Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
GESTIÓN DE SEGURIDAD
INFORMÁTICA
2
Dirección de Gobernanza de TI e Innovación
Coordinación General de Tecnologías de Información y Comunicación
MANUAL
MAN-GTI-GSI-13- Gestión de Seguridad Informática
REGISTRO DE VERSIONES
Documentos que
Descripción de
se dan de baja
la versión Realizado / Fecha de
Versión Cargo con la vigencia
(motivos y Aprobado por elaboración
de este
cambios)
documento
Experto en
Administración
Lic. Benjamín Técnica 2 /
Nicolalde / Coordinadora
1.0 Creación
Ing.Celene General de
Vargas Planificación y
Mejoramiento
Continuo
3
Dirección de Gobernanza de TI e Innovación
Coordinación General de Tecnologías de Información y Comunicación
MANUAL
MAN-GTI-GSI-13- Gestión de Seguridad Informática
ÍNDICE Y CONTENIDO
1. DESCRIPCIÓN DEL MANUAL DEL PROCESO DE GESTIÓN DE SEGURIDAD INFORMÁTICA....................... 5
1.1. FICHA DEL MANUAL ........................................................................................................................ 5
1.2. ALCANCE DEL PROCESO DE GESTIÓN DE SEGURIDAD INFORMÁTICA ........................................... 6
1.3. NORMAS GENERALES DEL PROCESO DE GESTIÓN DE SEGURIDAD INFORMÁTICA ........................ 6
2. DIAGRAMA DE FLUJO DEL PROCESO DE GESTIÓN DE SEGURIDAD INFORMÁTICA................................. 8
3. DESCRIPCIÓN DEL SUBPROCESO ......................................................................................................... 9
3.1. FICHA DEL SUBPROCESO ................................................................................................................. 9
3.2. NORMAS ESPECÍFICAS DEL SUBPROCESO PLANIFICACIÓN DE CONTROLES DE SEGURIDAD
INFORMÁTICA. ............................................................................................................................................ 9
3.3. DIAGRAMA DE FLUJO DEL SUBPROCESO PLANIFICACIÓN PARA DE CONTROLES DE SEGURIDAD
INFORMÁTICA. .......................................................................................................................................... 12
3.4. DESCRIPCIÓN DE ACTIVIDADES DEL SUBPROCESO PLANIFICACIÓN DE CONTROLES DE
SEGURIDAD INFORMÁTICA. ...................................................................................................................... 13
4. DESCRIPCIÓN DEL SUBPROCESO DE IMPLEMENTACIÓN DEL PLAN DE SEGURIDAD INFORMÁTICA 16
4.1. FICHA DEL SUBPROCESO DE IMPLEMENTACIÓN DEL PLAN DE SEGURIDAD INFORMÁTICA ........ 16
5. DESCRIPCIÓN DEL SUBPROCESO DE MONITOREO DE LA IMPLEMENTACIÓN DEL PLAN DE
SEGURIDAD INFORMÁTICA ....................................................................................................................... 21
5.2. NORMAS ESPECÍFICAS DEL SUBPROCESO DE MONITOREO DE LA IMPLEMENTACIÓN DEL PLAN
DE SEGURIDAD INFORMÁTICA .................................................................................................................. 21
5.3. DIAGRAMA DE FLUJO DEL SUBPROCESO DE MONITOREO DE LA IMPLEMENTACIÓN DEL PLAN DE
SEGURIDAD INFORMÁTICA ....................................................................................................................... 23
5.4. DESCRIPCIÓN DE ACTIVIDADES DEL SUBPROCESO DE MONITOREO DE LA IMPLEMENTACIÓN DEL
PLAN DE SEGURIDAD INFORMÁTICA. ....................................................................................................... 24
6. INDICADORES DE GESTIÓN DEL PROCESO GESTION DE LA SEGURIDAD INFORMATICA. ................. 25
7. TÉRMINOS Y DEFINICIONES............................................................................................................... 25
8. LISTADO DE DOCUMENTOS YANEXOS. ............................................................................................. 25
8.1. DOCUMENTOS............................................................................................................................... 25
8.2. ANEXOS ......................................................................................................................................... 26
N/A ............................................................................................................................................................ 26
4
Dirección de Gobernanza de TI e Innovación
Coordinación General de Tecnologías de Información y Comunicación
MANUAL
MAN-GTI-GSI-13- Gestión de Seguridad Informática
Descripción: PROPÓSITO:
Proteger la integridad y privacidad de la información
almacenada y procesada por la infraestructura tecnológica
institucional que soportan los procesos de supervisión y
administrativos internos, administrando los riesgos
tecnológicos, creando controles, procesos, procedimientos,
políticas y reglamentos que permitan asegurar la
confidencialidad, disponibilidad e integridad de la información.
