INSTRUCTIVO DE CONTROLES DE SEGURIDAD DE LA INFORMACIÓN PARA FUNCIONARIOS DE LA UNIDAD

DE TECNOLOGÍAS DE LA INFORMACIÓN

TABLA DE RESPONSABILIDADES

Actividad Cargo/Función Nombre

Encargado del Área de Proyectos
Modificación/ Felipe Rodríguez Herrera
Ecargado del Área de Servicios y Continuidad
Elaboración Claudio Henriquez Rebolledo
Operativa
Aprobación Jefe de la Unidad de Técnologías de la Información Fernando Letelier Finot

CONTROL DE CAMBIOS
 INSTRUCTIVO DE CONTROLES DE
Versión: 02
SEGURIDAD DE LA INFORMACIÓN
Fecha: 02 de septiembre
PARA FUNCIONARIOS DE LA UNIDAD
de 2018
DE TECNOLOGÍAS DE LA Página: 2 de 10
INFORMACIÓN

Versión Fecha Descripción de cambios

Fecha de la versión • Revisión 02. Se actualiza el formato a sistemas integrados de

02
14-11-2017 gestión y se mejora los procediumientos de respaldo.

CONTENIDO

1. OBJETIVO ............................................................................................................................................... 3
2. ALCANCE ................................................................................................. ¡Error! Marcador no definido.
3. TERMINOLOGÍA ..................................................................................................................................... 3
4. DOCUMENTOS APLICABLES O RELACIONADOS .................................................................................... 4
5. DESARROLLO/ DESCRIPCIÓN .................................................................. ¡Error! Marcador no definido.
6. REGISTROS ............................................................................................................................................. 9
7. ANEXOS ................................................................................................................................................ 10

Unidad de tecnologías de la Información

 INSTRUCTIVO DE CONTROLES DE
Versión: 02
SEGURIDAD DE LA INFORMACIÓN
Fecha: 02 de septiembre
PARA FUNCIONARIOS DE LA UNIDAD
de 2018
DE TECNOLOGÍAS DE LA Página: 3 de 10
INFORMACIÓN

1. OBJETIVO

Este documento contiene las instrucciones a los funcionarios de la Unidad de Tecnologías de la

Información para aplicar los controles necesarios para cumplir con los niveles mínimos de disponibilidad,
integridad y confidencialidad de los servicios tecnológicos de la Junta Nacional de Jardines Infantiles.

2. ÁMBITO DE APLICACIÓN

Aplica a todos los servicios entregados por la Unidad de Tecnologías de la Información.

3. TERMINOLOGÍA

Confidencialidad: es garantizar que solo aquellos que tienen autorización para ver o manjar información
reservada o protegida puedan hacerlo.

Unidad de tecnologías de la Información

 INSTRUCTIVO DE CONTROLES DE
Versión: 02
SEGURIDAD DE LA INFORMACIÓN
Fecha: 02 de septiembre
PARA FUNCIONARIOS DE LA UNIDAD
de 2018
DE TECNOLOGÍAS DE LA Página: 4 de 10
INFORMACIÓN

Disponibilidad: implica tomar las precauciones necesarias para garantizar la oportunidad de la

información requerida en los procesos institucionales y las solicitudes internas o externas de información.

Integridad: comprende la protección de la veracidad y calidad de los datos y evitar la adulteración

intencional o accidental de la información.

Tecnologías de la Información (TI): es la aplicación de ordenadores y equipos de telecomunicaciones para

almacenar, recuperar, transmitir y manipular datos, con frecuencia utilizado en el contexto de la
organización. El término es comúnmente utilizado como sinónimo para los computadores, y las redes de
computadoras, pero también abarca otras tecnologías de distribución de información, tales como la
televisión, videoconferencia y telefonía.

4. DOCUMENTOS APLICABLES O RELACIONADOS

a. Norma NCh.ISO 27001. Of. 2013.

b. Manual de Politicas Específicas de Seguridad de la Información.

5. MODO DE OPERACIÓN

I.Mantenimiento del equipamiento

La unidad de TI debe realizar el mantenimiento correspondiente a todo el equipamiento administrado por

la Unidad de TI, excepto para aquel equipamiento donde el mantenimiento es más costoso, en términos
de recursos necesarios e impacto en caso de falla, en contraste con recambio ante fallas o reparaciones
correctivas.

