Política General de Seguridad de la Información PDF Imprimir E-mail
Viernes, 08 de Diciembre de 2017 12:07

1. Objetivos

El Servicio Nacional de Pesca y Acuicultura es una entidad pública dependiente del Ministerio de Economía, Fomento y Turismo, cuya misión es "contribuir a la sustentabilidad del sector y a la protección de los recursos hidrobiológicos y su medio ambiente, a través de una fiscalización integral y gestión sanitaria que influye en el comportamiento sectorial promoviendo el cumplimiento de las normas".

Objetivos estratégicos:

  • Contar con un enfoque de fiscalización integral eficaz para generar una disuasión efectiva de las conductas transgresoras.
  • Participar de la agenda normativa sectorial para contribuir activamente a un buen diseño y evaluación de las normas de manera que incorporen elementos claves para su cumplimiento.
  • Facilitar el cumplimiento de la norma a los/as usuarios/as sectoriales proveyendo servicios de calidad, de manera accesible, oportuna y con estándares definidos, para disminuir las conductas transgresoras.
  • Fortalecer la seguridad y transparencia del rol fiscalizador, para incrementar la capacidad institucional para realizar controles destinados a optimizar los procedimientos de fiscalización, asegurando la protección de los/as funcionarios/as y la Institución en estas tareas.
  • Potenciar el proceso modernizador en Sernapesca a fin de lograr la excelencia institucional para el cumplimiento de su misión, a través del desarrollo tecnológico y de las personas.

De acuerdo con lo anterior, la información que genera y gestiona la Institución constituye un activo estratégico clave para asegurar la prestación de los servicios y el cumplimiento de la misión institucional. En este contexto, la Política General de Seguridad de la Información está orientada a proteger la información en la totalidad de su ciclo de vida (creación, difusión, modificación, almacenamiento, preservación y eliminación), los medios que permiten dicho ciclo y las personas que acceden y/o manipulan la información; lo anterior, con el fin de garantizar su integridad, disponibilidad y confidencialidad.

2. Declaración de Intención de la Dirección

El Servicio Nacional de Pesca y Acuicultura protegerá los recursos de información y la tecnología usada para su procesamiento de las amenazas internas o externas, deliberadas o accidentales; con el fin de asegurar el cumplimiento de la confidencialidad, integridad, disponibilidad y confiabilidad de la información. Además de minimizar la pérdida o daño a la información que pueda interferir en la correcta entrega de la prestación de los servicios.

3. Principios de Seguridad de la Información

  • Promover una cultura organizacional orientada a la seguridad de la información.
  • Comprometer a las máximas autoridades de la Institución en la difusión, consolidación y cumplimiento de la política.
  • Implementar las medidas de seguridad comprometidas identificando los recursos y las partidas presupuestarias disponibles.
  • Mantener las políticas, normativas y procedimientos actualizados, con el fin de asegurar su vigencia y nivel de eficacia.
  • Promover prácticas que aseguren la continuidad en la prestación de los servicios que entrega la Institución de acuerdo con los dominios de seguridad establecidos.

4. Objetivos de la Gestión de Seguridad de la Información

4.1 Objetivo General:

Lograr niveles adecuados de integridad, confidencialidad y disponibilidad para toda la información institucional relevante, con el objeto de asegurar la prestación de los servicios que entrega el Servicio Nacional de Pesca y Acuicultura, mediante el resguardo de los activos de información asociados a los procesos críticos del negocio y su soporte.

4.2 Objetivos Específicos

  • Identificar y clasificar los activos de información de la Institución para lograr niveles adecuados de integridad, confidencialidad y disponibilidad de éstos.
  • Controlar, prevenir y/o mitigar los riesgos de seguridad de la información, identificando las vulnerabilidades y amenazas que enfrentan los activos, en orden a asegurar la prestación de los servicios que entrega la institución.
  • Establecer políticas, normas y procedimientos que permitan resguardar y proteger los activos de información de la Institución.
  • Definir un plan de difusión y capacitación que dé a conocer el sistema de seguridad de la información y las buenas prácticas asociadas a éste.

