Está en la página 1de 16

POLTICA GENERAL

SISTEMA DE GESTIN DE
SEGURIDAD DE LA INFORMACIN

PO.SGSI.01

Poltica General

Rev. 00 / 2016

Sistema de Gestin de Seguridad de la Informacin

Informacin del Documento


REV 00

Elaborado por:

Revisado por:

Aprobado por:

Nombre

Roberto Aguilera Gonzlez


Jefe Subdepartamento
Informacin y Anlisis

Cristian Castillo Silva


Jefe Departamento
Planificacin y Control de Gestin

Marcela Labraa Santana


Directora Nacional

Fecha

Firma

Control de Versiones
Nombre

Fecha

Dpto.

Elabor Roberto Aguilera Gonzlez

30/03/2016

Jefe Subdepartamento de Informacin y Anlisis

Revis

31/03/2016

Jefe Departamento Planificacin y Control de Gestin

Cristian Castillo Silva

Registro de Modificaciones (*)


N
0

Revisin
Fecha

Nombre/Dpto.
Emisor

31/03/2016

DEPLAE

Descripcin de la modificacin
Emisin

Aprob
DEPLAE

(*) La presente versin sustituye completamente a todas las precedentes, de manera que el ltimo del listado ser
el nico documento vlido de todos los registrados.

Servicio Nacional de Menores

Pgina N 2

Poltica General

Rev. 00 / 2016

Sistema de Gestin de Seguridad de la Informacin

TABLA DE CONTENIDOS

1.

INTRODUCCIN............................................................................................................................................ 4

2.

POLTICA DEL SGSI........................................................................................................................................ 6

3.

DEFINICIN DEL SGSI.................................................................................................................................... 7


3.1

4.

ALCANCE DEL SGSI .................................................................................................................................. 7


OBJETIVOS DEL SGSI ..................................................................................................................................... 9

4.1
4.2
5.

OBJETIVO GENERAL................................................................................................................................. 9
OBJETIVOS ESPECIFICOS .......................................................................................................................... 9
RESPONSABILIDADES DEL SGSI................................................................................................................... 10

5.1
5.2
5.3
5.4
5.5

DIRECTOR(A) NACIONAL DEL SENAME ................................................................................................... 10


ENCARGADO DE SEGURIDAD ................................................................................................................. 10
COMIT DE SEGURIDAD ........................................................................................................................ 10
RESPONSABLE DEL DOCUMENTO .......................................................................................................... 11
PERSONAL DE SENAME.......................................................................................................................... 11

6.

REVISIN, VALIDACIN Y DIFUSIN DEL SGSI ............................................................................................ 12

7.

CUMPLIMIENTO ......................................................................................................................................... 13

8.

SANCIONES ................................................................................................................................................ 14

9.

TRMINOS Y DEFINICIONES........................................................................................................................ 15

Servicio Nacional de Menores

Pgina N 3

Poltica General

Rev. 00 / 2016

Sistema de Gestin de Seguridad de la Informacin

1.

INTRODUCCIN

El Servicio Nacional de Menores (SENAME) es un organismo gubernamental centralizado y dependiente


del Ministerio de Justicia. Fue creado por el Decreto de Ley N 2.465 del 10 de Enero de 1979, que fija el
texto de su Ley Orgnica, y fue publicado en el Diario Oficial el 16 de Enero del mismo ao.
El SENAME tiene como objetivos estratgicos institucionales:

Restituir y/o reparar los derechos vulnerados de los nios/as y adolescentes por medio de
prestaciones de proteccin.

Reinsertar socialmente a adolescentes imputados y/o condenados/as conforme a estndares


definidos por la Ley 20.084.

Promover los derechos y prevenir la vulneracin de los mismos para nios/as y adolescentes.

Supervisar la atencin de los nios/as y adolescentes atendidos en la oferta del Servicio como a su
vez el uso eficiente de los recursos, a fin de mejorar la calidad de las prestaciones dando
cumplimiento a los estndares establecidos por el Servicio en concordancia con mandatos legales
aprobados por el Estado de Chile.

