestran un conjunto de indicadores que pueden ser utilizados como referencia para la me
Institucional
Dominio al que se vincula
Indicador
Cobertura de las polticas.
Adquisicin/Desarrollo y
12.4 Adopcin y aplicacin de controles de seguridad para los archivos
Mantencin de Sistemas (12.1
de aplicativos y cdigo fuente
al 12.5)
12.5 Existencia y adecuacin de procedimientos formales para el
control de cambios
Efectividad de los procedimientos de gestin de incidentes.
Gestin de Incidentes de SI
(13.1 y 13.2)
Adaptado de ISO27k implementer's forum (www.ISO27001security.com). Est permitida la reproduccin, distribucin, uso y creacin de tra
producto comercial, (b) sean correctamente atribuidos al ISO27k implementers frum (www.ISO27001security.com), y (c) sean comprados
utilizados como referencia para la medicin de la operacin del Sistema de Seguridad de la Informacin
Mtricas asociadas
Porcentaje de los controles de ISO/IEC 27001 aplicables, para los cuales se han escrito,
aprobado y comunicado las polticas.
Porcentaje de centros de responsabilidad que han adoptado las polticas respecto de toda la
organizacin, medido por una auditora, revisin por la direccin o alguna autoevaluacin.
Porcentaje de centros de responsabilidad asociados a procesos de negocio que han
implementado una estrategia para mantener los riesgos de seguridad de la informacin dentro
de los umbrales explcitamente aceptados por la direccin del servicio.
Porcentaje de funcionarios a los que se les han asignado y han aceptado formalmente,
responsabilidades de seguridad de informacin.
Porcentaje de conexiones con terceras partes que han sido identificadas, evaluadas en cuanto a
sus riesgos y consideradas seguras.
Porcentaje de terceros relevantes u otros que han sido formalmente certificados, conforme a
ISO/IEC 27001 u otros estndares de seguridad que sean apropiados.
Nmero de revisiones por la direccin realizadas, respecto de las planificadas.
Nmero de auditoras internas / externas efectivamente realizadas, respecto de las planificadas.
Porcentaje de los activos de informacin analizados en cada fase (inventariados / identificados /
responsables nominados / riesgos evaluados / clasificados).
Porcentaje de los activos de informacin crtica para los que se implement los planes de
tratamiento de riesgos de seguridad de la informacin y se mantuvo estos riesgos dentro de
lmites aceptables.
Porcentaje de los activos de informacin en cada categora de clasificacin (incluyendo una
categora especial: No clasificado an).
Porcentaje del personal nuevo (funcionarios, contratistas, consultores, etc.) que han sido
totalmente investigados y han aprobado, de acuerdo a las polticas de la institucin antes de
comenzar a trabajar.
Porcentaje de identificadores de usuario pertenecientes a personas que han dejado la
organizacin, activos (o con desactivacin pendiente) e inactivos (archivo y eliminacin
pendientes).
Nmero de revisiones peridicas de seguridad fsica de las instalaciones, incluidas las
actualizaciones del estado de avance de las acciones correctivas y preventivas identificadas en
revisiones anteriores.
Mantenimientos a los equipos efectuados en relacin a los planificados.
(Total Mensual Actualizaciones implementadas )/(Total Anual Actualizaciones publicadas)* 100
(Total Mensual de soluciones a vulnerabilidades implementadas )/(Total Anual Vulnerabilidades
detectadas)* 100
(Total Mensual Solicitudes de Cambios )/(Total Anual Formularios de Gestin de Cambios)* 100
Evaluacin de los costos del tiempo de inactividad debido al incumplimiento de los acuerdos de
nivel de servicio.
Evaluacin del rendimiento de proveedores incluyendo la calidad de servicio, entrega y costos
(Proyectos en Planificacin Implementados )/(Total Proyectos Planificados)*100
[Total de Controles ISO NCh 27002 Of.2009 Implementadas actuales /Total de Controles ISO
NCh 27002 Of.2009]*100
(Total de sistemas crticos e importantes respaldados exitosamente)/(Totalidad de sistemas
crticos e importantes)*100
(Total de recuperaciones exitosas de sistemas crticos e importantes)/(Totalidad de sistemas
crticos e importantes respaldados)*100
Evaluacin del N de incidentes de seguridad de red en el mes, categorizados por nivel de
gravedad
Evaluacin de medidas de seguridad adoptadas para la gestin de medios removibles, en cuanto
al almacenamiento, permanencia y eliminacin de informacin contenida en ellos
Tendencia en el nmero de riesgos relacionados con la seguridad de informacin para cada nivel
de severidad.
Gastos de la seguridad de informacin como porcentaje del presupuesto asignado.
