Preguntas Frecuentes del PMG-SSI

Red de Expertos PMG - SSl 07-Julio-2010 / Pág. 1 de 13

PREGUNTAS FRECUENTES PMG-SSI

Contenido 1) TEMA: DOMINIOS DE SEGURIDAD DE LA INFORMACIÓN .............................................................. 3

¿De qué se trata el Dominio: Política de Seguridad? ..................................................................... 3

¿En qué consiste el Dominio: Seguridad Organizacional? ............................................................. 3

¿Cuál es el objetivo del Dominio: Clasificación, Control y Etiquetado de Bienes? ........................ 3

¿De qué manera se puede abordar el dominio “clasificación, control y etiquetado de bienes”,

en circunstancias de que los activos de información son muchos?............................................... 4

¿En qué consiste el Dominio: Seguridad del Personal? ................................................................. 4

Respecto a la generación, transmisión, recepción, procesamiento y almacenamiento de

documentos electrónicos ¿cuál es el alcance? ¿sólo XML? .......................................................... 5

¿De qué se trata el Dominio: Seguridad Física y del Ambiente?.................................................... 5

¿Cuál es el objetivo del Dominio: Gestión de las Operaciones y Comunicaciones? ...................... 5

Para los efectos de reducir el riesgo de negligencia o mal uso deliberado de los sistemas,

deberán aplicarse políticas de segregación de funciones. ¿Basta con crear perfiles y usuarios

desde Informática para que los usuarios –en general- no pueden aumentar sus derechos de

acceso? ........................................................................................................................................... 6

¿A qué se refiere cuando se habla de controles adicionales para la verificación de mensajes

(contexto de correo) que no se pueden autenticar? ..................................................................... 6

¿De qué se trata el Dominio: Control de Acceso? .......................................................................... 7

¿Se debiera perseguir que todos los sistemas informáticos cuenten con identificadores? ¿Cuál

es el límite a esto y con qué criterio debemos establecerlo? ........................................................ 8

¿Qué se sugiere para la entrega de identificadores temporales? ................................................. 8

¿Para qué se debe hacer el catastro del equipamiento que permita la reproducción, distribución

o transmisión masiva de información, y de las personas con privilegios de acceso a ellos? ........ 8

¿En qué consiste el Dominio: Desarrollo y Mantenimiento de Sistemas de Información? ........... 8

Si una institución no tiene un Departamento u otro tipo de Unidad de Desarrollo, ¿debe evaluar

las brechas respecto a desarrollo y mantención de sistemas? ...................................................... 9

¿Cuál es el objetivo del Dominio: Gestión de la Continuidad del Negocio? .................................. 9

2) TEMA: ASISTENCIA TÉCNICA EN EL PMG SSI ................................................................................ 10


¿Cuál es el programa de trabajo del PMG SSI? ............................................................................ 10

¿Quiénes son los validadores del PMG SSI? ................................................................................. 10

¿Cómo acceder a los requisitos técnicos del PMG SSI? ............................................................... 10

¿Cómo puedo saber en qué etapa estoy en el PMG SSI? ............................................................ 10

3) TEMA: DIAGNÓSTICO DEL PMG SSI.............................................................................................. 10

¿Qué procesos se deben incorporar en el diagnóstico? .............................................................. 10

¿La definición de criticidad se realiza por procesos o por áreas dentro de la Institución? ......... 11

¿Cómo se incorporan los activos de información en papel? ....................................................... 11

En la nueva versión de la Matriz de Diagnostico (al 14 de junio), los párrafos marcados en

negrilla no aparecen bloqueados y además se suman a la fórmula de cálculo del nivel de

cumplimiento de cada dominio, junto con sus sub-categorías. ¿Se deben diagnosticar esos

párrafos? ...................................................................................................................................... 11

4) TEMA: MARCO LEGAL DEL PMG SSI ............................................................................................. 12

¿Cómo se compatibiliza el PMG SSI con la Ley de Transparencia? .............................................. 12

¿Cómo se incorpora el DS 26 en el diagnóstico del dominio “etiquetado de bienes”, si éste ya se

encuentra obsoleto con la Ley 20.285? ....................................................................................... 12

5) TEMA: ROLES Y FUNCIONES EN EL SSI ......................................................................................... 13

¿Cuál es el perfil del encargado del PMG SSI? ............................................................................. 13

¿Cuál es el rol del Auditor Interno? ............................................................................................. 13


1) TEMA: DOMINIOS DE SEGURIDAD DE LA INFORMACIÓN

¿De qué se trata el Dominio: Política de Seguridad?

