SECCIÓN SERIE
TIC SEGURIDAD (SEG)
PL A N DE IMPLEMENTACIÓN DE UN SGSI
Versión: v1.0
Página 1 de 32
SECCIÓN SERIE
TIC SEGURIDAD (SEG)
CONTROL DE VERSIONES
VERSIÓN
1.0
COMENTARIO / DESCRIPCIÓN
Creación del documento
RESPONSABLE DE ACTUALIZACIÓN / CREACIÓN / REVISIÓN
FECHA DE ACTUALIZACIÓN / CREACIÓN / REVISIÓN
Ing. Diego Valverde Rodríguez Ing. Denise Betancourt Sandoval
Versión: v1.0
25/02/2016
Página 2 de 32
FIRMA DEL RESPONSABLE
SECCIÓN SERIE
TIC SEGURIDAD (SEG)
CONTENIDO 1.
Descripción Descri pción general del procedimiento procedimien to ................................. ............... ................................... .................................. ................................... .................... 6
2.
Objetivos Objetivo s ................................. ................ ................................... ................................... .................................. ................................... .................................... .............................. ............ 6
3.
Beneficios Beneficio s ................................... .................. .................................. ................................... ................................... ................................... .................................... ........................... ......... 6
4.
Estrategia Estra tegia de Implementación Implementació n ................................... .................. .................................. ................................... .................................... .............................. ............ 9
5.
Etapas generales generale s del procedimiento procedimi ento ................................... ................. ................................... ................................... .................................... .................... 10
6.
Calendario Calendar io de actividades activida des ................................. ................ ................................... ................................... ................................... ................................... ..................... 14
7.
Entendimiento de la organización y su contexto (1).................. ........................... .................. .................. .................. .................. ........... .. 16 7.1
Consideraciones ................................................................................................................ 16 Consideraciones
7.2
Requisitos .......................................................................................................................... 16 Requisitos
8.
Entendimiento de las necesidades y expectativas expectativas de las partes interesadas (2) (2) .............. ..................... ....... 16 8.1
Consideraciones ................................................................................................................ 16 Consideraciones
8.2
Requisitos .......................................................................................................................... 17 Requisitos
9.
Determinación Determ inación del Alcance del SGSI (3) ................................. ............... ................................... .................................. .................................. ................. 17 9.1
Consideraciones ................................................................................................................ 17 Consideraciones
9.2
Requisitos .......................................................................................................................... 17 Requisitos
10.
Política de Seguridad Segurida d de la Información Informac ión (4) .................................. ................. ................................... ................................... ...................... ..... 18
10.1
Consideraciones ................................................................................................................ 18 Consideraciones
10.2
Requisitos .......................................................................................................................... 18 Requisitos
11.
Funciones, responsabilidades responsabilidades y autoridad de la organización (5) ................. .......................... ................... .............. .... 18
11.1
Consideraciones ................................................................................................................ 18 Consideraciones
11.2
Requisitos .......................................................................................................................... 19 Requisitos
12.
Análisis de Riesgos (6 y 7)................................. ................ ................................... ................................... ................................... .................................. ................ 19
12.1
Consideraciones ................................................................................................................ 19 Consideraciones
12.2
Requisitos .......................................................................................................................... 20 Requisitos
13.
Tratamiento de los riesgos de Seguridad de la Información (8) ................. .......................... ................... ................. ....... 20
13.1
Consideraciones ................................................................................................................ 20 Consideraciones
13.2
Requisitos .......................................................................................................................... 20 Requisitos
14.
Objetivos Objetivo s del SGSI y planes para lograrlos lograr los (9).................................. ................. ................................... ................................... ..................... 21
14.1
Consideraciones ................................................................................................................ 21 Consideraciones
14.2
Requisitos .......................................................................................................................... 21 Requisitos Versión: v1.0
Página 3 de 32
SECCIÓN SERIE
15.
TIC SEGURIDAD (SEG)
Recursos (10) ................................... .................. .................................. ................................... ................................... ................................... .................................. ................ 21
15.1
Consideraciones ................................................................................................................ 22 Consideraciones
15.2
Requisitos .......................................................................................................................... 22 Requisitos
16.
Competencias Competenci as (11) .................................. ................. ................................... ................................... ................................... ................................... ......................... ........ 22
16.1
Consideraciones ................................................................................................................ 22 Consideraciones
16.2
Requisitos .......................................................................................................................... 23 Requisitos
17.
Concienciación Concienciaci ón (12) ................................. ................ ................................... ................................... ................................... ................................... ......................... ........ 23
17.1
Consideraciones ................................................................................................................ 23 Consideraciones
17.2
Requisitos .......................................................................................................................... 23 Requisitos
18.
Comunicación Comunicaci ón (13) .................................. ................. ................................... ................................... ................................... ................................... ......................... ........ 24
18.1
Consideraciones ................................................................................................................ 24 Consideraciones
18.2
Requisitos .......................................................................................................................... 24 Requisitos
19.
Información Informac ión documentada documenta da (14) ................................... ................. ................................... ................................... .................................... ...................... .... 24
19.1
Consideraciones ................................................................................................................ 24 Consideraciones
19.2
Requisitos .......................................................................................................................... 25 Requisitos
20.
Planeación Planeació n y control operativo operativ o (15) ................................... ................. ................................... ................................... .................................. ................ 25
20.1
Consideraciones ................................................................................................................ 25 Consideraciones
20.2
Requisitos .......................................................................................................................... 25 Requisitos
21.
Evaluación y tratamiento de los Riesgos de Seguridad de la Información (16 y 17) ............ ............ 26
21.1
Consideraciones ................................................................................................................ 26 Consideraciones
21.2
Requisitos .......................................................................................................................... 26 Requisitos
22.
