Академический Документы
Профессиональный Документы
Культура Документы
PROCEDIMIENTO
PRELIMINAR DE
CONTROL DE
ACCESO
Tabla de Contenidos
1 OBJETIVO GENERAL
1.1
1.2
1.3
1.4
4
5
5
6
Objetivos especficos
Alcance
Marco Referencial
Control de documentos
2 CONTROL DE ACCESOS
7
7
7
7
7
8
8
8
8
8
9
9
9
9
9
10
10
10
10
11
11
11
12
3 GLOSARIO DE TRMINOS
13
1. OBJETIVO GENERAL
1.2 Alcance
Esta poltica se aplica a todos los funcionarios, servidores pblicos a honorarios y terceras partes
que tengan derechos de acceso a la informacin que puedan afectar los activos de informacin de
la Subsecretara del Interior y a todas sus relaciones con terceros que impliquen el acceso a sus
datos, recursos y/o a la administracin y control de sus sistemas de informacin.
Las versiones pertinentes de los documentos aplicables se encontrarn disponibles para quienes
lo necesiten y sern almacenados y transferidos de acuerdo a los procedimientos aplicables a su
clasificacin.
2. CONTROL DE ACCESO
2.1 Reglas para el control de acceso
Las reglas para el control de acceso, estar documentado a travs de los diferentes
procedimientos de control de acceso a los recursos tecnolgicos.
2.2 Gestin de identidades
Se deber asegurar el acceso de usuarios autorizados y prevenir el acceso no autorizado a los
sistemas de informacin. Se usar para la asignacin de las credenciales de accesos a los
diferentes sistemas, un formulario con el nombre del sistema, nombre usuario, contrasea
temporal y la asignacin de derechos al sistema y/o los servicios.
2.3 Responsabilidad de los usuarios
Todos los funcionarios o terceros que tengan un usuario en la plataforma tecnolgica de
la Divisin Informtica, debern conocer y cumplir con su uso de esta Poltica especfica, donde
se dictan pautas sobre derechos y deberes con respecto al uso adecuado de los usuarios, as como
polticas de proteccin de usuario desatendido, escritorio y pantalla limpia.
2.4 Control de Acceso a la Red
Las conexiones no seguras a los servicios de red pueden afectar a toda la institucin, por
lo tanto, se controlar el acceso a los servicios de red tanto internos como externos. Esto
es necesario para garantizar que los usuarios que tengan acceso a las redes y a sus servicios, no
comprometan la seguridad de los mismos.
Las reglas de acceso a la red a travs de los puertos, estarn basadas en la premisa todo est
restringido, a menos que este expresamente permitido.
2.4.1 Poltica de utilizacin de los servicios de red
Se desarrollarn procedimientos para la activacin y desactivacin de derechos de acceso a las
redes, los cuales comprendern:
Mensajera instantnea.
La telefona a travs de internet.
Correo electrnico comercial no autorizado.
Descarga de archivos de sitio peer to peer.
Conexiones a sitios de streaming no autorizado.
Poltica Preliminar de Control de Acceso 2012 Intendencia Regional de Atacama
10
11
3. GLOSARIO DE TRMINOS
Definiciones. Para los propsitos de esta Poltica, se entender por:
Acceso a la informacin: El acceso a la informacin es el derecho que tiene toda persona de
buscar, recibir y difundir informacin en poder del Estado.
Derechos de accesos: Conjunto de permisos dados a un usuario, de acuerdo con sus
funciones, para acceder a un determinado recurso.
Restringir el acceso: Delimitar el acceso de los funcionarios, servidores pblicos a
honorarios y terceras partes a determinados recursos.
Sancin: Puede ser definida como consecuencia administrativa, civil, jurdica o penal por el
incumplimiento del deber que produce en relacin con el obligado.
Sistema informtico: uno o ms computadores, software asociado, perifricos, terminales,
procesos fsicos, medios de transferencia de informacin y otros, que forman un todo
autnomo capaz de realizar procesamiento de informacin y/o transferencia de informacin.
Usuario: persona que utiliza un sistema informtico y recibe un servicio, tales como: correo
electrnico o red de conectividad proporcionado o administrado por la Subsecretara
del Interior y Seguridad Publica, ya sea que lo utilice en virtud de un empleo, de una funcin
o de cualquier prestacin de servicio, sin importar la naturaleza jurdica de sta o del estatuto
que lo rija.
Documento electrnico: toda representacin de un hecho, imagen o idea que sea creada,
enviada, comunicada o recibida por medios electrnicos y almacenada de un modo
idneo para permitir su uso posterior.
Documento pblico: aquellos documentos que no son ni reservados ni secretos y cuyo
conocimiento no est circunscrito.
Documento reservado: aquellos documentos cuyo conocimiento est circunscrito al mbito
de la respectiva unidad del rgano que sean remitidos.
Documento electrnico institucional: Documento electrnico creado, enviado,
comunicado o recibido, por los usuarios del Ministerio del Interior, en ejercicio de las
funciones propias de la institucin.
Divisin de Informtica: Divisin de Informtica de la Subsecretara del Interior.
rea de Soporte: rea de Soporte de la Divisin de Informtica de la Subsecretara
del Interior.