Este dominio consiste en proporcionar a la institución, la dirección y soporte para la seguridad de

la información en concordancia con los requerimientos institucionales y las leyes y regulaciones

pertinentes.

La alta dirección debe establecer claramente el enfoque de la política en línea con los objetivos

institucionales y demostrar su apoyo y su compromiso con la seguridad de la información, a través

de la emisión y mantenimiento de un documento de Política General de Seguridad de la

Información en toda la organización.

Volver al índice

¿En qué consiste el Dominio: Seguridad Organizacional?

La finalidad de este dominio es establecer un marco referencial a nivel directivo para iniciar y

controlar la implementación de la seguridad de la información dentro de la institución.

La dirección debe aprobar la política de seguridad de la información, asignar los roles de seguridad a los comités y designar al encargado de seguridad mediante una resolución, el cual debe coordinar y revisar la implementación de la seguridad en toda la institución. Si fuese necesario, se debe establecer una fuente de consultoría sobre seguridad de la

información que esté disponible dentro de la institución.

Se deben desarrollar contactos con los especialistas o grupos de seguridad externos, incluyendo

las autoridades relevantes, para mantenerse actualizado con relación a las tendencias mundiales,

monitorear los estándares, evaluar los métodos y proporcionar vínculos adecuados para el

manejo de los incidentes de seguridad de la información. Se debe fomentar un enfoque

multidisciplinario para la seguridad de la información.

Volver al índice

¿Cuál es el objetivo del Dominio: Clasificación, Control y Etiquetado de

Bienes?

El objetivo de este dominio es lograr y mantener una apropiada protección de los activos

institucionales. Todos los activos deben ser inventariados y contar con un propietario nombrado.

Los propietarios deben identificar todos los activos y deben asignar la responsabilidad por el

mantenimiento de los controles apropiados. La implementación de controles específicos puede

ser delegada por el propietario conforme sea apropiado, pero el propietario sigue siendo

responsable por la protección de los activos.


Adicionalmente se debe asegurar que la información reciba un nivel de protección adecuado. La

información debe ser clasificada para indicar la necesidad, prioridades y grado de protección

esperado en su manejo.

La información puede ser pública o secreta –también se denomina “reservada”- (Ley 20.285), y

contar con diferentes grados de importancia. Algunos activos pueden requerir un nivel de

protección adicional o manejo especial dependiendo de su criticidad y riesgo. Se debe utilizar un

esquema de clasificación de información para definir un conjunto apropiado de niveles de

protección y comunicar la necesidad de medidas de uso especiales.

Volver al índice

¿De qué manera se puede abordar el dominio “clasificación, control y

etiquetado de bienes”, en circunstancias de que los activos de información

son muchos?

Para definir el alcance sobre el cual se aplicará el diagnóstico de este dominio se debe considerar

qué activos de información intervienen en los procesos de provisión de productos institucionales

y que, por lo tanto, permiten que se cumpla la misión del Servicio. También puede haber

procesos de apoyo que sean críticos para “el negocio”, los cuales se deberán incluir. Sobre esos

activos habrá que aplicar la clasificación que plantea la Ley 20.285 (de transparencia), entre

documentos públicos y secretos.

Volver al índice

¿En qué consiste el Dominio: Seguridad del Personal?

Lo que busca este dominio es que antes de la contratación, se debe asegurar que los empleados,

contratistas y terceros entiendan sus responsabilidades, y sean idóneos para los roles para los

cuales son considerados; y reducir el riesgo de robo, fraude y mal uso de los medios.

Las responsabilidades de seguridad deben ser tratadas antes de la contratación en descripciones

de trabajo adecuadas y en los términos y condiciones del empleo.

Los empleados, contratistas y terceros usuarios de los medios de procesamiento de la

información deben firmar un acuerdo sobre sus roles y responsabilidades con relación a la

seguridad.

Durante las labores se debe asegurar que los usuarios empleados, contratistas y terceras personas

estén al tanto de las amenazas e inquietudes de la seguridad de la información, sus

responsabilidades y obligaciones, y estén equipadas para apoyar la política de seguridad

organizacional en el curso de su trabajo normal, y reducir el riesgo de error humano e incidentes

de seguridad.

