Guía 3: Autoevaluación de seguridad
Auto-Evaluación de Seguridad de la Información Guía No. 3 CONTROL DE CAMBIOS VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 2011-09-30 Creación del Documento 2.0.0 2011-11-30 Actualización 3.0.0 28/03/2016 Actualización SSPTI CONTENIDO 1. DERECHOS DE AUTOR................................................................................... 4 2. audiencia ........................................................................................................... 5 3. introducción ....................................................................................................... 6 4. FORMATOS ...................................................................................................... 7 4.1. Auto evaluación del Estructura organizacional. ............................................. 7 4.2. Auto evaluación del nivel de gestión de seguridad de la información para las entidades del estado. ............................................................................................... 7 4.3. Auto evaluación de políticas, controles, métricas........................................... 9 4.4. Línea base para entidades de estratificación Baja ......................................... 9 4.5. Línea base para entidades de estratificación Media .................................... 13 4.6. Línea base para entidades de estratificación Alta ........................................ 16 1. DERECHOS DE AUTOR Todas las referencias a los documentos del Modelo de Seguridad de la Información con derechos reservados por parte del Ministerio de Tecnologías de la Información y las Comunicaciones, por medio del Programa Gobierno en línea. Todas las referencias a las políticas, definiciones o contenido relacionado, publicadas en la norma técnica colombiana NTC ISO/IEC 27001, así como a los anexos con derechos reservados por parte de ISO/ICONTEC. 2. AUDIENCIA Entidades públicas de orden nacional y entidades públicas del orden territorial, así como proveedores de servicios de Gobierno en Línea y terceros que deseen adoptar el Modelo de Seguridad de la Información en el marco de la Estrategia Gobierno en línea. 3. INTRODUCCIÓN Este anexo tiene el propósito de brindarle a las entidades un conjunto de herramientas de ayuda para medir de manera objetiva el nivel de implementación actual y dará un listado de temas que componen la brecha con respecto a la Estrategia del Programa Gobierno en línea en cuanto a seguridad de la información. 4. FORMATOS Para una adecuada autoevaluación, diligencie los siguientes formatos con la participación de las diferentes áreas que tienen dicha responsabilidad y pleno conocimiento dentro de la organización. 4.1. Auto evaluación del Estructura organizacional. Diligencie el siguiente formulario para determinar el nivel de integración, relevancia y apoyo transversal y vertical de la entidad a la iniciativa de seguridad de la información. Tabla 1 – Formato de pre requisitos para la entidad Requisito Cumple Si/No La entidad cuenta con un líder de Gobierno en línea (líder GEL) La entidad cuenta con el comité de seguridad de Gobierno en línea. La entidad cuenta con el oficial de seguridad. La entidad cuenta con personal técnico para realizar las tareas de la seguridad de la información. La entidad cuenta con una integración con otros sistemas de gestión. La entidad cuenta con apoyo y participación de planeación. La entidad cuenta con apoyo y participación de control interno. Los funcionarios conocen sus responsabilidades con respecto a la iniciativa de seguridad de la información de la entidad Los proveedores conocen sus responsabilidades con respecto a la iniciativa de seguridad de la información de la entidad Los ciudadanos conocen sus responsabilidades con respecto a la iniciativa de seguridad de la información de la entidad 4.2. Auto evaluación del nivel de gestión de seguridad de la información para las entidades del estado. Diligencie el siguiente formulario para determinar el nivel de madurez aproximado en el cuál se encuentra la entidad. Puede identificar además los vacíos del nivel actual o para pasar a un siguiente nivel. Tabla 2 – Formato para determinar el nivel de seguridad de la entidad Nivel Plan de Seguridad Nivel Inicial Plan de Seguridad Nivel básico Plan de Seguridad Nivel avanzado Plan de Seguridad Requisito La entidad debe definir una política de seguridad que garantice la protección de la información, los datos personales y los activos de información con que cuenta. Para ello, deberá implementar las siguientes acciones: Identificar el nivel de conocimiento al interior, en temas de seguridad de la información y seguridad informática Definir la política de seguridad a ser implementada Divulgar la política de seguridad al interior de la misma Conformar un comité de seguridad o asignar