Académique Documents
Professionnel Documents
Culture Documents
Directrices
Seguridad de la
informacin
Modelo de Gestin de Documentos y
Administracin de Archivos (MGD) para la
Red de transparencia y Acceso a la
Informacin (RTA)
Versin: 1.0
Fecha: diciembre de 2014
Coordinadores
Beatriz Franco Espio
Ricard Prez Alczar
Equipo
Blanca Desantes Fernndez
Francisco Fernndez Cuesta
Javier Requejo Zalama
De los textos: sus autores
Este documento se encuentra en fase borrador. Ni la RTA ni los autores se hacen responsables de un
mal uso de esta informacin
Modelo de Gestin de Documentos y Administracin de Archivos (MGD) para la Red de Transparencia y Acceso a la
Informacin (RTA)
MODELO DE GESTIN DE
DOCUMENTOS Y ADMINISTRACIN
DE ARCHIVOS
G01/G
POLTICA DE
GESTIN DE
DOCUMENTOS
Y ARCHIVOS
G02/G
GOBIERNO
ABIERTO Y
TRANSPARENCIA
G07/O
G04/O
G03/G
ADMINISTRACIN
ELECTRNICA
CONTROL
INTELECTUAL Y
REPRESENTACIN
G05/O
VALORACIN
G06/O
CONTROL DE
ACCESO
CONTROL
FSICO Y
CONSERVACIN
G08/0
GUA DE
SERVICIOS DE
ARCHIVO
G03/D01/G. INTEROPERABILIDAD
G03/D03/G. ADMINISTRACIN DE
DOCUMENTOS ELECTRNICOS
Modelo de Gestin de Documentos y Administracin de Archivos (MGD) para la Red de Transparencia y Acceso a la
Informacin (RTA)
1. Presentacin y objetivos
1.1. Finalidad
1.2. Alcance y contenido
1.3. Documentos relacionados
2. Concepto de seguridad de la informacin
3. Principios de la seguridad de la informacin
4. Poltica integral de seguridad
4.1.
Poltica de seguridad
4.2.
4.3.
4.4.
4.5.
Cumplimiento
4.6.
Gestin de activos
4.7.
4.8.
Control de acceso
4.9.
4.10.
4.11.
Glosario
6.2.
Referencias y bibliografa
Modelo de Gestin de Documentos y Administracin de Archivos (MGD) para la Red de Transparencia y Acceso a la
Informacin (RTA)
Presentacin y objetivos
1.1. Finalidad
Poltica de seguridad
Tctico
Fsica
Legal
Aspectos organizativos de la
seguridad de la informacin
Estratgico
Gestin de activos
Control de accesos
Cumplimiento
Operativo
Desarrollo y mantenimiento
de sistemas
Gestin de comunicaciones y
operaciones
Gestin de la continuidad
del negocio
VILLALN HUERTA, A. 2004. Cdigos de buenas prcticas de seguridad. UNE-ISO/IEC 17799. Disponible en:
http://www.shutdown.es/ISO17799.pdf
De este modo, tras una relacin de los principios bsicos que afectan a la seguridad de la
informacin, las entradas del captulo dedicado a la Poltica de seguridad respetarn en su
estructura las clusulas contempladas en la norme ISO/IEC27002:2013, a saber:
Poltica de seguridad
Aspectos organizativos de la seguridad de la informacin
Gestin de activos
Seguridad ligada a los recursos humanos
Seguridad fsica y ambiental
Gestin de comunicaciones y operaciones
Modelo de Gestin de Documentos y Administracin de Archivos (MGD) para la Red de Transparencia y Acceso a la
Informacin (RTA)
Control de acceso
Adquisicin, desarrollo y mantenimiento de los sistemas de informacin
Gestin de incidentes de seguridad de la informacin
Gestin de la continuidad del negocio
Cumplimiento
2.
