Matriz

PMG-SSI: RESUMEN - DIAGNOSTICO
Subsecretara del Direccin de Presupuestos - Divisi
DOMINIO
COMPLETITUD
% CUMPLIMIENTO
Poltica de seguridad Organizacin de la Seguridad de la Informacin Gestin de Activos Seguridad de recursos humanos Seguridad Fsica y Ambiental Gestin de las comunicaciones y operaciones Control de acceso Adquisicin, desarrollo y mantenimiento de los sistemas de informacin Gestin de un incidente en la seguridad de la informacin Gestin de la continuidad del negocio Cumplimiento ESTADO DE LA INSTITUCION (DIAGNOSTICO)
1.00 0.50 0.11 0.08 0.05 0.35 0.36 0.00 0.00 0.00 0.40 0.26
100.0% 50.0% 11.1% 8.3% 5.0% 34.9% 35.7% 0.0% 0.0% 0.0% 40.0% 25.9%
Estado de la Institucin por Dominio (%)

Cumplimiento Gestin de la continuidad del negocio0.0% Gestin de un incidente en la seguridad de la informacin0.0% Adquisicin, desarrollo y mantenimiento de los sistemas de informacin0.0% Control de acceso Gestin de las comunicaciones y operaciones Seguridad Fsica y Ambiental Seguridad de recursos humanos
40.0%
35.7% 34.9% 5.0% 8.3%
58
Programa de mejoramiento de la gestin Ministerio del Interior
PMG-SSI: RESUMEN - DIAGNOSTICO

Seguridad de recursos humanos Gestin de Activos Organizacin de la Seguridad de la Informacin Poltica de seguridad
8.3% 11.1% 50.0% 100.0%
Subsecretara del Direccin de Presupuestos - Divisi
58
Red de Expertos Subsecretara del Interior - Divisin Informtica Direccin de Presupuestos - Divisin Tecnologas de Informacin
Estado de la Institucin por Dominio (%)
58
58
CRITERIOS DE EVALUACIN
VALOR NO SI
TIPO No cumple Cumple
DESCRIPCIN La institucin NO cuenta con procedimientos, controles u otro elementos que le permitan cumplir con el requisito del DS-83 y la NCh 27001,Of2009. La institucin cuenta con todos los controles, procedimientos u otros elementos que le permiten cumplir con el requisito del DS-83 y la NCh 27001,Of2009.
DETERMINACION DE PROCESOS CRITICOS P

PROCESO SUBPROCESO RESPONSABLE ADMINISTRATIVO ETAPAS
Supervisin Administrativa FNDR
Supervisin Financiera del FNDR
Sistema de Seguimiento y Supervisin de la Inversin
Ejecucin y Supervisin FNDR
Jefatura de Divisin de Administracin y Finanzas/Jefatura Divisin de Anlisis y Control de la Gestin
Supervisin en Terreno del FNDR
Anlisis Presupuestario del FNDR
Supervisin del PMU IRAL
DETERMINACION DE PROCESOS CRITICOS PARA ANALIZAR DOMINIOS: GESTIN DE ACTIVOS, SEGUR
REGISTRO DE INFORMACION Envo Acuerdo CORE ratificado
ACTIVO DE INFORMACIN Correo Electrnico/Acuerdo CORE Ficha IDI o Anexo N 1 y/o Carpeta Envo Ficha IDI, Anexo N 1 y/o Carpeta Iniciativa de Inversin Iniciativa de Inversin Elaboracin Resolucin de Identificacin Presupuestaria Resolucin Resolucin de Identificacin Presupuestaria firmada Resolucin Solicitud de Convenio Mandato y/o Transferencia y Resolucin de Memorando Aprobacin respectiva Convenio Mandato y/o Transferencia y Convenio Mandato y/o Transferencia y Resoluciones elaboradas Resoluciones Convenio Mandato y/o Transferencia Gestin Convenio Mandato y/o Transferencia firmado por la UT firmado por la UT Gestin de firma de Convenio Mandato y/o Transferencia y Resolucin de Aprobacin respectivas Comunicacin a la Unidad Tcnica de aprobacin de Convenio Mandato y/o Transferencia para su retiro Coordinacin de las bases de licitacin con la UT en el caso de los Convenios Mandatos Convenio Mandato y/o Transferencia y Resoluciones Correo Electrnico y/o Llamada Telefnica Correo Electrnico/Bases de Licitacin/Proyecto
CONVENI Envo de Programacin Financiera Solicitud de Caja a la DIPRES Solicitud de Transferencia de acuerdo a Convenio de Transferencia Cargar en el SAGIR la transferencia y generar Hoja de Ruta Recepcin Hoja de Ruta para devengo contable en SIGFE Recepcin de Hoja de Ruta con la contabilizacin realizada para ingresar transferencia en el Portal de la Ley N 19.862 Revisin del Sistema de Informacin Administrativo SIA para definir tipo de pago Transferencia va Portal de Pago BancoEstado y/o emisin de cheque Envo de mail con las transferencias realizadas y/o cheques emitidos Cuadratura de Gastos Recepcin de la informacin de pagos y envo de sta a la Unidad Tcnica Recepcin de la rendicin y solicitud de nueva transferencia por parte de la Unidad Tcnica Planilla Excel Memorando Memorando SAGIR/Hoja de Ruta Hoja de Ruta/SIGFE Hoja de Ruta con contabilizacin/Portal Ley N 19.862 SIA Portal de Pago BancoEstado/Cheque Correo Electrnico Planilla Excel/SIGFE/SAGIR Correo Electrnico Rendicin UT y Solicitud nueva transferencia
Revisin de la rendicin en base al presupuesto de la iniciativa de Rendicin UT, Presupuesto de IDI y inversin y de la nueva solicitud de transferencia Solicitud nueva transferencia Envo memorando de rendicin y nueva solicitud de transferencia Memorando Carga mensual del gasto a Plataforma ChileIndica SUBDERE Plataforma ChileIndica
CON Envo Programacin Financiera Planilla Excel
Envo y revisin de Solicitud de Pago con Gastos Administrativos Memorando
Envo y revisin de Solicitud de Pago con Gastos de Consultora
Memorando
Envo y revisin de Solicitud de Pago con Gastos de Obras
Memorando
Envo y revisin de Estado de Pago Revisin del estado de pago en base al presupuesto de la iniciativa de inversin Envo del estado de pago para pago Cargar en el SAGIR el estado de pago y generar Hoja de Ruta Recepcin Hoja de Ruta para devengo contable en SIGFE Recepcin de Hoja de Ruta con la contabilizacin realizada para generar pago Revisin del Sistema de Informacin Administrativo SIA para definir tipo de pago Transferencia va Portal de Pago BancoEstado y/o emisin de cheque Cuadratura de gastos Transferir los bienes a las UT en el caso del Subttulo 29 Envo de la Recepcin Provisoria de Obras por parte de la UT con ltimo estado de pago en el caso del Subttulo 31 Envo de garantas por fiel cumplimiento por parte de la UT y solicitud de garantas de correcta ejecucin por parte del GORE Envo de la Recepcin Definitiva de obras por parte de la UT Carga mensual del gasto a Plataforma ChileIndica SUBDERE
Documento con Estado de Pago
Estado de Pago UT y Presupuesto de IDI
Memorando con Estado de Pago SAGIR/Hoja de Ruta Hoja de Ruta/SIGFE Hoja de Ruta con contabilizacin SIA Portal de Pago BancoEstado/Cheque Planilla Excel/SIGFE/SAGIR Resolucin Recepcin Provisoria de Obras
Boletas de Garanta Recepcin Definitiva de Obras Plataforma ChileIndica
Cartera de Proyectos Solicitud de Vehculo Programacin Vehculos Nmina con los datos de la Unidad Tcnica Coordinacin con la Unidad Tcnica de la visita Generar Ficha de Terreno Registro Fotogrfico de la supervisin en terreno Recepcin de programacin por parte de cada analista DIVAC Clasificacin de programacin de acuerdo al subttulo para su anlisis Chequear los montos disponibles por subttulo de acuerdo al presupuesto asignado por Ley y si es que hubiera aumento de obras Chequear en plataforma BIP montos reales aprobados Emitir Resoluciones y/o Decretos que asignan y/o reasignan los montos a los subttulos del 02
Planilla Excel Correo Electrnico Bitacora Planilla Excel Correo Electrnico Ficha de Terreno Fotografas Correo Electrnico con programacin Sistema SAGIR Sistema SAGIR y SIGFE Plataforma Banco Integrado de Proyectos BIP Resoluciones y/o Decretos
Analizar los estados de pago y rendiciones por parte de la DIVAC Estados de Pago y Rendiciones Recepcin Marco SUBDERE PMU IRAL Envo Propuesta Marco Presupuestario por Comuna al CORE Envo Acuerdo CORE ratificado Envo de Oficios de Marco Aprobado a las UT Recepcin de Proyectos e Informes de Evaluacion Aprobacin de Proyectos Registro Consolidado de Proyectos Oficio SUDBERE Oficio Secretario Ejecutivo Correo Electrnico Oficios Municipios Marco Proyectos/Informes Oficio/Portal SUBDERE PMU En Lnea Planilla Excel
DE ACTIVOS, SEGURIDAD FSICA Y AMBIENTAL, GESTION DE LA CONTINUIDAD DEL NEGOCIO