5. Alcance de la Política de Seguridad de la Información

5.1 Alcance General

SERNAPESCA tiene como tarea principal fiscalizar el cumplimiento de las disposiciones de la Ley General de Pesca y Acuicultura, con especial foco en desincentivar la pesca ilegal, lo que está definido, además, como objetivo estratégico institucional en el Formulario A-1 "Contar con un enfoque de fiscalización integral eficaz para generar una disuasión efectiva de las conductas transgresoras".

Conforme lo anterior, esta política centra su alcance en dos procesos que impactan directamente en el cumplimiento de este objetivo estratégico y que además forman parte de los procesos que la institución gestiona:

"Monitorear naves y embarcaciones pesqueras (VMS)" proceso a través del cual se controlan las operaciones de las flotas pesqueras industrial y artesanal (de mayor escala operativa) mediante monitoreo satelital, el que se efectúa a través de un sistema satelital de posicionamiento automático de naves pesqueras. Los datos obtenidos permiten focalizar de mejor forma las actividades de fiscalización en pos de desincentivar la pesca ilegal.

El alcance específico corresponde a la Dirección Nacional, Subdirección de Pesquerías, porque es allí donde está ubicado físicamente el centro de monitoreo satelital y dónde se efectúa la compilación y análisis de la información con la que posteriormente se retroalimenta a las Direcciones Regionales para que efectúen sus labores de fiscalización.

"Controlar Cuotas Industriales Individuales" proceso a través del cual se fiscaliza el cumplimiento de los límites máximos de captura establecidos, mediante de cuotas de captura asignadas a armadores/as industriales, Licencias Transables de Pesca o LTP y el Permiso Extraordinario de Pesca o PEP, de acuerdo con la normativa vigente.

Las cuotas de pesca corresponden a cantidades máximas de pesca asignadas a armadores/as inscritos en el Registro Pesquero Industrial. En base a esta información las Direcciones Regionales efectúan acciones de fiscalización con el fin de controlar que se cumplan con estas normas.

El alcance de este proceso se sitúa en la Subdirección de Pesquerías de la Dirección Nacional porque es ahí donde se consolida la información y se analiza, para posteriormente retroalimentar con ella a las Direcciones Regionales a fin de que se concreten las acciones de control que correspondan.

Cabe destacar que la información que se genera en ambos procesos es muy relevante para el logro del objetivo estratégico al que están asociados, y la misión institucional, por lo que el garantizar la integridad, disponibilidad y confidencialidad de los activos de mayor criticidad de cada uno de ellos es vital para la institución pues esto permite asegurar la continuidad del negocio.

5.2 Definición de los Activos de Información

Son todos aquellos elementos relevantes en la producción, emisión, almacenamiento, comunicación, visualización y recuperación de información de valor para la institución, en la que se distinguen tres niveles:

  • La información propiamente tal, en sus múltiples formatos (papel, digital, texto, imagen, audio, video, entre otros)
  • Los equipos/sistemas/infraestructura que soportan esta información
  • Las personas que utilizan la información, y que tienen el conocimiento de los procesos institucionales.

5.3 Definición de la Seguridad de la Información

El Servicio Nacional de Pesca y Acuicultura entiende que la Seguridad de la Información es la protección de los activos de información contra una amplia gama de amenazas para asegurar la continuidad de la prestación de los servicios, minimizar el daño a la institución y maximizar la eficiencia y las oportunidades de mejora de la gestión de la organización.

6. Aspectos Generales de la Política de Seguridad de la Información

  • La Política General de Seguridad de la Información ha sido elaborada en concordancia con la legislación vigente en el país, considerando, además, su compatibilidad con las prácticas sugeridas en la NCh-ISO 27001:2013.
  • La Dirección se compromete a realizar las acciones que estén a su alcance para garantizar la seguridad de la información, la prestación de los servicios y coadyuvar a la continuidad operativa de manera de hacer frente a las interrupciones de las actividades institucionales y proteger los procesos críticos de los efectos de fallas importantes o desastres en los sistemas de información y asegurar su reanudación oportuna.
  • La Política General de Seguridad de la Información es aprobada mediante resolución exenta por el/la Director/a Nacional de Pesca y Acuicultura.
  • La implementación de la presente política y sus controles será de responsabilidad del Director Nacional y su equipo directivo a nivel nacional, además del Comité de Seguridad de la Información y el Encargado Técnico de Seguridad de la Información.
  • La evaluación del cumplimiento de la presente política y sus controles se efectuará a través de un diagnóstico en base a la evaluación de riesgos y la planificación de las acciones para disminuir brechas.
  • El incumplimiento de la Política General de Seguridad de la Información tendrá como resultado la aplicación de diversas sanciones, conforme a la magnitud y características del aspecto no cumplido y según lo establecido en la legislación aplicable.