G03/G
Administracin electrnica
G03/D01/G
Interoperabilidad
G03/D03/G
Ante la imparable y necesaria interconexin, los sistemas y las redes de informacin presentan
una mayor vulnerabilidad. Su exposicin a una gran variedad de amenazas urge a la resolucin
de nuevos retos en el campo de la seguridad de la informacin. Se hace necesaria una mayor
concienciacin y comprensin de todos los aspectos relacionados con dicha seguridad, que se
deben conformar como premisas para una cultura de la seguridad.
Junto a la interoperabilidad, la seguridad adquiere un rol crtico en el marco de una
administracin electrnica, al deber soportar derechos como el de la garanta de la seguridad y
la confidencialidad de los datos contenidos en ficheros, sistemas y aplicaciones.
En el contexto de la administracin electrnica, la seguridad de la informacin se
define como aquella capacidad de las redes o de los sistemas de informacin para
resistir, manteniendo un adecuado nivel de confianza, los accidentes o las
acciones ilcitas o malintencionadas que comprometan la disponibilidad, la
autenticidad, la integridad y la confidencialidad de los datos almacenados o
transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen
accesibles.
3.
Modelo de Gestin de Documentos y Administracin de Archivos (MGD) para la Red de Transparencia y Acceso a la
Informacin (RTA)
Modelo de Gestin de Documentos y Administracin de Archivos (MGD) para la Red de Transparencia y Acceso a la
Informacin (RTA)
Permetro de seguridad fsica. Protegen las reas que contienen informacin y medios
de tratamiento de informacin. La proteccin fsica se conseguir creando barreras
fsicas alrededor de los locales. Los permetros tendrn, entre otras, las siguientes
caractersticas: definicin, solidez fsica, control fsico de acceso, salidas de emergencia
con alarma.
Controles de ingreso fsico. Permiso de ingreso slo a personal autorizado, con control
horario, limitaciones a salas con informacin sensible, uso de acreditaciones y
actualizacin de permisos.
Seguridad de oficinas y medios. Especial diseo de los lugares con especial control del
acceso.
Proteccin contra amenazas externas e internas. Proteccin contra daos motivados
por el fuego, inundaciones, terremotos, explosiones, revueltas u otros desastres
naturales o causados por el hombre.
reas de acceso pblico, entrega y carga. Control de los puntos de acceso donde
transiten personas externas a la organizacin, para evitar su acceso a zonas no
autorizadas.
Modelo de Gestin de Documentos y Administracin de Archivos (MGD) para la Red de Transparencia y Acceso a la
Informacin (RTA)
10
4.5. Cumplimiento
Este apartado recuerda la necesidad del cumplimiento del marco normativo y de todo
requisito de seguridad que en l est implcito. En esta misma lnea de legalidad, la
organizacin tender a optimizar esta efectividad a travs del recurso de una auditora sobre
las infraestructuras y las aplicaciones.
Modelo de Gestin de Documentos y Administracin de Archivos (MGD) para la Red de Transparencia y Acceso a la
Informacin (RTA)
11
Modelo de Gestin de Documentos y Administracin de Archivos (MGD) para la Red de Transparencia y Acceso a la
Informacin (RTA)
12
Requisitos del negocio para el control del acceso. Garanta del acceso a la
informacin. Los requisitos de la organizacin marcarn y sern la base del acceso a la
informacin. Las pautas de control del acceso respetarn la poltica de divulgacin del
propio organismo.
Gestin del acceso de los usuarios. Garanta de un acceso autorizado a los sistemas de
informacin y control ante el acceso no autorizado. Cabrn procedimientos formales
Modelo de Gestin de Documentos y Administracin de Archivos (MGD) para la Red de Transparencia y Acceso a la
Informacin (RTA)
13
para controlar los derechos de acceso. Dichos procedimientos abarcarn todo el ciclo
del acceso, desde el registro de nuevos usuarios hasta el borrado de aqullos que ya
no requieren acceso. Se tender a minimizar el acceso restringido a la informacin
confidencial.
