PMG SSI: Los Dominios de Seguridad de la Información

El PMG SSI requiere de la aplicación de los Dominios Tecnológicos establecidos en la NCh ISO 27001. El Sistema de Seguridad de la Información – SGSI debe incluir a todos los activos de información identificados en la institución pública.

Para la aplicación de los Dominios de la NCh-ISO-27001 en los procesos de la institución, todas las áreas de la entidad deben participar en el desarrollo del Sistema de Gestión de Seguridad de la Información, de forma que se componga un equipo multidisciplinario que permita la asignación de responsabilidades y puedan especializarse en cada uno de los dominios de la NCh ISO 27001.

Estos Dominios de Seguridad incluyen todos los activos de la información a proteger y deben cumplirse en su totalidad.

Los objetivos de los dominios a evaluar contemplados en la ISO 27001 son los siguientes:

– Dominio Política de Seguridad

Este dominio tiene el objetivo de proporcionar a la institución el soporte y gestión para la seguridad de la información de acuerdo a los requerimientos institucionales y requisitos legales pertinentes. Establecer la política alineada a los objetivos institucionales demostrando el compromiso con la Seguridad de la Información.

– Dominio Organización de la Seguridad de la Información

El objetivo es el establecimiento de un marco referencial a nivel de dirección la implementación y seguimiento de la seguridad de la información en la institución.

La dirección debe establecer la política de seguridad, asignar los roles a los comités y designar al encargado mediante una resolución, el cual se encargará de coordinar y revisar todo el proceso. La idea es el enfoque multidisciplinario para la seguridad de la información.

– Dominio Gestión de Activos

El objetivo de este dominio es una protección apropiada de los activos de la institución.

Todos los activos deben ser inventariados y deben tener un responsable para que se mantengan los controles necesarios y se realice un manejo adecuado de los mismos.

– Dominio Seguridad de los Recursos Humanos

El objetivo de este dominio es el establecimiento de las medidas oportunas para velar por la seguridad de la información a nivel de manejo por parte de los recursos humanos de la institución.

Para ello, se vuelca en la definición, comunicación y capacitación de las responsabilidades y obligaciones en materia de seguridad a los funcionarios y personal a honorarios y terceros usuarios para evitar robos, fraudes, malos usos relacionados con la seguridad. Entre otras medidas.

– Dominio: Seguridad física y del ambiente

Este dominio tiene el objetivo de proteger las instalaciones de la institución y a la información sensible manejada en la institución. Establecimiento de barreras de seguridad y controles de entrada, salvaguarda de las instalaciones de apoyo, etc.

– Dominio: Gestión de las comunicaciones y operaciones

Este dominio tiene el objetivo de establecer los procedimientos y responsabilidades a nivel de operaciones para asegurar que se realicen correctamente los procesos relacionados con la información.

Se deben proteger los sistemas operativos, los sistemas de aplicación y los medios de procesamiento de la información que son vulnerables, estableciendo los controles necesarios para mantener su integridad.

– Dominio Control de Acceso

Este dominio tiene el objetivo de asegurar el acceso autorizado a los sistemas de información.

Para ello se llevan a cabo una serie de acciones como el establecimiento de procedimientos formales para el control de acceso, implementación de políticas para evitar los accesos no autorizados, la aplicación de controles que eviten el acceso no autorizado a la red…

– Dominio Adquisición, desarrollo y mantenimiento de los sistemas de información.

Aplicable a las instituciones que desarrollen software internamente o que lo contraten a terceros para su proceso de negocio. Para garantizar la seguridad se deben establecer los requerimientos en la etapa de desarrollo o implementación del software.

– Dominio: Gestión de incidentes en la seguridad de la información.

Se pretende con este dominio aplicar un proceso de mejora continua en la gestión de incidentes de seguridad de la información.

– Dominio: Gestión de la Continuidad del Negocio

Este dominio tiene como objetivo garantizar la continuidad operativa del negocio. Para ello se deben aplicar los controles necesarios para evitar o minimizar las posibles interrupciones o fallas de las actividades institucionales que puedan tener impacto.

– Dominio: Cumplimiento

Este dominio tiene el objetivo de garantizar el cumplimiento de los requisitos legales de seguridad aplicables al diseño, operación, uso y gestión de los sistemas de información.

Estos son los dominios explicitados en la NCh-ISO 27001. De ellos, los dominios de “gestión de activos”, “seguridad física y ambiental”, y “gestión de la continuidad del negocio” son aplicables tan sólo a procesos de provisión de bienes y servicios debidamente priorizados a través de las definiciones estratégicas.