DESCR

IPCIÓN Red de Expertos

DE Subsecretaría del Interior - División
CAMP Informática
Dirección de Presupuestos - División Tecnologías de
OS Información

DESCRIPCIÓN DEL

DESCRIPCIÓN DE
ESTADO ACTUAL

(CORTO PLAZO)

RELACIÓN CON
RESPONSABLE

ELECTRÓNICO
COMPLETITUD

ESPECIFICOS
DOCUMENTO

ESTRATEGIA
PRELIMINAR
CATEGORÍA

LA BRECHA

OBJETIVOS

PROYECTO

GOBIERNO
ASIGNADO
ARTICULO

REFERIDO

PRIORIDAD
SISTEMA /
PARRAFO

SUB

DOMINIO DEFINICIÓN

1 2 3 4 5 6 7 8 9 10 11 12
- -

1 En esta columna se agrupan los articulos del DS 83 en los 9 dominios de seguridad de la información que se deben diagnosticar.

2 Texto del articulado extraido del DS 83, que corresponde dentro del dominio, a un concepto o requisito especifico que deberá evaluar en la institución.

3 Espacio habilitado para la evaluación de la institución en relación a cada uno de los dominios descritos en el DS-83 (ver tabla Criterios).

4 Descripción narrativa de cómo se encuentra actualmente la institución en relación a lo descrito en el dominio correspondiente.

5 Descripción de lo que estaría faltando a la institución para poder cumplir con lo solicitado en el dominio de seguridad.

68 Documento(s) que servirá(n) de evidencia y respaldo cuando se declare cumplimiento (completo o parcial) de los requisitos evaluados.

7 Que acciones / iniciativas debería realizar la institución para poder cumplir con la mitigación total de la brecha.

8 Breve descripción de las tareas específicas por las cuales la institución deberá comenzar para cumplir con lo solicitado en el dominio correspondiente.

9 Persona dueño/a de los procesos que señalan los dominios, por tanto, deben ser entrevistados para la realización del diagnóstico. En esta columna se deben
especificar cargos y nombres de los funcionarios que tienen responsabilidad administrativa en los procesos cubiertos por los dominios.

10 Nominación de algún sistema, actividad o proyecto que permita disminuir o mitigar la brecha. Si el sistema o proyecto se está llevando por Gobierno Electrónico,
se debe describir con exacta nomenclatura.

11 Señalar si el sistema o proyecto nombrado está en el Sistema de Gobierno Electrónico del PMG. En esta columna se pueden dar tres situaciones:
El proyecto no incorpora TI (por ejemplo, redactar y firmar la política de SI), se deberá señalar que tal relación no es aplicable.
El proyecto o sistema implica el uso de TI (Sistema web de gestión de información, por ejemplo), sí se debe establecer que existe tal relación. En este
caso el proyecto se deberá gestionar a través del SGE del PMG.
El proyecto utiliza TI pero no implica el desarrollo de un sistema (por ejemplo, instalar y actualizar antivirus), se podrá especificar que no hay relación.

12 Definir la criticidad de la brecha detectada en base a los criterios utilizados en la institución (ver tablas 5 y 6 en la Guía Metodológica).
 DE

OS

12
CAMP

DOMINIO
IPCIÓN
PARRAFO
DESCR

ARTICULO

SUB
CATEGORÍA

DEFINICIÓN

COMPLETITUD

DESCRIPCIÓN DEL
ESTADO ACTUAL

DESCRIPCIÓN DE
LA BRECHA

DOCUMENTO
REFERIDO

ESTRATEGIA
PRELIMINAR

OBJETIVOS
ESPECIFICOS
(CORTO PLAZO)

RESPONSABLE
ASIGNADO

SISTEMA /
PROYECTO

RELACIÓN CON
GOBIERNO
ELECTRÓNICO

PRIORIDAD
Dirección de Presupuestos - División Tecnologías
Red de Expertos

Información
Subsecretaría del Interior - División
Informática
de
 PMG-SSI: RESUMEN - DIAGNOSTICO