El equiopamiento que obligatoriamente debe recibir mantenimiento periódico:

• Servidores y bases de datos.

• Equipos de climatización, monitoreo y de soporte eléctrico de la Infraestructura TI.
• Equipos de telecomunicaciones.
• Impresoras multifuncionales de alto rendimiento.
• Equipamiento audiovisual salas de reuniones y eventos.

Los siguientes son lineamientos generales para considerar como excepciones de mantenimiento, ya que
es más eficiente considerar procedimientos de recambio o renovación:

• Computadores de los funcionarios.

• Dispositivos Móviles de los funcionarios.
• Teléfonos IP de los funcionarios.
• Pantallas de los funcionarios.

Unidad de tecnologías de la Información

 INSTRUCTIVO DE CONTROLES DE
Versión: 02
SEGURIDAD DE LA INFORMACIÓN
Fecha: 02 de septiembre
PARA FUNCIONARIOS DE LA UNIDAD
de 2018
DE TECNOLOGÍAS DE LA Página: 5 de 10
INFORMACIÓN

• Cables de red y energía de los funcionarios.

• Accesorios como discos duros externos, grabadores de cd, huelleros, mouse, teclados y parlantes.

Equipamiento que obligatoriamente debe recibir mantenimiento periódico:

Las mantenciones deben ser planificadas y deben tomarse las siguientes consideraciones:

• Las mantenciones del equipamiento deben realizarse de la forma indicada, y con los
intervalos recomendados por el fabricante, cuidando de las condiciones de garantía.
• Las mantenciones solo deben ser realizadas por personal calificado y autorizado.
• Se debe mantener registro de cada mantenimiento realizado, para cada equipamiento.
• Realizar las pruebas necesarias antes de volver a poner en operación el equipamiento.
• Cada vez que corresponda, se deben tomar resguardos para mantener la confidencialidad,
disponibilidad e integridad de los activos de información:
o Generar respaldos antes de aplicar un mantenimiento.
o Disponer de equipamiento redundante para cuando se realice el mantenimiento
o Proteger información sensible, reservada y de personas durante el
mantenimiento. Por ejemplo proteger información encriptándola, quitándola durante el
mantenimiento y/o mediante cláusulas de confidencialidad firmadas por el proveedor.
Se recomienda que todas las mantenciones sean realizadas por proveedores externos con personal
certificado y/o calificado, gestionando contratos por al menos un año. Estos contratos deben suscribir las
cláusulas de confidencialidad institucionales. Se debe verificar que el proveedor difunda las clausulas a
todos sus empleados.
El responsable institucional de este control es el Jefe de la unidad de Tecnología de la información. A nivel
regional cada encargado de la unidad TI debe gestionar los equipos propios de la región y que no estén
consideradas en las mantenciones de alcance nacional. A nivel local de dirección nacional, el coordinador
del área de atención a usuarios es quien cumple esta función.
II.Sistema de gestión de contraseñas
Las contraseñas de los servicios, sistemas y dominio de red de JUNJI debe tender a ser única, y debe
permitir que todos los funcionarios cambien su propia contraseña mediante sistema. Este sistema debe
cumplir con las siguientes propiedades o configuraciones:
• Garantizar ID de usuario únicos.
• Pedir confirmación al cambiar la contraseña, ingresándola una vez más.
• Forzar el uso de contraseñas de calidad.
• Forzar al usuario a cambiar su contraseña al primer acceso o al “resetear” una
contraseña.
• Forzar el cambio periódico de contraseñas. Como mínimo cada 6 meses.
• Forzar el cambio de contraseñas de todos los funcionarios en caso de sufrir algún
incidente global de seguridad relacionado con estas.
• Prevenir el uso de contraseñas usadas con anterioridad.
• Las contraseñas se deben almacenar encriptadas y deben estar protegidas.
• Las contraseñas se deben transmitir de forma protegida.