7. Evaluación y revisión

La Política General de Seguridad de la Información será revisada cada tres años o a requerimiento del/de la directora/a Nacional o del Comité de Seguridad de la Información o frente a cualquier cambio en el contexto de la institución.

8. Mecanismos de Difusión

La presenta Política General es difundida a todo el personal de SERNAPESCA, a través de la intranet institucional, y de reuniones y charlas informativas para difusión de la política y a terceros que presten servicios en la institución y entidades externas relevantes, a través de la web institucional.

9. Marco de Control de la Seguridad de la Información

Los controles de Seguridad de la Información se establecen en base a la NCh-ISO 27001:2013, a través de lo especificado en cada uno de los dominios de seguridad.

El marco para fijar los controles estará dado por el diagnóstico del estado de la seguridad de la información institucional, la evaluación de riesgos de seguridad de la información y la planificación de las acciones para cubrir las brechas detectadas. Además de la mantención, evaluación y mejoramiento de los controles posterior a la etapa de implementación efectuada.

9.1 Otras Políticas

Esta política se apoya en las siguientes políticas:

  • Segregación de Funciones (A.06.01.02)
  • Recursos Humanos (A.07.01.02 – A.07.02.01 – A.07.03.01)
  • Devolución de Activos (A.08.01.04)
  • Uso de Medios de Almacenamiento Removibles (A.08.03.01 – A.08.03.02)
  • Control de Acceso (A.09.1.1 – A.09.04.05)
  • De Acceso a Redes y Servicios de Red (A.09.01.02)
  • De gestión de Derechos de Accesos Privilegiados (A.09.02.03)
  • De Gestión de Contraseñas (A.09.04.03)
  • De Seguridad Física y Ambiental (A.11.01.01 – A.11.01.02 – A.11.01.03 – A.11.01.04 – A.11.01.06)
  • Seguridad en el Cableado (A.11.02.03)
  • Mantenimiento de Equipamiento (A.11.02.04)
  • Uso de Equipos Computacionales (A.11.02.08)
  • De Escritorio y Pantalla Limpios (A.11.02.09)
  • Separación de los Ambientes de Desarrollo, Prueba y Operaciones (A.12.01.04)
  • Respaldo y Protección de Registros (A.12.03.01 – A.18.01.03)
  • De Instalación de Software en Sistemas Operacionales (A.12.05.01)
  • De Controles de Red (A.13.01.01)
  • De Seguridad de los Servicios de Red (A.13.01.02)
  • De Segregación de Redes (A.13.01.03)
  • De Desarrollo Externalizado (A.14.02.07)
  • De Seguridad de la Información para las Relaciones y Acuerdos con el Proveedor (A.15.01.01 - A.15.01.02)
  • De Continuidad de la Seguridad de la Información (A.17.01.01)

Además, la presente política se complementa con los siguientes procedimientos y manuales:

  • Manual de Roles y Responsabilidades de la Seguridad de la Información (A.06.01.01)
  • De Contacto con Autoridades (A.06.01.03)
  • De Contacto con Grupos de Interés Especiales (A.06.01.04)
  • De Elaboración y Actualización del Inventario de Activos de Información (A.08.01.01)
  • De Inicio de Sesión Seguro (A.09.04.02)
  • Para Informar Eventos de Seguridad y Vulnerabilidades de la Información (A.16.01.02 -A.16.01.03)
  • Marco Normativo para la Identificación de Requisitos Legales y Contractuales (A.18.01.01)

10. Responsabilidades en Materia de Seguridad de la Información

La política de seguridad de la información es de aplicación obligatoria para todo el personal de la institución, cualquiera sea su calidad jurídica, el área a la cual pertenezca y cualquiera sea el nivel de las tareas que desempeñe. A continuación, se detallan algunas de las responsabilidades asociadas a la seguridad de la información institucional. Para mayor abundamiento en temas en esta materia revisar documento "Manual de Roles y Responsabilidades".