las funciones de seguridad al comité GEL. Identificar los activos de información en los procesos ,incluyendo los activos documentales (records), de acuerdo con el análisis de procesos realizado Identificar los riesgos y su evaluación, en dichos procesos Definir el plan de acción con los controles y políticas que se implementarán para mitigar los riesgos identificados Con base en el análisis de procesos realizado en el nivel inicial y la política o plan de seguridad definido, la entidad inicia la ejecución de dicho plan de seguridad para implementar los controles que mitigarán los riesgos identificados, lo cual implica que la entidad presenta avances en la implementación de tales controles. De acuerdo con el plan de capacitación definido por la entidad en el nivel inicial, esta ejecuta las acciones de capacitación en seguridad, con los responsables de los controles y procesos con los cuales se inicia la ejecución del plan. La entidad inicia la documentación de políticas y procedimientos de seguridad, de acuerdo con el plan definido. La entidad culmina la implementación de controles definidos en el nivel inicial La entidad documenta la totalidad de políticas y procedimientos de seguridad La entidad ejecuta las actividades de capacitación en temas de seguridad, con todos los servidores públicos La entidad define el plan de verificación periódica de los controles, procedimientos y políticas de seguridad La entidad reporta los avances del cumplimiento del plan La entidad refuerza la divulgación de las políticas de seguridad La entidad ejecuta los procedimientos y políticas de seguridad, de manera repetitiva Cumple Si/No Nivel Requisito Nivel de mejoramiento permanente 4.3. Cumple Si/No La entidad realiza la revisión periódica interna de los riesgos inicialmente detectados, políticas, procedimientos y controles La entidad evalúa sus políticas de seguridad e implementa acciones para mejorarlas Auto evaluación de políticas, controles, métricas. Diligencie los siguientes formularios para determinar el nivel de madurez en términos de políticas, controles y métricas con las cuales cuenta la entidad. 4.4. Línea base para entidades de estratificación Baja La tabla 3 muestra la línea base de los controles básicos que las entidades estratificadas como Baja deben considerar tener implementados. Tabla 3 – Línea base para entidades de estratificación Baja. Política G / Política E / Objetivo / Control Política de Protección del Servicio dquisición, desarrollo y mantenimiento de sistemas de información Seguridad en los procesos de desarrollo y soporte Desarrollo de software contratado externamente Fuga de información Política de Protección del Servicio Control de acceso a las aplicaciones y a la información Restricción de acceso a la información Control de acceso a las redes Política de uso de los servicios de red Control de acceso al sistema operativo Identificación y autenticación de usuarios Procedimientos de ingreso seguros Tiempo de la inactividad de la sesión Gestión de la seguridad de las redes Controles de las redes Monitoreo Monitoreo del uso del sistema Protección de la información del registro Registro de auditorías Registro de fallas Implementado / Parcialmente / Planeado Política G / Política E / Objetivo / Control Registros del administrador y del operador Sincronización de relojes Política de Registro y Auditoria Política de Registro y Auditoria Monitoreo Monitoreo del uso del sistema Protección de la información del registro Registro de auditorías Registro de fallas Registros del administrador y del operador Sincronización de relojes Políticas de Control de Acceso Políticas de Control de Acceso Control de acceso a las redes Política de uso de los servicios de red Control de acceso al sistema operativo Identificación y autenticación de usuarios Procedimientos de ingreso seguros Tiempo de la inactividad de la sesión Gestión del acceso de usuarios Gestión de contraseñas para usuarios Gestión de privilegios Registro de usuarios Revisión de los derechos de acceso de los usuarios Requisito de la entidad para el control de acceso Política de control de acceso Responsabilidades de los usuarios Equipo de usuario desatendido Política de escritorio despejado y de pantalla despejada Uso de contraseñas Políticas de Disponibilidad de la Información Políticas de Disponibilidad de la Información Respaldo Respaldo de la información Políticas de Disponibilidad del Servicio Políticas de Disponibilidad del Servicio Planificación y aceptación del sistema Aceptación del sistema Gestión de la capacidad Políticas de Integridad Control de acceso Implementado / Parcialmente / Planeado Política G / Política E / Objetivo / Control Gestión del acceso de usuarios Gestión de contraseñas para usuarios Gestión de privilegios Registro de usuarios Revisión de los derechos de