GUA DE SEGURIDAD DE LA INFORMACIN

GUA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

 Gua Seguridad de la Informacin

1. Introduccin

La informacin puede adoptar o estar representada en diversas formas: impresa o escrita

(papeles de trabajo, contratos, planificaciones, reportes internos), puede almacenarse
electrnicamente (servidores, PCs, memorias, pendrives), magnticamente (discos
rgidos, tarjetas de acceso, disquetes) u pticamente (CD, DVD), enviarse por correo
electrnico, visualizarse en pelculas o videos, y comunicarse oralmente en una
conversacin de persona a persona.

Sin importar la forma que posea la informacin siempre debe protegerse adecuadamente
y debe ser un proceso que debe comprender la poltica, la estructura organizativa, los
procedimientos, los procesos y los recursos necesarios para gestionar la seguridad de la
informacin.

La gestin de la seguridad consiste en la realizacin de las tareas necesarias para

garantizar los niveles de seguridad exigibles en una organizacin.

2. Consideraciones claves

a. Compromiso del Directorio y de la Gerencia

El compromiso del Directorio y de la Gerencia de la empresa es necesario para la

ejecucin de la visin de seguridad de la informacin. Esto tambin incluye el
involucramiento y una estructura de gobierno o manejo que revise regularmente el
estado general del programa de seguridad de la informacin y provea direccionamiento
cuando sea necesario.

b. Implementacin.

Los productos por si solos no resuelven los problemas de seguridad de la informacin. La

seguridad de la informacin es un proceso continuo, que involucra aspectos tecnolgicos
adems de procesos y personas, para lo cual se requieren soluciones integrales.

El proceso de seguridad de la informacin comprende bsicamente tres etapas:

1
 Gua Seguridad de la Informacin

- Diagnstico: A partir del anlisis de madurez que se realice en la empresa

respecto de la visin de seguridad de la informacin que esta tenga, se entregan
los lineamientos para el trabajo a realizar en la etapa siguiente.

- Planificacin: En esta etapa se definen los objetivos de la implementacin de

soluciones o mejoras para resolver cada una de las brechas identificadas en la
etapa de Diagnstico, diseando un programa de trabajo que permita alcanzar los
objetivos definidos en los plazos establecidos.

- Implementacin: Para proteger adecuadamente la informacin relevante que

sustenta los procesos de la empresa, se deben abarcar progresivamente todos los
Activos de Informacin vinculados a esos procesos, valindose para ello del
anlisis de madurez realizado en la primera etapa. Si bien el tiempo de
implementacin va a depender del resultado del diagnstico, habitualmente es de
ms o menos 2 aos.

c. Principios Bsicos

En el Programa de Seguridad de la Informacin se establecen controles tanto a nivel de

gestin, como de tecnologas de informacin, con el fin de garantizar que los activos de
informacin de la empresa cumplan con preservar los siguientes valores y/o
condiciones:

- Integridad y Exactitud: Toda la informacin y todas las transacciones deben

encontrarse libres de errores y/o irregularidad de cualquier ndole.

- Confidencialidad: Toda la informacin (fsica y electrnica) y sus medios de

procesamiento y/o conservacin deben estar protegidos del uso no autorizado o
revelaciones accidentales, errores, fraudes, sabotaje, espionaje industrial, violacin
de la privacidad y otras acciones que pudieran perjudicarla.

Los directorios de las Empresas SEP deben definir e identificar lo que constituye
informacin privilegiada y establecer directrices claras respecto a su anlisis,
discusin y uso por parte de sus directores, principales ejecutivos y todos quienes
tengan acceso en funcin de su cargo en la empresa.

En general, las decisiones del directorio deben ser estrictamente confidenciales

hasta que sean divulgadas oficialmente por la empresa, y la informacin solicitada
por un director y / o miembro de un comit debe ponerse a disposicin de todos los
dems miembros del directorio y / o comit.