Actualizar continuamente la oferta dedicada a la atencin de nios, nias y adolescentes


vulnerados/as en sus derechos y la rehabilitacin de adolescentes que han infringido la ley, a fin de
adecuarlas a las polticas nacionales e internacionales sobre la materia y mandatos legales
aprobados por el Estado de Chile y en conformidad a estndares de calidad.

El SENAME reconoce que la informacin es un recurso que, como el resto de los activos, tiene valor para
la Institucin y por consiguiente, debe ser debidamente protegida. La prdida parcial de informacin
podra tener consecuencias graves para la gestin y, por ende, se deben implementar las salvaguardas
adecuadas para garantizar que los equipos, datos y los sistemas que los soportan, sean seguros.

Por esta razn, se establece esta Poltica del Sistema de Seguridad de la Informacin, el cual tiene como
objetivo proteger los activos de Informacin de una amplia gama de amenazas, a fin de garantizar la
continuidad de los sistemas de informacin, minimizar los riesgos de dao y asegurar el eficiente
cumplimiento de los objetivos de la Institucin.

Servicio Nacional de Menores

Pgina N 4

Poltica General

Rev. 00 / 2016

Sistema de Gestin de Seguridad de la Informacin

Esta poltica general, las polticas especficas y procedimientos de seguridad asociados, utilizarn como
marco de referencia los requerimientos del D.S. N 83/2004, del Ministerio Secretara General de la
Presidencia (Norma Tcnica para los rganos de la Administracin del Estado sobre Seguridad y
Confiabilidad de los documentos electrnicos) y las buenas prcticas definidas en la Norma Chilena NChISO 27001:2013, la que adicionalmente constituir el marco rector de todas las iniciativas de seguridad
adoptadas por el SENAME.

Servicio Nacional de Menores

Pgina N 5

Poltica General

Rev. 00 / 2016

Sistema de Gestin de Seguridad de la Informacin

2.

POLTICA DEL SGSI

La alta direccin del SENAME, a travs su Departamento de Planificacin y Control de Gestin, se


compromete a establecer, implementar, mantener y mejorar de manera continua un Sistema de Gestin
de Seguridad de la Informacin (SGSI) basado en la norma NCh-ISO 27001:2013.
Este Sistema de Gestin de Seguridad de la Informacin le ofrece al SENAME la capacidad de proteger,
preservar y administrar, la confidencialidad, integridad y disponibilidad de la informacin de la
institucin, salvaguardando la precisin de la misma.
Para estos efectos, se llevar a cabo un proceso de anlisis de riesgos y, de acuerdo a su resultado,
implementar acciones de mitigacin, con el fin de tratar aquellos que sean considerados crticos para el
servicio y segn corresponda al alcance definido del SGSI, y segn corresponda a los procedimientos de
identificacin y evaluacin de riesgos, de las guas metodolgicas elaboradas por la Red de Expertos del
Sistema de Seguridad de la Informacin -Monitoreo del Desempeo Institucional, Programa de
Mejoramiento de la Gestin-, conformada por la Divisin Informtica de la Subsecretara del Ministerio
del Interior, y la Divisin Tecnologas de la Informacin de la Direccin de Presupuestos del Ministerio de
Hacienda.
Por lo anterior SENAME identificar, valorar, tratar y monitorear los riesgos asociados con la
operacin de sus tareas, y de sus activos de la informacin, asegurando el eficiente cumplimiento de las
funciones sustantivas de la entidad apoyada en una adecuada gestin de dichos riesgos, mediante la
aplicacin de los controles consignados en el Anexo A del estndar NCh-ISO 27001:2013 y declarados en
el documento denominado "Declaracin de Aplicabilidad (SOA)", mediante el cual se establece la
aplicacin de estos controles del SGSI.
SENAME adems implantar las medidas requeridas para la formacin y toma de conciencia de sus
colaboradores y partes interesadas en todos los aspectos relacionados con la seguridad de la
informacin y del SGSI. A su vez, cuando los funcionarios y/o las terceras partes interesadas incumplan
la presente poltica de seguridad de la informacin o con las polticas derivadas de ella, la alta direccin
se reserva el derecho de aplicar las medidas disciplinarias vigentes en la institucin dentro del marco
legal aplicable, y dimensionadas al impacto que tengan sobre la institucin.