ACTIVOS DE INFORMACION TIPOS DE ACTIVO DUEO DEL ACTIVO Activos de software/Informacin Secretario Ejecutivo CORE Jefatura Departamento de Preinversin y Informacin/Informacin/Informacin Proyectos Informacin/Informacin Encargada Unidad de Presupuesto de Inversin Informacin Intendente y/o Subsecretario SUBDERE Encargada Unidad de Presupuesto de Inversin Informacin Regional Informacin Jefatura Departamento Jurdico Informacin Jefaturas y Analistas de Divisin de Anlisis y Control de la Gestin Jefatura Departamento Jurdico, Jefatura Divisin de Administracin y Finanzas, Jefatura Divisin Anlisis y Control de la Gestin e Intendente
Informacin
Jefaturas y Analistas de Divisin de Anlisis y Control de la Gestin Jefaturas y Analistas Departamentos de Control de Informacin / Activos de software Proyectos de Infraestructura y Obras Viales y de Adquisicin de Activos No Financieros CONVENIO DE TRANSFERENCIA SUBTITULOS 24 Y 33 Jefaturas y Analistas de Departamento de Informacin Actividades Cultura, Deporte y Seguridad y Departamento de Transferencias de Capital Encargada Unidad de Presupuesto de Inversin Informacin Regional Jefaturas Departamento de Actividades Cultura, Informacin Deporte y Seguridad y Departamento de Transferencias de Capital Activos de Software / Informacin Encargada Unidad de Presupuesto de Inversin Activos de software / Servicios Informacin / Activos de Software Informacin / Activos de Software Activos de Software Activos de Software / Informacin Activos de Software Informacin / Activos de Software Activos de Software Encargado Unidad de Contabilidad Encargado Unidad de Tesorera Encargado Unidad de Tesorera Encargado Unidad de Tesorera Encargado Unidad de Tesorera Analistas Unidad de Presupuesto de Inversin Regional y Unidad de Contabilidad Jefaturas Departamento de Actividades Cultura, Deporte y Seguridad y Departamento de Transferencias de Capital Jefaturas y Analistas de Departamento de Actividades Cultura, Deporte y Seguridad y Departamento de Transferencias de Capital
Informacin
Jefaturas y Analistas de Departamento de Actividades Cultura, Deporte y Seguridad y Departamento de Transferencias de Capital Informacin Jefaturas y Analistas de Departamento de Jefaturas y Analistas de Departamento de Activos de Software Actividades Cultura, Deporte y Seguridad y Departamento de Transferencias de Capital CONVENIO MANDATO SUBTITULOS 31 Y 29 Jefaturas y Analistas Departamentos de Control de Informacin Proyectos de Infraestructura y Obras Viales y de Adquisicin de Activos No Financieros Jefaturas y Analistas Departamentos de Control de Informacin Proyectos de Infraestructura y Obras Viales y de Adquisicin de Activos No Financieros Jefaturas y Analistas Departamentos de Control de Informacin Proyectos de Infraestructura y Obras Viales y de Adquisicin de Activos No Financieros Jefaturas y Analistas Departamentos de Control de Informacin Proyectos de Infraestructura y Obras Viales y de Adquisicin de Activos No Financieros Jefaturas y Analistas Departamentos de Control de Informacin Proyectos de Infraestructura y Obras Viales y de Adquisicin de Activos No Financieros Jefaturas y Analistas Departamentos de Control de Informacin Proyectos de Infraestructura y Obras Viales y de Adquisicin de Activos No Financieros Jefaturas y Analistas Departamentos de Control de Informacin Proyectos de Infraestructura y Obras Viales y de Adquisicin de Activos No Financieros Encargada Unidad de Presupuesto de Inversin Activos de Software / Informacin Regional Informacin Informacin / Activos de Software Informacin Activos de Software Activos de Software / Informacin Informacin / Activos de Software Informacin Informacin Encargado Unidad de Contabilidad Encargado Unidad de Tesorera Encargado Unidad de Tesorera Encargado Unidad de Tesorera Analistas Unidad de Presupuesto de Inversin Regional y Unidad de Contabilidad Jefatura y Analistas Departamento de Adquisicin de Activos No Financieros Jefaturas y Analistas Departamentos de Control de Proyectos de Infraestructura y Obras Viales y de Adquisicin de Activos No Financieros Jefaturas y Analistas Departamentos de Control de Proyectos de Infraestructura y Obras Viales y de Adquisicin de Activos No Financieros Jefatura y Analista Departamento de Control de Proyectos de Infraestructura y Obras Viales Jefaturas y Analistas Departamentos de Control de Proyectos de Infraestructura y Obras Viales y de Adquisicin de Activos No Financieros
Informacin Informacin Activos de Software
Informacin Activos de Software Informacin Informacin Activos de Software Informacin Informacin Activos de Software Activos de Software Activos de Software Activos de Software Informacin Informacin/Informacin Informacin Informacin Activos de Software Informacin Informacin Informacin / Activos de software Informacin
Jefaturas y/o Analistas de la Divisin de Anlisis y Control de la Gestin Jefaturas y/o Analistas de la Divisin de Anlisis y Control de la Gestin Jefatura Departamento de Servicios Generales Jefaturas y/o Analistas de la Divisin de Anlisis y Control de la Gestin Jefaturas y/o Analistas de la Divisin de Anlisis y Control de la Gestin Jefaturas y/o Analistas de la Divisin de Anlisis y Control de la Gestin Jefaturas y/o Analistas de la Divisin de Anlisis y Control de la Gestin Encargada y Analistas Unidad de Presupuesto de Inversin Regional Encargada y Analistas Unidad de Presupuesto de Inversin Regional Encargada y Analistas Unidad de Presupuesto de Inversin Regional Encargada y Analistas Unidad de Presupuesto de Inversin Regional Encargada y Analistas Unidad de Presupuesto de Inversin Regional Encargada y Analistas Unidad de Presupuesto de Inversin Regional Jefatura Departamento de Transferencias de Capital Jefatura Departamento de Transferencias de Capital Secretario Ejecutivo CORE Secretaria Departamento de Transferencias de Capital Jefatura y Analistas del Departamento de Transferencias de Capital Jefatura y Analistas del Departamento de Transferencias de Capital Jefatura y Analistas del Departamento de Transferencias de Capital
ONTINUIDAD DEL NEGOCIO
RESPONSABLE DEL ACTIVO Intendente Jefatura Divisin de Planificacin y Desarrollo
EQUIPOS/SISTEMAS Correo Electrnico Web Mideplan
Jefatura Departamento de Presupuesto y Contabilidad PC Intendente y/o Subsecretario SUBDERE Sistema GDM Jefatura Departamento de Presupuesto y Contabilidad Impresora Administracin Regional Fotocopiadora
Jefatura Divisin de Anlisis y Control de la Gestin y Telfono Administracin Regional Administracin Regional e Intendente Scanner
Jefatura Divisin de Anlisis y Control de la Gestin y Servidores de Respaldo Administracin Regional Jefatura Divisin de Anlisis y Control de la Gestin Carpetas Compartidas
Jefatura Divisin de Anlisis y Control de la Gestin
Correo Electrnico
Jefatura Departamento de Presupuesto y Contabilidad PC Jefatura Divisin de Anlisis y Control de la Gestin Sistema SAGIR
Jefatura Departamento de Presupuesto y Contabilidad Sistema SIGFE Jefatura Departamento de Presupuesto y Contabilidad Portal Ley N 19.863 Jefatura Departamento de Presupuesto y Contabilidad Sistema SIA Jefatura Departamento de Presupuesto y Contabilidad Portal de Pago BancoEstado Jefatura Departamento de Presupuesto y Contabilidad Correo Electrnico Jefatura Departamento de Presupuesto y Contabilidad Scanner Jefatura Departamento de Presupuesto y Contabilidad Servidores de Respaldo Jefatura Divisin de Anlisis y Control de la Gestin Carpetas Compartidas
Sistema Chileindica
Jefatura Divisin de Anlisis y Control de la Gestin Jefatura Divisin de Anlisis y Control de la Gestin Jefatura Divisin de Anlisis y Control de la Gestin
PC
Impresora
Sistema SIGFE
Sistema SAGIR
Sistema SIA
Sistema GDM
Portal de Pago BancoEstado
Jefatura Departamento de Presupuesto y Contabilidad Scanner Jefatura Departamento de Presupuesto y Contabilidad Correo Electrnico Jefatura Departamento de Presupuesto y Contabilidad Servidores de Respaldo Jefatura Departamento de Presupuesto y Contabilidad Carpetas Compartidas Jefatura Departamento de Presupuesto y Contabilidad Sistema Chileindica Jefatura Departamento de Presupuesto y Contabilidad Jefatura Divisin de Anlisis y Control de la Gestin Jefatura Divisin de Anlisis y Control de la Gestin
Jefatura Divisin de Anlisis y Control de la Gestin Jefatura Divisin de Anlisis y Control de la Gestin Jefatura Divisin de Anlisis y Control de la Gestin
Jefatura Divisin de Anlisis y Control de la Gestin y Administracin Regional Jefatura Divisin de Anlisis y Control de la Gestin y Administracin Regional Jefatura Divisin de Administracin y Finanzas Jefatura Divisin de Anlisis y Control de la Gestin y Administracin Regional Jefatura Divisin de Anlisis y Control de la Gestin y Administracin Regional Jefatura Divisin de Anlisis y Control de la Gestin y Administracin Regional Jefatura Divisin de Anlisis y Control de la Gestin y Administracin Regional
PC Correo Electrnico Impresora Cmara Fotogrfica Servidores de Respaldo Carpetas Compartidas Celular
Jefatura Departamento de Presupuesto y Contabilidad Correo Electrnico Jefatura Departamento de Presupuesto y Contabilidad Sistema SAGIR Jefatura Departamento de Presupuesto y Contabilidad PC /Impresora Jefatura Departamento de Presupuesto y Contabilidad Sistema SIGFE Jefatura Departamento de Presupuesto y Contabilidad Plataforma Banco Integrado de Proyectos BIP
Jefatura Departamento de Presupuesto y Contabilidad Servidores de Respaldo Jefatura Divisin de Anlisis y Control de la Gestin Jefatura Divisin de Anlisis y Control de la Gestin Intendente Jefatura Departamento de Transferencias de Capital Jefatura Divisin de Anlisis y Control de la Gestin Jefatura Divisin de Anlisis y Control de la Gestin Jefatura Divisin de Anlisis y Control de la Gestin Correo Electrnico PC Portal SUBDERE PMU En Lnea Impresora Sistema GDM Sistema SAGIR Servidores de Respaldo
Red de Expertos PMG-SSI Subsecretaria del Interior Direccin de Presupuestos
SI NO
SI: CONTROL ISO REF. DS-83 (MATRIZ ANTIGUA) DOMINIO
CRITERIO NO: No cumple Cumple NIVEL DE CUMPLIMIENT O RESPONSABLE ENTREVISTADO (nombre y cargo)
AMBITO
REQUISITO/ CONTROL
DESCRIPCIN DEL ESTADO ACTUAL
DESCRIPCIN DE LA BRECHA
Comentario AYUDA
DOCUMENTOS / EVIDENCIAS
A.5.1.1
Art. 11 En el Servicio: existe un documento denominado Poltica de Seguridad de la informacin, que est Documento de la poltica de aprobado por el Jefe de Servicio, y que refleja seguridad de la informacin claramente el compromiso, apoyo e inters en el fomento y desarrollo de una cultura de seguridad institucional? Art. 11 a
SI
El Servicio cuenta con un documento denominado Poltica General de Seguridad de la Informacin, aprobado por el Jefe de Servicio, que explcita el compromiso, apoyo e inters en el fomento y desarrollo de una cultura de seguridad institucional. El Servicio cuenta con un documento denominado Poltica General de Seguridad de la Informacin, aprobado por el Jefe de Servicio, que seala y refleja la definicin de seguridad de los activos de informacin, sus objetivos globales, alcance e importancia.
Debe adjuntar poltica de seguridad con definiciones especificadas en requerimiento
Poltica General de Seguridad de la Informacin.
Comit de Seguridad de la Informacin /Patrick Stockins Encargado de Seguridad Jefe Divisin Administracin y Finanzas
El documento Politica de Seguridad: contiene una definicin de seguridad de los activos de informacin, sus objetivos globales, alcance e importancia?
SI
Art. 11 b El documento Politica de Seguridad: contiene un prrafo que seale los medios de difusin de sus contenidos al interior de la organizacin? El documento actual de Poltica General de Seguridad de la Informacin incorpora un prrafo que explcita la difusion de sta, bajo el subtitulo "Capacitacin y Difusion al Personal" Debe adjuntar poltica de seguridad con definiciones especificadas en requerimiento Poltica General de Seguridad de la Informacin. Comit de Seguridad de la Informacin /Patrick Stockins Encargado de Seguridad Jefe Divisin Administracin y Finanzas
Poltica de Seguridad
SI
A.5.1.1 El documento actual de Poltica General de Seguridad de la Informacin incorpora un prrafo que explcita la difusion de sta, bajo el subtitulo "Capacitacin y Difusion al Personal" Debe adjuntar poltica de seguridad con definiciones especificadas en requerimiento Comit de Seguridad de la Informacin /Patrick Stockins Encargado de Seguridad Jefe Divisin Administracin y Finanzas
En la actualidad, el documento Politica de Seguridad: se publica y se comunica a todos los funcionarios y partes externas relevantes?
SI
Art. 11 c El documento Politica de Seguridad: contiene un Revisin de la poltica de prrafo que seale cada cunto tiempo se reevaluar seguridad de la informacin (que debe ser cada 3 aos como mximo)? explicita con qu periodicidad su cumplimiento ser revisado? El documento Poltica General de Seguridad de la Informacin incorpora un procedimiento de revisin a lo menos una vez al ao de sus contenidos. Debe adjuntar poltica de seguridad con definiciones especificadas en requerimiento Poltica General de Seguridad de la Informacin. Comit de Seguridad de la Informacin /Patrick Stockins Encargado de Seguridad Jefe Divisin Administracin y Finanzas
SI
A.5.1.2 El documento Poltica General de Seguridad de la Informacin se revisa ya sea, dentro del plazo establecido en el propio documento de al menos una vez al ao, o cuando se estime conveniente. Comit de Seguridad de la Informacin /Patrick Stockins Encargado de Seguridad Jefe Divisin Administracin y Finanzas
En la actualidad, el documento Politica de Seguridad: se revisa en los intervalos planeados o cuando ocurren cambios significativos para asegurar su continua idoneidad, eficiencia y efectividad?
SI
0.5 A.6.1.1 Art. 12 Compromiso de la direccin El Jefe de Servicio: ha designado mediante resolucin con la seguridad de la al Encargado de Seguridad de la Inoformacin? informacin SI Comit de Seguridad de la Informacin /Patrick Stockins Encargado de Seguridad Jefe Divisin Administracin y Finanzas Pg. 18 PMG-SSI
Se ha designado un Encargado de Seguridad mediante Resolucion Exenta firmada por el Jefe de Servicio.
Debe adjuntar resolucin de nombramiento que Resolucin Exenta N 1773 de 26.09.11 especifique lo solicitado en el requerimiento
SI NO
AMBITO
REQUISITO/ CONTROL
Comentario AYUDA
A.6.1.2
Coordinacin de la El Jefe de Servicio: ha designado mediante resolucin seguridad de la informacin al Comit de Seguridad de la Inoformacin, designndole funciones espedficas? SI
Se ha creado un Comit de Seguridad de la Informacin con sus funciones especficas mediante Resolucion Exenta firmada por el Jefe de Servicio.
A.6.1.3
Art. 12 a
Asignacin de las En la resolucin de nombramiento del Encargado de responsabilidades de la Seguridad de la Informacin: se encuentra explicitada seguridad de la informacin la funcin: "Tener a su cargo el desarrollo inicial de las polticas de seguridad al interior de su organizacin y el control de su implementacin, y velar por su correcta aplicacin" ?
SI
Art. 12 b
En la resolucin de nombramiento del Encargado de Seguridad de la Informacin: se encuentra explicitada la funcin: "Coordinar la respuesta a incidentes que afecten a los activos de informacin institucionales" ?
SI
A.6.1.7
Art. 12 Letra Contacto con grupos de c inters especial
En la resolucin de nombramiento del Encargado de Seguridad de la Informacin: se encuentra explicitada la funcin: "Establecer puntos de enlace con encargados de seguridad de otros organismos pblicos y especialistas externos que le permitan estar al tanto de las tendencias, normas y mtodos de seguridad pertinentes "? En la actualidad: existe un procedimiento que especifique cundo y qu autoridades deben ser contactadas (bomberos, carabineros, PDI, proveedor de Internet, etc)?
SI
A.6.1.6 Organizacin de la Seguridad de la Informacin
Contacto con las autoridades
NO
Actualmente el Servicio responde reactivamente a los incidentes de seguridad que se generan en el momento.
Falta establecer un procedimiento formal que especifique cundo y a quines contactar en caso de incidentes de seguridad. Falta establecer un procedimiento formal de autorizacin por parte del Jefe de Servicio para instalar nuevos medios de procesamiento de informacin.
No debe adjuntar documento
Patrick Stockins Encargado de Seguridad Jefe Divisin Administracin y Finanzas
A.6.1.4
Proceso de autorizacin para medios de procesamiento de informacin.
En la actualidad: existe un procedimiento de autorizacin por parte del Jefe de Servicio para instalar nuevos medios de procesamiento de informacin? NO
El Servicio cuenta con un documento no formalizado que da cuenta de pautas para las instalaciones, notebook y las vulnerabilidades asociadas a stos.
A.6.1.5
Acuerdos de confidencialidad
En la actualidad: utiliza el Servicio acuerdos de confidencialidad o no-divulgacin que reflejen las necesidades de proteccin de la informacin institucional?
NO
Falta elaborar y formalizar las En la actualidad el Servicio no especificaciones de los ha definido, y por ende no utiliza requerimientos de requerimientos de confidencialidad o noconfidencialidad o nodivulgacin para la proteccin de divulgacin. la informacin institucional. Actualmente las auditorias o revisiones son de carcter interno y son realizadas por el Departamento de Informtica slo en el mbito de la seguridad de la informacin electrnica, ya que no se cuentan con profesionales con las capacidades tcnicas en otras reas. PMG-SSI
A.6.1.8
Revisin independiente de la seguridad de la informacin
En la actualidad: se revisa a intervalos regulares o cuando ocurren cambios significativos y a travs de auditores externos o independientes, el enfoque e implementacin de seguridad de la informacin en el Servicio?
SI
Debe adjuntar evidencia o Patrick Stockins procedimiento que Poltica General de Encargado de Seguridad especifique la revisin Seguridad de la Informacin Jefe Divisin realizada sobre los niveles de Administracin y Finanzas seguridad
Pg. 19
Organizacin de la Se
SI NO
AMBITO
REQUISITO/ CONTROL
Comentario AYUDA
A.6.2.1
Art. 10 Letra Identificacin de los riesgos En la actualidad: Identifica el Servicio el riesgo para la a relacionados con los grupos informacin y sus medios de procesamiento que surge al externos involucrar a entidades externas en los procesos de negocio?
NO
En la actualidad el Servicio no lleva registro, ni identifica de manera formal los riesgos para la Falta establecer un Protocolo informacin, ni los incidentes en que permita al Servicio los medios de seguridad identificar el riesgo que genera generados por agentes para la informacin y sus medios externos.Sin embargo, se han de procesamiento, el involucrar identificado algunos riesgos y se a entidades externas en sus han tomado medidas correctivas, procesos de negocio. las que no han sido formalizadas ni difundidas en la relacin con los grupos externos.
A.6.2.2
Art. 10 Letra Tratamiento de la seguridad En la actualidad: el Servicio aborda todos los a-b-c cuando se lidia con terceros requerimientos de seguridad antes de entregar acceso a los activos de informacin a sus clientes/usuarios/beneficiarios? NO
En la actualidad el Servicio slo evalua parcial e informalmente los riesgos asociados a los requerimientos de seguridad antes de entregar acceso a los activos de informacion a sus clientes/usuarios/beneficiarios, a travs de la evaluacin de permisos de accesos TI.
Falta establecer un Protocolo que permita al Servicio abordar todos los requerimientos de seguridad antes de entregar acceso a los activos de informacin a sus clientes/usuarios/beneficiarios.
A.6.2.3
Art. 10 Letra Tratamiento de la seguridad En la actualidad: los contratos con terceros que a-b-c en acuerdos con terceros involucren acceso, procesamiento, comunicacin o manejo de la informacin o medios de procesamiento de informacin del Servicio, o los contratos que impliquen agregar productos o servicios a los medios de procesamiento de informacin, abarcan todos los requerimientos de seguridad relevantes?
