Política de Seguridad de la Información
Última versión de Políticas de Seguridad de la Información en el Ministerio del Interior.
1. Antecedentes
Este documento sustituye al documento denominado “Política de Seguridad de la Información para el Ministerio del Interior” en su 1ra edición publicada en Resolución Ministerial B-6854 de fecha 29 de Enero de 2013, contenida en expediente 2013-4-1- 0000965.
2. Introducción
La seguridad de la información se consigue implantando un conjunto adecuado de controles, tales como Políticas, Procedimientos, Estructuras Organizativas, así como Capacitación, Software e Infraestructura. Estos controles deberán ser establecidos para asegurar los objetivos de seguridad del Organismo. Se caracteriza como la preservación de:
a) su confidencialidad: asegurando que sólo quienes estén autorizados pueden acceder a la información.
b) su integridad: asegurando que la información y sus métodos de proceso son exactos y completos.
c) su disponibilidad: asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran.
3. Objetivos
Son objetivos de la máxima Jerarquía del Ministerio del Interior: • Generar el marco organizativo necesario para el adecuado manejo de la Seguridad de la Información en el Inciso. • Definir, asignar roles y responsabilidades para la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI), comprometiéndose a desarrollar, implantar, mantener y mejorar continuamente el mencionado Plan. • Reconocer la importancia de identificar y proteger sus activos de información. Para ello, evitará la destrucción, divulgación, modificación y utilización no autorizada de cualquier información.- • Declarar el cumplimiento estricto con la normativa y legislación vigente relacionada con aspectos de seguridad de la información.
4. Alcance
La presente política de Seguridad de la Información es de aplicación obligatoria para todas las Unidades Ejecutoras del Ministerio del Interior, y debe ser conocida y cumplida por todo el personal del mismo independiente del cargo que desempeñe y de su situación contractual. Esta se integrará a la normativa básica del Organismo, incluyendo su difusión previa, y la instrumentación de las sanciones correspondientes por incumplimiento de la presente política así como de los documentos relacionados.
5. Exclusiones
En ningún caso, los roles asignados a Seguridad de la Información en el Ministerio del Interior, intervendrán en actividades de investigación de delitos que desarrollen otras Unidades Policiales Operativas; sin embargo, cualquier dependencia que tome conocimiento de un hecho que eventualmente podría atentar contra la seguridad de la infraestructura o afectar a sus usuarios, deberán ponerlo en conocimiento del Responsable de Seguridad de la Información a fin de adoptar las medidas necesarias.
6. Política
Es política del Ministerio del Interior:
a)- Establecer objetivos anuales con relación a la Seguridad de la Información.
b)- Desarrollar un proceso de evaluación y tratamiento de riesgos de seguridad, y de acuerdo a su resultado implementar las acciones correctivas y preventivas correspondientes, así como elaborar y actualizar el plan de acción.
c)- Clasificar y proteger la información de acuerdo a la normativa vigente y a los criterios de valoración en relación a la importancia que posee para el Organismo.
d)- Cumplir con los requisitos del servicio, legales o reglamentarios y las obligaciones contractuales de seguridad.
e)- Brindar concientización y formación en materia de seguridad de la información a todo el personal.
f)- Contar con una Política de Gestión de Incidentes de Seguridad de la Información dacuerdo a los lineamientos establecidos por el CertUy.
g)- Establecer que todo el personal es responsable de registrar y reportar las violaciones a la seguridad, confirmadas o sospechadas de acuerdo a los procedimientos correspondientes.
h)- Establecer los medios necesarios para garantizar la continuidad de las operaciones del Organismo.
7. Responsabilidades
A)- El Organismo designará un Responsable de Seguridad de la Información, cuyos objetivos serán: • Promover el cumplimiento con la normativa y legislación vigente relacionadas con aspectos de Seguridad de la Información. • Guiar, implementar y el mantener el Sistema de Gestión de Seguridad de la Información (SGSI) del Ministerio del Interior. • Elaborar, promover y mantener la Política de Seguridad de la Información. • Elaborar la Política de Gestión de Riesgos y definir los Planes de Continuidad de Negocio y de Recuperación ante Desastres. • Elaborar la Política de Gestión de Incidentes y los procedimientos asociados. • Proponer nuevas políticas y objetivos en materia de Ciberseguridad, cuyo fin sea mitigar el impacto de ciberincidencias en activos críticos la Institución.
B)- El Organismo designará un Grupo de Seguridad de la Información, cuyos objetivos serán: • Colaborar y asesorar en la formulación de planes relacionados con la Seguridad de Información al Responsable de Seguridad de la Información del Inciso. • Analizar la Política de Seguridad de la Información, Políticas complementarias y documento del Sistema de Gestión de Seguridad de la Información (SGSI) con el fin de proponer actualizaciones y controlar cambios que afecten a activos de la información del Ministerio del Interior.
• Plantear y analizar iniciativas que apunten a mejorar la Seg.Información en la Institución.
• Participar en la identificación de necesidades de capacitación de los usuarios en materia de SI.
• Promover la difusión y apoyo a la seguridad de la información dentro de las unidades ejecutoras.
• Participar en actividades de Análisis de Riesgos (evaluación de activos, identificación de amenazas, evaluación de riesgos e implementación de controles).
• Participar en el Análisis del Procedimiento de Gestión de Incidentes.
• Reportar y registrar detalladamente cualquier incidente, vulnerabilidad y oportunidad de mejora en materia de SI.
• Ser el punto de contacto con los Referentes de Seguridad de la Información asignados en cada dependencia.
C)- Los Directores Nacionales y/o Jefes de cada Unidad Ejecutora del Ministerio del Interior serán responsables por:
• Generar las condiciones adecuadas para la ejecución y comunicación de la presente política.
• Designar un Referente en Seguridad de la Información cuyas función será colaborar a requerimiento del Grupo de Seguridad de la Información del Ministerio del Interior para identificar activos críticos de la información dentro de su ámbito. El mismo se deberá alinear a las Políticas, Guías y Procedimientos institucionales en materia de Seguridad de la Información.
8. Vigencia
La presente política entrará en vigencia al momento de su aprobación por el Jerarca del inciso y será revisada en función de sus necesidades. La versión mas actualizada de la misma es la que estará disponible en Sección “Políticas y Procedimientos” de la Intranet de Secretaría del Ministerio del Interior.