DOMINIO COMPLETITUD % CUMPLIMIENTO

Políticas de seguridad 0.00 0.0%
Seguridad organizacional 0.00 0.0%
Clasificación, control y etiquetado de bienes 0.00 0.0%
Seguridad física y del ambiente 0.00 0.0%
Seguridad del personal 0.00 0.0%
Gestión de las operaciones y las comunicaciones 0.00 0.0%
Control de acceso 0.00 0.0%
Desarrollo y mantenimiento de sistemas 0.00 0.0%
Gestión de la continuidad del negocio 0.00 0.0%
ESTADO DE LA INSTITUCION (DIAGNOSTICO) 0.00 0.0%

Estado de la Institución por Dominio (%)

Gestión de la continuidad del negocio0.0%

Desarrollo y mantenimiento de sistemas0.0%

Control de acceso0.0%

Gestión de las operaciones y las comunicaciones0.0%

Seguridad del personal0.0%

Column C

Seguridad física y del ambiente0.0%

Clasificación, control y etiquetado de bienes0.0%

Seguridad organizacional0.0% 22
Programa de mejoramiento de la gestión
Ministerio del Interior
 Desarrollo y mantenimiento de sistemas0.0%

Control de acceso0.0%

Gestión de las operaciones y las comunicaciones0.0%

Seguridad del personal0.0% PMG-SSI: RESUMEN - DIAGNOSTICO

Column C

Seguridad física y del ambiente0.0%

Clasificación, control y etiquetado de bienes0.0%

Seguridad organizacional0.0%

Políticas de seguridad0.0%

0.0% 10.0% 20.0% 30.0% 40.0% 50.0% 60.0% 70.0% 80.0% 90.0%

Programa de mejoramiento de la gestión

22
Ministerio del Interior
 Red de Expertos
Subsecretaría del Interior -
División
Dirección Informática-
de Presupuestos
División Tecnologías de
Información

Column C

Programa de mejoramiento de la gestión

22
Ministerio del Interior
 Column C Red de Expertos
Subsecretaría del Interior -
División
Dirección Informática-
de Presupuestos
División Tecnologías de
Información

70.0% 80.0% 90.0% 100.0%

Programa de mejoramiento de la gestión

22
Ministerio del Interior
 CRITERIOS DE EVALUACIÓN

Subsecretaría del In
División
Dirección Info
de Presup
División Tecnolo
Info

VALOR TIPO DESCRIPCIÓN

0 No cumple La institución no cuenta con procedimientos, sistemas, controles u otro que le permita cumplir con el DS-83.
La institución cuenta con algunos o varios procedimientos, sistemas, controles u otros que le permita cumplir con
1 Cumple Parcial
el DS-83.
2 Cumple La institución cuenta con todos los controles, procedimientos, sistemas u otros requeridos por el DS-83
 Red de Expertos
Subsecretaría del Interior -
División
Dirección Informática-
de Presupuestos
División Tecnologías de
Información
 0
Red de Expertos PMG-SSI 1
Subsecretaria del Interior 2
Direccion de Presupuestos

MATRIZ DE DIAGNÓSTICO CRITERIO

0: No cumple
1: Cumple Parcial
2: Cumple

COMPLETITUD

DESCRIPCIÓN
CATEGORÍA
ARTICULO
PARRAFO

ESTADO
ACTUAL
SUB

DOMINIO DEFINICIÓN

0
Deberá establecerse una política que fije las directrices generales que orienten la materia de seguridad dentro de cada institución, que
Políticas de
seguridad

2 11 - refleje claramente el compromiso, apoyo e interés en el fomento y desarrollo de una cultura de seguridad institucional. La política de
seguridad deberá incluir, como mínimo, lo siguiente:
Una definición de seguridad del documento electrónico (aplicar concepto de "activos de información") , sus objetivos globales, alcance e
2 11 a
importancia.
2 11 b La difusión de sus contenidos al interior de la organización.
Su reevaluación en forma periódica, a lo menos cada 3 años. Las políticas de seguridad deberán documentarse y explicitar la periodicidad con
2 11 c
que su cumplimiento será revisado.
0
En cada organismo regido por esta norma deberá existir un encargado de seguridad, que actuará como asesor del Jefe de Servicio
3 12 -
correspondiente en las materias relativas a seguridad de los documentos electrónicos (aplicar concepto de "activos de información").
organizacional
Seguridad