Monitoreo, medición, análisis y evaluación (18) ................. ........................... ................... .................. .................. .................. ............ ... 26
22.1
Consideraciones ................................................................................................................ 26 Consideraciones
22.2
Requisitos .......................................................................................................................... 27 Requisitos
23.
Auditorías Auditor ías internas (19) ................................. ................ ................................... ................................... ................................... ................................... ..................... 27
23.1
Consideraciones ................................................................................................................ 27 Consideraciones
23.2
Requisitos .......................................................................................................................... 27 Requisitos
24.
Revisión Gerencial (20).................................. ................. ................................... ................................... ................................... ................................... ..................... 28
24.1
Consideraciones ................................................................................................................ 28 Consideraciones
24.2
Requisitos .......................................................................................................................... 28 Requisitos
25. 25.1
No conformidades conformi dades y Acciones correctivas correcti vas (21) ................................... .................. ................................... .................................. ................ 29 Consideraciones ................................................................................................................ 29 Consideraciones Versión: v1.0
Página 4 de 32
SECCIÓN SERIE
25.2 26.
TIC SEGURIDAD (SEG)
Requisitos .......................................................................................................................... 29 Requisitos Mejora continua (22)............................. (22)........... ................................... ................................... ................................... .................................. ............................ ........... 29
26.1
Consideraciones ................................................................................................................ 29 Consideraciones
26.2
Requisitos .......................................................................................................................... 30 Requisitos
Anexo Anexo ........................................................................................................................................ 31 27.
Consideraciones Consider aciones de auditoría ................................. ................ .................................. ................................... .................................... ............................ .......... 31
Versión: v1.0
Página 5 de 32
SECCIÓN SERIE
TIC SEGURIDAD (SEG)
1. Descripción general La Seguridad de la Información se compone de procesos, recursos, metodologías, normas, técnicas, herramientas y estructuras organizacionales encaminadas a proteger la información en sus diferentes formas y estados. Para mitigar riesgos, se requiere de objetivos de control y controles de seguridad. Actualmente, la referencia más utilizada para establecer, implementar, operar, mantener y mejorar un Sistema de Seguridad de la Información (SGSI) así como para la selección de controles de seguridad es el estándar ISO/IEC 27001:2013. La implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) trae consigo diversos beneficios, entre ellos concienciar sobre la necesidad de gestionar la seguridad a nivel institucional, promover el conocimiento de ésta, identificar brechas de control y áreas de mejora, así como definir acciones de remediación oportunas y efectivas. Asimismo, permite brindar apoyo en el cumplimiento de leyes, regulaciones y normas nacionales y/o internacionales relevantes al tema de Seguridad y el manejo de los mismos, estableciendo bases de conocimiento confiables para la toma de decisiones y planeación de la gestión de seguridad.
2. Objetivos 1.
Concienciar en la importancia y ventajas que conlleva implementar un SGSI alineado al ISO/IEC 27001:2013
2.
Definir la estrategia para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de Seguridad de la Información dentro del contexto de l Instituto
3.
Especificar los pasos necesarios para la identificación, análisis y tratamiento de Riesgos de Seguridad de la Información
3. Beneficios Los beneficios de un SGSI se pueden clasificar en: -
Operativos Financieros Cumplimiento
Operativos
Identificar brechas de control y áreas de mejora, así como definir acciones de remediación oportunas y efectivas Definir metas y lapsos de cumplimiento para éstas Versión: v1.0
Página 6 de 32
SECCIÓN SERIE
TIC SEGURIDAD (SEG)
Generar indicadores precisos para la determinación de incidentes más comunes Considerar criterios, niveles y medidas de seguridad para facilitar la toma de decisiones Implementar y controlar los procesos de la Institución Mantener la documentación necesaria para tener confianza de que los procesos se están llevando a cabo conforme se planearon Controlar los cambios planeados Revisar las consecuencias de los cambios no intencionados Determinar y controlar los procesos subcontratados Existen y operan mecanismos de control efectivos para las distintas actividades que se realizan en el ámbito de competencia, entre otras, registros, autorizaciones, verificaciones, conciliaciones, bitácoras de control, revisiones, resguardo de archivos, alertas y bloqueo de sistemas y distribución de funciones Las operaciones de recursos humanos, materiales, financieros y tecnológicos, están registradas y soportadas con la documentación clasificada, organizada y resguardada para su consulta, y en cumplimiento a las leyes que le aplican. Las omisiones, errores, desviaciones o insuficiencia documental, se aclaran y/o corrigen con oportunidad Existen los espacios y medios necesarios para asegurar y salvaguardar los bienes, incluido el acceso restringido al efectivo, títulos de valor u otros equivalentes, inventarios, mobiliario y equipo u otros que pueden ser vulnerables v ulnerables al riesgo de pérdida, uso no autorizado, actos de corrupción, errores, fraudes, malversación de recursos o cambios no autorizados; y que son registrados oportunamente y periódicamente periódicamente comparados físicamente con los registros contables; Existen y operan los mecanismos de control necesarios en materia de TIC, con base en la normativa interna aplicable, el Manual del Sistema de Gestión de Tecnologías de la Información y Comunicaciones (SIGETIC) y lo que determine la Unidad de Servicios de Informática, para: o
o o
o
o
o
Asegurar la integridad, confidencialidad, disponibilidad de la información electrónica de manera oportuna y confiable Instalar en los equipos únicamente software licenciado adquirido Contar con un plan de contingencias y de recuperación de desastres que dé continuidad a la operación de TIC y del Instituto, especialmente a la que soporta los procesos vinculados a la consecución de objetivos establecidos en la planeación institucional Contar con programas de seguridad, adquisición, desarrollo y mantenimiento preventivo de las TIC Utilizar procedimientos de respaldo y recuperación de información, datos, imágenes, voz y video, en servidores y centros de información, y programas de trabajo de los operadores de dichos centros Sustentar documentalmente el desarrollo de nuevos sistemas informáticos y modificaciones a los existentes, que sean compatibles, escalables e interoperables Versión: v1.0
Página 7 de 32
SECCIÓN SERIE
o
o
o
TIC SEGURIDAD (SEG)
Contar con mecanismos de seguridad que permitan únicamente el acceso a personal autorizado, que comprendan registros de altas, actualización y bajas de usuarios, y Apoyar con actividades de control basadas en TIC, el fortalecimiento del control interno y la administración de riesgos, especialmente las que requieran los procesos vinculados con la consecución de los objetivos establecidos en la planeación institucional. Operar el Comité de Tecnologías de la Información y Comunicaciones con base en sus atribuciones y medir objetivamente la actuación del mismo.