acceso de los usuarios Requisito de la entidad para el control de acceso Política de control de acceso Políticas de Integridad Gestión de la seguridad de las redes Controles de las redes Respaldo Respaldo de la información Políticas de Privacidad y Confiabilidad Control de acceso Control de acceso a las redes Política de uso de los servicios de red Gestión del acceso de usuarios Gestión de contraseñas para usuarios Gestión de privilegios Registro de usuarios Revisión de los derechos de acceso de los usuarios Requisito de la entidad para el control de acceso Política de control de acceso Responsabilidades de los usuarios Equipo de usuario desatendido Política de escritorio despejado y de pantalla despejada Uso de contraseñas Políticas de Privacidad y Confiabilidad Gestión de la seguridad de las redes Controles de las redes Intercambio de la información Medios físicos en tránsito Mensajería electrónica Respaldo Respaldo de la información Políticas Generales Organización de la seguridad de la Información Cumplimiento de las políticas y los lineamientos de seguridad y cumplimiento técnico Cumplimiento con las políticas y lineamientos de seguridad Verificación del cumplimiento técnico Implementado / Parcialmente / Planeado Política G / Política E / Objetivo / Control Cumplimiento de los requisitos legales Derechos de propiedad intelectual (DPI) Identificación de la legislación aplicable Prevención del uso inadecuado de los servicios de procesamiento de información Protección de los datos y privacidad de la información personal Protección de los registros de la entidad Reglamentación de los controles criptográficos Gestión de comunicaciones y operaciones - Procedimientos operacionales y responsabilidades Distribución de funciones Documentación de los procedimientos de operación Gestión del cambio Organización interna Acuerdos sobre confidencialidad Asignación de responsabilidades para la seguridad de la información Compromiso de [La dirección] con la seguridad de la información Contacto con las autoridades Coordinación de la seguridad de la información Procesos de autorización para los servicios de procesamiento de información Responsabilidad de los Activos Inventario de activos Propiedad de los activos Uso aceptable de los activos Seguridad de los Equipos Mantenimiento de los equipos Retiro de activos Seguridad en la reutilización o eliminación de los equipos Ubicación y protección de los equipos Seguridad de los Recursos Humanos (Antes de la Contratación) Roles y responsabilidades Selección Términos y condiciones laborales Seguridad de los Recursos Humanos (Durante la vigencia de la contratación laboral) Educación, formación y concientización sobre la seguridad de la información Proceso disciplinario Responsabilidades de [La dirección] Seguridad de los Recursos Humanos(Terminación o cambio de la contratación laboral) Devolución de activos Responsabilidades en la terminación Implementado / Parcialmente / Planeado Política G / Política E / Objetivo / Control Implementado / Parcialmente / Planeado Retiro de los derechos de acceso Seguridad Física y del Entorno – Áreas Seguras Perímetro de seguridad física Protección contra amenazas externas y ambientales Política de Seguridad Política de Seguridad de la Información Documento de política de seguridad de la información Revisión del a política de seguridad de la información 4.5. Línea base para entidades de estratificación Media La tabla 4 muestra la línea base de los controles básicos que las entidades estratificadas como Media deben considerar tener implementados. Tabla 4 – Línea base para entidades de estratificación Media. Política G / Política E / Objetivo / Control Política de Protección del Servicio Adquisición, desarrollo y mantenimiento de sistemas de información Gestión a la vulnerabilidad técnica Control de vulnerabilidades técnicas Gestión de los incidentes y las mejoras en la seguridad de la información Aprendizaje debido a los incidentes de seguridad de la información Recolección de evidencia Responsabilidades y procedimientos Requisitos de seguridad de los sistemas de información Análisis y especificación de los requisitos de seguridad Seguridad en los procesos de desarrollo y soporte Procedimientos de control de cambios Restricciones en los cambios a los paquetes de software Revisión técnica de las aplicaciones después de los cambios en el sistema operativo Política de Protección del Servicio Computación móvil y trabajo remoto Computación y comunicaciones móviles Trabajo remoto Control de acceso a las aplicaciones y a la información Aislamiento de sistemas sensibles Control de acceso a las redes Implementado / Parcialmente / Planeado Política G / Política E / Objetivo / Control Autentificación de usuarios para conexión externas Control de conexión a las redes Identificación de los equipos