3 12 - Las funciones específicas que desempeñe internamente el encargado de seguridad serán establecidas en la resolución que lo designe.
En todo caso, deberá tener, a lo menos, las siguientes funciones:
3 12 a Tener a su cargo el desarrollo inicial de las políticas de seguridad al interior de su organización y el control de su implementación, y velar por su
correcta aplicación.
3 12 b Coordinar la respuesta a incidentes computacionales (o aquellos que afecten a los activos de información institucionales).
Establecer puntos de enlace con encargados de seguridad de otros organismos públicos y especialistas externos que le permitan estar al tanto de
3 12 c
las tendencias, normas y métodos de seguridad pertinentes.
0
Los documentos electrónicos y sistemas informáticos (aplicar concepto de "activos de información") deberán clasificarse y etiquetarse
4 13 -
Clasificación, control y etiquetado de

para indicar la necesidad, prioridad y grado de protección.

La clasificación de un sistema informático (o de otro tipo) debe corresponder a la clasificación más estricta aplicable al documento
4 13 - electrónico (aplicar concepto de "activos de información") que almacene o procese, de conformidad con el decreto supremo 26 de 2001,
del Ministerio Secretaría General de la Presidencia (aplicar Ley 20.285)

4 13 - A cada sistema informático (o no informático), deberá asignársele un responsable quien velará por su debida clasificación y etiquetado.

Todo documento electrónico (aplicar concepto de "activos de información") deberá ser asignado, explícita o implícitamente, a un
responsable. En este último caso, el encargado de seguridad deberá proponer quién será responsable por omisión, sea asignando tal
4 14 -
bienes

responsabilidad al usuario que lo crea, sea atribuyéndosela al responsable por el sistema informático (o al dueño del proceso) que lo
generó, u otra modalidad.
Para cada clasificación, el encargado de seguridad deberá proponer los procedimientos de manipulación requeridos para cubrir las
4 15 -
siguientes actividades de procesamiento de un documento electrónico (aplicar concepto de "activos de información"):
4 15 a Copiado
4 15 b Almacenamiento
4 15 c Transmisión por correo electrónico y sistemas protocolarizados de transmisión de datos digitales;
4 15 d Destrucción
La salida desde un sistema de un documento electrónico (aplicar concepto de "activos de información") que está clasificado como reservado o
secreto, deberá tener una etiqueta apropiada de clasificación en la salida.
4 16 - Para estos efectos, deberá considerarse, entre otros, los informes impresos, pantallas de computador, medios magnéticos (cintas, discos, CDs,
cassettes), mensajes electrónicos y transferencia de archivos.
0

PMG - Sistema Seguridad de la Información

22
 0
Red de Expertos PMG-SSI 1
Subsecretaria del Interior 2
Direccion de Presupuestos

MATRIZ DE DIAGNÓSTICO CRITERIO

0: No cumple
1: Cumple Parcial
2: Cumple

COMPLETITUD

DESCRIPCIÓN
CATEGORÍA
ARTICULO
PARRAFO

ESTADO
ACTUAL
SUB

DOMINIO DEFINICIÓN

Los equipos deberán protegerse físicamente de las amenazas de riesgos del ambiente externo, pérdida o daño, incluyendo las
instalaciones de apoyo tales como el suministro eléctrico y la infraestructura de cables.
5 17 -
Seguridad física y del

En particular, la ubicación del equipamiento de la institución deberá minimizar el acceso innecesario a las áreas de trabajo y disminuir
las posibilidades de amenazas de humo y fuego, humedad y agua, inestabilidad en el suministro eléctrico, hurto y robo.

Para los efectos del artículo anterior, cada órgano deberá impartir y publicitar instrucciones relativas a los siguientes aspectos del
5 18 -
ambiente

ambiente externo:
5 18 a Consumo de alimentos, bebidas y tabaco en las cercanías de sistemas informáticos (o no informáticos).
5 18 b Condiciones climatológicas y ambientales que pueden afectar sistemas informáticos (o no informáticos) o entornos cercanos.
5 18 c Promoción de una práctica de escritorio limpio.
Respecto de los documentos electrónicos (aplicar concepto de "activos de información") de la organización clasificados como
5 19 -
reservados o secretos, se aplicarán las siguientes normas de seguridad ambiental:
Deberán almacenarse en áreas seguras, protegidos por un perímetro de seguridad definido, con barreras apropiadas de resguardo y controles de
5 19 a entrada. Estos deberán estar físicamente protegidos del acceso no autorizado, daño e interferencia. La protección provista deberá guardar
relación con los riesgos identificados.
5 19 b Deberán disponerse de manera que se minimicen las posibilidades de percances y descuidos durante su empleo.
0
El Jefe de Servicio deberá impartir instrucciones para la seguridad de los documentos electrónicos y los sistemas informáticos (aplicar
6 20 -
concepto de "activos de información"), respecto de las siguientes materias:
Seguridad del