*Información y Comunicación:
La información que se genera y registra en su ámbito de competencia, es necesaria, correcta, completa, oportuna, está actualizada y accesible a sus usuarios.
Financieros
Definir soluciones más rentables en términos de riesgo Determinar y cuantificar impactos negativos de incidentes e impactos positivos de soluciones Prevenir pérdidas de información con costos financieros directos Planear iniciativas y acciones de mejora priorizadas a fin de maximizar los rendimientos
Cumplimiento
Considerar controles tecnológicos, normativos y de cultura organizacional Establecer la base para cumplimiento y mejora de procesos basados en ITIL, COBIT 5, BS2599, entre otros Garantizar el cumplimiento de todas las normas y regulaciones aplicables Combinar revisiones por alta dirección con auditorías de organismos acreditados internacionalmente Se alinea a sistemas de gobierno corporativo como COSO y Val IT. Realizar las funciones y operación en cumplimiento a los manuales ma nuales de organización general y de procedimientos, respectivamente, respectivamente, actualizados, autorizados y publicados. Acuerdos con la Junta General Ejecutiva JGE140/2013 de este Instituto por el que se aprueba el Manual de Procedimientos del Sistema de Gestión de Tecnologías de la Información Comunicaciones (SIGETIC) Artículo 64, incisos f) y g) del Reglamento Interior del este Instituto, la Unidad de Servicios de Informática deberá “Fomentar y aplicar mejores prácticas, estándares y normas
nacionales e internacionales a los procesos relacionados con tecnologías de la información Versión: v1.0
Página 8 de 32
SECCIÓN SERIE
TIC SEGURIDAD (SEG)
a nivel institucional” y “Establecer y aplicar política s y estándares en materia de seguridad informática, así como coordinar la aplicación de auditorías.”
Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental. Gubernamental.
Capítulo 1, Artículo 4, inciso 3 “Garantizar la protección de los datos per sonales en posesión de los sujetos obligados”
Capítulo 1, Artículo 5 “La presente Ley es de observancia obligatoria para los servidores públicos federales”
Capítulo 4, Artículo 20, inciso 6 “Adoptar las medidas necesarias que garanticen la seguridad de los datos personales y eviten su alteración, pérdida, transmisión y acceso no autorizado”
Reglamento de este Instituto en Materia de Transparencia y Acceso a la Información Pública Capítulo 2, Artículo 11 “De los criterios para clasificar la información”, numeral 3 y 4
Capítulo 2, Artículo 12 “De la información confidencial”
Todos los Reglamentos, Manuales, Lineamientos, y Acuerdos que deriven del Código Federal de Instituciones y Procedimientos Electorales y las leyes relacionadas en materia de transparencia y acceso a la información pública
4. Estrategia de Implementación
El SGSI es un sistema cíclico enfocado en la mejora continua para el proceso de Gestión de la Seguridad de la Información. Como propuesta, el SGSI se enmarca dentro del Ciclo de Deming, buscando mantener un sistema actualizado y válido para enfrentar los riesgos de la Unidad. •Contexto de la
•Mejora
organización •Liderazgo •Planeación •Soporte
Actuar
Planear
Verificar
Hacer
•Evaluación de
•Operación
desempeño
Versión: v1.0
Página 9 de 32
SECCIÓN SERIE
TIC SEGURIDAD (SEG)
5. Etapas generales del procedimiento
Programa de implementación de un SGSI PLANEAR Contexto de la organización
Liderazgo
Planeación
Soporte 6
10
Medidas para abordar los riesgos y las oportunidades
Recursos
1
Entendimiento de la organización y su contexto
Entendimiento de las necesidades y las expectativas de las partes interesadas
4
Política de Seguridad de la Información
Competencias
Evaluación de riesgos de Seguridad de la Información
2
12
Concienciación 8 5 3
Determinación del Alcance del Sistema de Gestión de Seguridad de la Información
11
7
Funciones, responsabilidades y autoridad de la organización
Tratamiento de los riesgos de Seguridad de la Información
13
Comunicación 9
Objetivos del SGSI y los planes para lograrlos
Versión: v1.0
14
Información documentada
Página 10 de 32
SECCIÓN SERIE
TIC SEGURIDAD (SEG)
Programa de implementación de un SGSI HACER Operación 15
Planeación y control operativo
16
Evaluación de los Riesgos de Seguridad de la Información
SECCIÓN SERIE
TIC SEGURIDAD (SEG)
Programa de implementación de un SGSI HACER Operación 15
Planeación y control operativo
16
Evaluación de los Riesgos de Seguridad de la Información
17
Tratamiento de los Riesgos de Seguridad de la Información
Versión: v1.0
Página 11 de 32
SECCIÓN SERIE
TIC SEGURIDAD (SEG)
Programa de implementación de un SGSI VERIFICAR Evaluación de Desempeño 18
Monitoreo, medición, análisis y evaluación
19
Auditorías Internas
SECCIÓN SERIE
TIC SEGURIDAD (SEG)
Programa de implementación de un SGSI VERIFICAR Evaluación de Desempeño 18
Monitoreo, medición, análisis y evaluación
19
Auditorías Internas
20
Revisión Gerencial
Versión: v1.0
Página 12 de 32
SECCIÓN SERIE
TIC SEGURIDAD (SEG)
Programa de implementación de un SGSI ACTUAR Mejora
21
No Conformidades y Acciones Correctivas
22
Mejora continua
SECCIÓN SERIE
TIC SEGURIDAD (SEG)
Programa de implementación de un SGSI ACTUAR Mejora
21
No Conformidades y Acciones Correctivas
22
Mejora continua
Versión: v1.0