Porcentaje de riesgos de seguridad de la informacin a los que se les han aplicado los controles
en forma completa y satisfactoria.
eproduccin, distribucin, uso y creacin de trabajos derivados de este, siempre y cuando (a) no sean vendidos ni incorporados en ningn
.ISO27001security.com), y (c) sean comprados bajo los mismos trminos de ste.
uridad de la Informacin
34
34
1
4 4 bis
4 bis
1
4
1
34
34
4
34
34
34
34
34
34
34
34
34
34
34
34
34
34
34
34
34
34
34
34
34
34
34
4 4 bis
34
4 4 bis
34
4 4 bis
34
4
4
4 y 4 bis
4 y 4 bis
4 y 4 bis
4 y 4 bis
1
4 4 bis
1
4
REF. DS83
(MATRIZ
ANTIGUA)
CONTROL
ISO
DOMINIO
A.5.1.1.Prr.1
Art. 11
AMBITO
CONTROL
REQUISITO/ CONTROL
Poltica de Seguridad
Documento de la poltica
de seguridad de la
informacin
A.5.1.1.Prr.2
Art. 11 a
A.5.1.1.Prr.3
Art. 11 b
A.5.1.1.Prr.4
A.5.1.1.Prr.5
Art. 11 c
A.5.1.2
Priorizados
SI
SI
SI
SI
SI
SI
Art. 12
A.6.1.2
A.6.1.3.Prr.1
A.6.1.3.Prr.2
A.6.1.7
A.6.1.6
A.6.1.4
A.6.1.5
Art. 12 a
Compromiso de la
La direccin debiera apoyar activamente la
direccin con la seguridad seguridad dentro de la organizacin a travs de
de la informacin
una direccin clara, compromiso demostrado,
asignacin explcita del Encargado de Seguridad y
reconociendo las responsabilidades de la
seguridad de la informacin.
Coordinacin de la
Las actividades de la seguridad de la informacin
seguridad de la
debieran ser coordinadas por representantes de
informacin
diferentes partes de la organizacin con roles y
funciones laborales relevantes.
Asignacin de las
responsabilidades de la
seguridad de la
informacin
Art. 12 b
Proceso de autorizacin
para medios de
procesamiento de
informacin.
Acuerdos de
confidencialidad
SI
SI
SI
SI
SI
PMG-SSI
Pg. 44
Organizacin de la S
A.6.1.8
A.6.2.1
A.6.2.2
A.6.2.3
Revisin independiente
de la seguridad de la
informacin
Gestin de Activos
A.7.1.1.Prr.1
Art. 13
A.7.1.1.Prr.2
A.7.1.2
Art. 14
A.7.2.1
Art 13
Lineamientos de
clasificacin
A.7.1.3.Prr.1
Art 15
A.7.1.3.Prr.2
A.7.1.3.Prr.3
A.7.1.3.Prr.4
A.7.2.2
Art. 15
Art. 16
SI
Etiquetado y manejo de la Se debiera desarrollar e implementar un conjunto En el servicio, existen procedimientos de etiquetado y
informacin
apropiado de procedimientos para el etiquetado y manejo de los activos de informacin que consideren dicha
manejo de la informacin en concordancia con el clasificacin?
esquema de clasificacin adoptado por la
institucin.
PMG-SSI
SI
Pg. 45
A.8.1.2
Investigacin de
antecedentes
A.8.1.3
Art. 21
A.8.2.1.Prr.1
A.8.2.1.Prr.2
Art. 20 Letra b
A.8.2.1.Prr.3
A.8.2.1.Prr.4
A.8.2.2
Trminos y condiciones
del empleo
SI
A.8.2.3
Proceso disciplinario
A.8.3.1
Responsabilidades de
termino
A.8.3.2
A.8.3.3
SI
Art. 17
Permetro de seguridad
fsica
A.9.1.2
Art. 17
Controles de ingreso
fsico
A.9.1.3
PMG-SSI
SI
Pg. 46
A.9.1.4.Prr.1
Art. 17
A.9.1.4.Prr.2
Art. 17
Proteccin contra
amenazas externas e
internas
Trabajo en reas
aseguradas
A.9.1.4.Prr.3
A.9.1.4.Prr.4
A.9.1.4.Prr.5
A.9.1.4.Prr.6
Art. 17
A.9.1.5
Art. 17
A.9.1.6
Art. 17
A.9.2.1.Prr.1
Art. 17
A.9.2.1.Prr.2
Art. 18 letra a
A.9.2.1.Prr.3
art 18 letra c
A.9.2.2
Art. 17
A.9.2.3
A.9.2.4
A.9.2.5
A.9.2.6
A.9.2.7
SI
Servicios pblicos de
soporte
SI
SI
SI
A.10.1.2
A.10.1.3
Art. 7 Letra f
Segregacin de los
deberes
PMG-SSI
SI
SI
SI
Pg. 47
A.10.1.4
A.10.2.1
A.10.2.2.Prr.1
A.10.2.2.Prr.2
A.10.2.3
A.10.3.1.Prr.1
Monitoreo y revisin de
los servicios de terceros
A.10.3.1.Prr.2
A.10.3.2.Prr.1
A.10.4.1.Prr.2
A.10.4.2.Prr.1
A.10.4.2.Prr.2
A.10.5.1.Prr.1
Art. 24
Respaldo de informacin
Letra a-b-c-d-ef-g
A.10.5.1.Prr.2
s comunicaciones y operaciones
A.10.6.1
A.10.6.2.Prr.1
SI
Seguridad de los servicios En todo contrato de redes se debieran identificar e En todo contrato de redes, se identifican e incluyen las
de la red
incluir las caractersticas de seguridad, niveles de caractersticas de seguridad?,
servicio y requerimientos de gestin de todos los
servicios de red, ya sea que estos servicios sean
provistos interna o externamente.
