Normas sobre Tecnologías de la Información y Comunicación - NORTIC

Normas sobre Tecnologías de la Información y Comunicación - NORTIC

Seguridad de las TIC

En este capítulo se indican las directrices para establecer la correcta administración de la información y el debido tratamiento de la misma, aplicando controles de seguridad que salvaguarden los activos de información de los organismos gubernamentales, y de igual manera se establecen las directrices para la correcta implementación de la continuidad, tanto para la prestación de servicios al ciudadano como de las operaciones dentro de los organismos.

  • Administración de la información Abrir o Cerrar

    La gestión de la información se basa en la protección del activo de información de los organismos gubernamentales, de manera que las directrices en esta sección están dirigidas al fortalecimiento de la confidencialidad, integridad y disponibilidad de la información, así como a la protección de la infraestructura que alberga los datos.

    Sistema para la administración de la seguridad de la información

    1. Los organismos gubernamentales deben implementar un Sistema para la Administración de la Seguridad de la Información (SASI).
      1. El SASI debe contemplar las siguientes informaciones dentro de su elaboración:
        1. Documento de definición y alcance del SASI: Este debe establecer el alcance, objetivos y las responsabilidades del SASI.
        2. Manual de procedimientos: Este debe establecer los documentos operativos que aseguran el debido funcionamiento del SASI.
        3. Manual de instrucciones, lista de tareas y formularios: Estos documentos deben establecer las actividades del nivel operativo para la correcta realización de las actividades del SASI.
        4. Registros: Estos documentos deben mantener evidencias de las acciones realizadas, según el SASI.
      2. El SASI debe estar orientado a procesos, y el mismo debe tener la estructura de entradas, procesos y salidas como se muestra en los Procesos para la implementación de un SASI:
        1. ENTRADAPROCESOSALIDA
          Requerimiento de implementación del SASI Definición de políticas, objetivos y alcance Políticas, objetivos y alcance
          Amenazas, vulnerabilidades, impactos y metodología Análisis de riesgos Inventario de activos e informe del análisis de riesgos
          Informe del análisis y controles Tratamiento de riesgos Plan de tratamiento de riesgos
          Controles y plan de tratamiento de riesgos Implantación y operación del SASI Políticas, procedimientos, instrucciones
          Auditorías, registros, revisiones y métricas Monitoreo y revisión del SASI Plan de mejora
          Acciones correctivas y acciones preventivas Mantenimiento y mejora del SASI  
        2. El SASI debe contemplar las siguientes actividades para la elaboración e implementación del sistema:
          1. Implicación de la Alta Gerencia en el proceso de elaboración.
          2. Definición del alcance del SASI y políticas de seguridad.
          3. Identificación de amenazas, vulnerabilidades e impactos.
          4. Definición y selección de controles para el tratamiento de riesgos.
          5. Aprobación por parte de la Alta Gerencia del riesgo residual.
          6. Elaboración del documento de declaración de aplicabilidad.
          7. Implementación de controles, documentación de políticas, procedimientos e instrucciones de trabajo del SASI.
          8. Definición de los indicadores para la medición de la efectividad de los controles.
          9. Formación y concienciación, en lo relativo a seguridad de la información, a todo el personal del organismo gubernamental.
          10. Monitoreo y registro de todas las incidencias.
          11. Monitoreo del SASI y mejora continua.
          12. Evaluación periódica de los riesgos, revisión de los niveles de riesgos residuales identificados para el SASI, así como su alcance.
          13. Mejora continua del SASI.
        3. Los organismos gubernamentales deben hacer una revisión del SASI una (1) vez al año.

    Responsabilidad del empleado público

    1.  Los empleados de los organismos gubernamentales deben cumplir con las siguientes responsabilidades:
      1. El empleado público debe velar porque otras personas no accedan a su estación de trabajo.
      2. El empleado público no debe dejar su estación de trabajo desatendida sin antes bloquearla.
      3. El empleado público debe velar por la integridad de sus equipos asignados y reportar al departamento de TIC cualquier irregularidad con los mismos.
      4. El empleado público no debe divulgar las credenciales que utiliza dentro del organismo gubernamental.
      5. El empleado público no debe divulgar información confidencial a otro personal no autorizado para circular con dicha información.
    2. El organismo gubernamental debe asegurar que cada uno de los empleados tenga total conocimiento de las directrices establecidas en esta sección.

     

  • Tratamiento seguro de la información Abrir o Cerrar

    Esta sección indica las directrices necesarias para lograr el correcto tratamiento de la información basada en políticas para la administración del activo de información, su correcto almacenamiento dependiendo el tipo de información y los procedimientos que deben ejecutarse cuando exista inconvenientes con el activo de información.