Página 13 de 32
SECCIÓN SERIE
TIC SEGURIDAD (SEG)
6. Calendario de actividades NOTA: El NOTA: El calendario se desarrollará en el programa Project. El calendario de actividades que se propone para el desarrollo de las líneas de trabajo es el siguiente: Actividad
Semana 1 2 3 4 5
Planear Contexto de la organización 1
Entendimiento de la organización y su contexto Entendimiento de las necesidades y las expectativas de
Fecha de inicio
SECCIÓN SERIE
TIC SEGURIDAD (SEG)
6. Calendario de actividades NOTA: El NOTA: El calendario se desarrollará en el programa Project. El calendario de actividades que se propone para el desarrollo de las líneas de trabajo es el siguiente: Actividad
Fecha de inicio
Semana 1 2 3 4 5
Planear Contexto de la organización 1 2 3
Entendimiento de la organización y su contexto Entendimiento de las necesidades y las expectativas de las partes interesadas Determinación del Alcance del Sistema de Gestión de Seguridad de la Información
Semana
Liderazgo
6
4
Política de Seguridad de la Información
5
Funciones, responsabilidades y autoridad de la organización
7
8
9
10
Planeación 6
Medidas para abordar los riesgos y las oportunidades
7
Evaluación de riesgos de Seguridad de la Información
8
Tratamiento de los riesgos de Seguridad de la Información
9
Objetivos del SGSI y planes para lograrlos
Soporte 10
Recursos
11
Competencias
12
Concienciación
13
Comunicación
14
Información documentada
Versión: v1.0
Página 14 de 32
SECCIÓN SERIE
TIC SEGURIDAD (SEG)
Hacer Operación 15
Planeación y control operativo
16
Evaluación de los Riesgos de Seguridad de la Información
17
Tratamiento de los Riesgos de Seguridad de la Información
Verificar Evaluación de Desempeño 18
Monitoreo, medición, análisis y evaluación
19
Auditorías internas
20
Revisión de la Gerencia
Actuar 21
No Conformidades y Acciones Correctivas
22
Mejora Continua
Duración de la actividad Menos de ocho horas Más de ocho y hasta veinticuatro horas Más de veinticuatro y hasta cuarenta horas Más de cuarenta horas
Versión: v1.0
Página 15 de 32
SECCIÓN SERIE
TIC SEGURIDAD (SEG)
7. Entendimiento de la organización y su contexto (1)
7.1 Consideraciones
Identificar y conocer la misión, visión y objetivos o bjetivos del Instituto Identificar o, en su defecto, definir los procesos y/o actividades del Instituto Conocer la estructura de Gobierno del Instituto. Identificar factores internos: Políticas Reglamento interno Ambiente cultural Roles y responsabilidades responsabilidades Estrategias Niveles de madurez Atribuciones Procesos de SIGETIC Identificar factores externos: Leyes y regulaciones aplicables Ambiente político y financiero Condiciones culturales y sociales -
7.2 Requisitos
Acceso a información en formato digital e impreso de manera oportuna Cartas de confidencialidad para acceso a información (de la UNICOM) Consulta con personal relacionado a temas de requisitos legales, regulatorios y contractuales aplicables al Instituto (Analista D1 Ana Victoria Arellano Cruz, Líder de Control Interno A Azalea Legorreta Herrera)
8. Entendimiento de las necesidades y expectativas de las partes interesadas (2)
8.1 Consideraciones
Identificar las partes interesadas internas, sus requerimientos y sus necesidades Identificar las partes interesadas externas, sus requerimientos (incluir requisitos legales, reglamentos y obligaciones contractuales) y sus necesidades necesidades Versión: v1.0
Página 16 de 32
SECCIÓN SERIE
TIC SEGURIDAD (SEG)
8.2 Requisitos
Consulta con participantes del Grupo de Gobierno de Seguridad de la Información (GGASI de UNICOM)
9. Determinación del Alcance del SGSI (3)
9.1 Consideraciones
Determinar las actividades, infraestructura o activos esenciales de sistemas críticos del INE que incluirá el SGSI. Identificar servicios críticos con base al portafolio de servicios Identificar los servicios tercerizados y las organizaciones que prestan dichos servicios al INE Definir las dependencias e interfaces entre las actividades desempeñadas por el INE y aquellas que están desempeñadas por otras organizaciones Definir el alcance que incluya: Roles y responsabilidades responsabilidades Enunciado del Alcance del SGSI donde se mencione el/los proceso(s) crítico(s) que abarcará el Sistema de Gestión Descripción del proceso o procesos críticos seleccionados seleccionados Soluciones tecnológicas utilizadas Áreas involucradas en el proceso Ubicaciones físicas Exclusiones Límites (restricciones) (restricciones) Entregable: Alcance del SGSI
9.2 Requisitos
Junta con Grupo de Gobierno de Seguridad de la Información de UNICOM para definir el Alcance Revisión y aprobación del Alcance por el Grupo de Gobierno de Seguridad de la Información de UNICOM
Versión: v1.0
Página 17 de 32
SECCIÓN SERIE
TIC SEGURIDAD (SEG)
10. Política de Seguridad de la Información (4)
10.1 Consideraciones