PMG-SSI
SI
SI
SI
A.10.3.2.Prr.2
A.10.4.1.Prr.1
SI
SI
SI
SI
SI
Pg. 48
A.10.6.2.Prr.2
A.10.6.2.Prr.3
A.10.7.1
A.10.7.2
A.10.7.3
Art. 15
Letra b
A.10.8.1
Seguridad de la
documentacin del
sistema
Art. 9
Polticas y procedimientos Se debieran establecer polticas, procedimientos y
Art. 10 Letra a de intercambio de
controles de intercambio formales para proteger el
informacin
intercambio de informacin a travs del uso de
todos los tipos de medios de comunicacin.
A.10.8.2
A.10.8.3
A.10.10.1.Prr.2
A.10.10.2.Prr.1 Art. 7
Letra d
A.10.10.2.Prr.2
A.10.10.3
Art. 23
PMG-SSI
SI
SI
SI
Pg. 49
A.10.10.4.Prr.1
Registros del
administrador y operador
A.10.10.4.Prr.2
A.10.10.5.Prr.1
Registro de fallas
A.10.10.5.Prr.2
A.10.10.6
Sincronizacin de relojes
Art. 28
Poltica de control del
Letra a-b-c-d-e- acceso
f-g-h-i-j
A.11.2.1
Art. 27
Art. 28
Art. 29
A.11.2.2
Art. 30
Gestin de privilegios
A.11.2.3
Art. 32
A.11.2.4
Gestin de las
contraseas de los
usuarios
Revisin de los derechos
de acceso del usuario
A.11.3.1
Art. 27
Uso de Contraseas
A.11.3.2
Art. 31
Letra a-b
A.11.3.3.Prr.1
Art. 23
A.11.4.2
Art. 27
A.11.4.3
Art. 33
Letra a
A.11.4.4
Control de acceso
A.11.4.5
A.11.4.6
SI
Existe un procedimiento formal para el registro y desregistro del usuario para otorgar y revocar el acceso a
todos los sistemas y servicios de informacin?
A.11.3.3.Prr.2
A.11.4.1
SI
PMG-SSI
SI
SI
Se debiera controlar el acceso fsico y lgico a los Se controla el acceso fsico y lgico a los puertos de
puertos de diagnstico y configuracin.
diagnstico y configuracin?
Los grupos de servicios de informacin, usuarios y
sistemas de informacin debieran ser segregados
en redes.
Para las redes compartidas, especialmente
aquellas que se extienden a travs de las
fronteras de la institucin, se debiera restringir la
capacidad de los usuarios para conectarse a la
red, en lnea con la poltica de control de acceso y
los requerimientos de las aplicaciones de negocio.
SI
SI
SI
SI
Pg. 50
Control de a
A.11.4.7
Control de routing de la
red
A.11.5.1
Art. 27
Procedimientos para un
registro seguro
A.11.5.2.Prr.1
Art. 27
Identificacin y
autenticacin del usuario
A.11.5.2.Prr.2
A.11.5.3.Prr.1
Art. 27
Sistema de gestin de
contraseas
A.11.5.3.Prr.2
SI
A.11.5.4
A.11.5.5
A.11.5.6
A.11.6.1
A.11.6.2
Aislar el sistema
confidencial
Computacin y
comunicaciones mviles
A.11.7.1
Art. 7
Letra a
Art. 9
A.11.7.2
Tele-trabajo
SI
os sistemas de informacin
10.1.1
A.12.2.1
10.2.1
Anlisis y especificacin
de los requerimientos de
seguridad
A.12.2.2
10.2.2
A.12.2.3.Prr.1
10.2.3
A.12.2.3.Prr.2
A.12.2.4
10.2.4
Validacin de la data de
salida
SI
SI
Pg. 51
A.12.3.1
10.3.1
A.12.3.2
10.3.1.b
Gestin de claves
A.12.4.1
10.4.1
A.12.4.2
10.4.2
A.12.4.3
10.4.3
Control de acceso al
cdigo fuente del
programa
Procedimientos del
control del cambio
A.12.5.1
10.5.1
A.12.5.2
10.5.2
Revisin tcnica de la
aplicacin despus de
cambios en el sistema
A.12.5.3.Prr.1
10.5.3
A.12.5.3.Prr.2
A.12.5.4
10.5.4
Filtracin de informacin
A.12.5.5
10.5.5
A.12.6.1
Se protegen y controlan?