Se debe proporcionar a todos los usuarios, empleados, contratistas y terceras personas un nivel

adecuado de conocimiento, educación y capacitación en procedimientos de seguridad y uso

correcto de los medios de procesamiento, activos y servicios de información para minimizar los


posibles riesgos de seguridad. Se debe establecer un proceso disciplinario normal para manejar

las fallas en la seguridad.

Volver al índice

Respecto a la generación, transmisión, recepción, procesamiento y

almacenamiento de documentos electrónicos ¿cuál es el alcance? ¿sólo

XML?

No. Se debe entender la frase refiriendo a los “activos de información” en general. Cuando

hablamos de seguridad del personal, es de TODO el personal; en caso de que haya personas que

manejan activos de información clasificados como “secretos”, se les deberá instruir respecto del

manejo de esta información específica. Este dominio se relaciona con el de “clasificación, control

y etiquetado de activos de información”.

Volver al índice

¿De qué se trata el Dominio: Seguridad Física y del Ambiente?

Este dominio consiste en prevenir el acceso no autorizado, daño e interferencia a las

instalaciones de la institución y a la información.

Los equipos de procesamiento de información crítica o sensible de la institución se deben

mantener en áreas seguras, protegidos por un perímetro de seguridad definido, con barreras

apropiadas de seguridad y controles de entrada. Éstos deben estar físicamente protegidos del

acceso no autorizado, daño e interferencia.

Es necesaria la protección de los equipos, incluyendo los portátiles usados fuera de las

dependencias, para reducir el riesgo de acceso no autorizado a datos y para prevenir la pérdida o

daño. Se pueden necesitar controles especiales para protegerlos de riesgos o accesos no

autorizados, y salvaguardar las instalaciones de apoyo, tales como el suministro eléctrico y la

infraestructura de cables.

Volver al índice

¿Cuál es el objetivo del Dominio: Gestión de las Operaciones y

Comunicaciones?

El objetivo de este dominio es crear procedimientos y responsabilidades operacionales de

manera de asegurar la operación correcta y segura de los medios de procesamiento de la

información.

Cuando sea pertinente, se debe implementar la segregación de deberes para reducir el riesgo de

negligencia o mal uso deliberado del sistema.

El software y los medios de procesamiento de la información son vulnerables a la introducción de

códigos maliciosos, como virus de cómputo, virus de red, caballos Troyanos y bombas lógicas. Los


usuarios deben estar al tanto de los peligros de los códigos maliciosos. Se deben introducir

controles para evitar, detectar y eliminar los códigos maliciosos y controlar los códigos móviles a

través de antivirus, de manera de proteger la integridad del software y la integración.

Se deben establecer los procedimientos de rutina para implementar la política de respaldo

acordada y la estrategia para tomar copias de respaldo de la data y practicar su restauración

oportuna.

Se debe asegurar la protección de la información que viaja por correo electrónico y su

infraestructura de soporte. La gestión segura del correo electrónico, requiere de la cuidadosa

consideración de la información que es transmitida, su confidencialidad, implicancias legales,

monitoreo y protección.

También se pueden requerir controles adicionales para proteger la información confidencial que

pasa a través de redes públicas.

Volver al índice

Para los efectos de reducir el riesgo de negligencia o mal uso deliberado de

los sistemas, deberán aplicarse políticas de segregación de funciones.

¿Basta con crear perfiles y usuarios desde Informática para que los usuarios

–en general- no pueden aumentar sus derechos de acceso?

Se debe verificar que en los sistemas sea técnicamente posible reducir este riesgo a través de

perfiles de usuarios y mostrando evidencia de que efectivamente se está utilizando dicho

perfilamiento, es decir, aplicación de controles. De todos modos, los controles no son sólo

informáticos, puesto que se trata de cuestiones que implican la conducta de las personas. Una

alternativa que puede ser admisible es incorporarlo en el reglamento de RRHH o similar con el

cual funcione la Institución.

Volver al índice

¿A qué se refiere cuando se habla de controles adicionales para la

verificación de mensajes (contexto de correo) que no se pueden autenticar?