Uso de sistemas informáticos (u otros activos de información), con énfasis en prohibición de instalación de software no autorizado, documentos y
6 20 a
archivos guardados en el computador (u otros medios físicos).
personal

Uso de la red interna, uso de Internet, uso del correo electrónico, acceso a servicios públicos, recursos compartidos, servicios de mensajería y
6 20 b
comunicación remota, y otros.
Generación, transmisión, recepción, procesamiento y almacenamiento de documentos electrónicos (aplicar concepto de "activos de información").
6 20 c
6 20 d Procedimientos para reportar incidentes de seguridad.
Las responsabilidades de seguridad aplicables al personal deberán ser explicitadas en la etapa de selección e incluirse expresamente en los
6 21 -
decretos o resoluciones de nombramiento o en las contrataciones respectivas.
0
Deberán explicitarse y difundirse los siguientes antecedentes e información:
7 22 a
Los contactos de apoyo ante dificultades técnicas u operacionales inesperadas de sistemas informáticos;
7 22 b Las exigencias relativas al cumplimiento con las licencias de software y la prohibición del uso de software no autorizado;
Las buenas prácticas para protegerse de los riesgos asociados a la obtención de archivos y software a través de las redes de telecomunicaciones,
7 22 c
o por otros medios, indicando qué medidas de protección se deberán aplicar.
Para los efectos de reducir el riesgo de negligencia o mal uso deliberado de los sistemas, deberán aplicarse políticas de segregación de
7 23 -
funciones.
Asimismo, deberán documentarse los procedimientos de operación de sistemas informáticos (o no informáticos) e incorporarse
7 23 - mecanismos periódicos de auditorías de la integridad de los registros de datos almacenados en documentos electrónicos (aplicar
concepto de "activos de información").
En los órganos regidos por la presente norma, deberán realizarse copias de respaldo de la información y las aplicaciones críticas para
7 24 -
la misión de la institución en forma periódica, en conformidad con las siguientes reglas:
La periodicidad con que se realizarán los respaldos de los computadores personales de la institución que estén asignados a usuarios, deberá
7 24 a
explicitarse y no podrá ser menor a 1 respaldo anual;
icaciones

PMG - Sistema Seguridad de la Información

22
 0
Red de Expertos PMG-SSI 1
Subsecretaria del Interior 2
Direccion de Presupuestos

MATRIZ DE DIAGNÓSTICO CRITERIO

0: No cumple
1: Cumple Parcial
2: Cumple

COMPLETITUD

DESCRIPCIÓN
CATEGORÍA
ARTICULO
PARRAFO

ESTADO
ACTUAL
SUB

DOMINIO DEFINICIÓN

La periodicidad con que se realizarán los respaldos de los sistemas informáticos y los equipos no contemplados en el punto anterior, utilizados en
7 24 b el procesamiento o almacenamiento de documentos electrónicos (, deberá explicitarse y no podrá ser menor a 1 respaldo mensual;
Gestión de Operaciones y Comunicaciones

Deberá garantizarse la disponibilidad de infraestructura adecuada de respaldo, para asegurar que éstos estén disponibles incluso después de un
desastre o la falla de un dispositivo. Las configuraciones de respaldo para los sistemas individuales deberán ser probadas con regularidad, a lo
7 24 c menos cada 2 años, para asegurar que ellas satisfacen los requisitos estipulados en los planes de continuidad institucionales;

Deberá almacenarse en una ubicación remota, un nivel mínimo de información de respaldo, junto con registros exactos y completos de las copias
de respaldo y los procedimientos documentados de restablecimiento. Esta instalación deberá estar emplazada a una distancia tal que escape de
7 24 d cualquier daño producto de un desastre en el sitio principal. En ámbitos críticos para la institución, se deberán almacenar al menos tres
generaciones o ciclos de información de respaldo;
Los respaldos deberán cumplir con un nivel apropiado de protección física de los medios, consistente con las prácticas aplicadas en el sitio
7 24 e principal. Los controles asociados a los dispositivos del sitio de producción deberán extenderse para abarcar el sitio de respaldo.