Se restringe el acceso al cdigo fuente del programa?
SI
Se controla la implementacin de los cambios mediante el
uso de procedimientos formales para el control del cambio?
SI
SI
A.13.1.1
A.13.1.2
A.13.2.1
A.13.2.2
PMG-SSI
SI
SI
SI
SI
Pg. 52
Gestin de un inciden
A.13.2.3
SI
A.14.1.1
A.14.1.5
A.15.1.1
Identificacin de la
legislacin aplicable
A.14.1.2.Prr.1
Incluir la seguridad de la
informacin en el proceso
de gestin de continuidad
del negocio
A.14.1.2.Prr.2
Art. 7
Letra d
Art. 8
A.14.1.3
Art. 35
A.14.1.4
SI
El servicio ha identificado los eventos que pueden causar
interrupciones?
Se ha identificado la probabilidad de ocurrencia, el
impacto y consecuencias de dichas interrupciones?
En el servicio, hay planes de continuidad de negocio que
incluyan la seguridad de la informacin (disponibilidad en
nivel y escala de tiempo despus de la falla)?
SI
A.15.1.2
Cumplimiento
A.15.1.3
Art. 22
Letra b
Derechos de propiedad
intelectual (IPR)
Proteccin de registros
institucionales
A.15.1.4
Proteccin de la data y
privacidad de la
informacin personal
A.15.1.5
A.15.1.6
SI
SI
Los controles criptogrficos se debieran utilizar en Los controles criptogrficos, se utilizan en cumplimiento
cumplimiento con todos los acuerdos, leyes y
con todos los acuerdos, leyes y regulaciones relevantes?
regulaciones relevantes.
PMG-SSI
Pg. 53
Cumpli
A.15.2.1
A.15.2.2
Chequeo del
cumplimiento tcnico
Los sistemas de informacin debieran chequearse Los sistemas de informacin, se chequean regularmente
regularmente para ver el cumplimiento de los
para ver el cumplimiento de los estndares de
estndares de implementacin de la seguridad.
implementacin de la seguridad?
A.15.3.1
A.15.3.2
Art. 7
Letra c
PMG-SSI
Pg. 54
Nombre de la Institucin:
Productos esperados
Trmino
Estimado
Real
Desviaciones (das)
Observaciones
Difusin
Capacitacin
Nota: De acuerdo a las evidencias que seale la Institucin en este reporte, para los productos declarados como cumplidos, la Red de Expertos le solicitar las
evidencias - que estime necesarias - para certificar la suficiencia y completitud de ellas para sustentar tal declaracin, en el marco de la Asistencia Tcnica del PMG
SSI. Del mismo modo, dichas evidencias deben posibilitar la realizacin de cualquier otro tipo de revisin o auditora, tanto dentro de la Institucin, como por
organismos externos a ella.
Red de Exp
Subsecretara del Interior - Divi
Poltica de seguridad
Organizacin de la Seguridad de la Informacin
Gestin de Activos
Seguridad de recursos humanos
Seguridad Fsica y Ambiental
Gestin de las comunicaciones y operaciones
Control de acceso
Adquisicin, desarrollo y mantenimiento de los sistemas de informacin
Gestin de un incidente en la seguridad de la informacin
Gestin de la continuidad del negocio
Cumplimiento
ESTADO DE LA INSTITUCION (DIAGNOSTICO)
% CUMPLIMIENTO
COBERTURA
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
66
Red de Exp
Subsecretara del Interior - Divi
0.00
Poltica de seguridad 0.00
66
Red de Expertos
Subsecretara del Interior - Divisin Informtica
Series1
66
Red de Expertos
Subsecretara del Interior - Divisin Informtica
66
Nombre de la Institucin:
Requisitos Tcnicos
Evaluacin de los resultados del Plan General
ntacin
Nombre de la Institucin:
Requisitos Tcnicos
Recomendaciones y medidas de mejoramiento
Compromisos
Plazo
Responsable
Nombre de la Institucin:
Revisiones regulares del SSI
Indicadores y metas
Requisitos Tcnicos
Revisin 1
Revisin 2
Revisin n
Revisin de indicadores y metas
Establecimiento de medidas de mejora
Aprobacin CSI o Direccin
Actualizacin del inventario de activos
Incorporacin a gestin de riesgos institucional
Fecha