Redactar un documento que describa los requisitos y reglas específicas que deben cumplirse en materia de Seguridad de la Información Definir la metodología de Análisis de Riesgos Definir en el documento los requisitos legales, regulatorios y contractuales del Instituto previamente identificados Realizar las actividades Política de Seguridad de la Información (4) y Funciones, responsabilidades y autoridad de la organización (5) en paralelo para determinar los roles y responsabilidades, e incluirlos en el documento de Política Establecer los Objetivos del SGSI que sean consistentes con la metodología SMART (Específicos, Medibles, Alcanzables, Orientados a resultados y Temporales) e incluirlos en la Política de Seguridad. (Realizarse en paralelo con la actividad (9) Objetivos del SGSI y planes para lograrlos) Entregable: Política de Seguridad (Directriz Rectora)
10.2 Requisitos
Revisión y modificación de la Política de Seguridad de la UNICOM Matriz y metodología de Análisis de Riesgos aprobada por el grupo de Gobierno de Seguridad de la Información y el grupo de Gobierno de Seguridad de la Información de UNICOM (Analisis_Riesgos_(documento_trabajo (Analisis_Riesgos_(documento_trabajo)_CSB) )_CSB) Consulta con personal relacionado a temas de requisitos legales, regulatorios y contractuales aplicables al Instituto Revisión y aprobación del documento a través del Portal del Grupo de Gobierno de Seguridad de la Información
11. Funciones, responsabilidades responsabilidades y autoridad de la organización (5)
11.1 Consideraciones
Establecer roles y responsabilidades que tengan que ver directamente con el SGSI que se está implementando Versión: v1.0
Página 18 de 32
SECCIÓN SERIE
TIC SEGURIDAD (SEG)
Realizar la Matriz RACI de los procesos identificados en el Alcance del SGSI y el rol dentro del proceso de Administración de Seguridad de la Información (ASI) del SIGETIC Realizar la actividad 4 y 5 en paralelo para determinar los roles y responsabilidades e incluirlos en la matriz RACI Entregable: Matriz RACI
11.2 Requisitos
Documento definitivo de ActaConstGpo_ASI ActaConstGpo_ASI _PA_A _PA_A y ActaCEjecImplSGSI ActaCEjecImplSGSI PA_B PA_B Aprobación de Matriz RACI por el Grupo de Gobierno de Seguridad de la Información de UNICOM Consulta con Grupo de Gobierno (GG de UNICOM) sobre responsabilidades no consideradas dentro de las Actas constitutivas
12. Análisis de Riesgos (6 y 7)
12.1 Consideraciones
Específicamente para el Análisis de Riesgos, considerar las actividades: Medidas para abordar los riesgos y las oportunidades (6), y Evaluación de riesgos de Seguridad de la Información (7) La Gestión de Riesgos incluye las actividades: Medidas para abordar los riesgos y las oportunidades (6) Evaluación de riesgos de Seguridad de la Información (7) Tratamiento de los riesgos de Seguridad de la Información (8) Objetivos del SGSI y planes para lograrlos (9) Desarrollar la identificación, análisis y valoración (evaluación) de riesgos según la metodología y formatos previamente aprobados Establecer escala de valoración de riesgos Acordar los criterios de aceptación de riesgos, custodios de activos y dueños de riesgo Desarrollar el Procedimiento de Análisis de Riesgos y Procedimiento de manejo a Incidentes Entregable: Informe de Análisis de Riesgos y Matriz de Análisis de Riesgos (establecida por la UTP y, modificada y aprobada por el Grupo de Gobierno de Seguridad de la UR)
Versión: v1.0
Página 19 de 32
SECCIÓN SERIE
TIC SEGURIDAD (SEG)
12.2 Requisitos
Matriz de Análisis de Riesgos (establecida por la UTP modificada y aprobada por el Grupo de Gobierno de Seguridad de la Información) Documentación relacionada al proceso definido en el Alcance del SGSI Identificación de contenedores de al menos un activo de información crítico el cual estará sujeto a la evaluación de riesgos. (Consultas técnicas durante todo el proceso de evaluación de riesgos) a los dueños de los procesos y a los operadores de los sistemas donde se almacene, procese o transmita el activo de información Acceso a información en formato digital e impreso de manera oportuna sobre los sistemas, procesos o cualquier documento relacionado con los contenedores identificados Identificación de vulnerabilidades: Pruebas de análisis de vulnerabilidades y pruebas de penetración a los contenedores previamente identificados Informe o entregable de Analisis_Riesgos_(documento_tr Analisis_Riesgos_(documento_trabajo)_CSB abajo)_CSB revisado y aprobado por el Grupo de Gobierno de Seguridad de la Información
13. Tratamiento de los riesgos de Seguridad de la Información (8)
13.1 Consideraciones
Desarrollar un Plan de Tratamiento de Riesgos (PTR) con las actividades concisas y concretas de mitigación de riesgos por cada riesgo determinado Desarrollar la Declaración de Aplicabilidad (SoA, Statement of Applicability) de acuerdo al Anexo A del estándar ISO/IEC 27001:2013, exponiendo brevemente la manera en la que son implementados los controles a través de referencias a políticas (reglas o directrices), procedimientos o evidencias físicas. Entregables: SoA y PTR
13.2 Requisitos
Obtención del ISO/IEC 27001:2013 Analisis_Riesgos_(documento_trabajo)_CSB jo)_CSB revisado y aprobado por el Grupo Documento Analisis_Riesgos_(documento_traba de Gobierno de Seguridad de la Información Acceso a información en formato digital e impreso de manera oportuna sobre los sistemas, procesos o cualquier documento relacionado con los controles considerados Versión: v1.0
Página 20 de 32
SECCIÓN SERIE
TIC SEGURIDAD (SEG)
