Modelo de Seguridad y Privacidad de la Informaciรณn 12 de Mayo de 2020
Temario
• Políticas de Seguridad y Privacidad de la Información • Procedimientos de Seguridad de la Información • Roles y Responsabilidades de Seguridad y Privacidad de la Información • Inventario de activos de información
• Integración del MSPI con el Sistema de Gestión documental
Antes de comenzar Diferencias SEGURIDAD INFORMÁTICA Se refiere a la protección de las estructuras de las tecnologías de la información y comunicación que soportan nuestros hogares o nuestras organizaciones. SEGURIDAD DE LA INFORMACIÓN Se refiere a la protección de los activos de información fundamentales para el éxito de cualquier organización.
Qué es MSPI?
El Modelo de Seguridad y Privacidad de la Información – MSPI, conduce a la preservación de la confidencialidad, integridad, disponibilidad de la información, permitiendo garantizar la privacidad de los datos, mediante la aplicación de un proceso de gestión del riesgo, brindando confianza a las partes interesadas acerca de la adecuada gestión de riesgos.
DESCRIPCIÓN DEL CICLO DE OPERACIÓN
Se contemplan cinco (5) fases que lo comprenden. Estas, contienen objetivos, metas y herramientas (guías) que permiten que la seguridad y privacidad de la información sea un sistema de gestión sostenible dentro de las entidades
DESCRIPCIÓN DEL CICLO DE OPERACIÓN
FASE DE DIAGNÓSTICO - ETAPAS PREVIAS A LA IMPLEMENTACIÓN
FASE DE PLANIFICACIÓN
FASE DE IMPLEMENTACIÓN
FASE DE EVALUACIÓN DE DESEMPEÑO
FASE DE MEJORA CONTINUA
PolĂtica de seguridad y privacidad de la informaciĂłn
Política de seguridad y privacidad de la información Objetivos generales ➢ Minimizar el riesgo de los procesos misionales de la entidad ➢ Cumplir con los principios de seguridad de la información ➢ Cumplir con los principios de la función administrativa ➢ Mantener la confianza de los funcionarios, contratistas y terceros
Política de seguridad y privacidad de la información Objetivos generales ➢ Apoyar la innovación tecnológica
➢ Implementar el sistema de gestión de seguridad de la información ➢ Proteger los activos de información ➢ Establecer las políticas, procedimientos e instructivos en materia de seguridad de la información
Política de seguridad y privacidad de la información Objetivos generales ➢ Fortalecer la cultura de seguridad de la información en los funcionarios, terceros, aprendices, practicantes y clientes de la ENTIDAD ➢ Garantizar la continuidad del negocio frente a incidentes
Política de seguridad y privacidad de la información Alcance/Aplicabilidad Toda la entidad, sus funcionarios, contratistas y terceros de la ENTIDAD Nivel de cumplimiento Todas las personas cubiertas por el alcance y aplicabilidad deberán dar cumplimiento un 100% de la política. 12 políticas de seguridad que soportan el SGSI de la ENTIDAD
Política de seguridad y privacidad de la información Fases de implementación 1. 2. 3. 4. 5. 6.
Desarrollo de las políticas Cumplimiento Comunicación Monitoreo Mantenimiento Retiro
Política de seguridad y privacidad de la información Recomendaciones para la redacción de una política ¿qué es lo que se desea hacer? ¿qué regula la política? ¿cuál es la directriz que deben seguir los funcionarios, contratistas y/o terceros? ¿a quién va dirigida? y ¿quién deben cumplir la política?
Todo esto alineado con la estrategia de la organización
Procedimientos de Seguridad de la Informaciรณn
Procedimientos de Seguridad de la Información
Los procedimientos, definen específicamente como las políticas, estándares, mejores prácticas y guías que serán implementadas en una situación dada. Los procedimientos son independientes de la tecnología o de los procesos y se refieren a las plataformas, aplicaciones o procesos específicos. Son utilizados para delinear los pasos que deben ser seguidos por una dependencia para implementar la seguridad relacionada con dicho proceso o sistema específico
Procedimientos de Seguridad de la Información Fases de implementación 1. Desarrollo de las políticas 2. Cumplimiento 3. Comunicación 4. Monitoreo 5. Mantenimiento 6. Retiro Responsable: El dueño del proceso o del sistema Los procedimientos seguirán las políticas de la entidad, los estándares, las mejores prácticas y las guías tan cerca como les sea posible
Procedimientos de Seguridad de la Información • Procedimiento de asignación de equipos y acceso a Sistemas de Información
Objetivo General Establecer las actividades necesarias para la asignación de equipos y creación de cuentas de acceso a los Sistemas de Información, así como también para la devolución de activos y cierre de las cuentas
Procedimientos de Seguridad de la Información • Alcance Este procedimiento aplica a todos los funcionarios (planta, contrata, reemplazos y suplencia), personal a honorarios, terceros que presten servicios, para lo cual requieran el uso de sistemas y servicios basados en tecnologías de información • Responsabilidades (Se les pregunta a los espectadores de la conferencia)
Procedimientos de Seguridad de la Información • Procedimiento de desarrollo Sistemas de Información
y
actualización
de
Objetivo General Establecer las directrices para regular tanto la creación, como la implementación de cambios, con relación a Sistemas de Información que dependan del Departamento de Gestión de la Información (DGI)