    Administración de la información

    1. Toda información de los organismos gubernamentales debe estar debidamente categorizada dentro de los parámetros siguientes:
      1. Información pública: Esta información debe estar al alcance, tanto de los empleados del organismo gubernamental como del público externo.
      2. Información valiosa: Esta información se utiliza para las operaciones del organismo gubernamental y debe estar solo al alcance de los sus empleados.
      3. Información sensitiva: Esta información debe estar solo al alcance de personas autorizadas. Esta puede afectar un personal o departamento dentro del organismo gubernamental.
      4. Información confidencial: Esta información debe estar permitida para un personal autorizado. Este personal debe estar designado por la máxima autoridad del organismo gubernamental o áreas designadas para otorgar dichos permisos. Esta puede afectar los intereses del organismo gubernamental.
    2. Los organismos gubernamentales deben tener un sitio de almacenamiento especial para las informaciones sensitivas o confidenciales (en lo adelante, informaciones clasificadas).
      1. El sitio de almacenamiento debe disponer de una ruta, la cual pueda ser accedida única y exclusivamente por el personal autorizado.
    3. Los medios de almacenamiento que albergan información clasificada deben estar cifrados.
    4. Los organismos gubernamentales no deben permitir la divulgación ni replicación de informaciones clasificadas a terceros o personas no autorizadas, ya sea por vía electrónica o física.
    5. Los organismos gubernamentales deben tener los medios adecuados para poner a disposición su información pública y valiosa.
      1. Los medios mínimos requeridos son:
        1. Portal web: Para informaciones públicas dirigidas al ciudadano sobre el organismo gubernamental.
        2. Intranet: Para información exclusiva de los empleados del organismo gubernamental.
        3. Correo electrónico: Para informaciones con carácter importante o urgente a los empleados del organismo.
    6. Las áreas o departamentos que manipulen información clasificada, deben tener independencia de recursos como impresoras, escáner, trituradoras de papel y archiveros.
    7. Toda información clasificada debe tener una frecuencia de respaldo superior a las informaciones no clasificadas.

    Políticas para la administración de la información

    1. Los organismos gubernamentales deben tener políticas definidas para la conservación de documentos o informaciones.
      1. Los organismos gubernamentales deben tener todas sus informaciones digitalizadas y almacenadas por categoría, según se establece en la Ver sub-sección 6.02.1 Administración de la información.
        1. Toda información digitalizada debe perdurar en el tiempo y no debe ser eliminada.
        2. Los organismos gubernamentales deben tener un sistema de respaldo para estas informaciones.
      2. Los documentos alojados en el repositorio de archivos muertos deben ser eliminados luego de un tiempo de conservación de cinco (5) años.
        1. Para proceder con la eliminación de los archivos muertos, deben seguirse las siguientes directrices:
          1. Debe llenarse un formulario de solicitud para la eliminación de los archivos muertos, el cual debe ser aprobado y autorizado por la unidad, departamento o personal dueño de la información.
          2. Este formulario debe tener los siguientes datos:
            1. Nombre y apellido de quien elimina.
            2. Fecha.
            3. Departamento dueño de la información.
            4. Nombre del documento que elimina.
            5. Firma del empleado que elimina.
            6. Firma de autorización por parte de la máxima autoridad del departamento o entidad.
          3. Luego de la aprobación para la eliminación de los archivos muertos, estos deben ser digitalizados y categorizados.
      3. Los organismos gubernamentales deben tener políticas para la conservación y eliminación de documentos físicos. Las informaciones que tengan que ser eliminadas, deben ser digitalizadas y categorizadas debidamente antes de su eliminación.
        1. La memoria institucional y las noticias de los organismos son consideradas informaciones históricas y esta debe permanecer en el tiempo y no ser eliminadas.
        2. Toda información física que no agregue valor estratégico para decisiones de la Alta Gerencia con una antigüedad de 10 años, debe ser eliminada.
        3. Toda información clasificada que pierda su utilidad y tenga una antigüedad de 5 años debe ser eliminada.
        4. Toda información de empleados no activos en los organismos gubernamentales por un periodo de antigüedad de 2 años, debe ser eliminada, incluyendo:
          1. Toda información de los empleados fallecidos.
          2. Toda información almacenada de un empleado por causa de renuncia.
          3. Toda información de un empleado inactivo por causa de cancelación.
          4. Toda información judicial, historial médico, historial de sanciones e historial de méritos de empleados no activos, también aplican para ser eliminadas.
        5. Toda información de accidentes de trabajo de los empleados con más de 2 años de antigüedad debe ser eliminada, a partir de la fecha de prescindir del recurso.
        6. Toda información de solicitud de empleo al organismo gubernamental con una antigüedad de 6 meses, debe ser eliminada.
        7. Cualquier otra documentación no mencionada que no agregue valor con una antigüedad de 12 años, debe ser eliminada.
      4. Para la correcta eliminación de los documentos físicos o digitales, Ver Borrado seguro de la información.
    2. Las informaciones sensitivas de los empleados deben tener el siguiente tratamiento:
      1. Informaciones personales como contactos, cuentas de banco, cédula, tarjetas de crédito, pasaportes, y demás, que sean administradas por el organismo gubernamental, no pueden ser divulgadas al público y deben estar a disponibilidad del empleado dueño de la información.
        1. Debe agregarse una marca de agua a los documentos digitalizados para garantizar la integridad del mismo.
        2. En caso de un personal, entidad o departamento del organismo gubernamental solicitar información sensitiva, el departamento que custodia la información debe ocultar las informaciones que no son necesarias suministrar al solicitante.
      2. El organismo gubernamental es responsable de la custodia de la información sensitiva, la cual debe estar en ambientes controlados de seguridad.
    3. Las informaciones clasificadas que estén impresas deben ser retiradas inmediatamente de los medios utilizados para la impresión o escaneo.