Responsabilidades del usuario. Garanta de control ante accesos no autorizados y
vigilancia ante el peligro que corre la informacin en su tratamiento. Cabr concienciar
a los usuarios autorizados de lo importante de su cooperacin en la consolidacin de la
seguridad de la informacin. Los usuarios deben ser responsables parciales de la
efectividad de los controles, por ejemplo mediante el correcto uso de sus claves
secretas, personales e intransferibles, y una correcta atencin de los equipos.
Control de acceso de red. Garanta de control ante el acceso no autorizado a los
servicios de las redes, internas y externas. El acceso autorizado a las redes no
comprometer la seguridad de los servicios, por lo que se vigilar la:
a. Existencia de interfaces apropiadas
b. Aplicacin de mecanismos de autenticacin adecuados
c. Obligacin del control de acceso del usuario a la informacin
Control de acceso del sistema operativo. Garanta de control ante el acceso no
autorizado a los sistemas operativos. Se considerar el uso de medios de seguridad
para restringir el acceso a usuarios no autorizados. Estos medios deben ser capaces de:
a. Autenticacin de usuarios autorizados, segn poltica de control de acceso
definida.
b. Registro de intentos, fallidos y exitosos, de autenticacin del sistema.
c. Registro del uso de privilegios especiales del sistema.
d. Emisin de alarmas ante la violacin de las polticas de seguridad del sistema.
e. Proporcionar los medios de autenticacin apropiados.
f. Restriccin, en su caso, del tiempo de conexin de los usuarios.
Control de acceso a las aplicaciones y a la informacin. Garanta de control ante
accesos no autorizados a la informacin de las aplicaciones. Se considerar el uso de
medios de seguridad para la restriccin del acceso a la informacin y a las aplicaciones.
Las aplicaciones debern estar capacitadas para:
a. Control del acceso del usuario a la informacin y a las aplicaciones, segn la
poltica de control de acceso definida.
b. Proporcionar proteccin ante accesos no autorizados al software del sistema
de operacin y de software malicioso que supere los controles del sistema.
c. No comprometer a otros sistemas con los que se comparten recursos.
Teletrabajo y movilidad. Garanta de la seguridad de la informacin ante el uso de
medios mviles. La proteccin ser proporcional al riesgo de estos modos de trabajo,
como puedan ser los ambientes desprotegidos, en el caso de la movilidad, y la
proteccin especfica del lugar, en el caso del teletrabajo.
Modelo de Gestin de Documentos y Administracin de Archivos (MGD) para la Red de Transparencia y Acceso a la
Informacin (RTA)
14
Modelo de Gestin de Documentos y Administracin de Archivos (MGD) para la Red de Transparencia y Acceso a la
Informacin (RTA)
15
Modelo de Gestin de Documentos y Administracin de Archivos (MGD) para la Red de Transparencia y Acceso a la
Informacin (RTA)
16
5.
Este cuadro identifica aquellos compromisos establecidos en las lneas de actuacin de la Gua
de Implementacin de Administracin electrnica y unas recomendaciones sobre cmo
cumplir con los mismos.
El nmero representado es el mismo con el que se identifica dicho compromiso en la Gua de
Implementacin.