Unidad de tecnologías de la Información

 INSTRUCTIVO DE CONTROLES DE
Versión: 02
SEGURIDAD DE LA INFORMACIÓN
Fecha: 02 de septiembre
PARA FUNCIONARIOS DE LA UNIDAD
de 2018
DE TECNOLOGÍAS DE LA Página: 6 de 10
INFORMACIÓN

• Permitir que contraseñas en específico cumplan con menos o más requisitos que los
expuestos en los puntos anteriores.
El sistema de gestión de contraseñas debe estar separado de otros sistemas y debe mantener alto grado
de integridad, confidencialidad, disponibilidad, continuidad y recuperabilidad.
El responsable institucional de este control es el Jefe de la unidad de Tecnología de la información
III.Seguridad en la reutilización y eliminación del Equipamiento
Todo el equipamiento que pueda contener información debe recibir el siguiente tratamiento al ser
devuelto, reutilizado o al ser dado de baja:
i.Respaldar la información que pueda contener
ii.Archivar el respaldo con el nombre del usuario propietario y proteger su confidencialidad
iii.Formatear o borrar el contenido. En caso de borrado asegurar que no queda en una “Papelera
de Reciclaje”
iv.Para el caso de información confidencial, realizar técnicas de sobreescritura adecuadas, para
garantizar que el contenido no pueda ser recuperado desde el formateo o borrado.
En caso de que el equipamiento presente fallas que impida ser formateado o borrado, debe garantizarse
la destrucción física del medio de almacenamiento al momento de darlo de baja.
Solo el dueño de la información puede tener acceso a su respaldo.
El responsable de este control son todos los funcionarios de la unidad de tecnologías de la información
que reciban equipamiento para ser reutilizado o dado de baja.
IV.Respaldo de Información
Los respaldos de información, software y las imágenes de sistema deben ser realizados y probados de
acuerdo a la siguiente Política de Respaldos:
i.Se deben realizar respaldos de bases de datos, software, sistemas y máquinas virtuales.
ii.Se podrán realizar 2 tipos de respaldos:
• Completo: Respaldo a todo el sistema o máquina virtual.
• Incremental: Respaldo de los cambios respecto al respaldo anterior.
iii.Los respaldos se deben realizar de la siguiente forma:
• Máquinas Virtuales Criticidad alta: Respaldo incremental de forma diaria,
Respaldo completo 3 veces a la semana
• Máquinas virtuales Criticidad normal: Respaldo incremental día por medio,
Respaldo completo una vez a la semana.
• Máquinas virtuales Criticidad baja: Respaldo completo una vez a la semana.
• Storage: Una vez a la semana en cinta. El storage además se encuentra protegido
por RAID 5. Las cintas se guardan en Darío Urzua (Ubicación distinta al datacenter).
a. El respaldo en cinta incluye los respaldos de máquinas virtuales.
iv.Los respaldo deben tener el siguiente tiempo de retención:
a. Criticidad alta: últimos 7 respaldos completos.
b. Criticidad Media: 4 últimos respaldos completos.
c. Criticidad Baja: 4 últimos respaldos completos.
d. Cintas 5 años.
v.Los respaldos deben estar debidamente etiquetados y ordenados.
vi.Para cada tipo de respaldo debe existir un procedimiento con el detalle para restaurarlo.
vii.Los respaldos deben ser probados periódicamente, al menos una vez al año.

Unidad de tecnologías de la Información

 INSTRUCTIVO DE CONTROLES DE
Versión: 02
SEGURIDAD DE LA INFORMACIÓN
Fecha: 02 de septiembre
PARA FUNCIONARIOS DE LA UNIDAD
de 2018
DE TECNOLOGÍAS DE LA Página: 7 de 10
INFORMACIÓN

viii.Los respaldos deben ser resguardados bajo llave.