    Almacenamiento de la información

    1. Los organismos gubernamentales deben definir políticas para los siguientes tipos de almacenamiento de la información:
      1. Almacenamiento local: Esto se lleva a cabo en las estaciones de trabajo de cada empleado del organismo gubernamental.
        1. Debe estar definido qué clase de información estará almacenada, según su clasificación.
          1. Las informaciones de relevancia o alto impacto que residan en el almacenamiento local con un permiso temporal, deben ser eliminadas de forma segura al terminar con su utilización.
          2. En caso de que la información sea de relevancia o alto impacto, la información debe estar cifrada.
        2. Debe estar definido en qué ubicación del árbol de directorios del sistema operativo estará residiendo la información.
      2. Servidores de almacenamiento en red: Este es el almacenamiento común localizado en un servidor especial para los fines de almacenamiento.
        1. Deben estar configurados para poner a disponibilidad del empleado cualquier documento o información del organismo gubernamental.
          1. Toda información alojada en los servidores, debe estar regida por las políticas definidas en la Ver  Políticas para la administración de la información.
        2. Deben permitir al empleado disponer de carpetas personales para el desarrollo de sus funciones.
        3. Deben permitir compartir los contenidos creados por el propio empleado.
        4. Deben tener los accesos definidos para cada empleado.
        5. Deben ser utilizados para el almacenamiento de contenido personal.
          1. No deben contener archivos de audio o video sin relación con el organismo.
          2. No deben contener archivos de información personal del empleado.
          3. No deben contener software no licenciados.
        6. Los servidores de almacenamiento en red deben tener cuotas de almacenamiento por empleado.
      3. Dispositivos de almacenamiento externo: Estos son dispositivos generalmente personales como Discos Compactos (CD, por sus siglas en inglés), Discos versátiles Digitales (DVD, por sus siglas en inglés), memorias bus universal en serie (USB, por sus siglas en inglés), entre otros.
        1. Los dispositivos de almacenamiento externo deben ser utilizados para transportar información del organismo gubernamental temporalmente.
          1. La información debe ser borrada cuando deje de ser necesaria en este medio de almacenamiento.
        2. Los dispositivos de almacenamiento externo no deben ser utilizados para transportar información clasificada.
          1. Esta directriz no aplicará para personas con la autorización de circular con la información como ministros, directores generales, gerentes, directores de área, encargados o personas asignadas por los antes mencionados; dicho dispositivo de almacenamiento externo debe estar cifrado para el transporte de la información.

    Respaldo de la información

    1. Los organismos gubernamentales deben tener políticas para los sistemas de respaldo de la información.
      1. Los organismos gubernamentales deben definir qué informaciones serán incluidas en el respaldo.
        1. Las informaciones vitales para el correcto funcionamiento de los organismos deben ser incluidas dentro del programa de respaldo.
      2. Los organismos gubernamentales deben definir la frecuencia en la que se realizarán los respaldos.
      3. Los organismos gubernamentales deben disponer de un espacio físico para el almacenamiento de los respaldos.
        1. Solo el personal autorizado podrá acceder y manipular los respaldos.
      4. Los organismos gubernamentales deben asegurar que los datos respaldados están íntegros y libres de errores para su posterior uso.
        1. Debe probarse periódicamente y aleatoriamente los respaldos realizados para garantizar su integridad.
      5. Los organismos gubernamentales deben definir la vigencia que tendrá cada respaldo realizado.

    Recuperación de la información

    1. En caso de pérdida o destrucción de la información clasificada de manera accidental, los organismos deben:
      1. Proceder a utilizar los medios de respaldo establecidos anteriormente en Respaldo de la información.
    2. La unidad de Seguridad y Monitoreo debe tener un personal que asuma la función de recuperación de pérdida de datos.