Servicio Nacional de Menores

Pgina N 6

Poltica General

Rev. 00 / 2016

Sistema de Gestin de Seguridad de la Informacin

3.

DEFINICIN DEL SGSI

El SGSI es el diseo, implantacin, mantenimiento de un conjunto de procesos y polticas para gestionar


eficientemente la accesibilidad de la informacin, buscando asegurar la confidencialidad, integridad y
disponibilidad de los activos de informacin minimizando a la vez los riesgos de seguridad de la
informacin.
3.1 ALCANCE DEL SGSI
El Alcance del SGSI es obligatorio para todo el personal del Servicio Nacional de Menores, aplicndose
a los activos de informacin de los procesos informticos (Tecnologas de la Informacin) en la
Direccin Nacional.

El SGSI ser aplicable a personal de planta, contrata, honorarios y tambin al personal externo que
preste o prestare servicios (contratistas), remunerados o no, al SENAME, ya sean integrantes de las
diferentes comisiones o comits que tienen acceso privilegiado a la Informacin. Adems, los
contratistas, vinculados a la entidad a travs de contratos o acuerdos con terceros, debern tomar
conocimiento de esta Poltica, relativa a todo activo de informacin que la organizacin posea en la
actualidad o futuro.

Los controles del Anexo 1, pertenecientes a la Norma Chilena Nch-ISO 27001:2013, que abordar el
sistema de gestin de seguridad de la informacin durante el periodo 2016, son los siguientes:
Clusula

Enumeracin
Objetivo / Controles
de controles

A.5.1
A.5
Polticas de Seguridad
5.1.1
de la Informacin
5.1.2
A.6
Organizacin de la
Seguridad de la
Informacin

A.6.1
6.1.1
6.1.2
6.1.3

A.8.1

Servicio Nacional de Menores

Poltica para la seguridad de la informacin


Revisin de las polticas de Seguridad de la Informacin
Objetivo: Organizacin Interna

A.7
A.7.1
Seguridad ligada a los
7.1.1
Recursos Humanos
A.8
Administracin
de Activos

Objetivo : Orientacin de la direccin para la Seguridad de la Informacin

Roles y responsabilidades de la seguridad de la informacin


Segregacin de funciones
Contacto con las autoridades
Objetivo: Previo al empleo

Seleccin
Objetivo: Responsabilidad por los activos

8.1.1
8.1.4

Inventarios de activos
Devolucin de activos
Pgina N 7

Poltica General

Rev. 00 / 2016

Sistema de Gestin de Seguridad de la Informacin

A.9.1

Objetivo: Requisitos de negocio para el control de acceso

9.1.1
A.9
Control de acceso

A.9.2

Objetivo: Gestin de acceso del usuario

9.2.3
A.9.4

A .11.1
11.1.1
A.11.2
11.2.1
11.2.4
11.2.7
11.2.8
11.2.9
A.12.1
12.1.1
A.12.3
A.12
Seguridad de
las Operaciones

12.3.1
A.12.4
12.4.4
A.12.5
12.5.1

A.13
Seguridad de las
Comunicaciones
A.15
Relaciones con
el Proveedor

A.13.1
13.1.1
A.15.1
15.1.1

A.16
A.16.1
Gestin de incidentes
16.1.1
de Seguridad de
la Informacin
16.1.2
A.18.1
A.18
Cumplimiento

Servicio Nacional de Menores

Gestin de derechos de acceso privilegiados


Objetivo: Control de acceso al sistema y aplicaciones

9.4.2
9.4.3

A.11
Seguridad Fsica y
del Ambiente

Poltica de control de acceso

18.1.1
18.1.3
18.1.4

Procedimientos de inicio de sesin seguro.


