Antecedentes
El Departamento de Tecnología y Sistemas de la Información (DTI) es el encargado de
planificar, implementar y administrar la infraestructura TIC que permita proveer los
servicios tecnológicos que demanda la institución.
En el marco del Plan Estratégico 2014-2017 y con el objeto de minimizar los riesgos a lo
que está expuesta la información, estamos trabajando en la implementación de un
Sistema de Gestión de la Seguridad de la Información (SGSI) basado en la norma ISO
27000. A la fecha hemos logrado la implementación parcial de los controles siguientes:
Los privilegios de los usuarios finales quedan suspendidos con prontitud, en el caso de
que la persona haya sido despedida, transferida, ascendida, dada de permiso sin
remuneración o, de algún otro modo, ya no desempeñe el mismo cargo.
Control de accesos
a) Gestión de accesos a los usuarios
La gestión de accesos a los usuarios a la red de la ONE ,está pautada y controlada por la
política de creación y/o cancelación de usuarios, identificada como ARI-GST-02, en esta
se especifican los procedimientos a realizar para la creación y/o cancelación de usuarios
en la red institucional, así como los permisos por nivel funcional, operacional o los
privilegios especiales y derechos de acceso de los mismos. Los usuarios solo pueden
acceder a la información que necesitan y están aprobados a ver y/o modificar.
1
República Dominicana
Oficina Nacional de Estadística
Ministerio de Economía,
Planificación y Desarrollo
Todos los equipos Informaticos que brindan servicio a la ONE están ubicados en el centro
de datos, el cual esta adecuado en base a las normas existentes.
Así mismo existen las políticas relacionadas al control de entrada y salida de equipos
Informaticos, todas ellas alineadas al dominio 11.2 de la norma ISO-27002.
2
República Dominicana
Oficina Nacional de Estadística
Ministerio de Economía,
Planificación y Desarrollo
Energía eléctrica segura (UPS) con dos unidades UPS, de 70Kva y 40Kva
respectivamente.
Dos unidades de aire acondicionado de precisión de 9.0 toneladas cada una.
Y se está en proceso de tramitar la adquisición de un generador eléctrico de
emergencia de unos 90Kva para uso exclusivo del centro de datos.
Seguridad en la Operativa
a) Protección contra código malicioso
Una de las herramientas instalada para cumplir con el control de código malicioso es un
sistema de anti-virus de los mejores del mercado para la prevención, detección y
eliminación de virus Informaticos, códigos maliciosos en las computadoras personales y
servidores. Así como la verificación de todo correo electrónico que sale y entra a la
institución a los fines de proteger la disponibilidad de la información estadística .
b) Copias de seguridad
La Unidad de almacenamiento que contiene las bases de datos estadísticas cuenta con
niveles de redundancia de hasta un tercer nivel, los discos duros se encuentran
configurados en niveles de RAID-5, además de que la unidad como tal posee, dos discos
adicionales o "spare", lo que permite la disponibilidad y seguridad de la información ante
una eventual salida de uno de los discos duros, así como también doble controladora de
comunicación vía fibra óptica, conectadas a los servidores mediantes switches de red de
fibra, para tener en funcionamiento lo que es técnicamente conocido como SAN (Storage
Área Network).
3
República Dominicana
Oficina Nacional de Estadística
Ministerio de Economía,
Planificación y Desarrollo
Los administradores de las bases de datos, conceden los permisos correspondientes a los
usuarios internos (analistas) para que estos realicen las tabulación y el procesamiento
requerido, solo las personas autorizadas (en su sentido amplio podríamos referirnos
también a sistemas) pueden conocer los datos o la información correspondiente.
Con relación a la integridad de los datos solo las personas autorizadas (en su sentido
amplio podríamos referirnos también a sistemas) pueden conocer los datos o la
información correspondiente de acuerdo a lo establecido en las políticas institucionales.
4
República Dominicana
Oficina Nacional de Estadística
Ministerio de Economía,
Planificación y Desarrollo
Así mismo los accesos a las bases de datos que son públicas en la web, están controlados
y protegidos con la implementación de un sistema de firewall, un IDS e IPS.
Sin embargo, existen base de datos en MS-Access que están bajo la administración de los
usuarios finales y que se encuentra en proceso de transición a la División de Plataforma
del DTI.
5
República Dominicana
Oficina Nacional de Estadística
Ministerio de Economía,
Planificación y Desarrollo
Sin embargo, en la actualidad el DTI recomienda que todas las bases de datos de la ONE
pasen a ser gestionadas por el área de Bases de Datos y se abandone la práctica de
poseer localmente en los computadores las mismas.