Procedimientos de Seguridad de la Información • Alcance Este procedimiento considera los Sistemas de Información que están bajo la administración del DGI y es aplicable a todos los funcionarios (planta, contrata, reemplazos y suplencia), personal a honorarios y terceros que presten servicios • Responsabilidades (Se les pregunta a los espectadores de la conferencia)
Procedimientos de Seguridad de la Informaciรณn โ ข Procedimiento de Respaldos de la Informaciรณn Objetivo General Establecer las directrices de respaldo y recuperaciรณn de informaciรณn, con objeto de proteger los datos y sistemas necesarios para la continuidad operacional de la instituciรณn
Procedimientos de Seguridad de la Información • Alcance Este procedimiento aplica a todos los funcionarios (planta, contrata, reemplazos y suplencia), personal a honorarios, terceros que presten servicios, para lo cual requieran el uso de sistemas y servicios basados en tecnologías de información • Responsabilidades (Se les pregunta a los espectadores de la conferencia)
Procedimientos de Seguridad de la Información • Procedimiento de Seguridad de Redes Objetivo General Establecer directrices para el control de acceso a las redes, así como la protección contra servicios conectados no autorizados
Procedimientos de Seguridad de la Información • Alcance Este procedimiento aplica a todos los funcionarios (planta, contrata, reemplazos y suplencia), personal a honorarios, terceros que presten servicios, para lo cual requieran el uso de sistemas y servicios basados en tecnologías de información • Responsabilidades (Se les pregunta a los espectadores de la conferencia)
Procedimientos de Seguridad de la Informaciรณn โ ข Procedimiento de gestiรณn de Incidentes, Amenazas y Debilidades de Seguridad
Objetivo General Establecer las directrices ante la ocurrencia de incidentes o la detecciรณn de amenazas y/o debilidades que pudiesen comprometer la seguridad de los activos de informaciรณn de la instituciรณn
Procedimientos de Seguridad de la Información • Alcance El presente procedimiento aplica a todos los incidentes, amenazas y debilidades asociados a la seguridad informática y de información electrónica. No aplica a errores de funcionalidad de sistemas de información o aplicaciones de uso común, a menos que afecten directamente a la seguridad de dichos sistemas • Responsabilidades (Se les pregunta a los espectadores de la conferencia)
Roles y Responsabilidades de Seguridad y Privacidad de la Informaciรณn
Roles y Responsabilidades de Seguridad y Privacidad de la Información Responsabilidades Velar por el cumplimiento de este procedimiento y de los tres principios básicos de la Seguridad de la Información, de la siguiente forma: Integridad: tomar resguardos e implementar herramientas para que la información se mantenga completa, actualizada y veraz, sin modificaciones inapropiadas o corruptas Confidencialidad: tomar resguardos e implementar herramientas para que la información esté protegida de personas/usuarios no autorizados Disponibilidad: tomar resguardos e implementar herramientas para que todos los usuarios autorizados puedan acceder a los Sistemas de Información cuando lo requieran, con objeto de desempeñar sus funciones •
Inventario de activos de informaciรณn
Inventario de activos de información
Un activo de información en el contexto de la norma ISO/IEC 27001 es: “algo que una organización valora y por lo tanto debe proteger”
Procedimientos de Seguridad de la Información Se puede considerar información a:
como
un
activo
de
★ Los datos creados o utilizados por un proceso de la organización en medio digital, en papel o en otros medios ★ El hardware y el software utilizado para el procesamiento, transporte o almacenamiento de información ★ Los servicios utilizados para la transmisión, recepción y control de la información
Procedimientos de Seguridad de la Información ★ Las herramientas o utilidades para el desarrollo y soporte de los sistemas de información ★ Personas que manejen datos, o un conocimiento específico muy importante para la organización (Por ejemplo: secretos industriales, manejo de información crítica, know how).
Procedimientos de Seguridad de la Información Bajo esta gestión se persigue dar cumplimiento a cuatro puntos claves: 1. Inventario de Activos: Todos los activos deben estar claramente identificados y se debe elaborar y mantener un inventario de todos los activos de información importantes de la organización 2. Propiedad de los Activos: Todos los activos de información deben ser “propiedad” de una parte designada de la Organización. En este sentido el propietario del activo definirá y garantizará los controles para la adecuada protección del activo
Procedimientos de Seguridad de la Información Bajo esta gestión se persigue dar cumplimiento a cuatro puntos claves: 3. Directrices de Clasificación de Activos: La información debe clasificarse en términos de su valor, de los requisitos legales, de su sensibilidad y la importancia para la organización. 4. Tratamiento de Activos: A la información debe dársele un manejo adecuado. Se debe establecer con base en las mejores prácticas de seguridad, que controles mínimo deben ser aplicados a los activos para su adecuado manejo, dependiendo del nivel de clasificación en el cual hayan sido catalogados.