DISPARADOR:
Necesidad de aplicar controles de seguridad informática
determinados en el Plan Director de Seguridad de la
Información y producto de la incorporación o cambios en los
componentes de la infraestructura tecnológica institucional.
Necesidad de mantener una plataforma tecnológica que opere
bajo niveles aceptables de seguridad y permita mantener
confidencialidad, disponibilidad e integridad de la información.
Necesidad de cumplir requerimientos establecidos por
organismos de control.
ENTRADAS:
Plan Director de Seguridad de la Información.
Reportes de análisis de monitoreo de la plataforma, eventos o
incidentes detectados.
Análisis ethical hacking.
Leyes, reglamentos, normas.
Plan Anual de Contratación de la SB (PAC).
SUBPROCESOS:
Planificación de Controles de Seguridad Informática.
Implementación del Plan de Seguridad Informática.
Monitoreo de la Implementación del Plan de Seguridad
Informática.
5
Dirección de Gobernanza de TI e Innovación
Coordinación General de Tecnologías de Información y Comunicación
MANUAL
MAN-GTI-GSI-13- Gestión de Seguridad Informática
proceso:
Tipo de cliente: Cliente interno.
Marco Legal: Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes
de Datos.
Ley Orgánica del Sistema Nacional de Contratación Pública.
Normas de Control Interno de la Contraloría General del
Estado.
Reglamento de adquisición de software del Código Ingenios.
Las políticas de seguridad informática son de aplicación obligatoria para todos los
funcionarios de la institución.
6
Dirección de Gobernanza de TI e Innovación
Coordinación General de Tecnologías de Información y Comunicación
MANUAL
MAN-GTI-GSI-13- Gestión de Seguridad Informática
7
Dirección de Gobernanza de TI e Innovación
Coordinación General de Tecnologías de Información y Comunicación
MANUAL
MAN-GTI-GSI-13- Gestión de Seguridad Informática
8
Dirección de Gobernanza de TI e Innovación
Coordinación General de Tecnologías de Información y Comunicación
MANUAL
MAN-GTI-GSI-13- Gestión de Seguridad Informática
Descripción: DISPARADOR:
Necesidad de mantener una plataforma tecnológica que
opere bajo niveles aceptables de seguridad y permita
mantener la confidencialidad, disponibilidad e integridad
de los activos de información almacenados y procesados
por medios tecnológicos, así también como identificar
oportunamente las amenazas y debilidades de la
infraestructura y procesos de la gestión tecnológica.
ENTRADAS:
Plan Director de seguridad de la información.
Plan de implementación de Control de Seguridad
Informática histórico.
Informes del Plan de Tratamiento de Riesgos
Tecnológicos.
Reportes de auditoría y riesgos tecnológicos.
Eventos o incidentes de seguridad informática.
Análisis ethical hacking.
Leyes, reglamentos y normas.
Plan de Tratamiento de Riesgos Tecnológicos
Eventos e incidentes de seguridad informática.
Productos/Servicios
Plan de seguridad informática.
del proceso:
9
Dirección de Gobernanza de TI e Innovación
Coordinación General de Tecnologías de Información y Comunicación
MANUAL
MAN-GTI-GSI-13- Gestión de Seguridad Informática
10
Dirección de Gobernanza de TI e Innovación
Coordinación General de Tecnologías de Información y Comunicación
MANUAL
MAN-GTI-GSI-13- Gestión de Seguridad Informática
11
Dirección de Gobernanza de TI e Innovación
Coordinación General de Tecnologías de Información y Comunicación
MANUAL
MAN-GTI-GSI-13- Gestión de Seguridad Informática
3.3. DIAGRAMA DE FLUJO DEL SUBPROCESO PLANIFICACIÓN PARA DE CONTROLES DE SEGURIDAD INFORMÁTICA.
12
Dirección de Gobernanza de TI e Innovación
Coordinación General de Tecnologías de Información y Comunicación
MANUAL
MAN-GTI-GSI-13- Gestión de Seguridad Informática
Documentos
# Actividad Descripción Responsable
generados
Se revisará de manera
detallada la documentación
que sustenta el inicio de la
gestión o actualización del
Plan de Seguridad
Informática, la documentación
inicial a considerar para esta
actividad es el Plan Director
Revisar
de Seguridad de la
entradas del
Información, plan de
proceso y
seguridad informática Informe y plan de
elaborar
histórico, reportes de análisis trabajo para la
informe , plan Director de
de monitoreo de la actualización Plan
1 de trabajo Gobernanza de
plataforma, análisis ethical de Seguridad
para la TI e Innovación
hacking, leyes, reglamentos, Informática,
actualización
normas, eventos e incidentes propuesta.
del Plan de
de seguridad informática.