N
Compromisos
4.1
Adoptar una poltica de seguridad de Elaborar, los equipos directivos, una poltica
la informacin
de seguridad de la informacin
Publicar y difundir en la organizacin un
documento que defina el marco de aplicacin
Revisar y actualizar el documento, en
bsqueda de su mayor idoneidad, eficiencia y
efectividad
4.2
4.3
Modelo de Gestin de Documentos y Administracin de Archivos (MGD) para la Red de Transparencia y Acceso a la
Informacin (RTA)
17
Compromisos
4.4
4.5
4.6
Gestionar los activos como medio Identificar y gestionar los activos mediante el
para
cobrar
responsabilidad mantenimiento de unos controles adecuados:
mediante una proteccin que incluya
- Identificar los activos y documentar
la identificacin de los propietarios;
su importancia
tambin
para
asegurar
la
- Velar por su correcta clasificacin y
clasificacin,
segn
un
nivel
definir y revisar sus restricciones
adecuado de proteccin
- Seguir unas pautas en el uso
Modelo de Gestin de Documentos y Administracin de Archivos (MGD) para la Red de Transparencia y Acceso a la
Informacin (RTA)
18
Compromisos
4.7
Modelo de Gestin de Documentos y Administracin de Archivos (MGD) para la Red de Transparencia y Acceso a la
Informacin (RTA)
19
Compromisos
4.8
4.9
4.10
Modelo de Gestin de Documentos y Administracin de Archivos (MGD) para la Red de Transparencia y Acceso a la
Informacin (RTA)
20
N
4.11
Compromisos
Implementar un plan de continuidad
del negocio que responda a la
interrupcin de sus actividades y
proteja sus procesos crticos,
garantizando
una
pronta
reanudacin de sus funciones
21
Modelo de Gestin de Documentos y Administracin de Archivos (MGD) para la Red de Transparencia y Acceso a la
Informacin (RTA)
Trminos y referencias
6.1. Glosario
Activo de informacin: cualquier recurso de informacin o datos con valor para el desarrollo
de las funciones de una organizacin, que puede ser comprendido y tratado como una nica
unidad a efectos de gestin, uso, proteccin e intercambio. Aunque puede designar piezas
aisladas de informacin (una imagen incluida en un documento, un registro de una base de
datos), suele emplearse para identificar y tratar conjuntos de informacin o datos, como
agrupaciones documentales, bases de datos, sitios web, colecciones de metadatos En el
mbito de la seguridad de la informacin se emplea tambin para designar el hardware y
software utilizado para su procesamiento o almacenamiento, los servicios utilizados para su
transmisin o recepcin y las herramientas y/o utilidades para el desarrollo y soporte de
sistemas de informacin.
Amenaza: causa potencial de un incidente no deseado, que puede provocar dao a un sistema
o a una organizacin.
Autenticacin: situacin en la cual se puede verificar que un documento ha sido elaborado (o
pertenece) a quien el documento dice. Aplicado a la verificacin de la identidad de un usuario,
la autenticacin se produce cuando el usuario puede verificar que es quien dice ser y, por ello,
pasa a ser considerado un usuario autorizado.
Control: medio para gestionar un riesgo, incluyendo polticas, procedimientos, lineamientos,
prcticas o estructuras de la organizacin, que pueden ser tcnicas, de gestin o naturaleza
legal. Tambin puede ser sinnimo de salvaguarda.
Medios de tratamiento de la informacin: cualquier sistema, servicio o infraestructura de
tratamiento de la informacin, o bien los locales fsicos donde se alojan.
No repudio: servicio de seguridad, estrechamente relacionado con la autenticacin, que
permite probar la participacin de las partes en una comunicacin. La diferencia esencial con
la autenticacin es que la primera se produce entre las partes que establecen la comunicacin
y el servicio de no repudio se produce frente a un tercero, de este modo, existirn dos
posibilidades: no repudio en origen y no repudio en destino. Si la autenticidad prueba quin es
el autor de un documento y cul es su destinatario, el no repudio prueba que el autor envi la
comunicacin (vase No repudio en origen) y que el destinatario la recibi (vase No repudio
en destino).
No repudio en destino: servicio de seguridad mediante el cual el receptor no puede negar que
recibi el mensaje porque el emisor tiene pruebas de la recepcin. Este servicio proporciona al
emisor la prueba de que el destinatario legtimo de un envo, realmente lo recibi, evitando
que el receptor lo niegue posteriormente. En este caso la prueba irrefutable la crea el receptor
y la recibe el emisor.
No repudio en origen: servicio de seguridad mediante el cual el emisor no puede negar que
envo porque el destinatario tiene pruebas del envo, el receptor recibe una prueba
infalsificable del origen del envo, lo cual evita que el emisor, de negar tal envo, tenga xito
Modelo de Gestin de Documentos y Administracin de Archivos (MGD) para la Red de Transparencia y Acceso a la
Informacin (RTA)
22
23
24
Modelo de Gestin de Documentos y Administracin de Archivos (MGD) para la Red de Transparencia y Acceso a la
Informacin (RTA)