Sistema de gestin de contraseas
Objetivo: reas Seguras

Permetro de seguridad fsica


Objetivo: Equipamiento

Ubicacin y proteccin del equipamiento


Mantenimiento del equipamiento
Seguridad en la reutilizacin o descarte de equipos.
Equipo de usuario desatendido
Poltica de escritorio y pantalla limpios
Objetivo: Procedimientos operacionales y responsabilidades

Procedimientos de operacin documentados


Objetivo: Respaldo

Respaldo de informacin
Objetivo: Registro y Monitoreo

Sincronizacin de relojes
Objetivo: Control de Software de operacin

Control del software operacional


Objetivo: Gestin de la Seguridad de red

Controles de red
Objetivo: Seguridad de la Informacin en las relaciones con el Proveedor

Poltica de seguridad de la informacin para las relaciones con el


proveedor
Objetivo: Gestin de incidentes de seguridad de la informacin y mejoras

Responsabilidades y procedimientos
Informe de eventos en la seguridad de la informacin
Objetivo: Cumplimiento con los requisitos legales y contractuales

Identificacin de la legislacin vigente y los requisitos contractuales.


Proteccin de los registros.
Privacidad y Proteccin de la informacin de identificacin personal.

Pgina N 8

Poltica General

Rev. 00 / 2016

Sistema de Gestin de Seguridad de la Informacin

4.

OBJETIVOS DEL SGSI

4.1 OBJETIVO GENERAL


Lograr niveles adecuados de integridad, confidencialidad y disponibilidad para todos los activos de la
informacin institucional considerados relevantes dentro del alcance, con el objeto de asegurar
continuidad operacional de los procesos institucionales y servicios que desarrolla el SENAME, mediante
el resguardo de los activos de la informacin crticos asociados a los procesos del negocio y su soporte.

4.2 OBJETIVOS ESPECIFICOS

Proteger y resguardar la informacin, de acuerdo a la consideracin e identificacin de los riesgos


que pudieran materializarse sobre los activos de la informacin y las instalaciones de procesamiento
de sta, a travs de una adecuada evaluacin de los mismos, de forma de entender las
vulnerabilidades y las amenazas a las cuales estn expuestos.
Asignar recursos necesarios para el establecimiento, implementacin y mejora continua del sistema
de gestin de la seguridad de la informacin.
Establecer mecanismos de auditora y control de los activos de la informacin y tecnologas de
procesamiento.
Comunicar, sensibilizar e informar sobre los lineamientos de seguridad de la informacin a todos(as)
los(as) funcionarios(as) del SENAME.

Servicio Nacional de Menores

Pgina N 9

Poltica General

Rev. 00 / 2016

Sistema de Gestin de Seguridad de la Informacin

5.

RESPONSABILIDADES DEL SGSI

5.1 DIRECTOR(A) NACIONAL DEL SENAME


En su calidad de tal, tiene la responsabilidad de garantizar la implementacin efectiva de esta
Poltica dentro de su rea de competencia, debiendo procurar adems que se asignen suficientes
recursos humanos, materiales y financieros para implementarla. La alta direccin debe establecer
claramente el enfoque de la Poltica en lnea con los objetivos institucionales y demostrar su apoyo
y su compromiso con la seguridad de la informacin, promoviendo la mejora continua a travs de la
emisin y mantenimiento de esta Poltica General de Seguridad de la Informacin en toda la
Institucin y as asegurar que el SGSI logre su(s) resultado(s) esperado(s).

5.2 ENCARGADO DE SEGURIDAD


Tendr la responsabilidad de coordinar las actividades relacionadas a la gestin de la Poltica de
Seguridad de la Informacin dentro del SENAME, a travs de la ejecucin de las siguientes
funciones:
1.

Coordinar las actividades del Comit de Seguridad de la Informacin.

2.

Alinear la debida respuesta y priorizacin al tratamiento de incidentes y riesgos vinculados a los


activos de informacin de los procesos institucionales y sus objetivos de negocio.

3.

Monitorear el avance general de la implementacin de las estrategias de control y tratamiento


de riesgos.

4.

Mantener coordinacin con otras dependencias de la Institucin para apoyar los objetivos de la
seguridad de la informacin.