Seguridad
Se definirá el equipo de
Informática
trabajo para revisar los
requerimientos y plan de
trabajo.
En esta epata se debe
estipular las estrategias para
la implementación, recursos a
ser usados( tecnológicos y no
tecnológicos), cronogramas
Se analizará los aspectos
internos y externos a fin de
Establecer el Equipo de
determinar el alcance y las
alcance. y Gestión de Definición de
2 limitaciones existentes para la
contexto de Riesgos alcance.
gestión del Plan de
análisis Tecnológicos
Tratamiento de Riesgos
Tecnológicos.
Se efectuará el
reconocimiento y análisis de
los elementos activos de
información tecnológica Informe de contexto
Identificar y crítica, amenazas, Equipo de de análisis,
evaluar los vulnerabilidades, controles Gestión de Propuesta Plan de
3
riesgos existentes, consecuencias, Riesgos Tratamiento de
tecnológicos entre otros, midiendo el Tecnológicos Riesgos
impacto y la probabilidad de Tecnológicos
ocurrencia de cada problema
de TI en los servicios de la
institución para el cálculo o
13
Dirección de Gobernanza de TI e Innovación
Coordinación General de Tecnologías de Información y Comunicación
MANUAL
MAN-GTI-GSI-13- Gestión de Seguridad Informática
Documentos
# Actividad Descripción Responsable
generados
evaluación del impacto;
se incluirá las consecuencias
y la priorización del
tratamiento de los riesgos.
Documentos
# Actividad Descripción Responsable
generados
corregir el Seguridad Informática Gestión de Seguridad
Plan de elabora el Plan de Seguridad Seguridad Informática, matriz de
Seguridad Informática, tomando como Informática controles
Informática insumo el Plan de
propuesto Tratamiento de Riesgo
Tecnológicos aprobado,
adicionalmente en este plan
se debe definir y actualizar
las políticas (específicas,
operativas, entre
otras.)objetivos y alcance de
la seguridad informática
Se autorizará el Plan de
Autorizar el
Seguridad Informática
Plan de Director de
propuesto. Plan de Seguridad
10 Seguridad Gobernanza de
¿Está correcto? Informática revisado.
informática TI e Innovación
SI: Actividad 11
propuesto
NO: Actividad 9.
Revisa el Plan de Seguridad Coordinador
Revisar el
Informática, actualizado. General de
Plan de Plan de Seguridad
11 ¿Se aprueba? Tecnologías de
Seguridad Informática propuesto
SI: Actividad 12 Información y
Informática
NO: Actividad 9 Comunicación
El Comité de Tecnologías de
Aprobar Información y Comunicación,
Comité de
suscribir el aprueba el Plan de Seguridad
Tecnologías de Plan de Seguridad
12 Plan de Informática,
Información y Informática aprobado
Seguridad ¿Se aprueba?
Comunicación
Informática SI: FIN
NO: Actividad 11
15
Dirección de Gobernanza de TI e Innovación
Coordinación General de Tecnologías de Información y Comunicación
MANUAL
MAN-GTI-GSI-13- Gestión de Seguridad Informática
Descripción: DISPARADOR:
Necesidad de implementar los controles definidos en Plan de
Implementación de Controles de Seguridad Informática.
ENTRADAS:
Plan de Implementación de Controles de Seguridad
Informática.
Informes de monitoreo por aplicación de controles de
seguridad informática.
16
Dirección de Gobernanza de TI e Innovación
Coordinación General de Tecnologías de Información y Comunicación
MANUAL
MAN-GTI-GSI-13- Gestión de Seguridad Informática
17
Dirección de Gobernanza de TI e Innovación
Coordinación General de Tecnologías de Información y Comunicación
MANUAL
MAN-GTI-GSI-13- Gestión de Seguridad Informática
4.3. DIGRAMA DE FLUJO DEL SUBPROCESO DE IMPLEMENTACIÓN DEL PLAN DE SEGURIDAD INFORMÁTICA.
18
Dirección de Gobernanza de TI e Innovación
Coordinación General de Tecnologías de Información y Comunicación
MANUAL
MAN-GTI-GSI-13- Gestión de Seguridad Informática
Documentos
# Actividad Descripción Responsable
generados
Disponer la Se emitirá los lineamientos
ejecución del para ejecución del Plan de Coordinador
Plan de Implementación de Control de General de
1 Implementación Seguridad Informática, Tecnologías de Memorando
de Control de dirigido al Director de Información y
Seguridad Gobernanza de TI e Comunicación
Informática Innovación.