2
 Gua Seguridad de la Informacin

- Disponibilidad: La informacin y la capacidad de su procesamiento debe ser

resguardados y poder recuperarse en forma rpida y completa ante cualquier hecho
contingente que interrumpa la operatoria o dae las instalaciones, medios de
almacenamiento y/o equipamiento de procesamiento.

3. Elementos bsicos

a. Poltica de Seguridad de la informacin

Se necesita una poltica de seguridad de la informacin que refleje las expectativas de la

organizacin en materias de seguridad de la informacin con el fin de proveer
administracin, direccin y soporte a los valores establecidos.

A travs de la alta direccin de la empresa se establece el enfoque de la poltica en

concordancia con sus objetivos, formalizando su compromiso con la seguridad de la
informacin, a travs de la generacin y mantenimiento de una Poltica General de
Seguridad de la Informacin, de Normas y Procedimientos especficos como son Control
de Acceso, Continuidad Operacional, Seguridad Fsica, etc. Todos estos elementos
constituyen un Modelo de Seguridad de la Informacin.

b. Comit de Seguridad

Responsables de definir y establecer los lineamientos generales de seguridad, publicar y

aprobar las polticas, normas y dems definiciones en lo que respecta a seguridad de la
informacin. Tambin son los responsables de evaluar tcnicamente las propuestas,
participar en procesos de evaluacin de riesgos, recomendar planes de accin y atender
contingencias. Est conformado por el ms alto nivel de Directores y Gerentes.

c. Oficial de Seguridad

Es el encargado de velar por el marco normativo establecido y los requerimientos

necesarios para garantizar la proteccin de la informacin y los recursos informticos de
la Empresa. Las principales funciones del Oficial de Seguridad son:

3
 Gua Seguridad de la Informacin

Es responsable de definir e implantar el plan anual de difusin y liderar su

ejecucin.
Velar por el cumplimiento de las normas, procedimientos y estndares de
seguridad definidos.
Reportar al Comit de Seguridad de incidentes, riesgos y problemas de
seguridad relevantes.
Velar que los usuarios mantengan actualizados y probados los planes de
contingencia para la continuidad operacional.

d. Administrador de Seguridad

Son los encargados de implantar las definiciones establecidas por el Comit de Seguridad
y de administrar los accesos y las medidas de seguridad definidas bajo su
responsabilidad. (supervisores, contador general, gerentes, empleados, etc.).

e. Seguridad de los recursos humanos

Se establece la necesidad de informar y educar a todos los empleados y terceros

relacionados con la empresa sobre lo que se espera de ellos en materias de seguridad de
la informacin. Se busca minimizar los riesgos ocasionados por los empleados de la
empresa tales como manipulacin de la informacin, hurto, fraudes o mal uso de las
plataformas tecnolgicas (sistemas, hardware). El objetivo es crear conciencia entre los
usuarios de los riesgos que eventualmente amenazan la informacin con la que trabajan
capacitndolos continuamente, estableciendo mecanismos de prevencin, identificacin
y notificacin de incidentes de seguridad.

f. Seguridad fsica y ambiental

Identificacin de los riesgos asociados al acceso fsico a las instalaciones y arquitectura

tecnolgica de la empresa por parte de empleados y terceros (socios de negocio,
proveedores, otros), con el objeto de prevenir el acceso no autorizado, dao e
interferencia a las instalaciones de la empresa y a la informacin.

Asegurar la proteccin fsica de los activos tecnolgicos y de informacin, que afectan

los procesos, las comunicaciones y la conservacin de los datos de la empresa.

4
 Gua Seguridad de la Informacin

g. Gestin de las comunicaciones y las operaciones

Generar y definir por una parte procedimientos y responsabilidades operacionales

con el objeto de asegurar la correcta operacin de los medios de procesamiento de la
informacin y por otra implementar polticas de respaldo y restauracin de los datos en
forma oportuna.