Consultas técnicas durante todo el proceso de elaboración del SoA a los dueños de los procesos y/o a los operadores de los sistemas que se consideren como control de seguridad de la información. Por cada solución tecnológica se debe tener documentación que respalde su función como control de seguridad. En caso de no tenerlo, el responsable de tal tecnología será el encargado de elaborarla (reglas de uso de servicio, procedimientos, manuales, etc.) Plan de desarrollo de las actividades del PTR por parte de los responsables de seguir las actividades de estrategias de mitigación de los riesgos identificados. (Incluyendo la ejecución de las actividades y su seguimiento) SoA y PTR revisado y aprobado por el Grupo de Gobierno de Seguridad de la Información de la UR
14. Objetivos del SGSI y planes para lograrlos (9)
14.1 Consideraciones
Establecer Objetivos del SGSI que sean consistentes con la metodología SMART (Específicos, Medibles, Alcanzables, Orientados a resultados y Temporales) e incluirlos en la Política de Seguridad (Hacer esta actividad en paralelo con la actividad Política de Seguridad de la Información (4) ) Alinear los objetivos con las “Atribuciones del Grupo” dentro del Acta Constitutiva del Grupo de Gobierno de Seguridad de la Información ( ActaConstGpo_ASI ActaConstGpo_ASI _PA_A) y con la misión, visión y objetivos del INE. Elaborar un plan, métricas e indicadores para alcanzar los objetivos del SGSI. (Desarrollarlo en paralelo con la actividad Recursos (10))
14.2 Requisitos
Consulta con el Grupo de Seguridad de la Información de la UR sobre las características de las atribuciones del grupo y de la viabilidad de los objetivos específicos del SGSI. Metodología de planeación de actividades para el cumplimiento de objetivos (PMBok, PMI) Documentación referente a métricas e indicadores de procesos, específicamente con ASI. (Desarrollo de métricas de objetivos)
15. Recursos (10)
Versión: v1.0
Página 21 de 32
SECCIÓN SERIE
TIC SEGURIDAD (SEG)
15.1 Consideraciones
Estimar los recursos necesarios (patrocinio) para: o Controles de seguridad para mitigación de riesgos o Auditorías, acciones correcticas y revisiones gerenciales o Actividades que requiera el PTR y los planes de cumplimiento de objetivos del SGSI Desarrollar esta actividad en paralelo con la actividad “Objetivos del SGSI y los planes para lograrlo” (9)
15.2 Requisitos
Analistas de tecnología y otros puestos para estudio de mercado en caso de soluciones tecnológicas para establecer controles de seguridad o cualquier otra medida para el cumplimiento de objetivos de SGSI Aprobación de recursos por parte del Grupo de Gobierno de Seguridad de la Información de la UR Es indispensable la obtención de recursos para las soluciones tecnológicas. Sin embargo, el ciclo del SGSI puede seguir en materia de desarrollo documental.
16. Competencias (11)
16.1 Consideraciones
Determinar las competencias necesarias del personal que puedan afectar/beneficiar la Seguridad de la Información. Asegurar que estas personas son competentes sobre la base de una apropiada educación, capacitación o experiencia. Tomar acciones para adquirir las competencias necesarias y evaluar la efectividad de las acciones tomadas (donde sea aplicable).
Versión: v1.0
Página 22 de 32
SECCIÓN SERIE
TIC SEGURIDAD (SEG)
16.2 Requisitos
Evaluación de las competencias de aspirantes que estarán involucrados en el SGSI (antes de la contratación del personal): Conocimiento (exámenes teóricos) Habilidades (exámenes prácticos) Experiencia (entrevistas y casos de estudio)
Las evaluaciones serán desarrolladas por el DSe
Disponibilidad del personal para la realización de la evaluación de las competencias Apoyo de áreas para Capacitación del personal, reasignación de funciones
17. Concienciación (12)
17.1 Consideraciones
Dar a conocer a todos los integrantes del Instituto: Política de Seguridad (En materia de Contenido) Contribución a la efectividad del SGSI, incluyendo beneficios de un mejor desempeño de Seguridad de la Información Las implicaciones de no estar en conformidad con los requerimientos del SGSI -
17.2 Requisitos
Organización con personas de Comunicación (Subdirección de Medios Educativos en Informática) Disponibilidad de personal involucrado en el SGSI para realización de boletines informáticos (boletín de TIC). Apoyo de personal que maneja la lista
[email protected] (Entérate).
Versión: v1.0
Página 23 de 32
SECCIÓN SERIE
TIC SEGURIDAD (SEG)
18. Comunicación (13)
18.1 Consideraciones
Determinar la necesidad de comunicaciones internas y externas sobre asuntos del SGSI: o Qué se comunicará o Cuándo se comunicará o A quién se comunicará o Quién lo comunicará o Proceso para efectuar la comunicación Desarrollar plan de comunicaciones comunicaciones donde se especifique lo anterior Entregable: Plan de Comunicación
18.2 Requisitos
Alineación de necesidades de comunicación del SGSI con plan de comunicación existente o creación de uno propio. Consideración del apartado Descripción de la operación del Grupo en las actas constitutivas de los grupos de trabajo de: Implementación del SGSI y operación de los controles de la UR Diseño y planeación del SGSI - UR Consideración del apartado Reglas de operación y funcionamiento en: Acta Constitutiva del Grupo de Gobierno de Seguridad de la Información (GGASI) sobre la comunicación y dinámica de reuniones.