Se revisará de manera
detallada los controles,
prioridades establecidas en el
Subproceso Planificación
Definir el Plan de Controles de Seguridad
de trabajo para informática para determinar
Plan de Trabajo y
implementación el plan de trabajo tomando en
Matriz de
de la cuenta cronogramas de Director de
Controles de
2 Planificación implementación, recursos Gobernanza de
Seguridad
de Seguridad tecnológicas, no tecnológicos TI e Innovación
Informática a
Informática y y definir el equipo de trabajo,
aplicar
equipo de con la participación del
trabajo. Director de Gobernanza de TI
e Innovación, Director de
Soluciones Tecnológicas y el
Director de Infraestructura y
Operaciones.
Se presentará el Plan de
Trabajo y Matriz de Controles
a aplicar para aprobación del
Coordinador General de
Revisar y Tecnologías de Información y Acta /
aprobar el plan Comunicación, con la Coordinador Plan de Trabajo y
de trabajo, participación del Director de General de Matriz de
3 cronograma y Gobernanza de TI e Tecnologías de Controles de
Matriz de Innovación, Director de Información y Seguridad
controles a Soluciones Tecnológicas y el Comunicación Informática
aplicar. Director de Infraestructura y aprobados
Operaciones.
¿Aprueba?
SI: Actividad 4
NO: Actividad 2.
Comunicar y Se efectuará la comunicación Acta de reunión y
socializar formal de la matriz de Director de memorando con
4 matriz de cumplimiento y cronograma Gobernanza de los controles a
cumplimiento y de trabajo al Equipo de TI e Innovación aplicar por cada
cronograma de Trabajo con la participación Dirección.
19
Dirección de Gobernanza de TI e Innovación
Coordinación General de Tecnologías de Información y Comunicación
MANUAL
MAN-GTI-GSI-13- Gestión de Seguridad Informática
Documentos
# Actividad Descripción Responsable
generados
trabajo del Director de Gobernanza
de TI e Innovación, Director
de Soluciones Tecnológicas y
el Director de Infraestructura y
Operaciones.
Se implementará los controles
de seguridad informática bajo
Director de
el plan de trabajo aprobado
Implementar Soluciones
según la disponibilidad de
controles de Tecnológicas y el Informes de
5 recursos, esta actividad
seguridad Director de avance
estará a cargo del Director de
informática Infraestructura y
Soluciones Tecnológicas y el
Operaciones
Director de Infraestructura y
Operaciones.
Se efectuará el seguimiento
Seguimiento del del avance de la
avance de implementación de controles Equipo de
implementación de seguridad informática. Gestión de Informe de
6
de controles de ¿Implementación Seguridad seguimiento
seguridad satisfactoria? Informática
informática SI: Actividad 7
NO: Actividad 5
Actualizar la Se procederá con la
Matriz de
matriz de actualización de la matriz de Equipo de
Controles de
cumplimiento de cumplimiento de controles Gestión de
7 Seguridad
controles de respecto de la Seguridad
Informática
seguridad implementación efectuada Informática
actualizada
informática para cada control.
Se revisará la implementación
de cada control de seguridad
Revisar informática para aprobación
Matriz de
actualización de del Coordinador General de Director de
Controles de
8 los controles de Tecnologías de Información y Gobernanza de
Seguridad
seguridad Comunicación TI e Innovación
Informática
informática ¿Aprueba?
SI: Actividad 9
NO: Actividad 5.
El Coordinador General de
Tecnologías de Información y
Matriz de
Comunicación revisa la Matriz
Aprobar la Coordinador Controles de
de Controles de Seguridad
actualización de General de Seguridad
Informática para publicar el
9 los controles de Tecnologías de Informática,
cumplimiento de
seguridad Información y aprobación de
actualización.
informática Comunicación controles
¿Aprueba?
implementados
SI: Actividad 10
NO: Actividad 8
Publicar matriz Se procederá con la Director de Publicación de la
10
de cumplimiento publicación de la Matriz de Gobernanza de Matriz de
20
Dirección de Gobernanza de TI e Innovación
Coordinación General de Tecnologías de Información y Comunicación
MANUAL
MAN-GTI-GSI-13- Gestión de Seguridad Informática
Documentos
# Actividad Descripción Responsable
generados
actualizada Controles de Seguridad TI e Innovación Controles de
Informática actualizada, en el Seguridad
Servidor Documental Alfresco Informática,
para uso interno actualizada
Monitoreo de la
Director de
Implementación de Plan de
Subproceso Gobernanza de
Seguridad Informática
TI e Innovación
Descripción: DISPARADOR:
Necesidad de establecer la vigencia y efectividad de la
implementación de los controles de seguridad
informática.