Deberán consignarse plazos de retención de los respaldos de la institución, así como cualquier necesidad de realización de respaldos que estén
7 24 f
permanentemente guardados, y
Deberán utilizarse medios y condiciones físicas de almacenamiento que garanticen una vida útil concordante con los plazos definidos en el punto
7 24 g
precedente.
Las instituciones regidas por la presente norma deberán impartir instrucciones respecto al uso seguro del correo electrónico. Esas
7 25 -
instrucciones deberán incluir al menos:
7 25 a Una advertencia sobre la vulnerabilidad del correo electrónico a modificaciones o accesos no autorizados;
Una advertencia sobre los peligros asociados a la apertura de archivos adjuntos y/o a la ejecución de programas que se reciban vía correo
7 25 b
electrónico;
7 25 c La responsabilidad de no divulgar contraseñas de acceso al correo electrónico;
Una advertencia sobre la inconveniencia de almacenar contraseñas de acceso al correo electrónico en el mismo computador desde el cual se
7 25 d
accede el correo electrónico;
7 25 e Indicaciones sobre la elección de contraseñas seguras de acceso al correo electrónico;
Una recomendación sobre la conveniencia de que los usuarios tengan cuentas de correo electrónico distintas para efectos de su uso personal;
7 25 f
7 25 g Un instructivo de cuándo no usar el correo electrónico;
7 25 h Una prevención sobre la necesidad de comprobar el origen, despacho, entrega y aceptación mediante firma electrónica;
Una precisión de las responsabilidades que corresponden a los usuarios en caso de comprometer a la institución, por ejemplo, con el envío de
7 25 i
correos electrónicos difamatorios, uso para hostigamiento o acoso, compras no autorizadas, etc.
Los organismos sujetos a la presente norma, en la medida de sus posibilidades, deberán:
7 26 a
Instalar un antivirus que proteja frente a la posibilidad de obtener vía correo electrónico software malicioso;
Proveer mecanismos que mediante el uso de técnicas de cifrado, permitan proteger la confidencialidad e integridad de los documentos
7 26 b
electrónicos;
7 26 c Evitar el uso de cuentas de correo grupales;
7 26 d Disponer controles adicionales para la verificación de mensajes que no se pueden autenticar;
Verificar que todos los equipos informáticos y medios digitales que sean usados en el almacenamiento y/o procesamiento de documentos
7 26 e
electrónicos, de ser posible, sean reformateados previo a ser dados de baja.
0

PMG - Sistema Seguridad de la Información

22
 0
Red de Expertos PMG-SSI 1
Subsecretaria del Interior 2
Direccion de Presupuestos

MATRIZ DE DIAGNÓSTICO CRITERIO

0: No cumple
1: Cumple Parcial
2: Cumple

COMPLETITUD

DESCRIPCIÓN
CATEGORÍA
ARTICULO
PARRAFO

ESTADO
ACTUAL
SUB

DOMINIO DEFINICIÓN

El empleo de identificador formal de autenticación constituye un mecanismo básico para el uso de firma electrónica.
Los identificadores son un esquema de validación de la identidad del usuario para acceder a un sistema informático.
8 27 - Un identificador temporal es aquel que se asigna a un usuario la primera vez que accede a un sistema, y que debe ser cambiado por
éste en su primer acceso. (Los sistemas informáticos deberán configurarse de manera que los usuarios se vean compelidos a cumplir
con las obligaciones detalladas en este párrafo)
La asignación de los identificadores se deberá controlar mediante un proceso formal de gestión, en que el jefe directo del usuario
8 28 -
peticionario será el responsable de la respectiva solicitud.
Para los efectos del referido control, en cada institución se impartirán instrucciones sobre la forma de asignación de identificadores que se
8 28 a aplicará. Dichas instrucciones deberán incluir a lo menos, lo siguiente:
La obligación de mantener en forma confidencial de los identificadores que se asignen;
8 28 b La obligación de no registrar los identificadores en papel;
8 28 c La prohibición de almacenar identificadores en un computador de manera desprotegida;
8 28 d El deber de no compartir los identificadores de usuarios individuales;
El mandato de no incluir el identificador en cualquier proceso de inicio de sesión automatizado, por ejemplo, almacenado en una macro;
8 28 e
8 28 f La indicación de cambiar los identificadores cuando hayan indicios de un posible compromiso del identificador o del sistema;
La recomendación de elegir identificadores que tengan una longitud mínima de ocho caracteres; sean fáciles de recordar; contengan letras,
mayúsculas, dígitos, y caracteres de puntuación; no estén basados en cosas obvias o de fácil deducción a partir de datos relacionados con la
8 28 g persona, por ejemplo, nombres, números telefónicos, cédula de identidad, fecha de nacimiento; estén libres de caracteres idénticos consecutivos
o grupos completamente numéricos o alfabéticos; y no sean palabras de diccionario o nombres comunes;