10.1 Director/a Nacional

  • Aprobar la Política de Seguridad de la Información institucional.
  • Validar el proceso de gestión de seguridad de la información.
  • Sancionar las estrategias y mecanismos de control para el tratamiento de riesgos que afecten a los activos de información institucionales, que se generen como resultado de los reportes o propuestas del Comité de Seguridad de la Información (CSI).
  • Proveer los recursos necesarios para la ejecución de un Sistema de Seguridad de la Información.

10.2 Comité de Seguridad de la Información

  • Revisar y proponer al/a la Director/a Nacional, para su aprobación, la Política de Seguridad de la Información.
  • Aprobar el inventario de activos de información institucional y su análisis de riesgo.

Supervisar la implementación de procedimientos y estándares que se desprenden de las políticas de seguridad de la información.

  • Proponer estrategias y soluciones específicas para la implantación de los controles necesarios para implementar la política de seguridad establecidas y la debida solución de las situaciones de riesgo detectadas.
  • Arbitrar conflictos en materia de seguridad de la información y los riesgos asociados, y proponer soluciones.
  • Coordinarse con los Comités de Calidad y de Riesgos de la institución, para mantener alineamiento y estrategias comunes de gestión.
  • Reportar a la Alta Dirección, respecto a oportunidades de mejora en materia de Seguridad de la Información, así como los incidentes relevantes y su solución.

10.3 Directivos

  • Ejercer un fuerte liderazgo y compromiso en orden a asegurar el mejoramiento de los procesos en relación a la seguridad de la información.
  • Participar de las auditorias a los sistemas y actividades vinculadas con la tecnología de información, debiendo informar sobre el cumplimiento de las especificaciones y medidas de seguridad de la información establecida por esta Política y por las normas, procedimientos y prácticas que de ella surjan.
  • Informar al encargado de seguridad, los cambios en la infraestructura, roles, responsabilidades, entre otros que puedan incidir en la correcta protección de los activos de información.
  • Ser responsable de conocer y cumplir la Política de Seguridad de la Información vigente y todas las normas y procedimientos establecidos por la Institución en esta materia.

10.4 Encargado/a de Seguridad de la Información Institucional

Es un funcionario nombrado por el/la Director/a Nacional como su asesor/a directo/a en materia de seguridad de la información. El Encargado/a de Seguridad de la Información tendrá las siguientes funciones y responsabilidades:

  • Organizar las actividades del Comité de Seguridad de la Información.
  • Tener a su cargo el desarrollo inicial de las políticas de seguridad al interior de la institución y el control de su implementación; y velar por su correcta aplicación.
  • Supervisar el monitoreo del avance general de la implementación de las estrategias de control y tratamiento de riesgos.
  • Gestionar la coordinación con otras unidades del Servicio para apoyar los objetivos de seguridad.
  • Supervisar el establecimiento de puntos de enlace con los encargados de seguridad de otros Servicios públicos y especialistas externos que le permitan estar al tanto de las tendencias, normas y métodos de la seguridad pertinentes.
  • Asesorar y asistir a cada una de las áreas en la definición de los criterios mencionados.

10.5 Encargado/a Técnico de Seguridad de la Información Institucional

Es un funcionario nombrado por el/la Encargado/a de Seguridad de la Información Institucional como su asesor directo en materia técnica de seguridad de la información. El/la Encargado/a Técnico de Seguridad de la Información tendrá las siguientes funciones y responsabilidades:

  • Gestionar operativamente las soluciones a los incidentes de seguridad de la información que afecten los activos de la información institucionales.
  • Elaborar y gestionar el inventario de activos de la información institucional.
  • Monitorear el avance de cada una de las etapas de la implementación de la Política de Seguridad de la Información, en sus diversos aspectos, reportando periódicamente al/a la Encargado/a de Seguridad de la Información.
  • Establecer puntos de enlace con los encargados técnicos de seguridad de otros Servicios Públicos y especialistas externos que le permitan estar al tanto de las tendencias, normas y métodos de la seguridad pertinentes.
  • 10.6 Jefe/a departamento TIC

    • Cumplir con los procedimientos relativos a los dominios de control de acceso; adquisición, desarrollo y mantenimiento de los sistemas de información y gestión de las comunicaciones y operaciones.
    • Gestionar los requerimientos de seguridad informática establecidos para la operación, administración y comunicación de los sistemas y recursos de tecnología de la institución.
    • Gestionar las tareas de desarrollo y mantenimiento de sistemas, siguiendo una metodología de ciclo de vida de sistemas apropiada, y que contemple la inclusión de medidas de seguridad en los sistemas en todas las fases.