Si corresponde, se debe implementar una segregacin funcional para reducir el

riesgo de negligencia o uso malicioso de los sistemas.

Se debe asegurar la proteccin de la informacin transmitida a travs de correo

electrnico y la infraestructura que lo soporta. Una buena gestin segura del correo
electrnico, debe cuidar de la informacin que es transmitida, su confidencialidad,
implicancias legales, monitoreo y proteccin.

h. Control de acceso

Se debe asegurar que el acceso del usuario es debidamente autorizado y evitar el

acceso no autorizado a los sistemas de informacin, estableciendo procedimientos
formales de control en la asignacin de los derechos de acceso a los sistemas de
informacin.

Todas las etapas en el ciclo de vida del acceso del usuario deben estar contempladas
en estos procedimientos, esto es, desde el registro inicial de nuevos usuarios hasta la baja
de los mismos porque que ya no requieren acceso a los sistemas de informacin. Poner
especial atencin en la asignacin de derechos de acceso con privilegios que puedan
permitir a los usuarios superar los controles del sistema.

Implementar una poltica de escritorio y pantalla limpios de manera que por una
parte reducir el riesgo de acceso no autorizado y por otra, robo o dao a los papeles u
otros medios de almacenamiento de la informacin.

i. Adquisicin, desarrollo y mantenimiento de los sistemas de informacin

En los sistemas de informacin estn incluidos sistemas operativos, infraestructura,

aplicaciones para el negocio, servicios y aplicaciones desarrolladas internamente por la
empresa. El diseo e implementacin del sistema de informacin que soporta el proceso
de negocio puede ser crucial para la seguridad. Se deben identificar y acordar todos los
requerimientos de seguridad antes del desarrollo y/o implementacin de los sistemas de
5
 Gua Seguridad de la Informacin

informacin en la fase de requerimientos de un proyecto; y deben ser justificados,

acordados y documentados como parte de las formalidades para un sistema de
informacin.

Las empresas que desarrollan el software internamente o bien, contraten el desarrollo a

una empresa externa, deben garantizar que la seguridad sea parte de los sistemas de
informacin desarrollados e incluirlos en la etapa de las especificaciones del software.

j. Gestin de incidentes en la seguridad de la informacin

Se debe asegurar que las debilidades, problemas y eventos de seguridad de la

informacin asociados a los sistemas de informacin sean comunicados en forma
oportuna de modo de permitir tomar acciones correctivas a tiempo.

Debe establecerse un procedimiento formal tanto para informar cualquier evento de

seguridad de la informacin junto con la respuesta al incidente, como un procedimiento
de escalamiento, comunicando la accin que se tomar al momento de recibir un
informe de un evento de seguridad de la informacin. Procedimientos que deben ser
debidamente difundidos de manera que sean de conocimiento de todos los empleados de
la empresa.

k. Gestin de la continuidad del negocio

Se deben considerar los aspectos de la seguridad de la informacin de la gestin de la

continuidad operativa de manera de hacer frente a las interrupciones de las actividades
institucionales y proteger los procesos crticos de los efectos de fallas importantes o
desastres en los sistemas de informacin y asegurar su reanudacin oportuna.

Se debe implementar el proceso de gestin de la continuidad del negocio para minimizar

el impacto sobre la empresa y lograr recuperarse de la prdidas de activos de
informacin (lo cual puede ser resultado de, por ejemplo, desastres naturales, accidentes,
fallas del equipo y acciones deliberadas) hasta un nivel aceptable a travs de una
combinacin de controles preventivos y de recuperacin.

6
 Gua Seguridad de la Informacin

l. Cumplimiento

Se deben generar procedimientos rutinarios de auditora con el objeto de evitar los

incumplimientos de cualquier ley, estatuto, regulacin u obligacin contractual legal y
de cualquier requisito de seguridad a los cuales puede estar sujeto el diseo, operacin,
uso y gestin de los sistemas de informacin.