NO
Falta establecer un Protocolo que permita instruir sobre el Actualmente en el Servicio no se resguardo de los activos de identifican los requerimientos en informacin cuando se realizan el trato de los activos de contratos con terceros, y que informacion al realizar contratos oriente sobre las clusulas con tercero. especficas que deben incoporar dichos contratos de servicio.
0.111111111 A.7.1.1 Art. 13 Inventario de los activos En el servicio, se identifican los activos de informacin y se elabora un inventario de ellos? Falta establecer un Formulario de Clasificacin de Activos de Informacin para los registros, repositorios y personas asociadas al proceso Sistema de Seguimiento y Supervisin de la Inversin, con su correspondiente procedimiento de implementacin y consolidacin para generar el Inventario de Activos de Informacin del Servicio.
NO
En la actualidad los activos de informacin se encuentran identificados slo parcialmente, por lo que no ha sido posible elaborar un inventario de ellos.
Patrick Stockins Jefe Divisin Administracin y Finanzas/ Carlos Ossa Jefe Divisin Anlisis y Control de la Gestin
Se actualiza dicho inventario?
NO
Falta establecer y formalizar la actualizacin peridica del En la actualidad no ha sido Inventario de Activos de posible elaborar un inventario de Informacin lo cual se reflejar activos de informacin, por lo en la actualizacin de la Poltica que no se actualiza. de Clasificacin y Manejo de Activos de Informacin.
Pg. 20 PMG-SSI
SI NO
AMBITO
REQUISITO/ CONTROL
Comentario AYUDA
A.7.1.2
Art. 14
Propiedad de los activos
En el servicio, se ha designado responsabilidad administrativa por los activos de informacin? NO
En la actualidad los activos de informacin se encuentran identificados slo parcialmente, por lo que no ha sido posible designar a sus responsables administrativos.
Falta identificar y designar los responsables administrativos para cada activo de informacin, lo cual se reflejar en el Formulario de Clasificacin de Activos de Informacin.
A.7.2.1
Art 13
Lineamientos de clasificacin
En el servicio, se clasifica la informacin de acuerdo a su valor, requisitos legales, sensibilidad y criticidad, considerando la Ley 20285 (Ley de Transparencia)?
NO
Actualmente el Servicio cuenta con una Poltica de Uso, Clasificacin y Gestin de la Informacin y Bienes TI. La Politica antes mencionada, incorpora la clasificacin de los tipos de activos TI, asi como su valor, sensibilidad y criticidad.
Falta ampliar el alcance de la Politica de Clasificacin y Manejo de Activos de Informacin, incluyendo a todos los activos de informacin y considerando las orientaciones legales establecidas en la Ley de Transparencia N 20.285
A.7.1.3
Art 15
Uso aceptable de los activos
En el servicio, existen normas para el Copiado de los activos de informacin clasificados segn Ley 20.285?
Gestin de Activos
NO
Actualmente el Servicio cuenta con una Poltica de Uso, Clasificacin y Gestin de la Informacin y Bienes TI. La Politica antes sealada, menciona parcialmente el proceso de copiado de los activos TI.
Falta ampliar el alcance de la Politica de Clasificacin y Manejo de Activos de Informacin, incluyendo a todos los activos de informacin e incorporando la formalizacin de las normas para el copiado de los mismos establecidas en la Ley de Transparencia N 20.285
En el servicio, existen normas para el Almacenamiento de los activos de informacin clasificados segn Ley 20.285? NO
Actualmente el Servicio cuenta con una Poltica de Uso, Clasificacin y Gestin de la Informacin y Bienes TI. La Politica antes sealada, no menciona claramente lo relacionado con las normas de almacenamiento, slo hace referencia al caso de los documentos secretos TI. Actualmente el Servicio cuenta con una Poltica de Uso, Clasificacin y Gestin de la Informacin y Bienes TI. La Politica antes sealada, normaliza el uso y transmisin de activos de informacin a travs de correo electrnico.
Falta ampliar el alcance de la Politica de Clasificacin y Manejo de Activos de Informacin, incluyendo a todos los activos de informacin e incorporando la formalizacin de las normas para el almacenamiento de los mismos.
En el servicio, existen normas para Transmisin por correo electrnico de los activos de informacin clasificados segn Ley 20.285? SI
Patrick Stockins Debe adjuntar procedimiento Jefe Divisin de clasificacin o poltica que pol.clasificacion.manejo.info Administracin y Finanzas/ rmacion.pdf Carlos Ossa entregue lineamientos a lo Jefe Divisin Anlisis y solicitado por el requerimiento Control de la Gestin
En el servicio, existen normas para la Destruccin de los activos de informacin clasificados segn Ley 20.285? NO
Actualmente el Servicio cuenta con una Poltica de Uso, Falta ampliar el alcance de la Clasificacin y Gestin de la Politica de Clasificacin y Informacin y Bienes TI. La Manejo de Activos de Politica antes sealada, no Informacin, incluyendo a todos menciona claramente lo los activos de informacin e relacionado con las normas de incorporando la formalizacin de destruccin de activos de las normas para la destruccin informacin, slo hace referencia de los mismos. al caso de los TI.
Pg. 21 PMG-SSI
SI NO
AMBITO
REQUISITO/ CONTROL
Comentario AYUDA
A.7.2.2
Art. 15 Art. 16
Etiquetado y manejo de la informacin
En el servicio, existen procedimientos de etiquetado y manejo de los activos de informacin que consideren dicha clasificacin? Actualmente el Servicio cuenta con una Poltica de Uso, Clasificacin y Gestin de la Informacin y Bienes TI. La Politica antes sealada, slo hace referencia al etiquetado y manejo de la informacin TI. Falta ampliar el alcance de la Politica de Clasificacin y Manejo de Activos de Informacin, incluyendo a todos los activos de informacin e incorporando la formalizacin de los procedimientos de etiquetado y manejo de los mismos. Patrick Stockins Jefe Divisin Administracin y Finanzas/ Carlos Ossa Jefe Divisin Anlisis y Control de la Gestin
NO
0.083333333 A.8.1.1 Roles y responsabilidades En la actualidad: el Servicio cuenta con una definicin de roles de los funcionarios, tanto contrata, planta como personal a honorarios, que especifiquen su responsabilidad en temas de seguridad de la informacin? Falta elaborar y formalizar un documento que defina los roles de los funcionarios (planta y contrata) y del personal a honorario, en donde se especifiquen las responsabilidades en temas de seguridad de la informacin.
NO
Actualmente el Servicio no cuenta con roles definidos para los usuarios en temas de seguridad de la informacin.
Tatiana Len, Jefa Dpto. Gestin de Personas
A.8.1.2
Investigacin de antecedentes
En la etapa de seleccin: Se lleva a cabo la verificacin de antencedentes legales, comportamientos ticos, y otros antecedentes de relevancia segn la clasificacin de la informacin a la cual va a tener acceso, de todos los candidatos a un cargo, sea de planta, contrata o personal a honorarios?
NO
Actualmente se lleva a cabo la verificacin de antecedentes Falta incorporar en el proceso legales solamente a travs de un de seleccin de personal la certificado de antecedentes, solicitud de referencias laborales cdula de Identidad y la y comprobacin del CV de verificacin de antecedentes postulante. acadmicos mediante certificado de ttulo. Existe un documento de declaracin jurada que deben suscribir los nuevos funcionarios planta y contrata, en donde Falta incorporar en la poltica de declaran conocer las seleccin de personal una disposiciones vigentes y la instruccin que indique las politica institucional sobre responsabilidades relativas a la seguridad de la informacin. seguridad de la informacin del Asimismo, para el nuevo Servicio. personal a honorario, se incorpor una clusula en los contratos con la misma indicacin. El Servicio cuenta con una norma de uso de instalacin legal de software. Falta aprobar la norma de uso de instalacin legal de software por parte del Jefe de Servicio.
A.8.1.3
Art. 21
Trminos y condiciones del El Jefe de Servicio: ha impartido la instruccin que empleo indique que las responsabilidades de seguridad aplicables al personal debern ser explicitadas en la etapa de seleccin e incluirse expresamente en los decretos o resoluciones de nombramiento o en las contrataciones respectivas? NO
A.8.2.1
Art. 20 Letra Responsabilidades de la a direccin
El Jefe de Servicio: ha impartido instrucciones sobre el uso de sistemas informticos, con nfasis en prohibicin de instalacin de software no autorizado, documentos y archivos guardados en el computador? El Jefe de Servicio: ha impartido instrucciones sobre el uso de la red interna, uso de Internet, uso del correo electrnico, acceso a servicios pblicos, recursos compartidos, servicios de mensajera y comunicacin remota?
NO
Jos Ignacio Gutirrez, Jefe Departamento de Informtica
Art. 20 Letra b
NO
Existe una Poltica de Falta especificar en la Poltica Informtica, la cual hace de Informtica las instrucciones mencin al uso de correo referidas a acceso a servicios electrnico, uso de internet, red pblicos, recursos compartidos y interna y servicios de comunicacin remota. mensajera.
Pg. 22 PMG-SSI humanos
SI NO
AMBITO
REQUISITO/ CONTROL
Comentario AYUDA
Art. 20 Letra c
El Jefe de Servicio: ha impartido instrucciones sobre la generacin, transmisin, recepcin, procesamiento y almacenamiento de activos de informacin? NO
Existe una Poltica de uso Clasificacin y gestin de la informacin y bienes TI, la cual hace mencin al almacenamiento y el procesamiento de los TI
Falta ampliar el alcance de la Politica, incluyendo a todos los activos de informacin e incorporando la formalizacin de las instrucciones sobre la generacin, transmisin y recepcin de los mismos. Falta elaborar un procedimiento para que los incidentes de seguridad que ocurren queden registrados y se gestionen segun criterios preestablecidos.
Seguridad de recursos humanos
Art. 20 Letra d
El Jefe de Servicio: ha impartido procedimientos para reportar incidentes de seguridad? NO
La institucin no cuenta con un procedimiento para reportar incidentes de seguridad.
A.8.2.2
Conocimiento, educacin y En la actualidad: el Servicio entrega la formacin capacitacin en seguridad adecuada o capacitacin relevante para su funcin de la informacin laboral que incluya requisitos de seguridad a todos los funcionarios de planta, contrata y personal a honorarios? NO
Falta incorporar dentro del diagnstico de necesidades de En la actualidad no se han capacitacin levantadas realizado capacitaciones anualmente en el Servicio, un referidas a la temtica, ni item relacionado con los tampoco fue incorporada como requisitos de seguridad lineamiento en la planificacin de atingentes a las funciones capacitacin vigente. desempeadas, con el objeto de Dado lo anterior, los funcionarios que el Plan Anual de no tienen una formacin relativa Capacitacin incorpore a seguridad de la informacin formacin, en esta rea, para los funcionarios. En la actualidad se aplican los procedimientos disciplinarios estipulados en las normas estatutarias a los funcionarios, que no incluye al personal a Falta un procedimiento que honorarios, para los cuales se oriente respecto a los procesos incorpora una clusula de disciplinarios a seguir en el caso conocimiento y de cumplimiento en que los funcionarios y/o sobre la Poltica General de personal a honorario, hayan Seguridad de la Informacin. Sin cometido una violacin a la embargo, no hay ninguna seguridad de la informacin. formalizacin interna que de cuenta del proceso a seguir en caso de violacin a la seguridad de la informacin. En la actualidad se aplican los procedimientos disciplinarios estipulados en las normas estatutarias a los funcionarios, que no incluye al personal a honorarios, para los cuales se incorpora una clusula de conocimiento y de cumplimiento sobre la Poltica General de Seguridad de la Informacin En la actualidad solo se solicita la devolucin de activos de la Institucin mediante palabra y/o correo electrnico, slo los equipos porttiles cuentan con un proceso includo en la Poltica de uso de equipos porttiles
A.8.2.3
Proceso disciplinario
En la actualidad: existe un proceso disciplinario para los funcionarios de planta, contrata y personal a honorarios que han cometido una violacin a la seguridad de la informacin?
NO
A.8.3.1
Responsabilidades de termino
En la actualidad: las responsabilidades y deberes vlidos, an luego de la desvinculacin o cambios en las funciones, se encuentran contenidas dentro de los contratos de honorarios o resoluciones de nombramiento de funcionarios a contrata y planta? NO
Falta incorporar dentro de los contratos de honorarios y declaracin jurada de los funcionarios las responsabilidades y deberes vlidos, an luego de la desvinculacin o cambios en sus funciones.
A.8.3.2
Devolucin de los activos
En la actualidad: existe un procedimiento para que todos los funcionarios de planta y contrata y personal a honorarios, devuelvan todos los activos de la institucin que tengan en su posesin al trmino de sus funciones o de su contrato?
NO
Falta incorporar dentro de los contratos de honorarios y declaracin jurada de los funcionarios las responsabilidades y deberes vlidos, an luego de la desvinculacin o cambios en sus funciones.
Pg. 23 PMG-SSI
SI NO
AMBITO
REQUISITO/ CONTROL
Comentario AYUDA
A.8.3.3
Retiro de los derechos de acceso
En la actualidad: existe un procedimiento para eliminar los derechos de acceso a los medios de procesamiento de la informacin del Servicio de todos los funcionarios de planta y contrata y personal a honorarios, al trmino de sus funciones o de su contrato, o para ajustarlos segn el cambio de funciones?
SI
En la poltica de seguridad informtica se ha incorporado un procedimiento mediante el cual el Depto. De Recursos Humanos informa al Depto. De Informtica de las cesaciones de personal para, de esta forma, retirar los derechos de acceso correspondientes.
Debe adjuntar poltica o procedimiento que entregue los lineamientos del requerimiento.
proc.mant.usuarios.pdf
0.05 A.9.1.1 Art. 17 Permetro de seguridad fsica En el servicio, se utilizan permetros de seguridad (paredes, rejas controladas por tarjetas o recepcionistas, u otros similares) para proteger las reas que contienen informacin y sus medios de procesamiento? NO Actualmente los accesos a las instalaciones donde se ubican activos de informacion relacionados con el proceso Falta definir las directrices sobre principal escogido para el el permetro de seguridad Servicio estan desprovisto de necesario para proteger las proteccion. Slo existe reas que contienen informacion recepcionistas en la entrada y medios de procesamiento principal, pero una vez dentro se puede acceder a cualquier parte del edificio Actualmente se lleva un registro de entradas y salidas de Falta establecer un personas externas, adems de procedimiento formal que entregrseles una identificacin entregue instrucciones respecto especial al momento del ingreso a la definicin de reas seguras a las dependencias del Servicio. y al acceso slo de personal Sin embargo, no se han definido autorizado las reas seguras. Actualmente en el Servicio no se Falta elaborar e impartir han impartido instrucciones para instrucciones para diseo y diseo y aplicacin de seguridad aplicacin de seguridad fisica a fisica a las oficinas, habitaciones las oficinas, habitaciones o o medios. medios. Actualmente el Plan de Emergencias contempla la actuacin frente a casos de incendio. Sin embargo, el Servicio no cuenta con proteccin contra daos causados por fuego.
Omar Ortiz, Encargado U. de Prevencin de Riesgos; Jos IgnacionGutirrez, Jefe Dpto. Informtica
A.9.1.2
Art. 17
Controles de ingreso fsico
En el servicio se han impartido instrucciones para que slo acceda personal autorizado a las reas seguras?
NO
Omar Ortiz, Encargado U. Prevencin de Riesgos
A.9.1.3
Art. 19 Letra Asegurar las oficinas, a-b habitaciones y medios
La autoridad ha impartido instrucciones de diseo y aplicacin de seguridad fsica a las oficinas, habitaciones y medios?
NO
A.9.1.4
Art. 17
Proteccin contra amenazas externas e internas
El servicio cuenta con proteccin contra daos causados por fuego? NO
Falta elaborar e impartir instrucciones para la proteccin contra daos causados por fuego.
Art. 17
El servicio cuenta con proteccin contra daos causados por inundacin? NO
Falta elaborar e impartir Actualmente no existen instrucciones para la proteccin protocolos de proteccion contra contra daos causados por daos causados por inundacin inundacin. Actualmente el Plan de Emergencias contempla la actuacin frente a casos de terremoto. Sin embargo, el Servicio no cuenta con proteccin contra daos causados por terremoto.
El servicio cuenta con proteccin contra daos causados por terremoto? NO
Falta elaborar e impartir instrucciones para la proteccin contra daos causados por terremoto.
Pg. 24 PMG-SSI
A.9.1.4
Proteccin contra amenazas externas e internas
SI NO
AMBITO
REQUISITO/ CONTROL
Comentario AYUDA
El servicio cuenta con proteccin contra daos causados por explosin? NO
Actualmente el Plan de Emergencias contempla la actuacin frente a casos de explosin. Sin embargo, el Servicio no cuenta con proteccin contra daos causados por explosin. Actualmente el Plan de Emergencias contempla la actuacin frente a casos de revuelta civil. Sin embargo, el Servicio no cuenta con proteccin contra daos causados por revuelta civil.
Falta elaborar e impartir instrucciones para la proteccin contra daos causados por explosin.
El servicio cuenta con proteccin contra daos causados por revuelta civil? NO
Falta elaborar e impartir instrucciones para la proteccin contra daos causados por revuelta civil.
Art. 17
El servicio cuenta con proteccin contra otras formas de desastres naturales o por causa humana? NO
El Servicio ha considerado otras Falta elaborar e impartir formas por causa humana, como instrucciones para la proteccin por ejemplo derrame de liquidos contra otras formas de en los activos de informacin, desastres naturales o por causa asalto al interior del Servicio, humana. entre otros. El Servicio cuenta con una poltica de acceso fsico, sin embargo, esta an no ha sido implementada en el proceso seleccionado, por lo tanto, aun no se designan las areas de trabajo seguro
A.9.1.5
Art. 17
Trabajo en reas aseguradas
La autoridad ha impartido lineamientos para trabajar en reas seguras? NO
Seguridad Fsica y Ambiental
Falta implementar la politica de acceso fsico, de manera de establecer las areas de trabajo seguras y los lineamientos para trabajar en ellas.
Rodrigo Cathalifaud, Jefe Dpto. Servicios Generales
A.9.1.6
Art. 17
reas de acceso pblico, entrega y carga
La autoridad ha impartido instrucciones respecto al control de las reas de acceso pblico, entrega y carga? NO
Falta generar instrucciones Actualmente el Servicio no sobre accesos de seguridad y cuenta con definiciones respecto control en areas de acceso al acceso a reas de acceso publico en donde se encuentran publico, entrega y carga. los activos de informacion del proceso escogido
Rodrigo Cathalifaud, Jefe Dpto. Servicios Generales
A.9.2.1
Art. 17
Ubicacin y proteccin del equipo
En el servicio, el equipamiento est ubicado o protegido de forma que se reduzcan las amenazas y peligros ambientales y acceso no autorizado? NO
Actualmente el equipamiento del proceso escogido se encuentra desprotegido de posibles peligros ambientales.
Falta generar instrucciones orientadas a la proteccin del equipamiento, a fin de reducir las amenazas y peligros ambientales y accesos no autorizados.
Art. 18 letra a
La autoridad ha impartido instrucciones relativas al consumo de alimentos, bebidas y tabaco en las cercanas de los medios de procesan y soportan informacin?
NO
Actualmente en el Servivio no se han impartido instrucciones sobre el manejo de los aspectos del ambiente externo, las Falta generar una Politica de practicas de trabajo individuales Escritorio Limpio que norme el y las precauciones necesarias consumo de alimentos, bebidas en el entorno de trabajo de los tabaco en las cercanas de los activos de informacion, por lo medios que procesan o soportan que el cuidado de los medios de informacin. procesamiento y soporte de informacion, esta a cargo de cada funcionario.