    10.7 Propietarios de los Activos de la Información

    Esta función recae en los/as Directores/as Regionales y Jefes/as de departamentos y unidades, o aquellos/as que la Dirección asigne, quienes deberán:

    • Clasificar los activos de información de acuerdo con el grado de sensibilidad y criticidad de los mismos, documentar y mantener actualizada la clasificación efectuada.
    • Definir qué usuarios/as deberán tener permisos de acceso a la información de acuerdo con sus funciones y competencia.
    • Participar de las auditorías a los sistemas y actividades vinculadas con la tecnología de información, debiendo informar sobre el cumplimiento de las especificaciones y medidas de seguridad de la información establecida por esta Política y por las normas, procedimientos y prácticas que de ella surjan.
    • Ser responsable de conocer y cumplir la Política de Seguridad de la Información vigente y todas las normas y procedimientos establecidos por la Institución en esta materia.

    10.8 Jefe/a departamento de las Personas

    • Cumplir con los procedimientos relativos al dominio de Seguridad de Recursos Humanos.
    • Notificar a todo el personal que ingresa, sus obligaciones respecto del cumplimiento de la Política de Seguridad de la Información y de todas las normas, procedimientos y prácticas que de ella surjan.
    • Ejecutar tareas de capacitación continuas en materia de seguridad de la información.
    • Definir y coordinar un Plan de Capacitación y Sensibilización en temas de seguridad de la información, el cual se estructura en base a requerimientos del encargado de seguridad.

    10.9 Subdirector/a jurídico/a

    • Cumplir con los procedimientos relativos al dominio de Cumplimiento.
    • Definir, documentar y actualizar todos los requerimientos estatutarios, reguladores y contractuales relevantes en materia de seguridad de la información, y el establecer enfoque de la institución para satisfacer esos requerimientos, para cada sistema de información y la Institución.
    • Velar por la incorporación de las cláusulas en materia de seguridad de la información, en los contratos, acuerdos u otra documentación que la institución firme con funcionarios personal a honorarios o terceras partes.
    • Asesorar en materia legal, asociada a seguridad de la información, a la institución y establecer las pautas legales que permitan cumplir con los requerimientos legales en esta materia.

    10.10 Departamento de Auditoría Interna

    • Practicar auditorias periódicas sobre los sistemas y actividades vinculadas con la tecnología de información, debiendo informar sobre el cumplimiento de las especificaciones y medidas de seguridad de la información establecida por esta Política y por las normas, procedimientos y prácticas que de ella surjan.
    • Informar de forma periódica, al encargado de seguridad, el resultado de las auditorías realizadas.
    • Proponer soluciones a las debilidades encontradas en las auditorias e informarlas al/a la Director/a Nacional y al Comité de Seguridad de la Información.
    • Monitorear el avance de cada una de las etapas de la implementación del Sistema de seguridad de la información reportando periódicamente al jefe de servicio.

    Para más información respecto de los roles y responsabilidades consulte el documento "Manual de roles y responsabilidades".

    11. Excepciones

    No aplica

    12. Actuación ante eventos e incidentes

    En la eventualidad de ocurrir algún incidente relativo a las medidas de seguridad indicadas en esta política, la persona que lo detecte debe informar a la brevedad al Encargado de Seguridad de la Información, el cual analiza y canaliza el incidente, para luego tomar las medidas necesarias para minimizar los potenciales daños a los activos de información definidos por SERNAPESCA, y generar una base de conocimientos que permita prevenir la ocurrencia de incidentes y así, dar cumplimiento a esta política.

