Gobierno de Chile

Aa
Aa
Aa
A

Política General de Seguridad de la Información

 

Nota de Confidencialidad

El documento Política general de Seguridad de la Información es propiedad de la Corporación Nacional de Desarrollo Indígena. Su utilización por otra entidad deberá contar con la autorización del Director Nacional del servicio.

 

Declaración Institucional

La Política General de Seguridad de la Información contribuye a la gestión de la seguridad de la información de la CONADI, fomentando una cultura que le permite identificar, evaluar, medir, reportar y tratar amenazas que afecten la seguridad de los activos de información o, en su defecto, innovar e incorporar buenas prácticas.

 

En la CONADI la información es entendida como un bien y como tal, debe ser protegida de manera adecuada. Todos los Fondos, Unidades, Departamentos y Programas de la CONADI, generan, manipulan y procesan información, soportada en diversos formatos físicos, magnéticos, electrónicos y ópticos. Esta información podría quedar expuesta a cambios, daños y revelación indebida, que puede comprometer la imagen del servicio o de terceros, de no contar con disposiciones, mecanismos y controles, que garanticen su confidencialidad, integridad y disponibilidad.

 

La Política General de Seguridad de la Información de la CONADI, se fundamenta en las Leyes Nº 19.223 relativa a delitos informáticos y Nº 19.799 relativa a documentos electrónicos, firma electrónica y la certificación de dicha firma; los Decretos Supremos Nº 83 y Nº 93 del Ministerio Secretaria General de la Presidencia; la Resolución exenta Nº 1428 del Ministerio del Interior, relativa a normas y políticas del Ministerio sobre seguridad y uso de los sistemas de tratamiento de información, redes y del correo electrónico.

 

Asimismo utiliza como referente normativo las normas NCh-ISO 27001. Of2009 “Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de la seguridad de la información – Requisitos” y NCh-ISO 27002. Of2009 “Tecnología de la información - Códigos de prácticas para la gestión de la seguridad de la información”.

 

1. Objetivos de La Gestión De Seguridad de la Información

2.1 Objetivo general de la Política General de Seguridad de la Información

 

La presente política establece los criterios y comportamientos, en materia de generación, manipulación, procesamiento y resguardo de activos de información, que deben cumplir todos los funcionarios de la CONADI, cualquiera sea su calidad contractual, con el fin de preservar:

  • su confidencialidad, asegurando que sólo quienes estén autorizados pueden acceder a la información;
  • su integridad, asegurando que la información y sus métodos de proceso son exactos y completos;
  • su disponibilidad, asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran.

 

Adicionalmente, contribuye a la continuidad en la prestación de los servicios ofrecidos a la ciudadanía.

 

2.2 Objetivos específicos de la Política General de Seguridad de la Información

Los objetivos específicos de la gestión de seguridad de la información se organizan conforme los siguientes ámbitos:

 

2.3 Clasificación y catastro de activos de información

  • Estructurar y mantener un inventario de los activos de información, clasificados por tipo, soporte, ubicación, valor, responsable y procedimiento de manipulación.
  • Identificación y rotulación de los activos de información, conforme su importancia y valoración administrativa, jurídica, contable, legal o histórica.

 

2.4 Políticas, estándares y procedimientos

  • El manejo documental en materia de seguridad de la información es realizado conforme lo establece el Sistema de Gestión de la Calidad del servicio, incorporando el concepto de mejora continua, como mecanismo para proponer modificaciones a la política o sus procedimientos.

 

2.5 Análisis de riesgo

  • La gestión de riesgos en materia de seguridad de la información es realizada conforme lo establecido por la política de gestión de riesgos del servicio y la metodología de gestión de riesgos dispuesta por el Consejo de Auditoría Interna General de Gobierno (CAIGG). 

 

2.6 Capacitación del personal

  • Capacitar a los responsables de los activos de información pertenecientes a cada Fondo, Unidad, Departamento o Programa del servicio, a través de talleres, cursos y seminarios, presenciales o virtuales, en los ámbitos de generación, manipulación, procesamiento y resguardo de activos de información.
  • Proporcionar, a todos los funcionarios de la CONADI, de insumos de instrucción en temáticas de generación, manipulación, procesamiento y resguardo de activos de información, a través de material físico, intranet y/o web corporativa.

 

 

2. Alcance o Amplitud de la Política de Seguridad de la Información

La Política General de Seguridad de la Información se aplica a todos las áreas y procesos relevantes del servicio, tanto los de negocio como soporte, en los Departamentos y Unidades de la Dirección Nacional, las Subdirecciones Nacionales, las Direcciones Regionales y Oficinas de Asuntos Indígenas de la CONADI.