Pg. 25 PMG-SSI
SI NO
AMBITO
REQUISITO/ CONTROL
Comentario AYUDA
art 18 letra c
En el servicio, la autoridad promueve prcticas de escritorio limpio? NO
Actualmente el cuidado de los escritorios de trabajo y sus respectivos activos de informacion son por parte de cada funcionario
Falta generar una Politica de Escritorio Limpio que estandarice y norme esta prctica.
A.9.2.2
Art. 17
Servicios pblicos de soporte
El el servicio, el equipamiento est protegido de fallas de energa y otras interrupciones causadas por fallas en los servicios bsicos de soporte?
NO
Falta generar un instructivo Actualmente se protegen los orientado a la proteccion de los datos centralizados a nivel de equipamientos de trabajo en servidores de fallas de energa, materia elctrica y de otros no as de otros servicios bsicos. servicios bsicos. Actualmente la proteccion del cableado energetico y de datos existe, est a cargo del Departamento de Servicios generales y del Departamento de Informtica respectivamente. Sin embargo, no se han impartido formalmente instrucciones al respecto. En la actualidad el Servicio cuenta con un procedimiento para la mantencion del equipamiento, el que se encuentra incorporado en la poltica de seguridad informtica En la actualidad el Servicio cuenta con una politica especfica para el uso de equipamiento movil (Norma de Falta formalizar la Norma de uso uso de equipos porttiles), que equipos porttiles por parte del incorpora instrucciones para que Jefe de Servicio. se aplique seguridad al equipamiento fuera de las dependencias de la institucin Actualmente existe la prctica no Falta de procedimiento formalizada de formatear y/o documentado referente a la desechar los discos duros de los eliminacin o re-uso de equipos equipos dados de baja Actualmente existe la prctica para retiro de equipamiento, informacin o software que no est documentada Falta generar un documento para controlar el retiro de equipamiento, informacin o software por parte de los funcionarios
A.9.2.3
Art. 10 Letra Seguridad del cableado a
En el servicio, la autoridad ha impartido instrucciones para proteger contra intercepcin o dao el cableado usado para energa y las telecomunicaciones para transmisin de datos o que soportan los servicios de informacin?
NO
Falta un procedimiento de revisin periodica de los cableados, asi mismo como un control de los mismos.
Jos Gutierrez Jefe Dpto. Informtica; Rodrigo Cathalifaud, Jefe Dpto. Servicios Generales
A.9.2.4
Mantenimiento de equipo
En el servicio se han impartido instrucciones para segurar que se haga mantenimiento del equipamiento? SI
proc.mant.prev.pddf
A.9.2.5
Seguridad del equipo fuera de las localidades
La autoridad ha impartido instrucciones para que se aplique seguridad al equipamiento fuera de las dependencias de la institucin? NO
A.9.2.6
Art. 26 Letra Seguridad de la eliminacin En el servicio, se ha establecido que se debe chequear e o re-uso del equipo el equipamiento que contiene informacin para segurarse que se haya retirado o sobre-escrito cualquier dato confidencial o licencia antes de su eliminacin? Retiro de propiedad En el servicio se ha previsto que haya una autorizacin antes del retiro de equipamiento, informacin o software?
NO
A.9.2.7
NO
0.348837209 A.10.1.1 Art. 7 Letra b- Procedimientos de c operacin documentados Los procedimientos de operacin, estn documentados, al da y puestos a disposicin de todos los usuarios que los necesiten? SI Los procedimientos de operacin se han consolidado en la Poltica de Seguridad Informtica, la cual ha sido publicada en la Intranet para uso de todo el personal.
pol.seg.infor.pdf
Jos Gutirrez Jefe Departamento Informtica
Pg. 26 PMG-SSI
SI NO
AMBITO
REQUISITO/ CONTROL
Comentario AYUDA
A.10.1.2
Gestin del cambio
Se controlan los cambios en los medios y sistemas de procesamiento de la informacin?
SI
En el Servicio se controlan los cambios en los sistemas e instalaciones de procesamiento de la informacin y los procedimientos asociados a esta gestin se han incorporado en la Poltica de Seguridad Informtica
pol.seg.infor.pdf
A.10.1.3
Art. 7 Letra f Segregacin de los deberes Los deberes y reas de responsabilidad, son segregados de manera de reducir las oportunidades de una modificacin no-autorizada o mal uso no-intencional o mal uso de los activos de la institucin?
NO
En el Servicio no se han segregado las areas de responsabilidad ni las tareas en relacin a los activos de informacin.
Falta establecer los procedimientos e instrucciones de los activos de informacin en los mbitos de la segregacin de tareas y responsabilidades.
A.10.1.4
Separacin de los medios de desarrollo, prueba y operacin
Los medios de desarrollo, prueba y operacin, estn separados de manera de reducir los riesgos de acceso no-autorizado o cambios en el sistema operacional?
SI
Se ha creado un procedimiento en la politica de seguridad informtica que controla el desarrollo, prueba y operacin de los sistemas a modo de evitar accesos no autorizados y el cambio de fuentes en el desarrollo de sistemas en operacin.
Debe adjuntar poltica o procedimiento que entregue los lineamientos del requerimiento, y/o pantallazo de sistemas con perfilamiento de usuario, diagrama de arquitectura
pol.seg.infor.pdf
A.10.2.1
Entrega del servicio
Se aseguran que los controles de seguridad, definiciones del servicio y niveles de entrega incluidos en el acuerdo de entrega del servicio de terceros se implementen, operen y mantengan?
SI
El Servicio cuenta con una Politica de Subcontrataciones (outsourcing), la cual define los controles de seguridad, definiciones de servicio y niveles de entrega. El Servicio cuenta con una Politica de Subcontrataciones (outsourcing), la cual define los controles de seguridad, definiciones de servicio y niveles de entrega. El Servicio cuenta con una Politica de Subcontrataciones (outsourcing), la cual define los controles de seguridad, definiciones de servicio y niveles de entrega. Se establecen los resguardos y Falta formalizar un actualizaciones de polticas en procedimiento que involucre el relacin a la gestin de cambios manejo de cambios tomando en en los servicios de terceros , cuenta los grados criticos de los gestin que no tiene un sistemas y la re-evaluacion de procedimiento formalizado. riesgos. Actualmente no se monitorea ni planifica la disponibilidad de capacidad y ni de recursos adecuados para el desempeo requerido del sistema. Falta establecer un procedimiento formal y estndar que permita la planificacin, manejo y desempeo de los sistemas.
Debe adjuntar Acuerdo de niveles de servicio con terceros (contrato, procedimientos, polticas, etc.) Debe adjuntar Acuerdo de niveles de servicio con terceros (contrato, procedimientos, polticas, etc.)
outsourcing.pdf
A.10.2.2
Monitoreo y revisin de los servicios de terceros
Los servicios, reportes y registros provistos por terceros, son monitoreados y revisados regularmente? y SI
outsourcing.pdf
Se llevan a cabo auditoras regularmente? Debe adjuntar Reporte de auditoras a los servicios provistos por terceros Jos Gutirrez Jefe Departamento Informtica
SI
outsourcing.pdf
A.10.2.3
Manejo de cambios en los servicios de terceros
Se manejan los cambios en la provisin de servicios, incluyendo el mantenimiento y mejoramiento de las polticas, procedimientos y controles de seguridad de la informacin existentes, teniendo en cuenta el grado crtico de los sistemas y procesos del negocio involucrados y la re-evaluacin de los riesgos? Se monitorea y afina el uso de los recursos? y
NO
A.10.3.1
Gestin de la capacidad
NO
Pg. 27 PMG-SSI
SI NO
AMBITO
REQUISITO/ CONTROL
Comentario AYUDA
Se realizan proyecciones de los requerimientos de capacidad futura para asegurar el desempeo requerido del sistema?
NO
Actualmente no se monitorea ni planifica la disponibilidad de capacidad y ni de recursos adecuados para el desempeo requerido del sistema.
Falta establecer un procedimiento formal y estndar que permita la planificacin, manejo y desempeo de los sistemas.
A.10.3.2
Aceptacin del sistema
Se establece el criterio de aceptacin de los sistemas de informacin nuevos, actualizaciones o versiones nuevas? y
NO
Actualmente el Servicio slo implementa el criterio de aceptacin a las actualizaciones en los sistemas nuevos, procedimiento que no est formalizado.
Falta establecer un procedimiento formal que gestione el criterio de aceptacin a los sistemas de informacin nuevos, actualizaciones y nuevas versiones en sistemas operacionales.
Se realizan pruebas adecuadas del sistema(s) durante el desarrollo y antes de su aceptacin? SI
Existe un procedimiento definido en la Poltica de Seguridad Informtica que da cuenta de las pruebas en los sistemas. Actualmente el Servicio tiene configurado los antivirus de manera automtica para el escaneo y limpieza de correos electronicos en todos los PC y cuenta con la Poltica de Antivirus.
Debe adjuntar Procedimientos de operacin para el control de cambios en arquitectura tecnolgica, formalizados
proc.mesa.ayuda.pdf
A.10.4.1
Art. 22 Letra Controles contra cdigos c maliciosos Art. 26
Existen controles de deteccin, prevencin y recuperacin para proteger contra cdigos maliciosos? y SI
Debe adjuntar Pantallazo de sistemas de prevencin de cdigos maliciosos (antivirus, antispyware, etc.)
antivirus.pdf
Se implementan procedimientos para el apropiado conocimiento del usuario?
SI
En la actualidad el Servicio cuenta con una Politica de Normas Navegacin en Internet que est incorporada en la Politica General de Seguridad.
Debe adjuntar Procedimientos, y/o evidencia capacitaciones realizadas al usuario
norma.nav.internet.pdf
A.10.4.2
Art. 22 Letra Controles contra cdigos c mviles Art. 26 Letra a
Donde se autorice el uso del cdigo mvil, la configuracin asegura que el cdigo mvil autorizado opera de acuerdo con una poltica de seguridad claramente definida? y
SI
Actualmente el Servicio cuenta con una Politica de Normas Navegacion en Internet que est incorporada en la Politica General de Seguridad.
Se evita la ejecucin del cdigo mvil no-autorizado?
SI
Actualmente el Servicio cuenta con una Politica de Normas Navegacion en Internet que est incorporada en la Politica General de Seguridad.
A.10.5.1
Art. 24 Respaldo de informacin Letra a-b-c-de-f-g
Se realizan copias de respaldo de la informacin y software? y SI
En la Politica de Seguridad Informtica se refleja un procedimiento de respaldo de informacin tanto de usuarios como de servidores. Actualmente no se realizan pruebas de los respaldos slo estn almacenados. Falta incorporar en la Poltica de Seguridad Informtica el procedimiento de pruebas peridicas para los respaldos almacenados.
Debe adjuntar poltica o procedimiento y/o pantallazo del control implementado, que entregue los lineamientos del requerimiento.
proc.respaldos.pdf
unicaciones y operaciones
Se prueban regularmente en concordancia con la poltica de copias de respaldo acordada? NO
Jos Gutirrez Jefe Departamento Informtica Pg. 28
PMG-SSI
SI NO
SI: CONTROL ISO Gestin de las comunicaciones y operaciones DOMINIO REF. DS-83 (MATRIZ ANTIGUA)
AMBITO
REQUISITO/ CONTROL
Comentario AYUDA
A.10.6.1
Controles de redes
Las redes, son adecuadamente manejadas y controladas para poder proteger la informacin y mantener la seguridad de los sistemas y aplicaciones, incluyendo la informacin en trnsito? En todo contrato de redes, se identifican e incluyen las caractersticas de seguridad?,
NO
Falta operativizar la Actualmente se encuentra en infraestructura con todos los implementacin el desarrollo de tipos de usuarios y privilegios de una infraestructura mediante proteccin de informacin en los active directory y GPO. sistemas. No existen caracteristicas de seguridad para los contratos de redes que tiene el Servicio. Falta incorporar clusulas en los contratos de redes que sealen las caracteristicas de seguridad que se requieren.
A.10.6.2
Seguridad de los servicios de la red
NO
los niveles de servicio? y NO No existen caracteristicas que Falta incorporar clusulas en los aborden los niveles de servicios contratos de redes que sealen requeridos en los contratos de los niveles de servicios redes que tiene el Servicio. requeridos. No debe adjuntar documento Jos Gutirrez Jefe Departamento Informtica
los requerimientos de gestin de todos los servicios de red, ya sea que estos servicios sean provistos interna o externamente?
NO
No existen caracteristicas que aborden los niveles de gestin requeridos en los contratos de redes que tiene el Servicio. No existen controles para procedimientos de medios removibles. Existe una Politica de Clasificacion y Manejo de Informacion TI, la que permite normalizar la clasificacion y etiquetado. Existe una Politica de Clasificacion y Manejo de Informacion TI, la que permite normalizar la clasificacion y etiquetado.
Falta incorporar clusulas en los contratos de redes que sealen los niveles de gestin requeridos. Falta procedimiento que Controle el Uso, Borrado y Almacenamiento de Medios Removibles.
A.10.7.1
Art. 24 Letra Gestin de medios e removibles
Existen procedimientos para la gestin de los medios removibles?
NO
Jos Gutirrez Jefe Departamento Informtica Jos Gutirrez Jefe Departamento Informtica
A.10.7.2
Art. 15 Letra b
Procedimientos para el manejo de informacin
Se establecen los procedimientos para el manejo y almacenaje de informacin para proteger esta informacin de una divulgacin no-autorizada o mal uso?
SI
pol.clasificacion.manejo.info rmacion.pdf
A.10.7.3
Art. 15 Letra b
Seguridad de la Se protege la documentacin del sistema de accesos documentacin del sistema no-autorizados? SI
Debe adjuntar poltica o procedimiento que entregue los lineamientos del pol.clasificacion.manejo.info requerimiento y/o diagrama de rmacion.pdf arquitectura, pantallazo con perfilamiento de usuarios en vigencia en el servicio Falta establecer un procedimiento que norme el intercambio de informacin a travs de una Poltica de Seguridad para Manejo e Intercambio de Informacin con Terceros. Falta establecer un procedimiento que norme el intercambio de informacin y software a travs de una Poltica de Seguridad para Manejo e Intercambio de Informacin con Terceros. Falta establecer un procedimiento que norme el intercambio de informacin a travs de medios fsicos con una Poltica de Seguridad para Manejo e Intercambio de Informacin con Terceros.
A.10.8.1
Art. 9 Polticas y procedimientos Art. 10 Letra de intercambio de a informacin
Se establecen polticas, procedimientos y controles de intercambio formales para proteger el intercambio de informacin a travs del uso de todos los tipos de medios de comunicacin?
NO
En el Servicio no se realizan intercambios de informacin.
A.10.8.2
Art. 10 Letra Acuerdos de intercambio a
Se establecen acuerdos para el intercambio de informacin y software entre la institucin y entidades externas? NO
En el Servicio no se realizan intercambios de informacin y software con externos.
A.10.8.3
Medios fsicos en trnsito
Los medios que contienen informacin, son protegidos contra accesos no-autorizados, mal uso o corrupcin durante el transporte ms all de los lmites fsicos de una institucin?
NO
En el Servicio no se realizan intercambios de informacin con externos.
Pg. 29 PMG-SSI
SI NO
AMBITO
REQUISITO/ CONTROL
Comentario AYUDA
A.10.8.4
Art. 25 Mensajes electrnicos Letra a-b-c-de-f-g-h-i Art. 26 Letra a-c-d Art. 7 Letra a- Sistemas de informacin b-c negocio Art. 9
Se protege adecuadamente la informacin involucrada en mensajes electrnicos? NO
En el Servicio existen los resguardos necesarios para los mensajes electrnicos pero no se han formalizado procedimientos ni normas legales que lo sustenten. No existen en el Servicio procedimientos formalizados de proteccin de informacin asociada a la interconexin.
Falta establecer procedimiento formal que resguarde la informacin contenida en la mensajera electrnica. Falta formalizar procedimiento de proteccin de informacin asociada a la interconexin de sistemas de informacin de negocio.
A.10.8.5
Se desarrollan e implementan polticas y procedimientos para proteger la informacin asociada con la interconexin de los sistemas de informacin de negocio? La informacin involucrada en el comercio electrnico que pasa a travs de redes pblicas, se protege de la actividad fraudulenta, disputas de contratos, divulgacin no-autorizada y modificacin? Se protege la informacin involucrada en las transacciones en-lnea para evitar una transmisin incompleta, routing equivocado, alteracin no-autorizada del mensaje, divulgacin no-autorizada, duplicacin o repeticin no-autorizada del mensaje? Se protege la integridad de la informacin puesta a disposicin en un sistema pblicamente disponible para evitar una modificacin no-autorizada?
NO
A.10.9.1
Comercio electrnico
NO
El Servicio no gestiona comercio electrnico.
No aplica a esta Institucin
A.10.9.2
Transacciones en-lnea
NO
Actualmente el Servicio realiza transacciones en linea sin seguridad propia.
Falta una Poltica de Uso de Transacciones En Lnea que proteja la informacin involucrada.
A.10.9.3
Art. 26 Letra Informacin pblicamente b disponible
NO
A.10.10.1
Art. 23
Registro de auditora
Se producen y mantienen registros de auditora de las actividades, excepciones y eventos de seguridad de la informacin durante un perodo acordado para ayudar en investigaciones futuras?
NO
Actualmente el Servicio resguarda la integridad de la Falta establecer una poltica de informacin de los sistemas pero resguardo e integridad de la no est formalizado el informacin de acceso pblico. procedimiento. Falta un procedimiento que formalice la gestin, Existen registros de auditorias almacenamiento y registro de pero no para todos los eventos. auditorias de actividades, excepciones y eventos de seguridad. Falta un procedimiento que formalice la gestin, almacenamiento y registro de auditorias de actividades, excepciones y eventos de seguridad. Falta un procedimiento que formalice la gestin, almacenamiento y registro de auditorias de actividades, excepciones y eventos de seguridad. Falta un procedimiento que formalice la gestin, almacenamiento y registro de auditorias de actividades, excepciones y eventos de seguridad. Falta un procedimiento que formalice la gestin, almacenamiento y registro de auditorias de actividades, excepciones y eventos de seguridad.
Se monitorea el control de acceso? NO Existen registros de auditorias pero no para todos los eventos.
A.10.10.2
Art. 7 Letra d
Uso del sistema de monitoreo
Se establecen procedimientos para el monitoreo del uso de los medios de procesamiento de la informacin? NO
Existe el registro almacenado para eventos de accesos autorizados/no autorizados en el sistema pero no se realizan auditorias al respecto. Existe el registro almacenado para eventos de accesos autorizados/no autorizados en el sistema pero no se realizan auditorias al respecto. Existe proteccin de adulteracin y acceso a los registros de eventos pero no se definen perodos de almacenamiento ni auditoras de esta informacin.
Se revisan regularmente los resultados de las actividades de monitoreo? NO
A.10.10.3
Art. 23
Proteccin del registro de informacin
Se protegen los medios de registro y la informacin del registro para evitar la alteracin y el acceso no autorizado?
NO
Pg. 30 PMG-SSI
SI NO
AMBITO
REQUISITO/ CONTROL
Comentario AYUDA
A.10.10.4
Registros del administrador Se registran las actividades del administrador del y operador sistema? y NO
Existe el registro almacenado para eventos de actividades del administrador del sistema pero no se realizan auditorias al respecto Existe el registro almacenado para eventos de actividades del administrador del sistema pero no se realizan auditorias al respecto
Falta un procedimiento que formalice la gestin, almacenamiento y registro de auditorias de actividades, excepciones y eventos de seguridad. Falta un procedimiento que formalice la gestin, almacenamiento y registro de auditorias de actividades, excepciones y eventos de seguridad.