Seguridad del documento electrnico. La seguridad del documento electrnico se logra
garantizando los siguientes atributos esenciales del documento:
Activos de informacin: Todos aquellos elementos relevantes en la produccin, emisin,
almacenamiento, comunicacin, visualizacin y recuperacin de informacin de valor para la
Institucin cualquiera sea el formato que la contenga y los equipos y sistemas que la
soporten. Por ejemplo: dispositivos mviles, tarjetas de accesos, software, equipamiento
computacional.
Riesgo: Es la contingencia de un dao a un activo de informacin. A su vez, contingencia
significa que el dao puede materializarse en cualquier momento o no suceder nunca.
12
Amenaza: Causa potencial de un incidente no-deseado por el cual puede resultar daado un
sistema u organizacin. A modo de ejemplo, terremotos, inundaciones, sabotajes, amenazas
de bombas, negligencias humanas, cortes elctricos, fallas en sala de servidores, entre otras.
Gestin del riesgo: Proceso definido para identificar, evaluar, manejar y controlar
acontecimientos o situaciones potenciales, con el fin de proporcionar un aseguramiento
razonable respecto al alcance de los objetivos de la organizacin. (Gua Tcnica N
53, CAIGG). Es un proceso iterativo que debe contribuir a la mejora organizacional a travs
del perfeccionamiento de los procesos.
Evaluacin del riesgo: Comparar los niveles de riesgo encontrados contra los criterios de
riesgo preestablecidos (si es que han sido establecidos por la direccin) considerando
el balance entre los beneficios potenciales y resultados adversos. Ordenar y priorizar mediante
un ranking los riesgos analizados.
Seguridad de la Informacin: es el proceso encargado de asegurar que los recursos de un
sistema de informacin sean utilizados de la manera que se decidi y que el acceso a
la informacin all contenida, as como su modificacin, slo sea posible a las personas que
se encuentren acreditadas y dentro de los lmites de su autorizacin, preservando la
Integridad, Confidencialidad y Disponibilidad.
Proceso: Conjunto de actividades o eventos que se realizan o suceden (alternativa o
simultneamente) con un fin determinado.
Incidente de Seguridad: Se define incidente como cualquier evento o situacin que
comprometa de manera importante la disponibilidad, integridad y confidencialidad de la
informacin, junto con la plataforma tecnolgica, proceso y aplicativos que permitan acceder
a sta en forma oportuna. En general, es una violacin de una poltica, estndar o
procedimiento de seguridad, que no permite prestar un servicio computacional.
Como ejemplos de incidentes de seguridad podemos enumerar:
Acceso no autorizado.
Robo de contraseas.
Robo de informacin.
Denegacin de servicio.
Robo y extravo de un medio de procesamiento de la informacin.
Confidencialidad: Es la propiedad de un documento o mensaje, que est autorizado para ser
ledo o entendido, nicamente, por algunas personas o entidades.
Integridad: Se entiende por la correccin y completitud de los datos o de la informacin
manejada.
Disponibilidad: es la certeza de que slo los usuarios autorizados tienen acceso a la
informacin y a los activos asociados cuando es requerido.
Medios de procesamiento de informacin: Los dispositivos internos y/o externos que
tenga la capacidad de procesar informacin, almacenarla y que se encuentren
disponibles para ser manipulados por el usuario.
Como ejemplos de medios de procesamiento de informacin, podemos enumerar:
Servidores de aplicaciones: de correo, de impresin, aplicaciones web.
Servidores de Almacenamientos.
Computadores personales.
Discos duros externos.
13
Pendrives.
Telfonos mviles.
Operaciones informticas: Todas las actividades que estn relacionadas con un sistema
informtico y/o procesamiento de la informacin.
Como ejemplos de operaciones informticas podemos enumerar:
Configuracin de servidores y estaciones de trabajo.
Configuracin de equipos de comunicacin que conectan a los usuarios a la red.
Creacin y/o retiro de acceso a los medios de procesamiento de informacin.
Mantencin de base de datos de los sistemas.
Respaldo de la informacin de servidores y estaciones de trabajo.
Terceras partes: Persona u organismo reconocido como independiente de las partes
implicadas en lo que se refiere a la materia en cuestin. Para este procedimiento, se
entender como terceras partes a:
Proveedores de servicios y de red.
Proveedores de productos de software y servicios de informacin.
Outsourcing de instalaciones y operaciones.
Servicios de asesora de seguridad.
Auditores externos.
Estacin de Trabajo: En una red de computadores, una estacin de trabajo es un
computador que facilita a los usuarios el acceso a los servidores y perifricos de la red.
Programa malicioso: Es un tipo de software que tiene como objetivo infiltrarse o daar una
computadora sin el consentimiento de su propietario.
Virus: Se usa para designar un programa que, al ejecutarse, se propaga infectando otros
softwares ejecutables dentro de la misma computadora.
Malware: El trmino malware es muy utilizado para referirse a una variedad de software
hostil, intrusivo o molesto.
El trmino malware incluye virus, gusanos, troyanos, la mayor parte de los rootkits,
scareware, spyware, adware intrusivo, crimeware y otros softwares maliciosos e indeseables.
SPAM: Se llama spam al correo basura o mensaje basura a los mensajes no solicitados, no
deseados o de remitente no conocido (correo annimo, habitualmente de tipo publicitario,
generalmente enviados en grandes cantidades (incluso masivas) que perjudican de alguna o
varias maneras al receptor). La accin de enviar dichos mensajes se denomina spamming.
ANOTESE COMUNIQUESE Y ARCHIVESE
RODRIGO UBILLA MACKENNEY
SUBSECRETARIO DE INTERIOR
14