Normativa

Decreto Supremo 1793 de reglamentación a la Ley 164

Artículo 3, Párrafo VI

  1. Seguridad informática: Es el conjunto de normas, procedimientos y herramientas, las cuales se enfocan en la protección de la infraestructura computacional y todo lo relacionado con ésta y, especialmente, la información contenida o circulante;
  2. Seguridad de la información: La seguridad de la información es la preservación de la confidencialidad, integridad y disponibilidad de la información; además, también pueden estar involucradas otras propiedades como la autenticidad, responsabilidad, no repudio y confiabilidad;
  3. Plan de contingencia: Es un instrumento que comprende métodos y el conjunto de acciones para el buen gobierno de las Tecnologías de la Información y Comunicación en el dominio del soporte y el desempeño, contiene las medidas técnicas, humanas y organizativas necesarias para garantizar la continuidad del servicio y las operaciones de una entidad, en circunstancias de riesgo, crisis y otras situaciones anómalas.

Artículo 4 Párrafo II, Inciso d)

Seguridad: Se debe implementar los controles técnicos y administrativos que se requieran para preservar la confidencialidad, integridad, disponibilidad, autenticidad, no repudio y confiabilidad de la información, brindando seguridad a los registros, evitando su falsificación, extravío, utilización y acceso no autorizado o fraudulento.

Artículo 8

Las entidades públicas promoverán la seguridad informática para la protección de datos en sus sistemas informáticos, a través de planes de contingencia desarrollados e implementados en cada entidad.

Decreto Supremo 2514 de Creación de la Agencia de Gobierno Electrónico y Tecnologías de Información y Comunicación – AGETIC

[ Descargar]

 

Artículo 8, Numeral 1

Se crea el Centro de Gestión de Incidentes Informáticos – CGII como parte de la estructura técnico operativa de la AGETIC.

Artículo 8, Numeral 2

El CGII tiene las siguientes funciones:

  • Establecer las políticas de gestión de incidentes informáticos gubernamentales y procedimientos para la atención y escalamiento de los mismos;
  • Establecer los lineamientos para la elaboración de Planes Institucionales de Seguridad de la Información de las entidades del sector público;
  • Establecer los lineamientos para la elaboración de Planes de Seguridad de Información de las entidades del sector público;
  • Desarrollar políticas y acciones para la prevención de incidentes informáticos en las entidades del sector público;
  • Evaluar la seguridad de los sistemas de información de las entidades del sector público, a solicitud de las mismas;
  • Monitorear los sitios web gubernamentales y la aplicación de las políticas y lineamientos definidos por la AGETIC;
  • Promover el desarrollo de prácticas de seguridad de la información con la sociedad en general;
  • Comunicar y otorgar información a todas las entidades del sector público acerca de incidentes informáticos y vulnerabilidades de que haya tomado conocimiento;
  • Prestar soporte técnico a las entidades del sector público en caso de que ocurriese un incidente informático;
  • Otorgar soporte técnico para la prevención de incidentes informáticos a las entidades del nivel central del Estado a solicitud de las mismas;
  • Realizar el seguimiento al desarrollo e implementación de los planes de seguridad de la información en las entidades y empresas públicas del nivel central del Estado;
  • Realizar pruebas a la seguridad de los sistemas de información de las entidades públicas, para realizar recomendaciones a las mismas, previo aviso y coordinación. El CGII no realizará ninguna acción que pueda perjudicar a las entidades públicas en el desarrollo cotidiano de sus actividades;
  • Coordinar la gestión de incidentes informáticos gubernamentales con entidades de similar función a nivel internacional;
  • Realizar otras tareas orientadas a la mejora de la seguridad de la información de las entidades del sector Público.

Obligaciones y Funciones del Responsable de Seguridad de la Información (RSI)

Respecto al Decreto Supremo 2514 de 9 de septiembre de 2015

Artículo 17. Obligaciones en materia de seguridad informática

  1. Los responsables de seguridad informática de todas las entidades del sector público deberán reportar la ocurrencia de incidentes informáticos que se produzcan en un plazo no mayor a veinticuatro (24) horas de conocido el hecho al CGII para contener, corregir, recuperar los servicios afectados y/o alertar al resto de las entidades del sector público, conforme a los procedimientos establecidos por el CGII.
  2. Las entidades públicas en las que ocurra un incidente informático deberán proporcionar la información necesaria al CGII respecto a los incidentes informáticos ocurridos, conforme a los procedimientos a ser establecidos por el CGII.
  3. Las entidades del sector público deberán desarrollar el Plan Institucional de Seguridad de la Información acorde a los lineamientos establecidos por el CGII.

Respecto a los Lineamientos para la Elaboración e Implementación de los Planes Institucionales de Seguridad de la Información de las Entidades del Sector Público (PISI).

Funciones:

  • Gestionar, elaborar e implementar el Plan Institucional de Seguridad de la Información (PISI)
  • Realizar la evaluación de riesgos de seguridad de la información en coordinación con los responsables de activos de información.
  • Proponer la Política de Seguridad de la Información (PSI), que estará incorporada dentro del PISI.
  • Gestionar el cumplimiento del PISI.
  • Elaborar manuales de procesos y/o procedimientos de seguridad específicos que se desprendan de los lineamientos del Plan Institucional de Seguridad de la Información y promover su difusión en la entidad o institución pública.
  • Sugerir prácticas de desarrollo de software seguro para generar procesos formales que tengan presentes los controles de seguridad necesarios para la entidad o institución.
  • Coordinar la inducción, capacitación y comunicación del personal, en el marco del PISI.
  • Gestionar y coordinar la atención y respuesta a incidentes de seguridad de la información en su entidad o institución.
  • Coadyuvar en la gestión de contingencias tecnológicas.
  • Proponer estrategias y acciones en mejora de la seguridad de la información.
  • Promover la realización de auditorías al Plan Institucional de Seguridad de la Información.
  • Gestionar la mejora continua de la seguridad de la información.
  • Sugerir medidas de protección ante posibles ataques informáticos que puedan poner en riesgo las operaciones normales de la Institución.
  • Realizar acciones de informática forense, en caso de ser necesario, para identificar, preservar, analizar y validar datos que puedan ser relevantes.
  • Monitorear la implementación y uso de mecanismos de seguridad, que coadyuven a la reducción de los riesgos identificados.
  • Otras funciones que resulten necesarias para preservar la seguridad de la información.

Respecto a la gestión de incidentes de seguridad de la información

  • Punto 9, Anexo A – controles de seguridad de la información PISI.
  • Los incidentes que no puedan ser solucionados deberán ser escalados al Centro de Gestión de Incidentes Informáticos por el RSI.