Del operador del sistema? NO
A.10.10.5
Registro de fallas
Se registran y analizan las fallas?, y NO Existe un registro de fallas pero slo se gestionan las que ms afectan. Existe un registro de fallas pero slo se gestionan las que ms afectan. Existe para todos los sistemas Institucionales dentro del dominio de seguridad el servicio de sincronizacin de hora. Falta un procedimiento de gestin de fallas. No debe adjuntar documento Jos Gutirrez Jefe Departamento Informtica Jos Gutirrez Jefe Departamento Informtica Jos Gutirrez Jefe Departamento Informtica
Se toman las acciones necesarias? NO A.10.10.6 Sincronizacin de relojes Los relojes de todos los sistemas de procesamiento de informacin relevantes dentro de una organizacin o dominio de seguridad, Se sincronizan con una fuente que proporcione la hora exacta acordada?
Falta un procedimiento de gestin de fallas.
No debe adjuntar documento Debe adjuntar poltica o procedimiento que entregue los lineamientos del requerimiento, y/o pantallazo del control implementado.
SI
GPO.hora.pdf
0.357142857 A.11.1.1 Art. 28 Poltica de control del Letra a-b-c-d- acceso e-f-g-h-i-j Se establece, documenta y revisa la poltica de control de acceso en base a los requerimientos de negocio y de seguridad para el acceso? Falta actualizar y ampliar el El Servicio cuenta con una alcance de la Norma de Uso de Norma de Uso de Identificacin y Identificacin y Autentificacin, Autentificacin. Sin embargo, la haciendola extensible para todos Norma no precisa los controles los activos de informacin y en relacin a la seguridad de precisando los controles en negocios individuales, la relacin a la seguridad de legislacin pertinente y negocios individuales, la separacin de los roles de legislacin pertinente y control de acceso. separacin de los roles de control de acceso.
NO
A.11.2.1
Art. 27 Art. 28 Art. 29
Registro del usuario
Existe un procedimiento formal para el registro y desregistro del usuario para otorgar y revocar el acceso a todos los sistemas y servicios de informacin? NO
El Servicio cuenta con una Manual de Procedimientos "Creacin, Mantencin y Eliminacin de Cuentas de Usuarios y Cuentas de Correo Interna y Externa". Sin embargo este Manual no abarca todos los activos de informacin slo los referidos a la plataforma TI
Falta ampliar el alcance del Manual de Procedimientos "Creacin, Mantencin y Eliminacin de Cuentas de Usuarios y Cuentas de Correo Interna y Externa", incoporando el tratamiento de los distintos activos de informacin.
A.11.2.2
Art. 30
Gestin de privilegios
Se restringe y controla la asignacin y uso de privilegios?
NO
Falta actualizar y ampliar el El Servicio cuenta con una alcance de la Norma de Uso de Norma de Uso de Identificacin y Identificacin y Autentificacin, Autentificacin. Sin embargo, la haciendola extensible para todos Norma no precisa privilegios y/o los activos de informacin y asignaciones para todos los precisando las restricciones, uso activos de informacin, slo para de privilegios y control de TI. asignaciones.
Pg. 31 PMG-SSI
SI NO
AMBITO
REQUISITO/ CONTROL
Comentario AYUDA
A.11.2.3
Art. 32
Gestin de las contraseas La asignacin de contraseas, Se controla a travs de de los usuarios un proceso de gestin formal?
NO
Falta actualizar y ampliar el El Servicio cuenta con una alcance de la Norma de Uso de Norma de Uso de Identificacin y Identificacin y Autentificacin, Autentificacin. Sin embargo, la haciendola extensible para todos Norma no precisa la forma de los activos de informacin y utilizacin de contraseas para precisando la forma de todos los activos de informacin, asignacion y utilizacin de slo para TI. contraseas. En la actualidad el Encargado de Seguridad cuenta entre sus funciones, la de asegurar que los activos de informacin reciban un nivel de proteccin adecuado.
A.11.2.4
Revisin de los derechos de acceso del usuario
El encargado de seguridad, revisa los derechos de acceso de los usuarios aintervalos regulares utilizando un proceso formal?
SI
Resolucin Exenta N 1773 de 26.09.11
A.11.3.1
Art. 27
Uso de Contraseas
Se requiere a los usuarios que sigan buenas prcticas de seguridad en la seleccin y uso de contraseas?
NO
El Servicio cuenta con una Norma de Uso de Identificacin y Autentificacin. Sin embargo, la Norma no establece buenas prcticas para seleccin y uso de contraseas para todos los activos de informacin, slo para TI.
Falta actualizar y ampliar el alcance de la Norma de Uso de Identificacin y Autentificacin, haciendola extensible para todos los activos de informacin e incorporando buenas prcticas de seguridad para la selecciny uso de contraseas. Se requiere asegurar la integridad y seguridad de la informacin de cada usuario y equipo asignado.
A.11.3.2
Art. 31 Letra a-b
Equipo del usuario desatendido
Los usuarios, asegurar que el equipo desatendido tenga la proteccin apropiada?
NO
El Servicio cuenta con una norma de identificacion y autenticacion.
A.11.3.3
Art. 18 Letra Poltica de escritorio y c pantalla limpios Art. 31
Se adopta una poltica de escritorio limpio para papeles y medios de almacenaje removibles? y NO
Actualmente en el Servicio los Falta generar una Politica de funcionarios definen la Escritorio Limpio para papeles y proteccion de sus medios y la medios de almacenaje proteccion de informacion sobre removibles. su escritorio. Actualmente en el Servicio los funcionarios definen la proteccion de la informacion en su pantalla. Falta generar una Politica de Escritorio Limpio para los medios de procesamiento de la informacin.
Existe una poltica de pantalla limpia para los medios de procesamiento de la informacin? NO
A.11.4.1
Art. 23
Poltica sobre el uso de los servicios de la red
Los usuarios, slo tienen acceso a los servicios para los cuales hayan sido especficamente autorizados? NO
Falta generar un procedimiento En la Actualidad los usuarios de que establezca las los sistemas informaticos no autorizaciones, control y gestin tiene roles definidos. sobre el uso de los servicios de red. Falta elaborar un procedimiento Actualmente en el Servicio no se de Acceso Remoto que cuenta con un procedimiento de establezca las autentificaciones, acceso remoto. controles y tipos de conexiones remotas permitidas. Actualmente el Servicio no Falta generar un procedimiento cuenta con un procedimiento de que establezca la autentificacin autentificacin apropiado para de los equipos en red. los equipos en red. Actualmente la institucion cuenta Falta de control de acceso fisico con un firewall que prohibe el y lgico a los puertos de control uso de puertos de diagnstico y y configuracin. configuracion remoto.
A.11.4.2
Art. 27
Autenticacin del usuario para las conexiones externas
Se utilizan mtodos de autenticacin apropiados para controlar el acceso de usuarios remotos? NO
A.11.4.3
Art. 33 Letra a
Identificacin del equipo en La identificacin automtica del equipo, Se considera las redes como un medio para autenticar las conexiones de ubicaciones y equipos especficos? Proteccin del puerto de Se controla el acceso fsico y lgico a los puertos de diagnstico y configuracin diagnstico y configuracin? remoto
NO
Jos Ignacio Gutirrez, Jefe Departamento de Informtica Jos Ignacio Gutirrez, Jefe Departamento de Informtica
A.11.4.4 Control de acceso
NO
Pg. 32 PMG-SSI
SI NO
SI: CONTROL ISO Control de acceso DOMINIO REF. DS-83 (MATRIZ ANTIGUA)
AMBITO
REQUISITO/ CONTROL
Comentario AYUDA
A.11.4.5
Art. 33 Letra Segregacin en redes b
Los grupos de servicios de informacin, usuarios y sistemas de informacin son segregados en distintas redes? NO
Actualmente el Servicio cuenta con instrucciones definidas en la politica de seguridad informatica Falta precisar la segregacin de que determinan quin tiene las distintas redes. permitido acceder a las distintas redes y servicios de red. Actualmente el servicio cuenta con instrucciones definidas en la politica de seguridad informatica que determinan los controles de gestin y procedimientos para proteger el acceso a las conexiones de la red y servicios de red. Actualmente el Servicio cuenta con controles de routing implementados mediante el uso de proxy y a travs de control parental y reglas de firewall. Actualmente los usuarios se encuentran agregados al Dominio del Servicio y se encuentran vinculados con su equipo computacional pudiendo acceder a los sistemas exclusivamente mediante el uso de usuario y contrasea. El Servicio cuenta con un dominio, el cual tiene implementado active directory donde se registran todos los usuarios y se realiza su agrupacin segn divisin, departamento y unidad de pertenencia. Se ha configurado en el active directory una politica de grupo que exige crear contraseas robustas para mantener la seguridad de la informacin. Actualmente se les permite a los usuarios cambiar su contrasea de manera amigable en su propio PC.
A.11.4.6
Art. 33 Letra Control de conexin a la red Para las redes compartidas, especialmente aquellas que c se extienden a travs de las fronteras de la institucin, se restringe la capacidad de los usuarios para conectarse a la red, en lnea con la poltica de control de acceso y los requerimientos de las aplicaciones de negocio?
SI
Debe adjuntar Diagrama de arquitectura, pantallazo con perfilamiento de usuarios o reglas de firewall
pol.seg.infor.pdf
A.11.4.7
Control de routing de la red Se implementan controles de routing en las redes para asegurar que las conexiones de la computadora y los flujos de informacin no violen la poltica de control de acceso de las aplicaciones de negocio?
SI
Debe adjuntar Pantallazo de reglas de Firewall o routing
firewall.pdf
A.11.5.1
Art. 27
Procedimientos para un registro seguro
El acceso a los sistemas operativos, es controlado mediante un procedimiento de registro seguro?
SI
Debe adjuntar Procedimiento o polticas a nivel de dominio
proc.mant.usuarios.pdf
A.11.5.2
Art. 27
Identificacin y autenticacin del usuario
Todos los usuarios tienen un identificador nico (ID de usuario) para su uso personal?, y SI
Debe adjuntar pantallazo de cuentas de usuario
active.directory.pdf
Se escoge una tcnica de autenticacin adecuada para sustanciar la identidad de un usuario? SI
Debe adjuntar pantallazo de polticas de cuentas de usuario implementadas
GPO.autenticacion.pdf
A.11.5.3
Art. 27
Sistema de gestin de contraseas
Los sistemas para el manejo de claves secretas, son interactivos? y SI
cambio.clave.pdf
Se asegura contraseas adecuadas?
SI
Los sistemas utilizario la combinacin usuario/contrasea. Adems, se ha implementado gpo en active directory que exige que las contraseas sean de alta complejidad.
GPO.autenticacion.pdf
Pg. 33 PMG-SSI
SI NO
AMBITO
REQUISITO/ CONTROL
Comentario AYUDA
A.11.5.4
Uso de las utilidades del sistema
Se restringe y controla estrechamente el uso de los programas de utilidad que podran ser capaces de superar los controles del sistema y la aplicacin? NO
Se cuenta con una norma que seala las directrices para la instalacion de software por parte de los usuarios. Actualmente, se encuentra en implementacin la puesta en marcha de un grupo con las restricciones a los usuarios acerca de la instalacin de software.
Falta formalizar la norma e implementar las restricciones a usuarios para la instalacin de software.
A.11.5.5
Art. 31 Letra Cierre de una sesin por b inactividad
Las sesiones inactivas, son cerradas despus de un perodo de inactividad definido? SI
El Servicio cuenta con una norma de identificacion y autenticacion.
Debe adjuntar poltica o procedimiento que entregue los lineamientos del requerimiento, y/o pantallazo del control implementado.
gpo.prot.panta.pdf
A.11.5.6
Limitacin del tiempo de conexin
Se utilizan restricciones sobre los tiempos de conexin para proporcionar seguridad adicional para las aplicaciones de alto riesgo?
NO
El Servicio actualmente no ha Falta definir las aplicaciones definido directrices en relacin al crticas y los tiempos lmites de tiempo de las conexiones a los conexin para los usuarios. sistemas crticos. Actualmente el Servicio no cuenta con una definicin acerca de la limitacin de acceso a la informacin. Falta definir e implementar restricciones de acceso a la informacin.
Jos Ignacio Gutirrez, Jefe Departamento de Informtica Jos Ignacio Gutirrez, Jefe Departamento de Informtica Jos Ignacio Gutirrez, Jefe Departamento de Informtica Jos Ignacio Gutirrez, Jefe Departamento de Informtica Jos Ignacio Gutirrez, Jefe Departamento de Informtica
A.11.6.1
Restriccin del acceso a la informacin
A.11.6.2
Aislar el sistema confidencial
El acceso de los usuarios y el personal de soporte a la informacin y las funciones del sistema de la aplicacin, Se limita en concordancia con la poltica de control de acceso definida? Los sistemas confidenciales, tienen un ambiente de cmputo dedicado (aislado)?
NO
NO
Falta definir los criterios para Actualmente, en el Servicio no se establecer los sistemas han definido sistemas confidenciales para los procesos confidenciales. crticos del negocio. El Servicio cuenta con una norma de uso de equipos porttiles. Actualmente no se han desarrollado politicas de uso de los equipos mediante accesos remotos. Falta definir la necesidad de establecer tareas y usuarios autorizados a desarrollar teletrabajo.
A.11.7.1
Art. 7 Letra a Art. 9
Computacin y comunicaciones mviles
Se establece una poltica y se adoptan las medidas de seguridad apropiadas para proteger contra los riesgos de utilizar medios de computacin y comunicacin mvil? Se desarrolla e implementa una poltica, planes operacionales y procedimientos para las actividades de tele-trabajo?
SI
Debe adjuntar poltica o procedimiento que entregue los lineamientos del requerimiento. No debe adjuntar documento
Norma de Uso de Equipos Porttiles
A.11.7.2
Tele-trabajo
NO 0
A.12.1.1
10.1.1
Anlisis y especificacin de Los enunciados de los requerimientos de negocio para los requerimientos de los sistemas de informacin nuevos, o las mejoras a los seguridad sistemas de informacin existentes, especifican los requerimientos de los controles de seguridad? NO
Actualmente no existe ninguna politica o procedimiento que norme en Servicio el desarrollo de sistemas tanto de forma interna como externa. Existen sistemas de desarrollo interno, sin embargo estos no fueron creados bajo alguna politica.
Falta elaborar un procedimiento formal y uniforme para los sistemas internos y externos que establezcan controles de seguridad.
A.12.2.1
10.2.1
Validacin de la data de entrada
Se valida la input data para las aplicaciones para asegurar que esta data sea correcta y apropiada?
NO
En la actualidad en el desarrollo interno se validan los datos de entrada mediante validadores de Falta formalizar la obligacin de formatos y de consistencia los validadores de formatos y de establecidos previamente, pero consistencia para los sistemas no existe normalizacion al internos y externos. respecto ni documentacion de los Sistemas.
Pg. 34 PMG-SSI
SI NO
AMBITO
REQUISITO/ CONTROL
Comentario AYUDA
A.12.2.2
10.2.2
Control del procesamiento interno
Se incorporan en las aplicaciones chequeos de validacin, para detectar cualquier corrupcin de la informacin a travs de errores de procesamiento o actos deliberados? NO
Los sistemas internos y externos realizan comprobacin de los Falta formalizar la comprobacin datos ingresados y alertan en de los datos y las alertas caso de errores, sin embargo correspondientes. esto no esta formalizado mediante ninguna politica .
A.12.2.3
10.2.3
Integridad del mensaje
Se identifican los requerimientos para asegurar la autenticidad y proteger la integridad del mensaje en las aplicaciones?, y
NO
Se identifican e implementan los controles apropiados? NO
A.12.2.4
10.2.4
Validacin de la data de salida
Se validan los datos de salida de una aplicacin, para asegurar que el procesamiento de la informacin almacenada sea el correcto y el apropiado para las circunstancias?
NO
Adquisicin, desarrollo y mantenimiento de los sistemas de informacin
A.12.3.1
10.3.1
Poltica sobre el uso de controles criptogrficos Gestin de claves
A.12.3.2
10.3.1.b
Se desarrolla e implementa una poltica sobre el uso de controles criptogrficos para proteger la informacin sensible? Se establece la gestin de claves para dar soporte al uso de tcnicas criptogrficas en la organizacin? Se establecen procedimientos para el control de la instalacin del software en los sistemas operacionales?
NO
NO
A.12.4.1
10.4.1
Control del software operacional
NO
En el Servicio no se cuenta con una poltica que asegure la autencidad y proteccin del mensaje en los sistemas internos y externos. En el Servicio no se cuenta con una poltica que asegure la autencidad, proteccin y control del mensaje en los sistemas internos y externos. En el Servicio no existen procedimientos formalizados que validen la consistencia y veracidad de los datos de salida de los sistemas internos y externos. Actualmente en el Servicio no existen sistemas que trabajen con formato de criptografia. Actualmente en el Servicio no existen sistemas que trabajen con formato de criptografia. No existe ninguna politica o procedimiento que norme en la institucin la instalacin de sistemas en sistemas operacionales. Actualmente existe un procedimiento para la proteccion y respaldo de la data de prueba, sin embargo este no se encuentra formalizado. Actualmente existe un procedimiento para la proteccion y respaldo de la data de prueba, sin embargo este no se encuentra formalizado. El Servicio tiene el cdigo fuente protegido pero no est formalizado. En la Politica de Seguridad Informtica estipula el procedimiento que se debe desarrollar para el control de cambio pero no su operatividad de implementacin.
Falta formalizar la integridad de los mensajes en los sistemas internos y externos.
Falta formalizar la integridad de los mensajes en los sistemas internos y externos. Falta un procedimiento formalizado que valide la consistencia y veracidad de la data de salida en los sistemas internos y externos. Falta definir los sistemas y data internos y externos que deban utilizar criptografa. Falta definir los sistemas y data internos y externos que deban utilizar criptografa. Falta formalizar un procedimiento que controle la instalacin de sistemas en sistemas operacionales.
Jos Ignacio Gutirrez, Jefe Departamento de Informtica Jos Ignacio Gutirrez, Jefe Departamento de Informtica Jos Ignacio Gutirrez, Jefe Departamento de Informtica Jos Ignacio Gutirrez, Jefe Departamento de Informtica
A.12.4.2
10.4.2
Proteccin de la data del sistema
Los datos de prueba se seleccionan cuidadosamente?, y NO
Falta generar un procedimiento para la proteccin, respaldo y control de la data de prueba.
Se protegen y controlan? NO
Falta generar un procedimiento para la proteccin, respaldo y control de la data de prueba. Falta un procedimiento formalizado para la proteccin, control y respaldo del cdigo fuente. Falta precisar en la Poltica de Seguridad Informtica el cmo implementar el control de cambio.
A.12.4.3
10.4.3
Control de acceso al cdigo Se restringe el acceso al cdigo fuente del programa? fuente del programa
NO
A.12.5.1
10.5.1
Procedimientos del control del cambio
Se controla la implementacin de los cambios mediante el uso de procedimientos formales para el control del cambio? NO
Pg. 35 PMG-SSI
Adquisicin, desarrollo y manteni
SI NO
SI: CONTROL ISO REF. DS-83 (MATRIZ ANTIGUA)
DOMINIO
AMBITO
REQUISITO/ CONTROL
Comentario AYUDA
A.12.5.2
10.5.2
Revisin tcnica de la aplicacin despus de cambios en el sistema
Cuando se cambian los sistemas de operacin, se revisan y prueban las aplicaciones de negocio crticas para asegurar que no exista un impacto adverso sobre las operaciones institucionales o en la seguridad?
NO
A.12.5.3
10.5.3
Restricciones sobre los Las modificaciones a paquetes de software, Se limitan cambios en los paquetes de a los cambios necesarios? Y software
NO