La indicación de cambiar los identificadores a intervalos regulares. Las contraseñas de accesos privilegiados se deberán cambiar más
8 28 h
Control de acceso

frecuentemente que los identificadores normales;

8 28 i Normas para evitar el reciclaje de identificadores viejos, y
8 28 j La indicación de cambiar el identificador temporal al iniciar la primera sesión.
8 29 - Se deberá entregar a los usuarios identificadores temporales de una manera segura.
Específicamente, se deberá evitar el uso de terceras partes o mensajes de correo electrónico no protegido (texto en claro) para
8 29 -
comunicar el identificador.
8 29 - Los usuarios deberán dar un acuso recibo de recepción del identificador.
En caso que los usuarios necesiten acceder a múltiples servicios o plataformas y sea necesario que mantengan múltiples
8 30 -
identificadores, deberán ser notificados de que éstos deben ser distintos.
8 30 - Asimismo, se incentivará y facilitará el uso de certificados de firma electrónica.
Para reducir el riesgo de acceso no autorizado a documentos electrónicos o sistemas informáticos (aplicar concepto de "activos de información"),
se deberá promover buenas prácticas, como las de pantalla limpia.
8 31 a En particular, se incentivará a los usuarios o configurar los sistemas de manera que se dé cumplimiento a los siguientes estándares:
Cerrar las sesiones activas en el computador cuando se finaliza la labor, a menos que éstas se puedan asegurar mediante un sistema apropiado
de control de acceso, por ejemplo, con protector de pantalla con una contraseña protegida;
Cerrar las sesiones de los computadores principales cuando la sesión finaliza, lo que no significa, necesariamente, apagar el terminal o los
8 31 b
equipos, y
Asegurar los terminales o equipos frente al uso no autorizado, mediante una contraseña de traba o de un control equivalente, por ejemplo, una
8 31 c
contraseña de acceso cuando no se use.

PMG - Sistema Seguridad de la Información

22
 Control de acceso 0
Red de Expertos PMG-SSI 1
Subsecretaria del Interior 2
Direccion de Presupuestos

MATRIZ DE DIAGNÓSTICO CRITERIO

0: No cumple
1: Cumple Parcial
2: Cumple

COMPLETITUD

DESCRIPCIÓN
CATEGORÍA
ARTICULO
PARRAFO

ESTADO
ACTUAL
SUB

DOMINIO DEFINICIÓN

Se deberá controlar el acceso a los servicios de red internos y externos mediante el uso de identificadores o certificados digitales.
Para tal efecto, los órganos de la Administración del Estado sujetos a la presente normativa deberán ajustarse a las siguientes exigencias:
8 32 a Restringir la instalación de equipamiento personal que dificulte el control de acceso a documentos electrónicos y sistemas informáticos, de manera
acorde a las políticas de seguridad de la institución, y

Mantener un catastro del equipamiento que permita la reproducción, distribución o transmisión masiva de información, y de las personas con
8 32 b
privilegios de acceso a ellos.
Las instituciones regidas por la presente norma impartirán instrucciones relativas al uso de redes y servicios en red que, al menos,
8 33 -
especifiquen lo siguiente:
8 33 a Las redes y servicios de red a las que el acceso está permitido;
8 33 b Los procedimientos de autorización para determinar quién tiene permitido acceder a las distintas redes y servicios de red, y
8 33 c Los controles de gestión y procedimientos para proteger el acceso a las conexiones de la red y servicios de red.
0
Gestión de la

10 35 - El encargado de seguridad deberá formular un plan de contingencia para asegurar la continuidad de operaciones críticas para la institución.
continuidad
del negocio

Este plan deberá , como mínimo, disponer la efectiva gestión de las relaciones públicas, la eficiente coordinación con las autoridades apropiadas,
10 35 -
como policía, bomberos, autoridades directivas, etc. (debe estar relacionado con los planes de emergencia del comité de Higiene y Seguridad).