Está referido al uso de Firma Electrónica Avanzada (FEA). Cabe señalar que el DS 83 se

complementa con la Ley N° 19799, el DS. 181 y el DS 81. No obstante, para la primera etapa de

diagnóstico, este control se puede evidenciar con la restricción del servicio de “relay” dentro de

los servidores de correo electrónico, es decir, que no permitan el ingreso de mensajes no

autenticados.

Volver al índice


¿De qué se trata el Dominio: Control de Acceso?

La finalidad de este dominio es asegurar que el acceso del usuario es debidamente autorizado y

evitar el acceso no autorizado a los sistemas de información. Se deben establecer

procedimientos formales para controlar la asignación de los derechos de acceso a los sistemas y

servicios de información.

Los procedimientos deben abarcar todas las etapas en el ciclo de vida del acceso del usuario,

desde el registro inicial de usuarios nuevos hasta la dada de baja de los usuarios que ya no

requieren acceso a los sistemas y servicios de información. Cuando sea apropiado, se debe

prestar atención especial a la necesidad de controlar la asignación de derechos de acceso

privilegiados, lo que permite a los usuarios superar los controles del sistema.

La cooperación de los usuarios autorizados es esencial para una seguridad efectiva. Los usuarios

deben estar al tanto de sus responsabilidades para mantener controles de acceso efectivos,

particularmente con relación al uso de claves secretas, su no divulgación y la seguridad del equipo

asignado a él.

Se debe implementar una política de escritorio y pantalla limpios para reducir el riesgo de acceso

no autorizado o daño a los papeles y medios de almacenamiento de la información.

Deben implementarse controles efectivos de manera de evitar el acceso no autorizado a los

servicios de la red. Se debe controlar el acceso a los servicios de redes internas y externas.

El acceso del usuario a las redes no debe comprometer la seguridad de los servicios de la red

asegurando:

a) Que existan las interfaces apropiadas entre la red de la institución y las redes de otras

organizaciones, y redes públicas;

b) Se apliquen los mecanismos de autenticación apropiados para los usuarios y el equipo;

c) Que el control del acceso del usuario a la información sea obligatorio.

Se deben utilizar medios de seguridad para restringir el acceso a los sistemas operativos a los

usuarios autorizados. Los medios deben tener la capacidad para:

a) Autenticar a los usuarios autorizados, en concordancia con una política de control de acceso

definida;

b) Registrar los intentos exitosos y fallidos de autenticación del sistema;

c) Registrar el uso de los privilegios especiales del sistema;

d) Emitir alarmas cuando se violan las políticas de seguridad del sistema;

e) Proporcionar los medios de autenticación apropiados;

f) Cuando sea apropiado, restringir el tiempo de conexión de los usuarios.

Volver al índice


¿Se debiera perseguir que todos los sistemas informáticos cuenten con

identificadores? ¿Cuál es el límite a esto y con qué criterio debemos

establecerlo?

Todos los sistemas deben ser evaluados en este aspecto, aunque se debe comenzar por el

negocio, sobre la base de la clasificación realizada a los activos, teniendo en cuenta que para

llegar a abarcarlos todos se tiene un horizonte de tres años.

De todos modos, este dominio se refiere fundamentalmente a los perfiles de acceso a los

sistemas, por lo tanto, adicionalmente se debe considerar las cuentas con altos privilegios

(administradores de red, de servidores, etc.)

Volver al índice

¿Qué se sugiere para la entrega de identificadores temporales?

Primero, en la etapa de diagnóstico se debe declarar la brecha. Como alternativa se plantea el

uso de papel, es decir, la entrega de contraseñas en sobres cerrados con acuse de recibo.

Volver al índice

¿Para qué se debe hacer el catastro del equipamiento que permita la

reproducción, distribución o transmisión masiva de información, y de las

personas con privilegios de acceso a ellos?

Para efectos del diagnóstico interesa conocer la existencia del catastro con la asignación de

responsable para cada equipo (medio de verificación). Apunta a la detección de vulnerabilidades

sobre las cuales habrá que aplicar los controles en el futuro.

Volver al índice

¿En qué consiste el Dominio: Desarrollo y Mantenimiento de Sistemas de

Información?

Aquellas instituciones que desarrollen software internamente o, en su defecto, encarguen su

elaboración a un proveedor calificado, se debe garantizar que la seguridad sea una parte integral

de los sistemas de información y se incluya en la etapa de formulación del software.