en las redes Protección de los puertos de configuración y diagnóstico remoto Separación en las redes Control de acceso al sistema operativo Limitación del tiempo de conexión Sistema de gestión de contraseñas Uso de las utilidades del sistema Gestión de la seguridad de las redes Seguridad de los servicios de la red Políticas de no repudiación Adquisición, desarrollo y mantenimiento de sistemas de información Controles criptográficos Gestión de llaves Política sobre el uso de controles criptográficos Requisitos de seguridad de los sistemas de información Análisis y especificación de los requisitos de seguridad Políticas de no repudiación Servicios de comercio electrónico Información disponible al público Políticas de Control de Acceso Políticas de Control de Acceso Computación móvil y trabajo remoto Computación y comunicaciones móviles Trabajo remoto Control de acceso a las aplicaciones y a la información Aislamiento de sistemas sensibles Restricción de acceso a la información Control de acceso a las redes Autenticación de usuarios para conexión externas Control de conexión a las redes Identificación de los equipos en las redes Protección de los puertos de configuración y diagnóstico remoto Separación en las redes Control de acceso al sistema operativo Limitación del tiempo de conexión Sistema de gestión de contraseñas Uso de las utilidades del sistema Políticas de Disponibilidad del Servicio Gestión de la continuidad de la entidad Implementado / Parcialmente / Planeado Política G / Política E / Objetivo / Control Aspectos de la seguridad de la información, de la gestión de la continuidad de la entidad Continuidad de la entidad y evaluación de riesgos Desarrollo e implementación de planes de continuidad que incluyen la seguridad de la información Estructura para la planificación de la continuidad de la entidad Inclusión de la seguridad de la información en el proceso de gestión de la continuidad de la entidad Pruebas, mantenimiento y reevaluación de los planes de continuidad de la entidad Políticas de Integridad Políticas de Integridad Gestión de la seguridad de las redes Seguridad de los servicios de la red Políticas de Privacidad y Confiabilidad Control de acceso Control de acceso a las redes Autentificación de usuarios para conexión externas Control de conexión a las redes Identificación de los equipos en las redes Protección de los puertos de configuración y diagnóstico remoto Separación en las redes Políticas de Privacidad y Confiabilidad Gestión de la operación del servicio por terceras partes Gestión de los cambios en los servicios por las terceras partes Monitoreo y revisión de los servicios por terceras partes Prestación del servicio Gestión de la seguridad de las redes Seguridad de los servicios de la red Intercambio de la información Políticas y procedimientos para el intercambio de información Sistemas de información de la entidad Políticas Generales Organización de la seguridad de la Información Consideraciones de la auditoría de los sistemas de información Controles de auditoría de los sistemas de información Protección de las herramientas de auditoría de los sistemas de información Gestión de comunicaciones y operaciones - Procedimientos operacionales y responsabilidades Separación de las instalaciones de desarrollo, ensayo y operación Seguridad de los Equipos Seguridad de los equipos fuera de las instalaciones Implementado / Parcialmente / Planeado Política G / Política E / Objetivo / Control Implementado / Parcialmente / Planeado Seguridad del cableado Servicios de suministro Seguridad Física y del Entorno – Áreas Seguras Áreas de carga, despacho y acceso público Controles de acceso físico Seguridad de oficinas, recintos e instalaciones Trabajo en áreas seguras 4.6. Línea base para entidades de estratificación Alta La tabla 5 muestra la línea base de los controles básicos que las entidades estratificadas como Alta deben considerar tener implementados. Tabla 5 – Línea base para entidades de estratificación Alta. Política G / Política E / Objetivo / Control Política de Protección del Servicio Política de Protección del Servicio Control de acceso a las redes Control de enrutamiento en la red Políticas de no repudiación Políticas de no repudiación Servicios de comercio electrónico Comercio electrónico Transacciones en línea Políticas de Control de Acceso Políticas de Control de Acceso Control de acceso a las redes Control de enrutamiento en la red Políticas de Privacidad y Confiabilidad Control de acceso Control de acceso a las redes Control de enrutamiento en la red Políticas de Privacidad y Confiabilidad Intercambio de la información Acuerdos para el intercambio Servicios de comercio electrónico Comercio electrónico Información disponible al público Implementado / Parcialmente / Planeado Transacciones en línea
© Copyright 2024