    13. Referencia Normativas

    La presente Política y documentos asociados a la seguridad de la información han sido elaborados en base a la siguiente documentación:

    • Ley N° 18.892, noviembre 1989: Ley General de Pesca y Acuicultura del Ministerio de Economía, Fomento y Reconstrucción.
    • Ley N° 19.880, mayo de 2003: Establece bases de los procedimientos administrativos que rigen los actos de los órganos de la administración del Estado. Ministerio Secretaría General de la Presidencia.
    • Ley N° 20.285, agosto de 2oo8: Regula el principio de transparencia de la función pública y el derecho de acceso a la información de los órganos de la administración del Estado. Ministerio Secretaría General de la Presidencia.
    • Decreto Supremo N° 83, del Ministerio de Secretaria General de la Presidencia, del 12 de enero de 2005, norma técnica para los Órganos de la Administración del Estado sobre seguridad y confidencialidad de los documentos electrónicos.
    • NCh-ISO 27001:2013 Sistema de Gestión de la Seguridad de la Información. Requisitos.
    • NCh-ISO 27002:2013, Tecnología de la información – Código de prácticas para la gestión

    Para más información respecto del marco regulatorio consulte el documento "Marco Normativo para la identificación de requisitos legales y contractuales".


    HISTORIA E IDENTIFICACIÓN DE LOS CAMBIOS
       Versión Fecha Modifica Pricipales Cambios Efectuados
    1.031.03.2011Comité de Seguridad de la InformaciónVersión inicial
    1.128.07.2011Comité de Seguridad de la Información- Se precisa la definición de activo de información.

    - Se especifican las actividades de cada proceso asociado a los activos de información.

    - Se acota definición de incidente de seguridad para incluir los conceptos personas y documentos.
    1.217.07.2012Comité de Seguridad de la Información- Eliminación de definición de procesos de soporte, procesos de control y mejor y procesos de bienes y servicios.

    - Se modifica el plazo para revisión de la política de seguridad y se incluye la responsabilidad de cumplimiento evaluación de la política.

    - Se incluyen el marco de control de la seguridad de la información en cuanto a estructura del sistema y aspectos generales a controlar.

    - Se incluyen las responsabilidades de otros agentes participantes del proceso de seguridad de la información.⋅ Se incluye una referencia documental.
    1.320.10.2014Encargado de SeguridadSe agrega un nuevo punto en la sección de cumplimiento y una nueva tarea en la sección de responsabilidad
    1.402.11.2015Encargado de SeguridadSe Actualiza la Misión y los objetivos estratégicos, acorde a los señalados en el documento A1.

    Se actualiza la norma de SII, a la actual, Nch 27001 Of 2013, donde esta es mencionada.Se incluye una responsabilidad más para la unidad de Auditoría Interna.
    1.518.11.2015Encargado de SeguridadSe agrega rol de Encargado Técnico de Seguridad de la Información Institucional.
    1.628.09.2016Encargado de SeguridadSe ajustan detalles menores al contenido de la Política y se actualiza los nombres de los responsables en los puntos: 8.8, 8.9 y 8.10
    1.713.06.2017Encargado de SeguridadSe modifica la misión declarada en el punto 1 de la Política y los objetivos estratégicos asociados al A1 declarado en DIPRESS.

    Se modifica el alcance definido y aprobado por el Comité de Seguridad de la Información en el punto 5. Ajuste de las funciones y responsabilidades del Encargado Técnico de Seguridad de la Información en el punto 8.4
    1.813.11.2017Encargado de SeguridadSe agrega un ítem para las "Excepciones", para la Actuación ante eventos e incidentes, desplazando la numeración del índice del documento.

    En las responsabilidades del Comité de Seguridad de la Información se quita la coordinación con el "Comité de Calidad" debido a que no existe en la estructura actual del Sernapesca.

    Se ajustan los títulos y contenidos para los ítems Evaluación y revisión, y Mecanismo de Difusión de la política.

    Se ajusta la referencia normativa dado que existen decretos y circulares que han sido derogadas.

    Se agrega una nueva responsabilidad para el Encargado Técnico de Seguridad de la Información.

    Producto de las modificaciones a los títulos de la Política se ajusta también el índice del documento.

 
spamme@sernapesca.cl spamme@sernapesca.cl jose.arcadio.buendia@sernapesca.cl jose.arcadio.buendia@sernapesca.cl