    Borrado seguro de la información

    1. Los organismos gubernamentales deben tener los siguientes métodos disponibles para la eliminación de la información en caso de desechar medios de almacenamiento, avería permanente o borrado seguro de la información en un medio de almacenamiento no necesario.
      1. Desmagnetización: Este proceso de borrado consiste en exponer el medio de almacenamiento a un potente campo magnético, con el cual se eliminan los datos almacenados.
      2. Destrucción física: Este proceso consiste en inutilizar permanentemente el medio de almacenamiento, a través de diferentes métodos, como pueden ser:
        1. Desintegración, pulverización, fusión o incineración: Estos métodos destruyen el medio de almacenamiento por completo, utilizando una trituradora de metal o proceso de incineración.
          1. En caso de utilizar el método anterior, debe tomarse en cuenta las medidas de seguridad pertinentes para áreas no seguras, como lo especifica en Controles de acceso a la infraestructura.
        2. Trituración: Ese método puede ser utilizado para la destrucción de los medios de almacenamiento de información flexible como el papel.
      3. Sobreescritura o formato: Este proceso consiste en sobrescribir la superficie que contiene la información con datos nuevos o también con un proceso de formateo de bajo nivel al dispositivo de almacenamiento.
    2. En caso del organismo gubernamental optar por utilizar el método de formateo para la eliminación de datos, debe utilizar el formateo de bajo nivel para asegurar el correcto borrado de la información.
    3. La unidad de Seguridad y Monitoreo debe tener un personal que asuma la función de borrado seguro de la información.
    4. El organismo gubernamental debe tener registros de los borrados solicitados y autorizados por la entidad que los solicita.
    5. Debe tomarse en cuenta los métodos de borrado adecuado en función del dispositivo para el borrado seguro de la información, según el medio de almacenamiento y el método a utilizar.
      1. MEDIO DE ALMACENAMIENTOMÉTODOS ADECUADOS DE BORRADO
        Discos duros magnéticos Destrucción física
        Desmagnetización
        Sobreescritura
        Discos flexibles
        Cintas de respaldo
        Discos duros electrónicos Destrucción física
        Sobreescritura
        Discos ópticos Destrucción física
        Memorias USB Destrucción física
        Sobreescritura
  • Administración de los controles de acceso Abrir o Cerrar

    En esta sección se establecen las directrices que deben implementar los organismos gubernamentales para la correcta administración de los controles de acceso, por medio de políticas que apoyan los marcos de acceso a la información, acceso a la red del organismo gubernamental, acceso a los sistemas que soportan las operaciones del organismo, y las políticas para la regulación de los accesos de los usuarios.

    Políticas de acceso a la información

    1. Los organismos gubernamentales deben definir categorías de protección para la información.
      1. Estas informaciones deben estar categorizadas como lo establece en las directrices citadas en la sección anterior.
      2. Los grupos de seguridad deben estar definidos como se establece a continuación:
        1. Categoría 1: Es información de poca protección, ya que esta es información pública.
        2. Categoría 2: Es información de carácter personal y privada de los empleados y funcionarios del organismo gubernamental.
          1. Información valiosa.
          2. Información sensitiva.
        3. Categoría 3: Es información de alto interés organizacional y estratégico; información sustancial y de acceso exclusivo a un personal autorizado.
          1. Información confidencial.
    2. Los organismos gubernamentales deben elaborar y establecer un Contrato de Confidencialidad con sus empleados sobre el uso de las informaciones.
      1. El contrato de confidencialidad debe contemplar los siguientes elementos:
        1. Consideraciones: Contiene información relacionada al contrato mismo e información sobre el organismo.
        2. Cláusulas: Contiene las especificaciones del contrato y sus condiciones; esto debe contemplar las definiciones, excepciones, sanciones, plazos y demás.

    Control de acceso en la red

    1. Los organismos gubernamentales deben tener políticas para el uso de los servicios y recursos de la red.
      1. Dentro de los servicios y recursos a tomar en cuenta deben estar:
        1. Internet:
          1. Este servicio debe tener protección por cortafuegos e intermediario (haciendo referencia a proxy).
          2. Este servicio debe tener filtro de tráfico por categoría.
            1. Los sitios web con contenido ilícito deben estar bloqueados.
            2. Los sitios web de juegos en línea deben estar bloqueados.
            3. Los sitios web de apuestas en línea o actividades ilegales deben estar bloqueados.
            4. Los sitios web con contenido pornográfico deben estar bloqueados.
        2. Intranet:
          1. Este servicio debe estar a la disposición del empleado por medio de autentificación.
          2. Este servicio debe ser para uso exclusivo de los empleados del organismo.
        3. Impresora:
          1. Este recurso debe ser utilizado exclusivamente para impresiones relativas al organismo gubernamental.
          2. Los empleados no deben hacer uso personal de este recurso.
          3. Los documentos impresos deben ser retirados de inmediato por el dueño del documento impreso.
        4. Escáner:
          1. Los documentos escaneados deben ser retirados de inmediato por el empleado dueño del documento escaneado.
          2. Para el correcto procedimiento de escaneo de documentos, deben seguirse las pautas establecidas en Preparación de documentos.
        5. Correo electrónico:
          1. Este servicio no debe ser usado para enviar correos masivos.
          2. El correo es para el uso exclusivo de temas pertinentes al organismo gubernamental.
          3. Para la correcta implementación del correo electrónico de los organismos gubernamentales, deben seguirse las pautas establecidas en la sección de Correo institucional.
        6. Servidor de archivos y almacenamiento:
          1. Todas las directrices establecidas en la sección de Almacenamiento de la información aplican para este mandato.
    2. Los organismos gubernamentales deben tener políticas de autenticación para conexiones externas a los servicios internos del organismo.
    3. Cada equipo dentro de la red de los organismos gubernamentales debe estar registrado dentro del inventario de los departamentos de TIC.
    4. El departamento de TIC debe controlar la configuración, y acceso físico o lógico, tanto interno como externo al organismo, a los puertos de diagnóstico de la infraestructura de TIC del organismo.
    5. El departamento de TIC debe tener controles establecidos de enrutamiento de las redes, para asegurar que las conexiones de las aplicaciones y servicios en la red del organismo gubernamental no incumplan las políticas de seguridad.