No existe ninguna politica o Falta formalizar un procedimiento que norme en la procedimiento que controle la institucin la instalacin de instalacin de sistemas sistemas operativos en sistemas operativos en sistemas operacionales. operacionales. Los cambios se realizan toda vez que un usuario por necesidades Falta generar un documento que de su trabajo lo solicita, normalice las modificaciones provocando multiples versiones realizadas a los software. de software.
Todos los cambios son estrictamente controlados? Los cambios se realizan toda vez que un usuario por necesidades Falta generar un documento que de su trabajo lo solicita, normalice las modificaciones provocando multiples versiones realizadas a los software. de software.
NO
A.12.5.4
10.5.4
Filtracin de informacin
Se evitan las oportunidades para el filtrado de informacin? Actualmente se aplican diversos mtodos de proteccin no formalizados para el uso de canales encubiertos. Falta generar un procedimiento formal de proteccin estndar que precise los mtodos de aseguramiento de los canales de informacin. Jos Ignacio Gutirrez, Jefe Departamento de Informtica
NO
A.12.5.5
10.5.5
Desarrollo de software abastecido externamente
El desarrollo del software abastecido externamente, es supervisado y monitoreado por la institucin? NO
Actualmente, se incluye en las bases tcnicas de licitacin de software las directrices que aseguran los requerimientos estndares del Servicio.
Falta un procedimiento formal que asegure los requisitos estndares del Servicio para las licitaciones de software.
A.12.6.1
Control de las vulnerabilidades tcnicas
Se obtiene oportunamente la informacin sobre las vulnerabilidades tcnicas de los sistemas de informacin que se estn utilizando, la exposicin de la organizacin a dichas vulnerabilidades evaluadas, y las medidas apropiadas tomadas para tratar los riesgos asociados?
NO
Se centralizan todas las actualizaciones de seguridad en Falta formalizar el procedimiento un servidor especfico donde se de actualizaciones de seguridad colocan a prueba estas en sistemas en operacin. actualizaciones antes de ser liberadas a los usuarios.
0 A.13.1.1 Art. 12 Letra Reporte de eventos en la En la actualidad: el Servicio cuenta con un b seguridad de la informacin procedimiento de reporte de eventos que afecten a la seguridad de la informacin? Actualmente no existe un procedimiento establecido para reportes de eventos que afecten la seguridad de los activos de informacion. Actualmente el Servicio no cuenta con un procedimiento establecido de reporte ante debilidades detectadas por los usuarios. Falta elaborar y formalizar un procedimiento de Respuesta, Control, Seguimiento y Gestin ante eventos sucedidos en los activos de informacin. Falta elaborar y formaliza un procedimiento de Reporte ante Debilidades Detectadas por Usuarios y Generar Capacidades en stos para la Deteccin. Patrick Stockins Encargado de Seguridad Jefe Divisin Administracin y Finanzas
NO
A.13.1.2 n de un incidente en la seguridad de la informacin
Reporte de las debilidades en la seguridad
En la actualidad: el Servicio cuenta con un mecanismo para que los funcionarios de contrata y planta y el personal a honorarios puedan informar a la jefatura sobre debilidades de seguridad que detecten en los sistemas o servicios?
NO
Pg. 36 PMG-SSI
SI NO
SI: CONTROL ISO Gestin de un incidente en la seguridad de la informacin DOMINIO REF. DS-83 (MATRIZ ANTIGUA)
AMBITO
REQUISITO/ CONTROL
Comentario AYUDA
A.13.2.1
Art. 12 Letra Responsabilidades y b procedimientos
En la actualidad: el Servicio cuenta con procedimientos para manejar diversos tipos de incidentes de seguridad de la informacin de forma rpida, eficaz y ordenada? NO
El Servicio no cuenta con procedimientos definidos para el manejo de incidentes de seguridad.
Falta elaborar y formalizar un procedimiento de Contingencia para Manejo de Incidentes de Seguridad, detallando tareas, roles y forma de realizar las acciones, adems de la forma de registro, control y gestin de stos.
A.13.2.2
Aprender de los incidentes en la seguridad de la informacin
En la actualidad: el Servicio cuenta con mecanismos que permitan cuantificar y monitorear los tipos, volmenes y costos de los incidentes en la seguridad de la informacin? NO
Falta elaborar y formalizar un procedimiento de Contingencia para Manejo de Incidentes de El Servicio no cuenta con Seguridad, detallando tareas, mecanismos de monitoreo sobre roles y forma de realizar las los incidentes de seguridad. acciones, adems de la forma de registro, control y gestin de stos.
A.13.2.3
Recoleccin de evidencia
En la actualidad: el Servicio cuenta con procedimientos para recolectar, manterner y presentar evidencia para cumplir con las reglas establecidas en la jurisdiccin correspondiente, cuando se deba seguir una accion legal (civil o penal) contra una persona u organizacin despus de un incidente de seguridad de la informacin?
NO
Falta definir y formalizar un El Servicio no cuenta con un procedimientos de contingencia, procedimiento de recoleccin de registro y recoleccin de evidencias ante incidentes de evidencias ante incidentes de seguridad. seguridad.
0 A.14.1.1 Incluir la seguridad de la informacin en el proceso de gestin de continuidad del negocio En el servicio, se ha establecido un proceso para gestionar la continuidad del negocio? Actualmente el Servicio responde reactivamente a los incidentes que se generan. Falta elaborar y formalizar un procedimiento para identificar cundo y a quines contactar en caso de incidentes de seguridad que aseguren la continuidad del proceso Sistema de Seguimiento y Supervisin de la Inversin. Falta elaborar y formalizar un procedimientos para identificar qu, cundo y a quines contactar en caso de incidentes de seguridad que aseguren la continuidad del proceso Sistema de Seguimiento y Supervisin de la Inversin. Faltan procedimientos para identificar los eventos, las probabilidades de ocurrencia, las consecuencias en caso de incidentes de seguridad que garanticen la continuidad del proceso Sistema de Seguimiento y Supervisin de la Inversin. Faltan procedimientos para identificar los eventos, las probabilidades de ocurrencia, las consecuencias en caso de incidentes de seguridad que aseguren la continuidad del Servicio. Patrick Stockins Encargado de Seguridad Jefe Divisin Administracin y Finanzas/Carlos Ossa Jefe Divisin de Anlisis y Control de la Gestin
NO
A.14.1.2
Art. 7 Letra d Art. 8
Continuidad del negocio y evaluacin del riesgo
El servicio ha identificado los eventos que pueden causar interrupciones? Actualmente el Servicio responde reactivamente a los incidentes que se generan.
NO
Patrick Stockins Encargado de Seguridad Jefe Divisin Administracin y Finanzas/Carlos Ossa Jefe Divisin de Anlisis y Control de la Gestin
Gestin de la continuidad del negocio
Se ha identificado la probabilidad de ocurrencia, el impacto y consecuencias de dichas interrupciones? Actualmente el Servicio responde reactivamente a los incidentes que se generan.
NO
Patrick Stockins Encargado de Seguridad Jefe Divisin Administracin y Finanzas/Carlos Ossa Jefe Divisin de Anlisis y Control de la Gestin
A.14.1.3
Art. 35
Desarrollar e implementar los planes de continuidad incluyendo la seguridad de la informacin
En el servicio, hay planes de continuidad de negocio que incluyan la seguridad de la informacin (disponibilidad en nivel y escala de tiempo despus de la falla)?
NO
Actualmente el Servicio responde reactivamente a los incidentes que se generan.
Patrick Stockins Encargado de Seguridad Jefe Divisin Administracin y Finanzas/Carlos Ossa Jefe Divisin de Anlisis y Control de la Gestin Pg. 37
PMG-SSI
DOMINIO Gestin de la continuidad del negocio
SI NO
SI: CONTROL ISO REF. DS-83 (MATRIZ ANTIGUA)
AMBITO
REQUISITO/ CONTROL
Comentario AYUDA
A.14.1.4
Marco Referencial de la planeacin de la continuidad del negocio
El servicio ha establecido un marco referencial que d consistencia a los planes de continuidad del negocio? NO Actualmente el Servicio responde reactivamente a los incidentes que se generan.
Faltan procedimientos formalizados que contengan instrucciones claras y planificadas ante algn incidente.
Patrick Stockins Encargado de Seguridad Jefe Divisin Administracin y Finanzas/Carlos Ossa Jefe Divisin de Anlisis y Control de la Gestin Patrick Stockins Encargado de Seguridad Jefe Divisin Administracin y Finanzas/Carlos Ossa Jefe Divisin de Anlisis y Control de la Gestin
A.14.1.5
Prueba, mantenimiento y re- En el servicio se aprueban y actualizan dichos planes? evaluacin de los planes de continuidad del negocio NO
Actualmente el Servicio responde reactivamente a los incidentes que se generan.
Faltan instrucciones formales para la realizacin de pruebas de recuperacin.
Pg. 38 PMG-SSI
SI NO
AMBITO
REQUISITO/ CONTROL
Comentario AYUDA
0.4 A.15.1.1 Identificacin de la legislacin aplicable Se definen explcitamente, documentan y actualizan todos los requerimientos estatutarios, reguladores y contractuales relevantes, y el enfoque de la institucin para satisfacer esos requerimientos, para cada sistema de informacin y su organizacin? Se implementan los procedimientos apropiados para asegurar el cumplimiento de los requerimientos legislativos, reguladores y contractuales sobre el uso del material con respecto a los cuales puedan existir derechos de propiedad intelectual y sobre el uso de productos de software patentado? Se debieran protegen los registros importantes de prdida, destruccin, falsificacin; en concordancia con los requerimientos estatutarios, reguladores, contractuales y de negocio? La Poltica General de Seguridad de la Informacin seala las referencias legales y normativas. Debe adjuntar Listado de referencias legales que el SSI debe considerar cuando sea implementado en el Servicio Poltica General de Seguridad de la Informacin. Jos Ignacio Gutirrez, Jefe Departamento de Informtica
SI
A.15.1.2
Art. 22 Letra b
Derechos de propiedad intelectual (IPR)
NO
En la actualidad el Servicio cuenta con una Norma de Uso Instalacin Legal de Software.
Falta especficar lo relacionado a otros derechos de propiedad intelectual adems del software.
Ricardo Bahamondes, Jefe Departamento Jurdico
A.15.1.3
Proteccin de registros institucionales
NO
Falta procedimiento de respaldo Actualmente se protegen pero no de la informacin formales en existen procedimientos definidos relacin a la integridad y acceso de resguardo. de la informacin que fue protegida.
A.15.1.4
Proteccin de la data y Se asegura la proteccin y privacidad de la data privacidad de la informacin conforme lo requiera la legislacin, regulaciones y, si personal fuesen aplicables, las clusulas contractuales relevantes?
NO
El Servicio no cuenta con Falta de procedimiento formal normas referidas a a la que resguarde la privacidad de proteccin de la data y privacidad la informacin personal. de la informacin personal.
Ricardo Bahamondes, Jefe Departamento Jurdico
A.15.1.5
Prevencin del mal uso de los medios de procesamiento de la informacin
Se disuade a los usuarios de utilizar los medios de procesamiento de la informacin para propsitos no autorizados? NO
Cumplimiento
Falta precisar en la Norma de El Servicio cuenta con una Uso de Identificacin y Norma de Uso de Identificacin y Autentificacin los mecanismos Autentificacin. de disuacin para la prevencin.
A.15.1.6
Regulacin de controles criptogrficos
Los controles criptogrficos, se utilizan en cumplimiento con todos los acuerdos, leyes y regulaciones relevantes? NO El Servicio cuenta con una Norma de Uso de Identificacin y Autentificacin.
Falta un procedimiento que formalice los controles criptogrficos en los sistemas internos desarrollados por el Departamento de Informtica. Faltan instrucciones precisas en relacin a los procedimientos de seguridad por parte del Jefe de Servicio.
A.15.2.1
Art. 7 Letra c
Cumplimiento con las polticas y estndares de seguridad
La jefatura de rea, asegura que se lleven a cabo correctamente todos los procedimientos de seguridad dentro de su rea de responsabilidad para asegurar el cumplimiento de las polticas y estndares de seguridad? Los sistemas de informacin, se chequean regularmente para ver el cumplimiento de los estndares de implementacin de la seguridad?
NO
Se realizan auditoras por el propio Departamento de Informtica en el mbito de la seguridad de la informacin. Actualmente las auditorias o revisiones son slo de carcter interno. En la Poltica General de Seguridad se seala la contratacin de auditoras externas cada 3 aos. Actualmente las auditorias o revisiones son slo de carcter interno. En la Poltica General de Seguridad se seala la contratacin de auditoras externas cada 3 aos.
A.15.2.2
Chequeo del cumplimiento tcnico
SI
Debe adjuntar Poltica, procedimiento o Registro de verificacin de cumplimientos.
A.15.3.1
Controles de auditora de Las actividades y requerimientos de auditora que los sistemas de informacin involucran chequeos de los sistemas operacionales, son planeados y acordados cuidadosamente para minimizar el riesgo de interrupciones en los procesos de negocio?
SI
Debe adjuntar Procedimiento de auditoria de sistemas de informacin.
Pg. 39 PMG-SSI
SI NO
AMBITO
REQUISITO/ CONTROL
Comentario AYUDA
A.15.3.2
Proteccin de las herramientas de auditora de los sistemas de informacin
Se protege el acceso a las herramientas de auditora de los sistemas de informacin para evitar cualquier mal uso o trasgresin posible? SI
Actualmente las auditorias o revisiones son slo de carcter interno. En la Poltica General de Seguridad se seala la contratacin de auditoras externas cada 3 aos.
Debe adjuntar Poltica o procedimiento de perfilamiento de usuarios que tienen acceso a las herramientas de auditora y/o Pantallazo de ejemplo.
Pg. 40 PMG-SSI
DOMINIO
Riesgo
0 0 0 0 0 0 0 0 0 0 0 Falta establecer un procedimiento formal que especifique cundo y a quines contactar en caso de incidentes de seguridad. Falta establecer un procedimiento formal de autorizacin por parte del Jefe de Servicio para instalar nuevos medios de procesamiento de informacin.
Organizacin de la Seguridad de la Informacin
Poltica de Seguridad
Afecta el proceso de continuidad del negocio. Acceso no autorizado de medios de procesamiento de informacin.
Falta elaborar y formalizar las especificaciones de los Indefencin de la requerimientos de confidencialidad o no-divulgacin para la confidencialidad de la proteccin de la informacin institucional. informacin institucional. 0 Falta establecer un Protocolo que permita al Servicio identificar el riesgo que genera para la informacin y sus medios de Prdida de informacin. procesamiento, el involucrar a entidades externas en sus procesos de negocio. Falta establecer un Protocolo que permita al Servicio abordar todos los requerimientos de seguridad antes de entregar Prdida de informacin. acceso a los activos de informacin a sus clientes/usuarios/beneficiarios. Falta establecer un Protocolo que permita instruir sobre el resguardo de los activos de informacin cuando se realizan contratos con terceros, y que oriente sobre las clusulas especficas que deben incoporar dichos contratos de servicio. Falta establecer un Formulario de Clasificacin de Activos de Informacin para los registros, repositorios y personas asociadas al proceso Sistema de Seguimiento y Supervisin de la Inversin, con su correspondiente procedimiento de implementacin y consolidacin para generar el Inventario de Activos de Informacin del Servicio. Falta establecer y formalizar la actualizacin peridica del Inventario de Activos de Informacin
Prdida de informacin.
ctivos
Falta identificar y designar los responsables administrativos para cada activo de informacin
Gestin de Activos
Falta ampliar el alcance de la Politica, incluyendo a todos los activos de informacin y considerando las orientaciones legales establecidas en la Ley de Transparencia N 20.285 Falta ampliar el alcance de la Politica, incluyendo a todos los activos de informacin e incorporando la formalizacin de las normas para el copiado de los mismos establecidas en la Ley de Transparencia N 20.285 Falta ampliar el alcance de la Politica, incluyendo a todos los activos de informacin e incorporando la formalizacin de las normas para el almacenamiento de los mismos. 0 Falta ampliar el alcance de la Politica, incluyendo a todos los activos de informacin e incorporando la formalizacin de las normas para la destruccin de los mismos. Falta ampliar el alcance de la Politica, incluyendo a todos los activos de informacin e incorporando la formalizacin de los procedimientos de etiquetado y manejo de los mismos.
Sobreclasificacin de la informacin.
Mal uso de la informacin.
Falta elaborar y formalizar un documento que defina los roles de los funcionarios (planta y contrata) y del personal a honorario, en donde se especifiquen las responsabilidades en temas de seguridad de la informacin. Falta incorporar en el proceso de seleccin de personal la solicitud de referencias laborales y comprobacin del CV de postulante. Falta incorporar en la poltica de seleccin de personal una instruccin que indique las responsabilidades relativas a la seguridad de la informacin del Servicio. Falta aprobar la norma de uso de instalacin legal de software por parte del Jefe de Servicio. Falta especificar en la Poltica de Informtica las instrucciones referidas a acceso a servicios pblicos, recursos compartidos y comunicacin remota. Falta ampliar el alcance de la Politica, incluyendo a todos los activos de informacin e incorporando la formalizacin de las instrucciones sobre la generacin, transmisin y recepcin de los mismos. Falta elaborar un procedimiento para que los incidentes de seguridad que ocurren queden registrados y se gestionen segun criterios preestablecidos.
Mal uso de los activos de informacin.
Seguridad de recursos humanos
Que se corrompan los activos de informacin. Mal uso de los activos de informacin. Afecta el proceso de continuidad del negocio.
Seguridad de rec
Falta incorporar dentro del diagnstico de necesidades de capacitacin levantadas anualmente en el Servicio, un item relacionado con los requisitos de seguridad atingentes a las funciones desempeadas, con el objeto de que el Plan Anual de Capacitacin in Falta un procedimiento que oriente respecto a los procesos disciplinarios a seguir en el caso en que los funcionarios y/o personal a honorario, hayan cometido una violacin a la seguridad de la informacin. Falta incorporar dentro de los contratos de honorarios y declaracin jurada de los funcionarios las responsabilidades y deberes vlidos, an luego de la desvinculacin o cambios en sus funciones. Falta incorporar dentro de los contratos de honorarios y declaracin jurada de los funcionarios las responsabilidades y deberes vlidos, an luego de la desvinculacin o cambios en sus funciones. 0 Falta definir las directrices sobre el permetro de seguridad necesario para proteger las reas que contienen informacion y medios de procesamiento Falta establecer un procedimiento formal que entregue instrucciones respecto a la definicin de reas seguras y al acceso slo de personal autorizado Falta elaborar e impartir instrucciones para diseo y aplicacin de seguridad fisica a las oficinas, habitaciones o medios. Falta elaborar e impartir instrucciones para la proteccin contra daos causados por fuego. Falta elaborar e impartir instrucciones para la proteccin contra daos causados por inundacin. Falta elaborar e impartir instrucciones para la proteccin contra daos causados por terremoto. Falta elaborar e impartir instrucciones para la proteccin contra daos causados por explosin. Falta elaborar e impartir instrucciones para la proteccin contra daos causados por revuelta civil. Falta elaborar e impartir instrucciones para la proteccin contra otras formas de desastres naturales o por causa humana. Falta implementar la politica de acceso fsico, de manera de establecer las areas de trabajo seguras y los lineamientos para trabajar en ellas. Falta generar instrucciones sobre accesos de seguridad y control en areas de acceso publico en donde se encuentran los activos de informacion del proceso escogido Falta generar instrucciones orientadas a la proteccin del equipamiento, a fin de reducir las amenazas y peligros ambientales y accesos no autorizados.