 

Forman parte integral de la Política General de Seguridad de la Información de la CONADI, todos los procedimientos que por su particularidad, requieren un mayor nivel de detalle y especialización para su definición, los cuales son elaborados y actualizados por cada área, los que a su vez, pueden estar complementados por estándares, guías y manuales.

 

Estos procedimientos específicos comprenden los siguientes ámbitos:

 

  1. Clasificación de los activos de información.
  2. Uso de estaciones de trabajo.
  3. Uso de contraseñas.
  4. Uso de correo electrónico.
  5. Uso red corporativa.
  6. Uso de Internet e Intranet.
  7. Uso antivirus.
  8. Respaldo de la información.
  9. Asignación y uso de dispositivos de autenticación.
  10. Seguridad física.
  11. Centros de cómputo y de procesamiento de información.
  12. Desarrollo y mantenimiento de aplicaciones.

 

 

3. Roles y Responsabilidades

 

El Director Nacional de la CONADI se compromete a liderar el proceso de gestión de la Seguridad de la Información en el servicio, proporcionando para ello la orientación necesaria a los directivos nacionales y territoriales, y asume la responsabilidad de sancionar las políticas y estrategias diseñadas para tal fin.

 

Las jefaturas de las Unidades Operativas y de la Dirección Nacional, por su parte, son responsables de conocer y cumplir esta política y se comprometen a identificar e informar los riesgos que enfrentan y a proponer e implementar planes para tratarlos. De igual manera, son responsables de sensibilizar y disponer la capacitación continua de sus funcionarios en la correcta aplicación de esta política.

 

El Comité de Seguridad de la Información es responsable de monitorear el cumplimiento de esta política, proponer acciones para actualizarla, mejorarla e informar sobre los resultados de su aplicación a la Alta Dirección; comprometiéndose a sensibilizar, comunicar, orientar y disponer la capacitación continua de los funcionarios en la correcta aplicación de esta política a lo largo del país.

 

Los funcionarios de la Corporación, por su parte, son responsables de conocer y cumplir esta política, sus procedimientos e instructivos y se comprometen a informar los riesgos que enfrentan y a proponer e implementar planes para tratarlos.

 

Otros roles y responsabilidades de carácter operativo serán definidos y formalizados a través de los instrumentos de que dispone el servicio para tales fines.

 

4. Marco General para las Políticas de Seguridad de la Información

5.1 Objetivo de la política y procedimientos de seguridad

Desarrollar un sistema de gestión de seguridad de la información corporativa, a través de la implantación un conjunto adecuado de controles, tales como políticas, procedimientos, estructuras organizacionales y funciones de software y hardware, que permita el logro de niveles apropiados de integridad, confidencialidad y disponibilidad de activos de información, asegurando con ello la continuidad de las operaciones, la prestación de servicios a la ciudadanía y el cumplimiento de la misión y los objetivos estratégicos corporativos.

 

5.2 Aprobación de políticas y procedimientos

La Política General de Seguridad de la Información se aprueba mediante resolución exenta del Director Nacional del servicio, a propuesta del Comité de Seguridad de la Información y del Encargado de Seguridad del servicio.

La formulación de la política es responsabilidad del Comité de Seguridad de la Información del servicio, quien considera los alcances y observaciones de las jefaturas de las Unidades Operativas y de la Dirección Nacional.

Cualquier funcionario del servicio puede formular y/o proponer la modificación, fundad, de un procedimiento, estándar, guía y/o manual. Es responsabilidad de las jefaturas de cada área su revisión. La aprobación y vigencia es responsabilidad del Coordinador del Comité de Seguridad de la Información.

 

5.3 Revisión de la política

La Política General de Seguridad de la Información se revisará íntegramente cada 2 años como máximo, o en su defecto, en caso de que ocurran cambios significativos en el servicio.

 

5.4 Aprobación, comunicación y difusión de la política

La Política General de Seguridad de la Información se aprobará mediante resolución exenta del Director Nacional, a propuesta del Comité de Seguridad de la Información. Es comunicada y difundida a través de los medios electrónicos y escritos disponibles en el servicio, como también en las sesiones de capacitación dispuestos para ello.

 

5.5 Incumplimientos de la política

El Comité de Seguridad de la Información, como responsable del monitoreo del cumplimiento de la presente política, informa al Director Nacional respecto de los incumplimientos registrados y es responsabilidad de la Dirección Superior de la CONADI la adopción de medidas administrativas en dichos casos.

Las jefaturas y los encargados de los Departamentos y Unidades de la Dirección Nacional, las Subdirecciones Nacionales, las Direcciones Regionales y Oficinas de la CONADI del país, informan al Comité de Seguridad de la Información, o en su caso, a la Dirección Superior del servicio, sobre eventuales impedimentos para el cumplimiento de la presente política.