    Control de acceso al sistema operativo

    1. Las conexiones remotas a las estaciones de trabajo o servidores deben:
      1. Tener un cifrado mínimo de 128 bits.
      2. Tener un tiempo de bloqueo de la estación de trabajo o servidores tras treinta (30) minutos de inactividad.
      3. Tener un tiempo de desconexión de acceso a la estación de trabajo o servidores tras treinta (30) minutos de inactividad.
      4. Este servicio solo debe estar disponible para el personal autorizado por el departamento de TIC.
      5. Todos los servidores deben disponer de conexión segura por medio de SSH.
      6. Las conexiones remotas para transferencia de archivos deben ser por medio del Protocolo Seguro de Transferencia de Archivos (SFTP, por sus siglas en inglés).
    2. Las estaciones de trabajo que establezcan conexiones a servidores deben estar protegidas por antivirus.
    3. Las conexiones fuera de los organismos gubernamentales a servicios críticos en servidores deben ser por medio de una VPN, seguida por autentificación en el servidor.
    4. Las conexiones dentro de los organismos gubernamentales a servicios críticos en servidores deben ser por medio de autentificación en el servidor que aloja los servicios.
    5. Los departamentos de TIC deben tener un sistema de monitoreo para evitar que las medidas de seguridad sean violadas por el empleado.
    6. Solo el personal técnico del departamento de TIC, o a quién este autorice, tendrá permisos a conexiones de terminales de trabajo o servidores.
    7. Todos los usuarios deben estar registrados en la base de datos del departamento de TIC para poder tener acceso a las estaciones de trabajo.
      1. Los departamentos de TIC deben asignar permisos para autentificación en las estaciones de trabajo y permisos para los servicios que estén disponibles en la red.
    8. Todas las estaciones de trabajo de los organismos gubernamentales deben estar protegidas por contraseña que cumplan las siguientes características:
      1. Las contraseñas deben tener un mínimo de ocho (8) caracteres.
      2. Las contraseñas deben tener al menos una letra mayúscula.
      3. Las contraseñas deben tener letras minúsculas.
      4. Las contraseñas deben tener al menos un número.
      5. Las contraseñas deben ser renovadas cada noventa (90) días.
      6. Las contraseñas personales no deben ser compartidas para no comprometer información sensible que resida en las estaciones de trabajo.
      7. Las contraseñas definidas por el empleado no deben ser comunes.
    9. En caso de que el empleado tenga inconvenientes para acceder a su estación de trabajo, este debe solicitar soporte al departamento de TIC y bajo ningún término tratar de acceder por mecanismos de fuerza bruta.

    Gestión de acceso de usuario

    1. Los organismos gubernamentales deben tener procedimientos establecidos para la gestión de accesos de sus empleados, estos procedimientos deben contemplar:
      1. Accesos de entrada y salida al organismo gubernamental.
        1. El sistema de acceso al organismo gubernamental debe cumplir las directrices establecidas en la sección Controles de acceso a la infraestructura.
      2. Controles de accesos a la información del organismo gubernamental.
        1. Estos controles deben contemplar lo establecido en la sección Administración de la información.
      3. Controles de accesos a estaciones de trabajo.
      4. Controles de accesos a áreas restringidas.
      5. Controles de accesos a áreas de servidores.
      6. Controles de accesos a software del organismo gubernamental.
    2. Los organismos gubernamentales deben hacer una revisión de los accesos de los usuarios anualmente. Esta revisión debe estar documentada.
    3. Los organismos gubernamentales deben hacer una revisión, modificación o eliminación de los accesos de los usuarios al momento en que estos:
      1. Sean cancelados.
      2. Sean promovidos.
      3. Sean degradados.
      4. Sean transferidos a diferentes localidades.
      5. En caso de fallecimiento.
    4. La unidad de Seguridad y Monitoreo debe tener un personal que asuma la función de la administración de accesos de los empleados.

    Políticas de gestión de activos físicos

    En esta sección se indican las políticas para la correcta implementación sobre controles de entrada y salida de mobiliario y materiales diversos en los organismos gubernamentales, así como las pautas para regular los accesos a las localidades de los organismos estableciendo un marco de seguridad.

    Controles de hardware, mobiliario y materiales diversos

    1. Todos los activos físicos de los departamentos de TIC deben tener un responsable de los mismos.
    2. Los organismos gubernamentales deben tener procedimientos y políticas para los activos físicos que estarán fuera del local. Estas directrices no aplican para empleados con activos portátiles asignados como móviles, computadoras, tabletas y trasmisores-receptores (también conocidos como Walkie-Talkie).
      1. Los procedimientos deben ser:
        1. El empleado debe llenar una solicitud para los fines, especificando la razón, cantidad de equipos, seriales o códigos de identificación de los equipos y periodo por el cual necesita el activo fuera de la locación.
        2. La solicitud debe ser aprobada por el gerente del área y archivada en el registro del departamento de TIC.
        3. La solicitud debe ser entregada en la recepción al personal de seguridad, este verificará las especificaciones del permiso con el activo para asegurar que sea la misma cantidad y los seriales o códigos de identificación especificados.