Afecta el proceso de continuidad del negocio.
Prdida de activos de informacin. Prdida de activos de informacin. Prdida de activos de informacin. Prdida de activos de informacin. Prdida de activos de informacin. Prdida de activos de informacin. Prdida de activos de informacin. Prdida de activos de informacin. Prdida de activos de informacin. Prdida de activos de informacin. Prdida de activos de informacin. Prdida de activos de informacin.
Seguridad Fsica y Ambiental
Segurida
Falta generar una Politica de Escritorio Limpio que norme el consumo de alimentos, bebidas tabaco en las cercanas de los medios que procesan o soportan informacin. Falta generar una Politica de Escritorio Limpio que estandarice y norme esta prctica. Falta generar un instructivo orientado a la proteccion de los equipamientos de trabajo en materia elctrica y de otros servicios bsicos. Falta un procedimiento de revisin de periodica de los cableados, asi mismo como un control de los mismos. 0 Falta formalizar la Norma de uso equipos porttiles por parte del Jefe de Servicio. Falta de procedimiento documentado referente a la eliminacin o re-uso de equipos Falta generar un documento para controlar el retiro de equipamiento, informacin o software por parte de los funcionarios 0 0 Falta establecer los procedimientos e instrucciones de los activos de informacin en los mbitos de la segregacin de tareas y responsabilidades. 0 0 0 0 Falta formalizar un procedimiento que involucre el manejo de cambios tomando en cuenta los grados criticos de los sistemas y la re-evaluacion de riesgos. Falta establecer un procedimiento formal y estndar que permita la planificacin, manejo y desempeo de los sistemas. Falta establecer un procedimiento formal y estndar que permita la planificacin, manejo y desempeo de los sistemas. Falta establecer un procedimiento formal que gestione el criterio de aceptacin a los sistemas de informacin nuevos, actualizaciones y nuevas versiones en sistemas operacionales. 0 0 0 0 0 0 Falta incorporar en la Poltica de Seguridad Informtica el procedimiento de pruebas peridicas para los respaldos almacenados. Falta operativizar la infraestructura con todos los tipos de usuarios y privilegios de proteccin de informacin en los sistemas.
Prdida de activos de informacin. Prdida de activos de informacin. Prdida de activos de informacin. Afecta el proceso de continuidad del negocio. Prdida de activos de informacin. Prdida de informacin. Prdida de activos de informacin.
Prdida de los activos de informacin.
Ineficacia de respuesta ante incidente. Ineficacia de funcionamiento de los sistemas. Ineficacia de funcionamiento de los sistemas. Ineficacia de funcionamiento de los sistemas.
Ineficacia e inconsistencia de funcionamiento de los sistemas. Prdida de informacin.
aciones
Gestin de las comunicaciones y operaciones
Falta incorporar clusulas en los contratos de redes que sealen las caracteristicas de seguridad que se requieren. Falta incorporar clusulas en los contratos de redes que sealen los niveles de servicios requeridos. Falta incorporar clusulas en los contratos de redes que sealen los niveles de gestin requeridos. Falta procedimiento que Controle el Uso, Borrado y Almacenamiento de Medios Removibles. 0 0 Falta establecer un procedimiento que norme el intercambio de informacin a travs de una Poltica de Seguridad para Manejo e Intercambio de Informacin con Terceros. Falta establecer un procedimiento que norme el intercambio de informacin y software a travs de una Poltica de Seguridad para Manejo e Intercambio de Informacin con Terceros. Falta establecer un procedimiento que norme el intercambio de informacin a travs de medios fsicos con una Poltica de Seguridad para Manejo e Intercambio de Informacin con Terceros. Falta establecer procedimiento formal que resguarde la informacin contenida en la mensajera electrnica. Falta formalizar procedimiento de proteccin de informacin asociada a la interconexin de sistemas de informacin de negocio. No aplica a esta Institucin Falta una Poltica de Uso de Transacciones En Lnea que proteja la informacin involucrada. Falta establecer una poltica de resguardo e integridad de la informacin de acceso pblico. Falta un procedimiento que formalice la gestin, almacenamiento y registro de auditorias de actividades, excepciones y eventos de seguridad. Falta un procedimiento que formalice la gestin, almacenamiento y registro de auditorias de actividades, excepciones y eventos de seguridad. Falta un procedimiento que formalice la gestin, almacenamiento y registro de auditorias de actividades, excepciones y eventos de seguridad. Falta un procedimiento que formalice la gestin, almacenamiento y registro de auditorias de actividades, excepciones y eventos de seguridad. Falta un procedimiento que formalice la gestin, almacenamiento y registro de auditorias de actividades, excepciones y eventos de seguridad. Falta un procedimiento que formalice la gestin, almacenamiento y registro de auditorias de actividades, excepciones y eventos de seguridad. Falta un procedimiento que formalice la gestin, almacenamiento y registro de auditorias de actividades, excepciones y eventos de seguridad. Falta un procedimiento de gestin de fallas.
Prdida de informacin. Prdida de informacin. Prdida de informacin. Prdida o mal uso de informacin.
Prdida o mal uso de informacin.
Prdida o mal uso de informacin. Prdida o mal uso de informacin. Prdida o mal uso de informacin. Prdida o mal uso de informacin. Prdida o mal uso de informacin. Fallas reiteradas en los sistemas de informacin. Fallas reiteradas en los sistemas de informacin. Fallas reiteradas en los sistemas de informacin. Fallas reiteradas en los sistemas de informacin. Fallas reiteradas en los sistemas de informacin. Fallas reiteradas en los sistemas de informacin. Fallas reiteradas en los sistemas de informacin. Fallas reiteradas en los sistemas de informacin.
Falta un procedimiento de gestin de fallas. 0
Fallas reiteradas en los sistemas de informacin.
Falta actualizar y ampliar el alcance de la Norma de Uso de Identificacin y Autentificacin, haciendola extensible para todos los activos de informacin y precisando los controles en relacin a la seguridad de negocios individuales, la legislacin pertin Falta ampliar el alcance del Manual de Procedimientos "Creacin, Mantencin y Eliminacin de Cuentas de Usuarios y Cuentas de Correo Interna y Externa", incoporando el tratamiento de los distintos activos de informacin. Falta actualizar y ampliar el alcance de la Norma de Uso de Identificacin y Autentificacin, haciendola extensible para todos los activos de informacin y precisando las restricciones, uso de privilegios y control de asignaciones. Falta actualizar y ampliar el alcance de la Norma de Uso de Identificacin y Autentificacin, haciendola extensible para todos los activos de informacin y precisando la forma de asignacion y utilizacin de contraseas. 0 Falta actualizar y ampliar el alcance de la Norma de Uso de Identificacin y Autentificacin, haciendola extensible para todos los activos de informacin e incorporando buenas prcticas de seguridad para la selecciny uso de contraseas. Se requiere asegurar la integridad y seguridad de la informacin de cada usuario y equipo asignado.
Prdida o mal uso de informacin. Prdida o mal uso de informacin. Prdida, mal uso o dao de los activos informacin.
Control de acceso
Falta generar una Politica de Escritorio Limpio para papeles y medios de almacenaje removibles.
Falta generar una Politica de Escritorio Limpio para los medios Prdida, mal uso o dao de procesamiento de la informacin. de los activos informacin. Falta generar un procedimiento que establezca las autorizaciones, control y gestin sobre el uso de los servicios de red. Falta elaborar un procedimiento de Acceso Remoto que establezca las autentificaciones, controles y tipos de conexiones remotas permitidas. Falta generar un procedimiento que establezca la autentificacin de los equipos en red. Falta de control de acceso fisico y lgico a los puertos de control y configuracin. Falta precisar la segregacin de las distintas redes. 0 0 0 0 0 Prdida o mal uso de informacin. Prdida o mal uso de informacin. Prdida o mal uso de informacin. Prdida o mal uso de informacin. Prdida o mal uso de informacin.
0 0 Falta formalizar la norma e implementar las restricciones a usuarios para la instalacin de software. 0 Falta definir las aplicaciones crticas y los tiempos lmites de conexin para los usuarios. Falta definir e implementar restricciones de acceso a la informacin. Falta definir los criterios para establecer los sistemas confidenciales para los procesos crticos del negocio. 0 Falta definir la necesidad de establecer tareas y usuarios autorizados a desarrollar tele-trabajo. Falta elaborar un procedimiento formal y uniforme para los sistemas internos y externos que establezcan controles de seguridad.
Prdida o mal uso de informacin. Prdida o mal uso de informacin. Prdida o mal uso de informacin. Prdida o mal uso de informacin. Prdida o mal uso de informacin.
Adquisicin, desarrollo y mantenimiento de los sistemas de informacin
Ineficiencia y corrupcin de los sistemas de informacin. Ineficiencia y corrupcin de Falta formalizar la obligacin de los validadores de formatos y los sistemas de de consistencia para los sistemas internos y externos. informacin. Ineficiencia o corrupcin Falta formalizar la comprobacin de los datos y las alertas de los sistemas de correspondientes. informacin. Ineficiencia o corrupcin Falta formalizar la integridad de los mensajes en los sistemas de los sistemas de internos y externos. informacin. Ineficiencia o corrupcin Falta formalizar la integridad de los mensajes en los sistemas de los sistemas de internos y externos. informacin. Falta un procedimiento formalizado que valide la consistencia Ineficiencia y corrupcin de y veracidad de la data de salida en los sistemas internos y los sistemas de externos. informacin. Falta definir los sistemas y data internos y externos que deban Prdida o mal uso de los utilizar criptografa. activos de informacin. Falta definir los sistemas y data internos y externos que deban Prdida o mal uso de los utilizar criptografa. activos de informacin. Ineficiencia y corrupcin de Falta formalizar un procedimiento que controle la instalacin los sistemas de de sistemas en sistemas operacionales. informacin. Ineficiencia y corrupcin de Falta generar un procedimiento para la proteccin, respaldo y los sistemas de control de la data de prueba. informacin. Ineficiencia y corrupcin de Falta generar un procedimiento para la proteccin, respaldo y los sistemas de control de la data de prueba. informacin. Ineficiencia y corrupcin de Falta un procedimiento formalizado para la proteccin, control los sistemas de y respaldo del cdigo fuente. informacin. Ineficiencia y corrupcin de Falta precisar en la Poltica de Seguridad Informtica el cmo los sistemas de implementar el control de cambio. informacin. Ineficiencia y corrupcin de Falta formalizar un procedimiento que controle la instalacin los sistemas de de sistemas operativos en sistemas operacionales. informacin.
Adquisicin, des
Ineficiencia y corrupcin de los sistemas de informacin. Ineficiencia y corrupcin de Falta generar un documento que normalice las modificaciones los sistemas de realizadas a los software. informacin. Falta generar un procedimiento formal de proteccin estndar Ineficiencia y corrupcin de que precise los mtodos de aseguramiento de los canales de los sistemas de informacin. informacin. Ineficiencia y corrupcin de Falta un procedimiento formal que asegure los requisitos los sistemas de estndares del Servicio para las licitaciones de software. informacin. Falta formalizar el procedimiento de actualizaciones de Ineficiencia de los seguridad en sistemas en operacin. sistemas de informacin. Falta generar un documento que normalice las modificaciones realizadas a los software. Falta elaborar y formalizar un procedimiento de Respuesta, Control, Seguimiento y Gestin ante eventos sucedidos en los activos de informacin. Falta elaborar y formaliza un procedimiento de Reporte ante Debilidades Detectadas por Usuarios y Generar Capacidades en stos para la Deteccin. Falta elaborar y formalizar un procedimiento de Contingencia para Manejo de Incidentes de Seguridad, detallando tareas, roles y forma de realizar las acciones, adems de la forma de registro, control y gestin de stos. Falta elaborar y formalizar un procedimiento de Contingencia para Manejo de Incidentes de Seguridad, detallando tareas, roles y forma de realizar las acciones, adems de la forma de registro, control y gestin de stos. Falta definir y formalizar un procedimientos de contingencia, registro y recoleccin de evidencias ante incidentes de seguridad. Falta elaborar y formalizar un procedimiento para identificar cundo y a quines contactar en caso de incidentes de seguridad que aseguren la continuidad del proceso Sistema de Seguimiento y Supervisin de la Inversin. Falta elaborar y formalizar un procedimientos para identificar qu, cundo y a quines contactar en caso de incidentes de seguridad que aseguren la continuidad del proceso Sistema de Seguimiento y Supervisin de la Inversin. Faltan procedimientos para identificar los eventos, las probabilidades de ocurrencia, las consecuencias en caso de incidentes de seguridad que garanticen la continuidad del proceso Sistema de Seguimiento y Supervisin de la Inversin. Faltan procedimientos para identificar los eventos, las probabilidades de ocurrencia, las consecuencias en caso de incidentes de seguridad que aseguren la continuidad del Servicio. Faltan procedimientos formalizados que contengan instrucciones claras y planificadas ante algn incidente. Ineficiencia de los sistemas de informacin. Ineficiencia de los sistemas de informacin. Ineficiencia de los sistemas de informacin.
Gestin de un incidente en la seguridad de la informacin
Ineficiencia de los sistemas de informacin. Afecta el proceso de continuidad del negocio.
Gestin de la continuidad del negocio
Afecta el proceso de continuidad del negocio. Afecta el proceso de continuidad del negocio.
Gestin
Faltan instrucciones formales para la realizacin de pruebas de recuperacin. 0 Falta especficar lo relacionado a otros derechos de propiedad intelectual adems del software. Falta procedimiento de respaldo de la informacin formales en relacin a la integridad y acceso de la informacin que fue protegida. Falta de procedimiento formal que resguarde la privacidad de la informacin personal. Falta precisar en la Norma de Uso de Identificacin y Autentificacin los mecanismos de disuacin para la prevencin. Falta un procedimiento que formalice los controles criptogrficos en los sistemas internos desarrollados por el Departamento de Informtica. Faltan instrucciones precisas en relacin a los procedimientos de seguridad por parte del Jefe de Servicio. 0 0 0
Sanciones legales. Prdida o mal uso de activos de informacin. Prdida o mal uso de informacin. Prdida o mal uso de informacin. Prdida o mal uso de informacin. Prdida o mal uso de informacin.
Cumplimiento
PRIORIZACIN DE LAS BRECHAS PRIORIDAD DE LA BRECHA
Nivel de Probabilidad
Impacto
Severidad
NO EVALUADO NO EVALUADO NO EVALUADO NO EVALUADO NO EVALUADO NO EVALUADO NO EVALUADO NO EVALUADO NO EVALUADO NO EVALUADO NO EVALUADO Improbable Moderadas MODERADO MEDIA
Improbable
Moderadas
MODERADO
MEDIA
Muy improbable
Moderadas
MODERADO NO EVALUADO
MEDIA
Improbable
Mayores
ALTO
ALTA
Improbable
Mayores
ALTO
ALTA
Improbable
Mayores
ALTO
ALTA
Improbable
Mayores
ALTO
ALTA
Improbable
Mayores
ALTO
ALTA
Improbable
Mayores
ALTO
ALTA
Improbable
Moderadas
MODERADO
MEDIA
Moderado
Menores
MODERADO
MEDIA
Moderado
Moderadas
ALTO NO EVALUADO
ALTA
Moderado
Moderadas
ALTO
ALTA
Moderado
Moderadas
ALTO
ALTA
Moderado
Mayores
EXTREMO
ALTA
Moderado
Mayores
EXTREMO
ALTA
Moderado
Mayores
EXTREMO
ALTA
Improbable
Mayores
ALTO
ALTA
Improbable
Mayores
ALTO
ALTA
Improbable
Mayores
ALTO
ALTA
Improbable
Mayores
ALTO
ALTA
Improbable
Mayores
ALTO
ALTA
Improbable
Mayores
ALTO
ALTA
Improbable
Mayores
ALTO
ALTA
Moderado
Mayores
EXTREMO NO EVALUADO
ALTA
Improbable
Mayores
ALTO
ALTA
Moderado
Mayores
EXTREMO
ALTA
Improbable Improbable Improbable Improbable Improbable Improbable Improbable
Mayores Mayores Mayores Mayores Mayores Mayores Mayores
ALTO ALTO ALTO ALTO ALTO ALTO ALTO
ALTA ALTA ALTA ALTA ALTA ALTA ALTA
Moderado
Mayores
EXTREMO
ALTA
Moderado
Mayores
EXTREMO
ALTA
Moderado
Mayores
EXTREMO
ALTA
Moderado
Moderadas
ALTO
ALTA
Moderado Moderado Improbable
Mayores Mayores Mayores
EXTREMO EXTREMO ALTO NO EVALUADO
ALTA ALTA ALTA
Moderado Moderado Moderado
Mayores Mayores Mayores
EXTREMO EXTREMO EXTREMO
ALTA ALTA ALTA
NO EVALUADO NO EVALUADO Improbable Moderadas MODERADO NO EVALUADO NO EVALUADO NO EVALUADO NO EVALUADO Probable Moderadas ALTO ALTA MEDIA
Muy improbable
Moderadas
MODERADO
MEDIA
Muy improbable
Moderadas
MODERADO
MEDIA
Improbable
Moderadas
MODERADO NO EVALUADO NO EVALUADO NO EVALUADO NO EVALUADO NO EVALUADO NO EVALUADO
MEDIA
Moderado
Moderadas
ALTO
ALTA
Improbable
Moderadas
MODERADO
MEDIA
Improbable Improbable Improbable Probable
Moderadas Moderadas Moderadas Mayores
MODERADO MODERADO MODERADO EXTREMO NO EVALUADO NO EVALUADO
MEDIA MEDIA MEDIA ALTA
Probable
Moderadas
ALTO
ALTA
Probable
Moderadas
ALTO
ALTA
Probable
Moderadas
ALTO
ALTA
Probable Probable
Moderadas Moderadas
ALTO ALTO NO EVALUADO
ALTA ALTA
Improbable Moderado Improbable
Mayores Moderadas Moderadas
ALTO ALTO MODERADO
ALTA ALTA MEDIA
Improbable
Moderadas
MODERADO
MEDIA
Improbable
Moderadas
MODERADO
MEDIA
Improbable
Moderadas
MODERADO
MEDIA
Improbable
Moderadas
MODERADO
MEDIA
Improbable
Moderadas
MODERADO
MEDIA
Improbable Improbable
Moderadas Moderadas
MODERADO MODERADO
MEDIA MEDIA
Improbable
Moderadas
MEDIA
Moderado
Moderadas
ALTO
ALTA
Improbable
Moderadas
MODERADO
MEDIA
Improbable
Moderadas
MODERADO
MEDIA
Moderado
Mayores
EXTREMO NO EVALUADO
ALTA
Probable
Moderadas
ALTO
ALTA
Probable Probable
Moderadas Moderadas
ALTO ALTO
ALTA ALTA
Probable
Moderadas
ALTO
ALTA
Improbable
Moderadas
MODERADO
MEDIA
Muy improbable Muy improbable Muy improbable Improbable
Moderadas Moderadas Moderadas Moderadas
MODERADO MODERADO MODERADO MODERADO NO EVALUADO NO EVALUADO NO EVALUADO NO EVALUADO NO EVALUADO
MEDIA MEDIA MEDIA MEDIA
NO EVALUADO NO EVALUADO Improbable Moderadas MODERADO NO EVALUADO Improbable Improbable Moderado Moderadas Moderadas Moderadas MODERADO MODERADO ALTO NO EVALUADO Muy improbable Moderadas MODERADO MEDIA MEDIA MEDIA ALTA MEDIA
Moderado
Moderadas
ALTO
ALTA
Improbable
Moderadas
MODERADO
MEDIA
Improbable
Moderadas
MODERADO
MEDIA
Improbable
Moderadas
MODERADO
MEDIA
Improbable
Moderadas
MODERADO
MEDIA
Improbable Moderado Moderado Moderado
Moderadas Moderadas Moderadas Mayores
MODERADO ALTO ALTO EXTREMO
MEDIA ALTA ALTA ALTA
Improbable
Moderadas
MODERADO
MEDIA
Improbable
Moderadas
MODERADO
MEDIA
Improbable
Mayores
ALTO
ALTA
Muy improbable
Mayores
ALTO
ALTA
Moderado
Mayores
EXTREMO
ALTA
Moderado
Mayores
EXTREMO
ALTA
Moderado
Mayores
EXTREMO
ALTA
Moderado
Mayores
EXTREMO
ALTA
Moderado Improbable
Mayores Moderadas
EXTREMO MODERADO
ALTA MEDIA
Improbable
Moderadas
MODERADO
MEDIA
Improbable
Moderadas
MODERADO
MEDIA
Improbable
Moderadas
MODERADO
MEDIA
Improbable
Moderadas
MODERADO
MEDIA
Improbable
Moderadas
MODERADO
MEDIA
Improbable
Moderadas
MODERADO
MEDIA
Improbable
Moderadas
MODERADO
MEDIA
Improbable
Moderadas
MODERADO
MEDIA
Improbable
Moderadas
MODERADO
MEDIA
Improbable
Moderadas
MODERADO
MEDIA
Improbable
Moderadas
MEDIA
Improbable Moderado Improbable Improbable
Mayores Moderadas Moderadas Moderadas
ALTO ALTO MODERADO MODERADO
ALTA ALTA MEDIA MEDIA
Improbable Improbable
Moderadas Moderadas
MODERADO MODERADO NO EVALUADO NO EVALUADO NO EVALUADO
MEDIA MEDIA
Casi Certeza Probable Moderado Improbable Muy improbable
Catastrficas Mayores Moderadas Menores Insignificantes