Este plan deberá contener mecanismos eficaces para convocar a quienes sean los responsables de los documentos electrónicos y sistemas
10 35 - informáticos afectados (aplicar concepto de "activos de información") ; (debe considerar el adecuado registro de incidentes de seguridad y los
procedimientos para operar en contingencia).

PMG - Sistema Seguridad de la Información

22
 DESCRIPCIÓN
BRECHA

DOCUMENTO
REFERIDO

RESPONSABL
E

ESTRATEGIA
PRELIMINAR

22
OBJETIVOS
ESPECÍFICOS
(CORTO
PLAZO)

NOMBRE
SISTEMA /
PROYECTO
SI
NO

RELACIÓN
NO APLICA

CON
GOBIERNO
ELECTRÓNICO

PRIORIDAD
Inmediata

Largo Plazo
PRIORIDAD

Mediano Plazo

PMG - Sistema Seguridad de la Información

 DESCRIPCIÓN
BRECHA

DOCUMENTO
REFERIDO

RESPONSABL
E

ESTRATEGIA
PRELIMINAR

22
OBJETIVOS
ESPECÍFICOS
(CORTO
PLAZO)

NOMBRE
SISTEMA /
PROYECTO
SI
NO

RELACIÓN
NO APLICA

CON
GOBIERNO
ELECTRÓNICO

PRIORIDAD
Inmediata

Largo Plazo
PRIORIDAD

Mediano Plazo

PMG - Sistema Seguridad de la Información

 DESCRIPCIÓN
BRECHA

DOCUMENTO
REFERIDO

RESPONSABL
E

ESTRATEGIA
PRELIMINAR

22
OBJETIVOS
ESPECÍFICOS
(CORTO
PLAZO)

NOMBRE
SISTEMA /
PROYECTO
SI
NO

RELACIÓN
NO APLICA

CON
GOBIERNO
ELECTRÓNICO

PRIORIDAD
Inmediata

Largo Plazo
PRIORIDAD

Mediano Plazo

PMG - Sistema Seguridad de la Información

 DESCRIPCIÓN
BRECHA

DOCUMENTO
REFERIDO

RESPONSABL
E

ESTRATEGIA
PRELIMINAR

22
OBJETIVOS
ESPECÍFICOS
(CORTO
PLAZO)

NOMBRE
SISTEMA /
PROYECTO
SI
NO

RELACIÓN
NO APLICA

CON
GOBIERNO
ELECTRÓNICO

PRIORIDAD
Inmediata

Largo Plazo
PRIORIDAD

Mediano Plazo

PMG - Sistema Seguridad de la Información

 DESCRIPCIÓN
BRECHA

DOCUMENTO
REFERIDO

RESPONSABL
E

ESTRATEGIA
PRELIMINAR

22
OBJETIVOS
ESPECÍFICOS
(CORTO
PLAZO)

NOMBRE
SISTEMA /
PROYECTO
SI
NO

RELACIÓN
NO APLICA

CON
GOBIERNO
ELECTRÓNICO

PRIORIDAD
Inmediata

Largo Plazo
PRIORIDAD

Mediano Plazo

PMG - Sistema Seguridad de la Información

 Red de Expertos PMG-SSI
Subsecretaria del Interior
Direccion de Presupuestos

MATRIZ DE DIAGNÓSTICO CRITERIO

0: No cumple
1: Cumple Parcial
2: Cumple

COMPLETITUD
SECCION en la

DESCRIPCIÓN
ARTICULO
PARRAFO

NCh 2777

ESTADO
ACTUAL
DOMINIO DEFINICIÓN

Título
V 37 10.1.1
Título
V 37 10.2.1
Título
V 37 10.2.2
Desarrollo y Mantención de Sistemas
0
Análisis y especificación de los requerimientos de seguridad:
Los enunciados de los requerimientos de negocio para los sistemas de información nuevos, o las mejoras a los sistemas de información
existentes, debieran especificar los requerimientos de los controles de seguridad.
Validación de la data de entrada:
Se debiera validar la input data para las aplicaciones para asegurar que esta data sea correcta y apropiada.
Control del procesamiento interno:
Los chequeos de validación se debieran incorporar en las aplicaciones para detectar cualquier corrupción de la información a través de
errores de procesamiento o actos deliberados.
Integridad del mensaje:

Título Se debiera identificar los requerimientos para asegurar la autenticidad y proteger la integridad del mensaje en las aplicaciones, y se
V 37 10.2.3 debieran identificar e implementar los controles apropiados.
Validación de la data de salida:
Título Se debiera validar la output data de una aplicación para asegurar que el procesamiento de la información almacenada sea el correcto y el
V 37 10.2.4 apropiado para las circunstancias.
Título Política sobre el uso de controles criptográficos:
V 37 10.3.1 Se debiera desarrollar e implementar una política sobre el uso de controles criptográficos para proteger la información.
Título Gestión de claves:
V 37 10.3.1.b Se debiera establecer la gestión de claves para dar soporte al uso de técnicas criptográficas en la organización.
Título Control del software operacional:
V 37 10.4.1 Se debieran establecer procedimientos para el control de la instalación del software en los sistemas operacionales.
Título Protección de la data del sistema:
V 37 10.4.2 La data de prueba se debiera seleccionar cuidadosamente, y se debiera proteger y controlar.
Título Control de acceso al código fuente del programa:
V 37 10.4.3 Se debiera restringir el acceso al código fuente del programa.
Título Procedimientos del control del cambio:
V 37 10.5.1 Se debiera controlar la implementación de los cambios mediante el uso de procedimientos formales para el control del cambio.
Revisión técnica de la aplicación después de cambios en el sistema:
Título Cuando se cambian los sistemas de operación, se debieran revisar y probar las aplicaciones de negocio críticas para asegurar que no
V 37 10.5.2 exista un impacto adverso sobre las operaciones institucionales o en la seguridad.
Restricciones sobre los cambios en los paquetes de software:
Título No se debieran fomentar modificaciones a los paquetes de software, se debieran limitar a los cambios necesarios y todos los cambios
V 37 10.5.3 debieran ser estrictamente controlados.
Título Filtración de información:
V 37 10.5.4 Se debieran evitar las oportunidades para la filtración de información.
Título Desarrollo de software abastecido externamente:
V 37 10.5.5 El desarrollo del software abastecido externamente debiera ser supervisado y monitoreado por la organización.
DESCRIPCIÓN
DE LA BRECHA

ESTRATEGIA
PRELIMINAR

OBJETIVOS
ESPECÍFICOS
(CORTO PLAZO)

DOCUMENTO
REFERIDO

RESPONSABLE
ASIGNADO

SISTEMA /
PROYECTO

RELACIÓN CON
GOBIERNO
ELECTRÓNICO

PRIORIDAD
Inmediata

Largo Plazo
PRIORIDAD

Mediano Plazo
 Fecha
Nº Aprobació
Revisión n Motivo de la revisión
0(Cero) 2/4/2010 Elaboración inicial
1 4/5/2010 Revisión formato y ajuste de controles a evaluar
Modificación formato requisitos: se agregan referencias a
normativa NCh 2777; Se elimina requisito que estaba
2 6/2/2010 especificado en la ultima linea N°27.
3 6/2/2010 Incorporación control de cambios
columna "Documentos Referidos", se modifican los textos y se
agregan párrafos, articulos y n°s según DS-83. Se agrega lista
despegable en los campos que requieren opción:
"Cumplimiento", "Relación con Gobierno Electrónico",
"Prioridad". Cambio de nombre de la columna "Sistema
4 6/8/2010 /Proyecto" por "Nombre de Sistema/Proyecto"
Modificación de la hoja "Manual": se cambia de orden la
columna "Documentos Referidos", se modifican los textos
según Guía Metodológica y se agrega columna "Prioridad" con
5 6/11/2010 su respectiva descripción.
6 6/22/2010 Modificación alto de filas
 Secciones
Modificadas Autor
HE, PM (S.
Todas Interior)
Resumen, Dominios, FM, WG
Desarrollo (DIPRES)
FM, WG
Desarrollo (DIPRES)
Control de Cambios WG (DIPRES)

Dominios CC, JZ (DIPRES)

Manual JZ (DIPRES)
Dominios JZ (DIPRES)