          1. El personal de seguridad debe firmar y retener el documento para archivarlo.
          2. El personal de seguridad debe entregar una copia del documento impreso al empleado.
        4. Al momento del empleado retornar con el activo, se buscará el documento archivado para ingresar su fecha y día de ingreso, seguido por la firma del personal de seguridad.
        5. El activo físico debe ser devuelto al área pertinente y el documento debe ser entregado a la autoridad que inicialmente autorizó la salida del mismo.
      2. Políticas para la salida y entrada de los activos físicos:
        1. Solo el personal autorizado puede sacar un activo físico del organismo gubernamental.
        2. El departamento de TIC debe establecer una fecha límite para los activos que sean solicitados fuera del organismo gubernamental.
        3. Los activos deben ser entregados en las mismas condiciones en las que fueron retirados del organismo gubernamental.
        4. El departamento de TIC debe asegurar que los datos e informaciones que residirán en el activo físico estarán seguros por medio de políticas y controles establecidos para dichos casos.
    3. Para los empleados con activos físicos asignados, estos deben estar en el inventario del departamento de TIC. El estado físico de los mismos debe estar documentado.
      1. El empleado debe asumir cualquier responsabilidad del activo físico en caso de pérdida o daño del activo.
      2. El empleado debe mantener el activo físico en perfecto estado y entregar el mismo en las condiciones como lo recibió.
    4. Los organismos gubernamentales deben tener políticas para la reutilización o eliminación de equipos.
      1. Para la aplicación de estos mandatos debe seguirse las directrices establecidas en la sección Borrado seguro de la información.
      2. Las estaciones de trabajo que sean traspasadas o reasignadas a un nuevo empleado deben pasar por un proceso completo de eliminación de datos de los medios de almacenamiento que el activo físico contenga.
      3. Para los equipos que estén en proceso de eliminación, sus medios de almacenamiento deben ser retirados y eliminados por separado.

    Controles de acceso a la infraestructura

    1. Los organismos gubernamentales deben contar con un proceso de control de acceso.
      1. Los organismos gubernamentales deben tener un procedimiento de registro de entradas y salidas.
        1. El sistema debe contemplar los siguientes datos e informaciones:
          1. Fecha.
          2. Nombre del empleado.
          3. Hora de entrada.
          4. Firma a la hora de entrada.
          5. Hora de salida.
          6. Firma a la hora de salida.
      2. Para la entrada de un visitante al organismo gubernamental, deben agotarse los pasos a continuación:
        1. El visitante debe dejar una identificación en la recepción donde posteriormente se le entregará un carnet de identificación con el nivel de acceso permitido descrito en la tabla sobre Niveles de acceso.
        2. El visitante debe ser acompañado por un personal del organismo gubernamental hasta su lugar de visita o reunión. Del mismo modo, el visitante debe ser acompañado a la salida de la locación, al momento de concluir su visita.
        3. Al final de la visita del invitado, este debe entregar el carnet de identificación en la recepción donde se le entregaran sus credenciales.
      3. La Alta Gerencia del organismo gubernamental debe asignar el departamento o área que administrará la información generada por el sistema.
      4. Los organismos gubernamentales deben hacer su asignación de niveles de accesos en base a la siguiente tabla sobre Niveles de acceso:
        1. NIVEL DE ACCESODESTINADO ADESCRIPCIÓN
          Nivel 1 Invitados Acceso de entrada y salida al organismo
          Acceso a áreas básicas del organismo
          Acceso restringido al centro de datos
          Nivel 2 Personal del organismo Acceso restringido a áreas de seguridad
          específicas y clasificadas por el organismo
          Acceso de entrada y salida al organismo
          Acceso a áreas pertinentes al rol del personal
          Nivel 3 Personal del organismo autorizado Acceso restringido al centro de datos
          Acceso de entrada y salida al organismo
          Acceso a todas las áreas básicas del
          organismo
          Nivel 4 Personal del departamento de TIC Acceso abierto al centro de datos
          Acceso de entrada y salida al organismo
          Acceso a todas las áreas básicas de la
          organismo
          Acceso a áreas de seguridad específicas y
          clasificadas por el organismo
    2. Los organismos deben tener señalizadas las áreas seguras y no seguras para el empleado.
      1. Las áreas no seguras deben estar igualmente señalizadas y solo el personal autorizado tendrá acceso a las mismas.
      2. Dentro de las áreas no seguras debe incluirse:
        1. Áreas de carga.
        2. Áreas eléctricas.
        3. Áreas con productos derramados.
        4. Áreas con herramientas cortantes o filosas.
        5. Áreas con tránsito vehicular dentro del organismo.
        6. Áreas con desechos del organismo.
        7. Áreas con combustibles.
        8. Cualquier otra área determinada como no segura por el organismo.
  • Plan de disponibilidad y continuidad Abrir o Cerrar

    A continuación se estarán estableciendo las directrices pertinentes para la implementación y administración de la disponibilidad y continuidad de los servicios y operaciones de los organismos gubernamentales.