ENTRADAS:
Plan de Implementación de Controles de Seguridad
Informática.
21
Dirección de Gobernanza de TI e Innovación
Coordinación General de Tecnologías de Información y Comunicación
MANUAL
MAN-GTI-GSI-13- Gestión de Seguridad Informática
22
Dirección de Gobernanza de TI e Innovación
Coordinación General de Tecnologías de Información y Comunicación
MANUAL
MAN-GTI-GSI-13- Gestión de Seguridad Informática
23
Dirección de Gobernanza de TI e Innovación
Coordinación General de Tecnologías de Información y Comunicación
MANUAL
MAN-GTI-GSI-13- Gestión de Seguridad Informática
Documentos
# Actividad Descripción Responsable
generados
Se establecerán
Autorizar el
responsabilidades, Director de
monitoreo de Plan de
1 periodicidad, herramientas, Gobernanza de
controles monitoreo
indicadores, estadísticas, TI e Innovación
implementados.
métricas de monitoreo.
Se definirán las técnicas de Equipo de
Definir y ejecutar recolección de datos para monitoreo de
Informe de
las técnicas de construir o seleccionar los implementación
2 técnicas de
recolección de instrumentos que permitan de controles de
recolección
datos obtener datos del recurso seguridad
monitoreado. informática
Equipo de
Realizar la Se efectuará la observación,
monitoreo de
observación, medición e interpretación de
implementación Informe de
3 medición e los datos observados.
de controles de registro de datos
interpretación de Mediante indicadores,
seguridad
datos métricas.
informática
Se identificarán
vulnerabilidades o
Informe
deficiencias de la operación
propuesto de
de los controles de seguridad Equipo de
monitoreo por
implementados, estableciendo monitoreo de
aplicación de
Identificar el nivel de afectación en la implementación
4 controles de
vulnerabilidades operación del recurso de controles de
seguridad
tecnológico, incluye seguridad
informática por
recomendaciones. informática
recurso
¿Vulnerabilidad alta?
tecnológico
SI: Actividad 5
NO: Actividad 3
Se aprobará y enviará el
informe de monitoreo del
recurso para la aplicación de Informe aprobado
acciones correctivas en el de monitoreo por
Aprobar y enviar Subproceso del aplicación de
Director de
el informe de Planificación de Controles controles de
5 Gobernanza de
monitoreo del de Seguridad Informática. seguridad
TI e Innovación
recurso ¿Aprueba? informática por
SI: Subproceso del recurso
Planificación de Controles de tecnológico
Seguridad Informática
NO: Actividad 4
Planificación de Controles
Subproceso
de Seguridad Informática
Monitorear Se efectuará el monitoreo Equipo de Informes de la
6 continuamente periódico de los controles Gestión de ejecución del
24
Dirección de Gobernanza de TI e Innovación
Coordinación General de Tecnologías de Información y Comunicación
MANUAL
MAN-GTI-GSI-13- Gestión de Seguridad Informática
Documentos
# Actividad Descripción Responsable
generados
de controles implementados, incluye Seguridad aseguramiento
implementados. métricas vulnerabilidades. Informática de calidad y
¿Existen novedades? seguridad
SI: Actividad 2 informática
NO: (FIN) aprobado.
7. TÉRMINOS Y DEFINICIONES
8.1. DOCUMENTOS.
Tecnológicos Informática
F-GSI -3 Matriz de Servidor documental:
Controles de Documentos> C.G.T> GCS> Seguridad
Seguridad Informática
Informática
F-GSI -4 Plan de Servidor documental:
trabajo Documentos> C.G.T> GCS> Seguridad
Informática
F-GSI -5 Plan de Servidor documental:
monitoreo Documentos> C.G.T> GCS> Seguridad
Informática
F-GSI -6 Informes Servidor documental:
técnicos Documentos> C.G.T> GCS> Seguridad
Informática
8.2. ANEXOS
N/A
26
Dirección de Gobernanza de TI e Innovación
Coordinación General de Tecnologías de Información y Comunicación