ix.El Monitoreo de ejecución de los respaldos automáticos debe ser realizado diariamente. Además
se debe configurar alertas automáticas a quien corresponda.
x.Los sistemas desplegados en infraestructura gestionada por un tercero debe cumplir o exceder
los requerimientos de respaldo descritos en esta política.
El responsable institucional de este control es el Jefe de la unidad de Tecnología de la información.
V.Sincronización de Relojes
Para garantizar exactitud en los registros de auditoría, y gestionar eficientemente los esfuerzos de los
funcionarios JUNJI, los relojes deben estar sincronizados a una sola fuente oficial. Los relojes que
obligatoriamente deben estar sincronizados son:
• Reloj de dominio, el cual debe sincronizar todos los equipos de funcionarios.
• Relojes de sistemas de información
• Relojes de control de asistencia de los funcionarios
• Reloj telefonía IP. El cual sincroniza el reloj de todos los teléfonos IP
Se debe automatizar, dentro de lo posible, el cambio horario de verano.
Debe realizarse una verificación de la sincronización a todos los relojes y sistemas de sincronización. En
caso de cambio de horario debe verificarse con la antelación necesaria para incluso considerar desarrollos
de software correctivos. La frecuencia mínima de esta revisión debe ser:
• 2 veces al año
• Al menos 3 meses antes de un cambio de horario de verano o apenas se informe de
manera oficial cambios en la fecha del cambio.
• Inmediatamente después de cada uno de los cambios de horario.
• Luego de cambios a los relojes, como a sus mecanismos de cambio automático a horario
de verano.
El responsable institucional de este control es el Jefe de la unidad de Tecnología de la información. Para
relojes de ámbito local, cada encargado regional de la unidad TI es responsable de esta aplicar este control.
A nivel local de dirección nacional, el coordinador del área de atención a usuarios es quien cumple esta
función.
VI.Control de software operacional
Ningún software puede ser instalado en los sistemas en producción de los servicios TI sin la autorización
del coordinador del área de atención a usuarios.
Para garantizar que ningún software se instale sin la autorización correspondiente se debe llevar a cabo
el siguiente procedimiento de forma obligatoria:
i.Analizar el impacto negativo que pudiera tener la instalación o actualización de software en
producción y registrarlos.
ii.Generar las pruebas necesarias y registrarlas.
iii.Planificar los respaldos necesarios. Registrar la fecha y los sistemas a respaldar.
iv.Registrar la fecha planificada de implementación y pruebas en producción.
v.Registrar nombre de experto a realizar la operación de instalación o actualización.
vi.Firma autorizadora del documento que contiene los registros por parte del coordinador del área
de atención a usuarios.
Además la unidad de TI debe cuidar de los siguientes puntos:

Unidad de tecnologías de la Información

 INSTRUCTIVO DE CONTROLES DE
Versión: 02
SEGURIDAD DE LA INFORMACIÓN
Fecha: 02 de septiembre
PARA FUNCIONARIOS DE LA UNIDAD
de 2018
DE TECNOLOGÍAS DE LA Página: 8 de 10
INFORMACIÓN

• Debe evitarse la actualización o instalación de software de sistemas en producción y solo

hacerlo cuando sea necesario y cuando las mejoras esperadas excedan los riesgos.
• Se recomienda evaluar la instalación periódica de parches de seguridad.
• Debe desactivarse la actualización automática de software y sistema operativo de los
sistemas en producción.
• La actualización o instalación de software de sistemas en producción debe garantizar la
confidencialidad, integridad y continuidad de la información.
• La retención de los respaldos realizados debe ajustarse a la política de retención de
respaldos.
El responsable institucional de este control es el Jefe de la unidad de Tecnología de la información, pero
todos los funcionarios de TI deben cumplir con estos procedimientos y requisitos en el ámbito de sus
funciones.
VII.Separación en las redes
Las redes de la institución deben separarse para prevenir el acceso no autorizado y para aislar posibles
fallas de red.
Las redes deben separarse, como mínimo, según los siguientes dominios:
• Redes de acceso público, para visitas y proveedores.
• Redes para funcionarios.
• Redes para servidores y equipamiento.
Cuando corresponda, se recomienda además separar por los siguientes dominios:
• Redes por unidades organizacionales
• Redes para servicios TI específicos
Para cada dominio se debe considerar:
• Mecanismo de seguridad en los límites entre dominios, como firewall o filtrado por
router correctamente configurados.
• Las redes inalámbricas deben tener encriptación segura.
• Las redes inalámbricas de acceso público puede estar sin encriptación ni contraseña. En
este caso deben tomarse precauciones necesarias y debe entregarse solamente el mínimo de
servicios y accesos.
El responsable institucional de este control es el Jefe de la unidad de Tecnología de la información. Para
redes de ámbito local, cada encargado regional de la unidad TI es responsable de aplicar este control de
seguridad. A nivel local de dirección nacional, el coordinador del área de atención a usuarios es quien
cumple esta función.
VIII.Cadena de suministro de las TIC
La Unidad de Tecnologías de la Información de la JUNJI debe trabajar con los proveedores para entender
la cadena de suministro de tecnologías de información y comunicaciones y cualquier materia que pueda
tener un impacto en la continuidad de los servicios TI.
Se deben llevar a cabo reuniones con cada proveedor, y de ser necesario, juntando a todos los
proveedores, de estas reuniones deben obtenerse mejoras en las cláusulas de los contratos. Producto de
este control es un documento de cláusulas que deben agregarse a los contratos con los proveedores. Como
mínimo las siguientes materias se deben tratar:

Unidad de tecnologías de la Información

 INSTRUCTIVO DE CONTROLES DE
Versión: 02
SEGURIDAD DE LA INFORMACIÓN
Fecha: 02 de septiembre
PARA FUNCIONARIOS DE LA UNIDAD
de 2018
DE TECNOLOGÍAS DE LA Página: 9 de 10
INFORMACIÓN

i.Cláusulas de seguridad, es decir, de confidencialidad, integridad y disponibilidad, deben ser

determinadas según la naturaleza, riesgos y criticidad de los servicios provistos.
ii.Las cláusulas de seguridad deben ser propagadas al interior de las organizaciones proveedoras y
estos a la vez a sus proveedores cada vez que corresponda.
iii.Los proveedores deben implementar controles de monitoreo y entrega de informes cuyo fin sea
asegurar el cumplimiento de las cláusulas de seguridad.
iv.Determinar el mecanismo para trazar y detectar las fallas de forma rápida y precisa para
determinar al proveedor responsable que debe gestionar el restablecimiento de los servicios
dentro de la cadena de suministro.
v.Definir reglas para compartir información a través de la cadena de suministro para comunicar
fallas y alertas de forma rápida y efectiva.
vi.Mecanismo para gestionar los riesgos asociados al ciclo de vida de cada uno de los componentes.
El ciclo de vida de los componentes se refiere a cambios en los componentes, actualización de
componentes, términos anticipados de contrato, quiebra de algún proveedor, etc.
El responsable institucional de este control es el Jefe de la unidad de Tecnología de la información. Para
contrato de servicios TI de ámbito local, cada encargado regional de la unidad TI es responsable de aplicar
este control de seguridad. A nivel local de dirección nacional, el coordinador del área de atención a
usuarios es quien cumple esta función.
IX.Disponibilidad de las instalaciones de procesamiento de la información
Las instalaciones de procesamiento de la información deben tener la redundancia necesaria para cubrir
los requisitos de disponibilidad de los servicios TI de la JUNJI.
El proceso de este control se define en 2 componentes:
i.Identificar las necesidades de disponibilidad de los servicios más críticos, documentarlos e
informarlos. Para aquellos servicios donde la infraestructura on-site no garantice los niveles
requeridos, gestionar la implementación de redundancias.
ii.Planificar y ejecutar pruebas de los servicios con redundancia. Registrar los resultados de las
pruebas.

El responsable institucional de este control es el Jefe de la unidad de Tecnología de la información.

6. REGISTROS

Corresponde a la evidencia utilizada para demostrar la aplicación del procedimiento.

Unidad de tecnologías de la Información

 INSTRUCTIVO DE CONTROLES DE
Versión: 02
SEGURIDAD DE LA INFORMACIÓN
Fecha: 02 de septiembre
PARA FUNCIONARIOS DE LA UNIDAD
de 2018
DE TECNOLOGÍAS DE LA Página: 10 de 10
INFORMACIÓN

Almacenamiento Disposición
Responsable
Recuperación (pasado
Identificación de generar el Tiempo de Lugar y Responsable
Protección Medio de tiempo de
registro retención de almacenamiento
Soporte retención)
Tiempo en que Dónde se almacena
Forma de Qué se hace
el documento el registro (si tiene
resguardo Indicar medio de con el
será más de un
Cargo(s) que documento recuperación si registro una
Nombre del almacenado almacenamiento de
genera el (PDF, es digital/ vez que
Registro antes de su igual forma
registro Servidor, impreso, ambos, termina el
eliminación o especificar) y
codificado, etc. tiempo de
archivo responsable de
etc.) retención
histórico almacenarlo

7. ANEXOS

Formatos definidos para los registros, instructivos si existen u otro que sea necesario para apoyar el
manual. Fuente: Calibri 10, interlineado 1,15

Unidad de tecnologías de la Información