    Plan de disponibilidad

    1. Los organismos gubernamentales deben tener un plan de disponibilidad. Este debe tener las siguientes informaciones:
      1. La situación actual de disponibilidad de los servicios TIC. Información que debe ser actualizada periódicamente.
      2. Herramientas para la monitorización de la disponibilidad.
      3. Métodos y técnicas de análisis a utilizar.
      4. Definiciones relevantes y precisas de las métricas a utilizar.
      5. Planes de mejora de la disponibilidad.
      6. Expectativas futuras de disponibilidad.

    Plan de continuidad del organismo

    1. Los organismos gubernamentales deben tener un Comité de Continuidad (CONTI).
    2. El CONTI debe estar compuesto por la Alta Gerencia, la máxima autoridad del departamento TIC y áreas claves del organismo gubernamental para la prestación de servicios.
    3. Los organismos gubernamentales deben tener un plan de continuidad para asegurar la no interrupción de sus operaciones vitales y sus servicios al ciudadano o demás organismos.
    4. Los organismos gubernamentales deben realizar un Análisis de Impacto del Negocio (BIA, por sus siglas en inglés) y este debe ser de insumo para la implementación del plan de continuidad.
      1. La integración de la Alta Gerencia del organismo gubernamental en este proceso es fundamental para la correcta elaboración y aprobación del BIA.
      2. En la elaboración de BIA debe tomarse en cuenta los siguientes procesos:
        1. Verificación del inventario de procesos.
        2. Identificación de impactos.
        3. Definición de tiempos y secuencia de recuperación.
        4. Identificación de interdependencias entre procesos.
        5. Identificación de los procesos críticos del negocio.
        6. Análisis de riesgo.
      3. En caso de que los organismos gubernamentales no tengan el recurso humano para la elaboración del BIA, debe contratar un consultor para los fines.
    5. Los organismos gubernamentales deben tomar en cuenta lo siguiente para la elaboración del plan de continuidad:
      1. Análisis de riesgos, dentro de este proceso debe realizarse lo siguiente:
        1. Identificar los ambientes operativos que se pueden ver afectados en caso de un siniestro.
        2. Identificar los principales escenarios de falla y los recursos e infraestructuras críticas.
        3. Identificar oportunidades de mejora o exposiciones críticas a riesgos de falla.
        4. Identificar las políticas y mejores prácticas de seguridad existentes.
        5. Revisión de instalaciones físicas, centros de cómputo e infraestructuras tecnológicas en general.
      2. Selección de la estrategia de continuidad, dentro de este proceso debe realizarse lo siguiente:
        1. Definir requerimientos mínimos para cada recurso.
        2. Identificar configuraciones alternativas de recursos.
        3. Determinar las redundancias de equipos y de comunicaciones.
        4. Analizar las diferentes posibilidades en procesamiento y en comunicaciones.
        5. Determinar las opciones estratégicas de procesamiento internas y externas.
      3. Plan de recuperación ante desastres (DRP, por sus siglas en ingles), para la implementación del DRP debe tomarse como referencia lo establecido en la siguiente metodología:
        1. Análisis de impacto sobre los servicios de TIC.
        2. Evaluación de riesgos de la infraestructura de TIC.
        3. Desarrollo de estrategias para la recuperación.
        4. Definición de roles y responsabilidades.
        5. Pruebas del DRP.
      4. Ejecución y Desarrollo del Plan, dentro de este proceso debe realizarse lo siguiente:
        1. Definir los planes de continuidad y restauración.
        2. Elaborar el manual del plan.
        3. Definir las condiciones que deben cumplirse para que el plan tenga éxito.
      5. Evaluación y Mantenimiento, dentro de este proceso debe realizarse lo siguiente:
        1. Desarrollar las tareas necesarias para garantizar la operatividad del plan como simulacros y otras actividades relacionadas.
        2. Concientizar sobre la importancia del plan a todos los empleados del organismo.
        3. Socializar el plan al CONTI y a todo el organismo.
        4. Designar un responsable del plan para su actualización y mantenimiento.
    6. Los organismos gubernamentales deben generar periódicamente informes sobre la ejecución y estado de su plan de continuidad.
      1. Los organismos gubernamentales deben tomar en cuenta lo siguiente para sus evaluaciones periódicas del plan de continuidad:
        1. Análisis sobre nuevos riesgos y los impactos de los mismos.
        2. Revisión del impacto económico asociado al plan de continuidad.
        3. Evaluación sobre los simulacros del plan de continuidad.
        4. Capacitación del personal del departamento de TIC para llevar a cabo el plan de continuidad.
      2. Los organismos gubernamentales deben hacer una revisión de su plan de continuidad una (1) vez al año.