19. Información documentada (14)
19.1 Consideraciones
Definir una sintaxis de identificación, descripción descripción y los criterios de revisión y aprobación de su idoneidad y adecuación Asegurar su disponibilidad, disponibilidad, confidencialidad e integridad con las restricciones necesarias en los repositorios del Instituto (distribución controlada) Versión: v1.0
Página 24 de 32
SECCIÓN SERIE
TIC SEGURIDAD (SEG)
Asegurar el control de cambios, retención y disposición de los documentos en los repositorios Hacer esta actividad en paralelo con todas las actividades de implementación del SGSI (122)
19.2 Requisitos
Alinear la sintaxis de etiquetado a los estatutos considerados dentro de la Guía Técnica para la Homologación de Documentos Normativos del Instituto Federal Electoral (Considerar documento actualizado) Conocimiento de la distribución controlada y de responsables del repositorio de documentos (https://colabora.ife.org.mx/ ) Reunión con la Jefa de Departamento de Procesos para establecer una relación de documentos obligatorios por el procedimiento ASI del SIGETIC y las mejores prácticas de SGSI (ISO/IEC 27001:2013)
20. Planeación y control operativo (15)
20.1 Consideraciones
Implementar y controlar los procesos del SGSI, los controles de seguridad, el PTR y los planes para cumplimiento de objetivos de Seguridad de la Información Mantener la documentación necesaria para tener la confianza de que los procesos se están llevando a cabo conforme se planearon Determinar y controlar los procesos subcontratados y/o tercerizados En caso de no haberlo, determinar un procedimiento de control de cambios Entregable: Procedimiento de control de cambios
20.2 Requisitos
Identificación de procedimiento de control de cambios existentes y alineación con las necesidades del SGSI Revisión con todos los responsables de los controles de seguridad la documentación relacionada a la tecnología Revisar con los dueños de riesgos las actividades de gestión del riesgo, actividades implementadas y la documentación relacionada Versión: v1.0
Página 25 de 32
SECCIÓN SERIE
TIC SEGURIDAD (SEG)
21. Evaluación y tratamiento de los Riesgos de Seguridad de la Información (16 y 17)
21.1 Consideraciones
Llevar a cabo evaluaciones de riesgos de Seguridad de la Información a intervalos planeados o cuando se genere un cambio significativo Retener información documentada de los resultados del tratamiento de riesgos de Seguridad de la Información Hacer esta actividad en paralelo con Planeación y control operativo (15), Política de Seguridad de la Información (4) y con todas las relacionadas a la etapa de Planeación (6,7,8 y 9)
21.2 Requisitos
Establecer en la Política de Seguridad la periodicidad y condiciones del Análisis de Riesgos
22. Monitoreo, medición, análisis y evaluación (18)
22.1 Consideraciones
Determinar lo que necesita ser monitoreado y medido incluyendo procesos y controles de Seguridad de la Información Definir los métodos para monitorear, medir, analizar y evaluar, según corresponda, para garantizar resultados válidos Establecer un Programa de Métricas de Seguridad de la Información: Desarrollo de métricas y mediciones Operación de la medición Análisis de datos y reporte r eporte de los resultados de las métricas Evaluación y mejora del Programa de Métricas de Seguridad de la Información Versión: v1.0
Página 26 de 32
SECCIÓN SERIE
TIC SEGURIDAD (SEG)
Hacer esta actividad en paralelo con la etapa de Operación del SGSI (Actividades 15,16 y 17) Entregable: Informe de métricas -
22.2 Requisitos
Conocimiento y alineación de programa de indicadores existente o creación de uno con las necesidades del SGSI Los dueños de riesgo, custodios de activos y los responsables de controles o procesos de seguridad de la información deberán recabar información para la medición de efectividad y cumplimiento de objetivos según sea el caso, posteriormente dichos resultados deberán ser presentados en un informe de métricas
23. Auditorías internas (19)
23.1 Consideraciones
Planear, establecer, implementar y mantener un programa de Auditoría, incluyendo la frecuencia, responsables, requerimientos de planeación y reporte. Entregable: Programa de Auditoría Interna y Resultados de auditorías internas (Informe y Acciones Correctivas)
23.2 Requisitos
Debe existir la figura de Auditor Interno cumpliendo con el principio de Independencia de auditoría y el conocimiento del SGSI y del proceso ASI El programa de Auditoría debe considerar la importancia de los procesos en cuestión y los resultados de auditorías previas Equipo de auditoría: Auditor (interno) líder Auditor(es) adjunto(s) Observadores Expertos técnicos Versión: v1.0
Página 27 de 32
SECCIÓN SERIE
TIC SEGURIDAD (SEG)
Disponibilidad de tiempo de la persona Guía de auditoría (Jefa del Departamento de Seguridad Informática) durante las auditorías planeadas en el programa Cooperación y participación de todas las partes interesadas durante las actividades de auditoría
24. Revisión Gerencial (20)
24.1 Consideraciones
Realizar una revisión gerencial cada fin de ciclo del SGSI, la cual evalúe los indicadores de efectividad por parte del Grupo de Gobierno de Seguridad de la Información de la UR en intervalos planeados La Revisión Gerencial debe generar (si aplica): Definición de actividades para mejorar la efectividad del SGSI Actualización de la evaluación de riesgos y Plan de Tratamiento de Riesgos Modificación en controles debido a cambios en criterios de aceptación de riesgos, requisitos regulatorios, legales, contractuales o de seguridad Necesidad de recursos para la operación Mejoras en los indicadores de efectividad -
24.2 Requisitos
Junta con el Grupo de Gobierno de Seguridad de la Información de la UR donde se traten los siguientes puntos: Las No conformidades y Acciones Correctivas (21) Seguimiento y medición de resultados Resultados de las auditorías Cumplimiento de los Objetivos de Seguridad de la Información Retroalimentación de las partes interesadas Resultados de la evaluación del riesgo y el estado del Plan de Tratamiento de Riesgos Oportunidades para la mejora continua Nuevas amenazas Cambios Documentación revisada y aprobada de: Resultados de Análisis de Riesgos Versión: v1.0
Página 28 de 32
SECCIÓN SERIE
-
TIC SEGURIDAD (SEG)
Resultado del Tratamiento de Riesgos (PTR) Informe de Métricas Informes de Auditorías Reporte de No Conformidades y Acciones correctivas SoA (Controles de Seguridad de la Información implementados)
25. No conformidades y Acciones correctivas (21)
25.1 Consideraciones
Como resultado de Auditoría, cuando ocurra una No Conformidad, el Instituto debe: Tomar medidas para controlar y corregir la No Conformidad Hacer frente a las consecuencias Adoptar medidas para mitigar las causas de la No Conformidad Hacer cambios al SGSI (si es necesario) Las Acciones Correctivas deben ser apropiadas a los efectos de las No Conformidades encontradas. Entregable: Plan de Acciones Correctivas
25.2 Requisitos
Grupo de Seguridad de la Información de la UR donde se traten los siguientes puntos: Las No conformidades y Acciones Correctivas Revisión de la efectividad de cualquier Acción Correctiva
26. Mejora continua (22)
26.1 Consideraciones
Mejorar continuamente la idoneidad, adecuación y efectividad del SGSI empleando elementos del Sistema como son: Versión: v1.0
Página 29 de 32
SECCIÓN SERIE
TIC SEGURIDAD (SEG)
Uso de la Política Po lítica de Seguridad Objetivos de seguridad Resultados de Auditorías internas Análisis de eventos monitoreados Revisión Gerencial Implementar las mejoras identificadas en el SGSI Realizar las actividades correctivas y revisar las No Conformidades Comunicar las acciones y mejoras a todas las partes involucradas con el nivel de detalle apropiado a las circunstancias. Verificar que las mejoras logren los objetivos o bjetivos del SIGETIC -
26.2 Requisitos
Disponibilidad y apoyo del personal involucrado en las actividades del SGSI para el cumplimiento de las actividades Correctivas. Minuta de la reunión de Revisión Gerencial para dar seguimiento a los acuerdos y compromisos.