Los sistemas de información incluyen sistemas de operación, infraestructura, aplicaciones de

negocio, servicios y aplicaciones desarrolladas por el usuario. El diseño e implementación del

sistema de información que soporta el proceso de negocio puede ser crucial para la seguridad. Se

deben identificar y acordar todos los requerimientos de seguridad antes del desarrollo y/o

implementación de los sistemas de información en la fase de requerimientos de un proyecto; y

deben ser justificados, acordados y documentados como parte de las formalidades para un

sistema de información.

Volver al índice


Si una institución no tiene un Departamento u otro tipo de Unidad de

Desarrollo, ¿debe evaluar las brechas respecto a desarrollo y mantención

de sistemas?

Este dominio aplica siempre y cuando la institución haga desarrollo y mantención, independiente

de si cuenta con una orgánica para ello. En caso de que no lo haga, las brechas se deben

determinar contra los contratos de desarrollo de software. El resultado del análisis podrá ser la

contratación de mejoras sobre los sistemas, en lo que a seguridad se refiere y la aplicación de

estos controles en los nuevos contratos que se realicen.

Volver al índice

¿Cuál es el objetivo del Dominio: Gestión de la Continuidad del Negocio?

El objetivo de este dominio es considerar los aspectos de la seguridad de la información de la

gestión de la continuidad operativa de manera de hacer frente a las interrupciones de las

actividades institucionales y proteger los procesos críticos de los efectos de fallas importantes o

desastres en los sistemas de información y asegurar su reanudación oportuna.

Se debe implementar el proceso de gestión de la continuidad del negocio para minimizar el

impacto sobre la institución y lograr recuperarse de la pérdidas de activos de información (lo cual

puede ser resultado de, por ejemplo, desastres naturales, accidentes, fallas del equipo y acciones

deliberadas) hasta un nivel aceptable a través de una combinación de controles preventivos y de

recuperación. Este proceso debe identificar los procesos institucionales críticos e integrar los

requerimientos de gestión de la seguridad de la información de la continuidad del negocio con

otros requerimientos de continuidad relacionados con aspectos como operaciones, personal,

materiales, transporte y medios.

Las consecuencias de los desastres, fallas en la seguridad, pérdida del servicio y la disponibilidad

del servicio deben estar sujetos a un análisis del impacto en el negocio. Se deben desarrollar e

implementar planes para la continuidad del negocio para asegurar la reanudación oportuna de las

operaciones esenciales. La seguridad de la información debe ser una parte integral del proceso

general de continuidad del negocio, y otros procesos importantes dentro de la organización.

La gestión de la continuidad del negocio debe incluir controles para identificar y reducir los

riesgos, además del proceso general de evaluación de riesgos, debe limitar las consecuencias de

incidentes dañinos y asegurar que esté disponible la información requerida para los procesos

institucionales.

Volver al índice


2) TEMA: ASISTENCIA TÉCNICA EN EL PMG SSI

¿Cuál es el programa de trabajo del PMG SSI?

Incluye un proceso de asistencia técnica desde abril a julio de 2010, luego los servicios deberán

entregar un informe de avance en el mes de julio, al cual la Red de Expertos realizará

observaciones, que se resuelven en un segundo proceso de asistencia técnica, de septiembre a

noviembre. El proceso cierra con la entrega del informe final de validación, en diciembre de 2010.

Más detalles en http://ssi.pmg-gov.cl, sección “Cronograma de Actividades”.

Volver al índice

¿Quiénes son los validadores del PMG SSI?

La Red de Expertos responsable de validar el PMG SSI es la Dirección de Presupuestos del

Ministerio de Hacienda y la Subsecretaría de Interior.

Volver al índice

¿Cómo acceder a los requisitos técnicos del PMG SSI?

Los requisitos técnicos y medios de verificación del PMG SSI están publicados en el sitio

www.dipres.gob.cl, en la documentación general del PMG. Para ahondar de manera específica en

cada requisito y la modalidad de reporte, se debe consultar la Guía Metodológica del PMG SSI,

disponible en http://www.dipres.cl/572/propertyvalue-16887.html. Adicionalmente hay

información complementaria en http://ssi.pmg.gov.cl .