    Gestión de riesgos

    1. Los organismos gubernamentales deben tener un plan para la gestión de riesgos que trate de manera proactiva las amenazas que afecten la operación del organismo en caso de futuras situaciones.
      1. El plan de gestión de riesgos debe estar hecho a la medida del organismo gubernamental.
      2. El plan de gestión de riesgos debe formar parte de la toma de decisiones de la Alta Gerencia del organismo gubernamental.
      3. El plan de gestión de riesgos debe estar alineado al plan estratégico del organismo gubernamental.
        1. El plan de gestión de riesgos debe atender y dar prioridad a los objetivos estratégicos establecidos en el plan del organismo.
      4. El plan de gestión de riesgos debe tomar en cuenta los recursos humanos dentro de su planificación.
      5. El plan de gestión de riesgos debe facilitar la mejora continua del organismo gubernamental.
      6. El plan de gestión de riesgos debe ser lo suficientemente flexible al cambio, en caso de que sea requerido por la Alta Gerencia del organismo gubernamental.
    2. Los organismos gubernamentales deben tomar en cuenta la siguiente estructura para la elaboración del plan de gestión de riesgo:
      1. Diseño de los procesos y flujos de soporte del plan de gestión de riesgos.
      2. Implantación de la gestión del riesgo.
      3. Seguimiento y revisión del plan de gestión de riesgos.
      4. Mejora continua del plan de gestión de riesgos.
    3. El plan de gestión de riesgos debe tomar en cuenta las siguientes fases con sus respectivas acciones para la elaboración del plan.
      1. Análisis de probabilidad:
        1. Oportunidad de que se materialice la amenaza.
        2. Tendencia de las probabilidades.
      2. Análisis de consecuencias:
        1. Impacto económico, material o humano.
        2. Análisis del entorno de las consecuencias (visión holística).
      3. Valor del riesgo:
        1. Costo económico al asumir un riesgo.
      4. Creación de defensas:
        1. Plan de acción preventiva para mitigar los riesgos.
      5. Investigación de amenazas:
        1. Amenazas a los procesos.
        2. Fallas activas y condiciones actuales.
        3. Causa raíz.
    4. Deben tomarse en cuenta los diferentes tipos de análisis de riesgo los cuales se detallan en los Tipos de análisis de riesgo.
      1. TIPO DE ANÁLISISDESCRIPCIÓNVENTAJASINCONVENIENTES
        Cualitativo Basado en clasificaciones descriptivas y subjetivas del riesgo Sencillez Subjetividad
        Rapidez
        Equilibrio en Coste-Beneficio
        Uso extendido
        Cuantitativo Basado en términos monetarios Exactitud Complejidad para estimar costes reales
        Objetividad
    5. Los organismos gubernamentales deben tomar en cuenta las siguientes directrices para la elaboración de los riesgos identificados, tomando acciones dependiendo del impacto y la probabilidad del mismo.
    6. Los organismos gubernamentales tienen varias opciones frente a los riesgos encontrados, de los cuales deben escoger una de las citadas para cada riesgo identificado:
      1. Aceptación del riesgo: El organismo conoce el riesgo y sabe las consecuencias del mismo y decide asumirlos en caso de que este se materialice; ya sea porque tiene la capacidad de mitigarlo, o porque no tiene la capacidad de lidiar con el mismo por su magnitud.
      2. Transferencia del riesgo: El organismo transfiere a otra entidad la responsabilidad de la mitigación del riesgo, por medio de la contratación de servicios o seguros de cobertura.
      3. Reducción de los riesgos a niveles aceptables: El organismo reduce los impactos del riesgo, por medio de políticas y medidas.
      4. Evitar el riesgo: El organismo elimina el riesgo, por medio de la reingeniería de los procesos o eliminando el factor que produce el riesgo sin afectar la actividad principal del organismo.
    7. Los organismos deben soportar el plan de gestión de riesgo con el BIA.
  • Recomendaciones sobre seguridad de las TIC Abrir o Cerrar

    Esta sección contiene todas las recomendaciones referentes al capítulo de Seguridad de las TIC.

    Para el borrado seguro de la información:

    1. Cortar a la mitad los CD o DVD, en caso de prescindir de la información que resida en estos medios.

    Para las políticas de control de acceso:

    1. Implementar un sistema de control de acceso que tenga las siguientes funcionalidades:
      1. Registro de entrada y salida del personal.
      2. Cancelación de accesos de entrada y salida con efecto inmediato.
      3. Permitir accesos por medio de:
        1. Huella dactilar.
        2. Tarjeta codificada.
      4. Permitir la impresión de reportes.
      5. Tener cifrado de datos.
      6. Administrar áreas de acceso
    2. Que el Departamento de Recursos Humanos sea quien administre la información generada por el sistema.

    Para el control de acceso en la red:

    1. Verificar que la autentificación de la Intranet esté ligada a la autentificación de la estación de trabajo.

    Para el control de acceso al Sistema Operativo:

    1. Agregar a la contraseña caracteres especiales como los que se muestran a continuación: ` ~ ! @ # $ % ^ & * ( ) _ - + = { } [ ] \ | : ; “ ‘ < > , . ? /.