5.3 COMIT DE SEGURIDAD


Tendr la responsabilidad de gestionar la Poltica de Seguridad de la Informacin dentro del
SENAME, a travs de la ejecucin de las siguientes funciones:
1.

Supervisar la implementacin de procedimientos y estndares que se desprenden de la poltica


general de seguridad de la informacin.

Servicio Nacional de Menores

Pgina N 10

Poltica General

Rev. 00 / 2016

Sistema de Gestin de Seguridad de la Informacin

2.

Proponer estrategias y soluciones especficas para la implantacin de los controles necesarios


para implementar las polticas de seguridad establecidas y la debida solucin de las situaciones
de riesgo detectadas.

3.

Arbitrar conflictos en materias de seguridad de la informacin y sus riesgos asociados, adems


de proponer soluciones.

4.

Coordinarse con los Comits de Calidad y de Riesgos de la Institucin, para mantener


alineamiento y estrategias comunes de gestin.

5.

Reportar a la alta direccin respecto de oportunidades de mejora en el Sistema de Gestin de


Seguridad de la Informacin (SGSI), as como de los incidentes relevantes en esta materia y su
solucin.

5.4 RESPONSABLE DEL DOCUMENTO


Tiene que mantener la aplicabilidad de este documento acorde a las prcticas operacionales del
SENAME, por lo que es responsable de generar las modificaciones necesarias para que este siempre
actualizado. Adems es responsable de publicar y dar a conocer nuevas versiones del documento.

5.5 PERSONAL DE SENAME


Tendrn la responsabilidad de cumplir con lo formalizado en este documento y as garantizar que
los activos de informacin que se encuentren a su cargo estn protegidos contra el mal uso, robo,
falta de disponibilidad o destruccin. Debern trabajar en conjunto con los Directivos en todos los
aspectos de la seguridad de la informacin, para garantizar que se implementen controles y
procedimientos en forma adecuada y completa. Adems tendrn la responsabilidad de notificar
incidentes de seguridad y potenciales debilidades que pudieran identificarse.

Servicio Nacional de Menores

Pgina N 11

Poltica General

Rev. 00 / 2016

Sistema de Gestin de Seguridad de la Informacin

6.

REVISIN, VALIDACIN Y DIFUSIN DEL SGSI

El Comit de Seguridad de la Informacin de la Institucin revisar una vez al ao la presente Poltica, a


efectos de mantenerla actualizada. Asimismo, efectuar toda modificacin que sea necesaria en funcin
de posibles cambios que puedan afectar su definicin, como por ejemplo, cambios tecnolgicos,
variacin de los costos de los controles, impacto de los incidentes de seguridad, cambios legislativos,
entre otros.

La responsabilidad de la validacin y difusin de la Poltica de Seguridad de la Informacin al interior del


SENAME es del (la) Director(a) Nacional del Servicio, quien se apoyar para estos propsitos en los
Equipos Directivos de las Unidades Operativas a nivel nacional.

Los funcionarios tendrn acceso a esta Poltica en su ltima versin va Intranet en formato digital y ser
comunicado a travs de memorndum a todos los departamentos de la Direccin Nacional.

Los proveedores de Servicio de Tecnologas de Informacin que presten Servicios a la Institucin,


debern garantizar por escrito su respeto y cumplimiento de la presente Poltica de Seguridad de la
Informacin.

Servicio Nacional de Menores

Pgina N 12

Poltica General

Rev. 00 / 2016

Sistema de Gestin de Seguridad de la Informacin

7.

CUMPLIMIENTO

La presente Poltica General de Seguridad de la Informacin entra en vigencia una vez oficializada por el
(la) Director(a) Nacional del SENAME. Las jefaturas de los distintos departamentos, subdepartamentos y
unidades del servicio sern responsables de darlas a conocer a su personal subordinado.

Para el caso del personal que se contrate con posterioridad a la fecha de publicacin, se le deber
comunicar acerca de la existencia de la poltica, para conocimiento y acceso a la misma.

Servicio Nacional de Menores

Pgina N 13

Poltica General

Rev. 00 / 2016

Sistema de Gestin de Seguridad de la Informacin

8.

