RED DE EXPERTOS PMG – SSI 2010 INFORME DE DIAGNÓSTICO

INFORME DE DIAGNÓSTICO
Programa de Mejoramiento de la Gestión
Sistema de Seguridad de la Información
Etapa I – Diagnóstico
Red de Expertos
Subsecretaría del Interior – División Informática
Dirección de Presupuestos – División Tecnologías de la Información
RED DE EXPERTOS PMG – SSI 2010
_________________________________________________________________________
Contenido
Informe de diagnóstico ........................................................................................................... 3
Introducción ............................................................................................................................ 3
Resumen ejecutivo .................................................................................................................. 3
Desarrollo ............................................................................................................................... 3
Conclusiones Generales .......................................................................................................... 5
Historial de revisiones ............................................................................................................ 6
2
RED DE EXPERTOS PMG – SSI 2010
_________________________________________________________________________
Informe de diagnóstico
Este informe tiene el objetivo de complementar la matriz de diagnóstico reportada por los servicios públicos
comprometidos en la etapa I del Sistema de Seguridad de la Información del PMG 2010. De esta manera, el
presente informe permitirá que dichas instituciones entreguen información con mayor extensión y detalle.
Introducción
Describir brevemente los contenidos que tiene el informe en el servicio público correspondiente.
Resumen ejecutivo
En esta sección se deberá explicar lo siguiente:
 Cómo se estructuró el diagnóstico, señalando los actores participantes, las instancias en que lo hicieron,
las fechas aproximadas, entre otros datos que puedan parecer de utilidad para el servicio.
 Qué procesos han sido seleccionados para los dominios que deben focalizarse en algunos de ellos. En
este mismo punto se deberá señalar bajo qué criterios se realizó tal selección y qué activos de información
están involucrados.
Desarrollo
En esta sección deberá describir, para cada uno de los dominios que componen el diagnóstico,
políticas, procedimientos, buenas prácticas, estructuras organizacionales, u otra implementación
dentro de la organización, que permitirá resolver cada brecha.
-
Políticas de Seguridad
Descripción de las políticas de seguridad existentes en la institución, considerando al menos la
existencia de:
o Políticas
o Estándares
o Procedimientos internos
-
Seguridad Organizacional
Descripción del nivel de gestión de seguridad existente en la institución, considerando la existencia
de:
o Un comité de Seguridad de la Información
o Personal de Seguridad de la información (Gestión y TIC)
3
RED DE EXPERTOS PMG – SSI 2010
_________________________________________________________________________
-
Clasificación, control y etiquetado de bienes
Sobre la base de los procesos seleccionados y descritos en el apartado “Resumen Ejecutivo” del
presente informe, se deberá describir el nivel de clasificación de los activos de información de tales
procesos.
-
Seguridad Física y del ambiente
Sobre la base de los procesos seleccionados y descritos en el apartado “Resumen Ejecutivo” del
presente informe, se deberá describir los controles existentes respecto a:
o Seguridad Física
o Seguridad de equipamiento de usuarios, y seguridad de acceso
-
Seguridad del Personal
Descripción de las políticas de contratación, despido y creación de cuentas del personal.
-
Gestión de las operaciones y las comunicaciones
Descripción del nivel de seguridad y controles existentes en las operaciones y las comunicaciones,
considerando al menos:
o Procedimientos técnicos y responsabilidades del personal
o Administración de contratos con terceros
o Protección contra virus y código malicioso
o Estrategias de respaldos y administración de medios
o Administración de la red
o Sistemas de monitoreo
-
Control de acceso
Describir los ámbitos existentes, considerando:
o Administración de cuentas de usuario
o Segregación de roles y perfiles
o Controles de acceso a la red
o Control de acceso a los sistemas operativos
o Control de acceso a la información y aplicativos
o Controles para la comunicación móvil y remota
4
RED DE EXPERTOS PMG – SSI 2010
_________________________________________________________________________
-
Desarrollo y mantenimiento de sistemas
Describir los controles existentes para el desarrollo de sistemas, puesta en producción de aplicativos
y versionamiento.
-
Gestión de la continuidad del negocio
Sobre la base de los procesos seleccionados y descritos en el apartado “Resumen Ejecutivo” del
presente informe, se deberá describir los planes existentes para la recuperación ante desastres
tecnológicos, garantizar la continuidad de tales procesos en la institución y los planes de emergencia
ante catástrofes (incendios, inundaciones, terremotos, etc).
-
Nivel de cumplimiento institucional
(Insertar gráfico obtenido de la matriz de diagnóstico)
Conclusiones Generales
Describir en forma breve los pasos a seguir por la institución para el cierre de las brechas.
5
RED DE EXPERTOS PMG – SSI 2010
_________________________________________________________________________
Historial de revisiones
Nº Revisión Fecha Aprobación
Motivo de la revisión
6
Páginas
Modificadas
Autor