Matriz

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Matriz

Diunggah oleh

Hak Cipta:

Format Tersedia

PMG-SSI: RESUMEN - DIAGNOSTICO

Subsecretara del Direccin de Presupuestos - Divisi

Estado de la Institucin por Dominio (%)

35.7% 34.9% 5.0% 8.3%

Programa de mejoramiento de la gestin Ministerio del Interior

PMG-SSI: RESUMEN - DIAGNOSTICO

8.3% 11.1% 50.0% 100.0%

Subsecretara del Direccin de Presupuestos - Divisi

Programa de mejoramiento de la gestin Ministerio del Interior

Estado de la Institucin por Dominio (%)

Programa de mejoramiento de la gestin Ministerio del Interior

Programa de mejoramiento de la gestin Ministerio del Interior

TIPO No cumple Cumple

DETERMINACION DE PROCESOS CRITICOS P

Supervisin Administrativa FNDR

Supervisin Financiera del FNDR

Sistema de Seguimiento y Supervisin de la Inversin

Ejecucin y Supervisin FNDR

Jefatura de Divisin de Administracin y Finanzas/Jefatura Divisin de Anlisis y Control de la Gestin

Supervisin en Terreno del FNDR

Anlisis Presupuestario del FNDR

Supervisin del PMU IRAL

DETERMINACION DE PROCESOS CRITICOS PARA ANALIZAR DOMINIOS: GESTIN DE ACTIVOS, SEGUR

REGISTRO DE INFORMACION Envo Acuerdo CORE ratificado

CON Envo Programacin Financiera Planilla Excel

Envo y revisin de Solicitud de Pago con Gastos Administrativos Memorando

Envo y revisin de Solicitud de Pago con Gastos de Consultora

Envo y revisin de Solicitud de Pago con Gastos de Obras

Documento con Estado de Pago

Estado de Pago UT y Presupuesto de IDI

Boletas de Garanta Recepcin Definitiva de Obras Plataforma ChileIndica

DE ACTIVOS, SEGURIDAD FSICA Y AMBIENTAL, GESTION DE LA CONTINUIDAD DEL NEGOCIO

Informacin Informacin Activos de Software

ONTINUIDAD DEL NEGOCIO

RESPONSABLE DEL ACTIVO Intendente Jefatura Divisin de Planificacin y Desarrollo

EQUIPOS/SISTEMAS Correo Electrnico Web Mideplan

Jefatura Divisin de Anlisis y Control de la Gestin

Jefatura Divisin de Anlisis y Control de la Gestin

Jefatura Divisin de Anlisis y Control de la Gestin

Jefatura Divisin de Anlisis y Control de la Gestin

Jefatura Divisin de Anlisis y Control de la Gestin

Jefatura Divisin de Anlisis y Control de la Gestin

Jefatura Divisin de Anlisis y Control de la Gestin

Jefatura Divisin de Anlisis y Control de la Gestin

Jefatura Divisin de Anlisis y Control de la Gestin

Portal de Pago BancoEstado

Red de Expertos PMG-SSI Subsecretaria del Interior Direccin de Presupuestos

SI: CONTROL ISO REF. DS-83 (MATRIZ ANTIGUA) DOMINIO

DESCRIPCIN DEL ESTADO ACTUAL

Debe adjuntar poltica de seguridad con definiciones especificadas en requerimiento

Poltica General de Seguridad de la Informacin.

Debe adjuntar poltica de seguridad con definiciones especificadas en requerimiento

Poltica General de Seguridad de la Informacin.

Poltica General de Seguridad de la Informacin.

Debe adjuntar poltica de seguridad con definiciones especificadas en requerimiento

Poltica General de Seguridad de la Informacin.

Red de Expertos PMG-SSI Subsecretaria del Interior Direccin de Presupuestos

SI: CONTROL ISO REF. DS-83 (MATRIZ ANTIGUA) DOMINIO

DESCRIPCIN DEL ESTADO ACTUAL

Art. 12 Letra Contacto con grupos de c inters especial

A.6.1.6 Organizacin de la Seguridad de la Informacin

Contacto con las autoridades

No debe adjuntar documento

Patrick Stockins Encargado de Seguridad Jefe Divisin Administracin y Finanzas