Versión: v1.0
Página 30 de 32
SECCIÓN SERIE
TIC SEGURIDAD (SEG)
27. Consideraciones de auditoría
De acuerdo con el Acta Administrativa Circunstanciada de Auditoría número 001/CP2014 del día 21 de julio 2015 y el Acta número 004/CP2014 del día 17 de agosto de 2015, se determinó lo siguiente: Dirección Ejecutiva de Registro Federal de Electores (DERFE) :
No se ha concluido con la implementación del Sistema de Gestión de Seguridad de la Información (SGSI). Durante 2014 no se realizó un Análisis de Riesgos, por lo que no se tienen identificados, clasificados y priorizados los que pueden presentarse y causar un impacto sobre los procesos y los servicios de la institución. No se encuentra actualizado el procedimiento para la gestión de incidentes de seguridad que describa su registro, clasificación, manejo, gestión y nivel de escalamiento. Se carece de logs o bitácoras con el registro de las actividades que se realizan en la base de datos del SIIRFE (Sistema Integral de Información del Registro Federal de Electores) y no se tienen encendidas las opciones de auditoría en ésta.
Dirección Ejecutiva de Prerrogativas y Partidos Políticos (DEPPP) :
No se ha concluido con la implementación del Sistema de Gestión de Seguridad de la Información. Los documentos proporcionados como Planes de Recuperación de Desastres (DRP) se encuentran incompletos y conforme el reciente cambio de tecnología que el INE llevó a cabo, éstos aún no han sido actualizados. Los CEVEM no cuentan con equipos para detectar el nivel de humedad, sólo se realiza el de temperatura a partir de los sensores de los servidores.
Centro de Cómputo y Resguardo Documental (CECYRD):
No se tienen actualizados e implementados procedimientos de DRP y BCP (Business Continuity Plan) para el CECYRD, ya que únicamente se tienen procedimientos de respaldos y restauraciones y no del todo el Centro, lo cual podría impactar en la disponibilidad, integridad y confidencialidad de la información que reside en este sitio. Se carece de documentación soporte respecto a pruebas periódicas sobre los respaldos de información a fin de garantizar su disponibilidad e integridad. Versión: v1.0
Página 31 de 32
SECCIÓN SERIE
TIC SEGURIDAD (SEG)
Se carecen de Matrices de Análisis de Riesgos, por lo que no se tienen identificados, clasificados y priorizados los riesgos que puedan presentarse y causar un impacto sobre los procesos y los servicios de la institución. Durante la visita realizada, se identificó que las cámaras de vigilancia en el área de Digitalización y Resguardo Documental no se encuentran en operación debido a fallas en el equipo. Se carece de sensores para detectar los niveles de humedad y temperatura de forma automática, ya que se realiza de manera manual por personal de instituto. No se ha dado mantenimiento a una de las dos unidades de alimentación de energía ininterrumpida UPS, por lo que se encuentra en desuso.
Por lo anterior, se concluye que existen deficiencias en la gestión de la seguridad de la información e insuficiencias e incumplimiento de controles, por lo que podría presentarse algún riesgo que comprometa la disponibilidad, confidencialidad e integridad de la información, en inconformidad de lo señalado en el Manual de Procedimiento del Sistema de Gestión de Tecnologías de la Información y Comunicaciones (SIGETIC) en sus procesos 3.2 Seguridad y 3.7 Operación.
Aspectos sujetos a revisión:
Análisis de Riesgos Registros de Auditoría Continuidad de la Operación. Seguridad Física y Respaldos
Pendientes a realizar en UNICOM:
Seguir las actividades del SGSI poniendo especial atención a: Análisis de Riesgos (6 y 7) Elaboración del Procedimiento de manejo de incidentes Crear o actualizar el DRP (Disaster Recovery Plan) y BCP (Business Continuity Plan) conforme al reciente cambio de tecnología Revisar la correcta obtención de bitácoras de las actividades que se realizan en las bases de datos (Nombre de la BD crítica de UNICOM) y tener activas las opciones o pciones de auditoría Realizar pruebas y mantener documentación de los Respaldos de Información Implementar en servidores equipos para detectar el nivel de humedad y de temperatura automáticos Asegurar el correcto funcionamiento y operación de las cámaras de operación Dar constante mantenimiento a las unidades de alimentación ininterrumpida (UPS) Versión: v1.0
Página 32 de 32