SANCIONES

Cualquier conflicto con las regulaciones debe ser informado inmediatamente al encargado de seguridad
del SGSI.

El incumplimiento de la Poltica del sistema de Gestin de Seguridad de la Informacin podr tener como
resultado la aplicacin de diversas sanciones en el mbito administrativo, civil y/o penal, conforme a la
magnitud y caracterstica del aspecto no cumplido o vulnerado.

Servicio Nacional de Menores

Pgina N 14

Poltica General

Rev. 00 / 2016

Sistema de Gestin de Seguridad de la Informacin

9.

TRMINOS Y DEFINICIONES

A los efectos de este documento, se aplican las siguientes definiciones:

Informacin: Se refiere a toda comunicacin o representacin de conocimiento como datos, en


cualquier forma, con inclusin de formas textuales, numricas, grficas, cartogrficas, narrativas o
audiovisuales, y en cualquier medio, ya sea magntico, en papel, en pantallas de computadoras,
audiovisual u otro.

Confidencialidad: proteccin de la informacin sensible ante divulgacin no autorizada.

Integridad: exactitud, configuracin y calidad de un activo de informacin.

Disponibilidad: preservacin de un activo de informacin y acceso a personas autorizadas a su uso.

Criticidad: nivel de riesgo que presenta una amenaza para la seguridad de un activo de informacin.

Autenticidad: validez de la informacin en origen, tiempo, forma y distribucin.

Legalidad: referido al cumplimiento de las leyes, normas, reglamentaciones o disposiciones a las


que est sujeta la Institucin y las personas.

Activos de Informacin: Corresponde a todos aquellos elementos relevantes involucrados en la


produccin, emisin, almacenamiento, comunicacin, visualizacin y recuperacin de valor para la
Institucin.

Sistema de Informacin: Se refiere a un conjunto independiente de recursos de informacin


organizados para la recopilacin, procesamiento, mantenimiento, transmisin y difusin de
informacin segn determinados procedimientos, tanto automatizados como manuales.

Tecnologa de la Informacin: Se refiere al hardware y software operados por la Institucin o por un


tercero que procese informacin en su nombre, para llevar a cabo una funcin propia de la
Institucin, sin considerar la tecnologa utilizada, ya sea se trate de procesamiento de datos,
telecomunicaciones o de cualquier otro tipo.

Confiabilidad de la Informacin: es decir, que la informacin generada sea adecuada para sustentar
la toma de decisiones y la ejecucin de las misiones y funciones.

Servicio Nacional de Menores

Pgina N 15

Poltica General

Rev. 00 / 2016

Sistema de Gestin de Seguridad de la Informacin

Seguridad de la Informacin: Conjunto de medidas preventivas y reactivas de las organizaciones y


de los sistemas tecnolgicos que permiten resguardar y proteger la informacin, buscando
mantener la confidencialidad, la disponibilidad e integridad de la misma.

Incidente de Seguridad: Un incidente de seguridad es un evento adverso que se produce al interior


de la Institucin, que compromete la confidencialidad, integridad, disponibilidad, legalidad y
confiabilidad de la informacin.

Evaluacin de Riesgos: evaluacin de las amenazas y vulnerabilidades relativas a la informacin y a


las instalaciones de procesamiento de la misma, la probabilidad de que ocurran y su potencial
impacto en la operatoria de la Institucin.

Gestin de Riesgos: proceso de identificacin, control y minimizacin o eliminacin, a un costo


aceptable, de los riesgos de seguridad que podran afectar a la informacin. Este proceso es cclico y
debe llevarse a cabo en forma peridica.

Comit de Seguridad de la Informacin: Cuerpo integrado por representantes de todas las reas
sustantivas de la Institucin, destinado a garantizar el apoyo manifiesto de las autoridades a las
iniciativas en el mbito de la seguridad de la informacin.

Encargado de Seguridad de la Informacin: Persona que cumple la funcin de implementacin,


cumplimiento y control de la presente Poltica y de asesorar en materia de seguridad de la
informacin a los integrantes de la Institucin que as lo requieran.

Servicio Nacional de Menores

Pgina N 16