Volver al índice

¿Cómo puedo saber en qué etapa estoy en el PMG SSI?

Debe consultar con el Coordinador del PMG de su servicio. Esta es la persona que coordina todos

los sistemas que componen el PMG, y es quien debe asesorar al Jefe de Servicio respecto de los

compromisos contraídos por su institución.

Volver al índice

3) TEMA: DIAGNÓSTICO DEL PMG SSI

¿Qué procesos se deben incorporar en el diagnóstico?

El diagnóstico debe considerar los procesos de apoyo a la gestión del servicio y los procesos de

negocio. No obstante, hay dominios que están acotados sólo a estos últimos. Estos son los de:

- Clasificación, Control y Etiquetado de Bienes,

- Seguridad Física y del Ambiente, y

- Gestión de la Continuidad del Negocio.

http://ssi.pmg-gov.cl/

http://www.dipres.gob.cl/

http://www.dipres.cl/572/propertyvalue-16887.html

http://ssi.pmg.gov.cl/


Como paso previo al levantamiento de brechas de estos dominios, se debe definir cuáles de estos

procesos son críticos (porque no podemos abarcar todos y cada uno de ellos), cuestión que se

realiza tomando los procesos de provisión de bienes y servicios definidos en el Sistema de

Planificación y Control de Gestión (ficha A 1). La idea del SSI es que otorguemos mayores niveles

de seguridad a los procesos que tienen más impacto y cuya discontinuidad represente mayores

riesgos para el servicio. Este es el mismo criterio que se ha aplicado en el servicio para priorizar

procesos para el Sistema de Gobierno Electrónico.

Luego de haber levantado las brechas, en las etapas posteriores al diagnóstico, se deben planificar

las mejoras a tales procesos desde el punto de vista de la seguridad, definiendo aquéllas de corto,

mediano y largo plazo. En la medida que tales procesos van mejorando se irá ampliando el

alcance del SSI.

El diagnóstico para el resto de los dominios aborda, además, todos los otros procesos, incluidos

los de apoyo, cuyo levantamiento se ha adelantado a través del Programa Marco Básico y

Avanzado del PMG.

Volver al índice

¿La definición de criticidad se realiza por procesos o por áreas dentro de la

Institución?

Siempre es recomendable que se realice por proceso. Porque habitualmente los procesos críticos

son transversales a las instituciones, es decir, abarcan más de un área, división o departamento.

Este criterio permite abordar cada proceso incluyendo sus fronteras, de inicio y finalización,

facilitando que las mejoras incorporen controles de seguridad en todas las etapas donde se

requiera, y no sólo en aquellas que son responsabilidad de una división o departamento.

Volver al índice

¿Cómo se incorporan los activos de información en papel?

El DS 83 fija su cometido en el documento electrónico. Sin embargo, para efectos de realizar el

diagnóstico del PMG SSI, se recogen los dominios allí señalados, pero se han de aplicar a todos los

soportes de información de los procesos críticos definidos. Esto significa que se debe considerar

la información que circula en papeles (oficios, memos, minutas, fichas, expedientes, etc.),

entendiendo que se trata de activos de información relevantes para tales procesos.

Volver al índice

En la nueva versión de la Matriz de Diagnostico (al 14 de junio), los

párrafos marcados en negrilla no aparecen bloqueados y además se

suman a la fórmula de cálculo del nivel de cumplimiento de cada dominio,

junto con sus sub-categorías. ¿Se deben diagnosticar esos párrafos?

Efectivamente, se hace necesario completar los párrafos que están en negrita, ya que puede

existir el elemento al que se hace mención en esta descripción y, sin embargo, no cumpla con los

requisitos específicos pedido en los numerales o sub-categorías, por ejemplo:


DOMINIO 1: POLITICA DE SEGURIDAD:

Deberá establecerse una política que fije las directrices generales que orienten la materia de

seguridad dentro de cada institución, que refleje claramente el compromiso, apoyo e interés en

el fomento y desarrollo de una cultura de seguridad institucional. La política de seguridad

deberá incluir, como mínimo, lo siguiente:

a) Una definición de seguridad del documento electrónico, sus objetivos globales, alcance e

importancia.

b) La difusión de sus contenidos al interior de la organización.

c) Su reevaluación en forma periódica, a lo menos cada 3 años. Las políticas de seguridad

deberán documentarse y explicitar la periodicidad con que su cumplimiento será revisado.

Explicación:

En este caso, perfectamente podríamos tener una política que fije las directrices generales; que

esté sancionada y difundida, y sin embargo no contenga lo específico en las secciones a), b) y c).

Para este caso, el enunciado en negrita queda como "cumple" y los numerales como "no cumple";

por lo tanto nos orienta que la estrategia preliminar para cerrar la brecha será modificar la

política actual y completarla con los requerimientos.

Lo mismo aplica para el resto de los controles.

Volver al índice

4) TEMA: MARCO LEGAL DEL PMG SSI

¿Cómo se compatibiliza el PMG SSI con la Ley de Transparencia?

El PMG SSI y la Ley de Transparencia son complementarios. Esta normativa exige a los servicios

contar con información fiable y oportuna, lo cual se dificulta cuando no se cuenta con un SSI

adecuado. La definición de que toda la información es pública, salvo las excepciones descritas en

la misma Ley, no debe ser entendida como un obstáculo. La confidencialidad, como atributo a

proteger en el PMG SSI, responde a la necesidad de que la información esté en poder de quien

corresponda para el desarrollo de las funciones respectivas, con la oportunidad e integridad

requerida, y en caso de que la ciudadanía así también la solicite, ésta se entregue sin demoras.

Volver al índice

¿Cómo se incorpora el DS 26 en el diagnóstico del dominio “etiquetado de

bienes”, si éste ya se encuentra obsoleto con la Ley 20.285?

El DS 83, cuyos dominios de seguridad son recogidos en el PMG SSI, en su artículo 13 señala que la

clasificación debe realizarse de conformidad con el DS 26 del año 2001. Efectivamente este

Decreto fue derogado en forma tácita por la reforma constitucional del año 2005,

específicamente en el artículo 8 de la Carta Fundamental, y de manera explícita en el DS 134 del

mismo año.


Con la entrada en vigencia de la Ley 20.285 en el año 2009, la clasificación que se haya dispuesto

con anterioridad para cualquier activo de información queda obsoleta, puesto que dicha Ley

establece que toda la información es pública, salvo excepciones de secreto o reserva. Es decir, no

obstante que el PMG recoge el DS 83, para efectos del dominio “etiquetado de bienes”, el

referente es la Ley 20.285.

Volver al índice

5) TEMA: ROLES Y FUNCIONES EN EL SSI

¿Cuál es el perfil del encargado del PMG SSI?

Para definir este perfil, es importante considerar el tamaño de la institución, así como la

complejidad y cantidad de procesos críticos que deba resguardar.

En términos generales, el Encargado/a del PMG SSI debe ser un profesional cuyo conocimiento de

la institución le permita detectar y comprender las necesidades de la organización en materia de

Seguridad de la Información(SI), e incorporarlas de manera coherente a la estrategia institucional.

Este profesional debe estar capacitado para realizar levantamiento de procesos, visualizando

aquellos aspectos críticos que requieran la incorporación de TIC’s, controlar la gestión de la SI,

sopesar riesgos e integrar las actividades de manera de lograr la eficacia, eficiencia y calidad en la

implementación del Sistema de Seguridad de la Información(SSI), coordinando equipos de trabajo

compuestos por diferentes estamentos del servicio (directivos, RRHH, Informática, gestión de

calidad, equipos jurídicos, auditores, entre otros), comunicando a la autoridad institucional de

forma oportuna sobre las materias en que se requiera su apoyo y -a través de ello- lograr alinear a

los funcionarios de la institución en torno a las políticas y procedimientos del SSI.

Volver al índice

¿Cuál es el rol del Auditor Interno?

El Auditor Interno de cada servicio público adquiere un rol importante dentro de este Sistema.

Este funcionario ha liderado procesos de análisis de riesgo basados en una metodología

transversal a nivel de Gobierno, cuya aplicación también es requerida para el SSI. Este funcionario

deberá participar en la determinación de los riesgos institucionales que representan las

vulnerabilidades en la SI de los procesos críticos, para luego desarrollar auditorías que verifiquen

la reducción y/o eliminación de tales brechas.

Volver al índice

CCM/JZC/FMC

Preguntas Frecuentes del PMG-SSI

Documents

Transcript of Preguntas Frecuentes del PMG-SSI