ProPuesta de CumPlimiento
Manual Administrativo de Aplicacin General en las Materias de Tecnologas de la Informacin y Comunicaciones y de Seguridad de la Informacin
�anteCedentes
El MAAGTIC es un Manual Administrativo de Aplicacin General en Materia de Tecnologas de la Informacin y Comunicaciones, el cual tiene por objetivo definir los procesos que en materia de TIC que regirn hacia el interior de la UTIC. La SFP elabor manuales administrativos de aplicacin general y obligatoria con el propsito de simplificar la normatividad que enmarca la operacin de adquisiciones, arrendamientos y servicio; auditora, control, obra pblica, recursos financieros, recursos humanos/ servicios personales, recursos materiales y servicios generales, tecnologas de la informacin y transparencia. El Manual de TIC especifica los procesos que debern ser establecidos y adoptados en todas las Unidades de Tecnologas de la Informacin (UTIC) de la APF.
�Contexto
MAAGTIC en su versin estable surgi en el ao 2010, estableciendo un total de 4 Dominios de Conocimiento con un total de 30 procesos. El 29 de Noviembre del 2011, se actualizo dicho manual creando MAAGTIC SI; MANUAL ADMINISTRATIVO DE APLICACION GENERAL EN MATERIA DE TIC Y EN LA SEGURIDAD DE LA INFORMACIN. Dicho Manual hace referencia a la creacin de una nueva Direccin y Control de la Seguridad de la Informacin, la cual engloba 2 procesos: ASI: Administracin de la Seguridad de la Informacin OPEC: Operacin de los Controles de Seguridad de la Informacin y del ERISC Lo anterior hace referencia al tema de Seguridad de la Informacin como un tema de Gobierno desde un punto de vista estratgico.
�marCo JurdiCo
En el Acuerdo por el que se reforman y adicionan diversas disposiciones administrativas en materia de tecnologas de la informacin y comunicaciones, as como en materia de Seguridad de la Informacin publicado en el DOF el pasado 29 de noviembre del presente ao, dentro de su articulado se establecen entre otras disposiciones las que a continuacin se destacan:
Artculo Quinto.- La aplicacin de las disposiciones contenidas en el presente Acuerdo y el Manual, corresponde a las reas o unidades administrativas responsables de las TIC en las dependencias y entidades, as como a los servidores pblicos cuyas atribuciones o funciones se vinculen con las TIC y con la seguridad de la informacin.
Artculo Sexto Ter.- Las dependencias y entidades debern comunicar al Centro (CISEN), los datos de los servidores pblicos que designen como Responsables de la Seguridad de la Informacin; as como de los enlaces responsables de mantener comunicacin con los Equipos de respuesta a incidentes de seguridad en TIC, para efectos de su registro. *Centro: El Centro de Investigacin y Seguridad Nacional.
Artculo Sptimo.- La interpretacin del presente Acuerdo y del Manual, para efectos administrativos, as como la resolucin de los casos no previstos en el mismo, corresponder: En materia de TIC y de seguridad de la informacin, a la Secretara de la Funcin Pblica, por conducto de la Unidad. En materia de seguridad de la informacin considerada de seguridad nacional, a la Secretara de Gobernacin, a travs del Centro.
Artculo Octavo.- Las disposiciones y los procesos contenidos en el Manual a que se refiere el presente Acuerdo debern revisarse por las autoridades a que se refiere el artculo anterior, cuando menos una vez al ao para efectos, en su caso, de su actualizacin.
�Disposiciones especficas para la seguridad de la informacin considerada de seguridad nacional.
Artculo Sexto Bis.- Las Instancias de seguridad nacional debern observar las disposiciones especficas siguientes: I. La informacin relacionada con la seguridad nacional, generada o custodiada, que pretendan diseminar, deber identificarse previamente, mediante la asignacin de alguno de los niveles de diseminacin* que a continuacin se indican: a)AAA: informacin requerida para el proceso de decisiones polticas fundamentales, cuya revelacin no autorizada pueda daar la integridad, estabilidad o permanencia del Estado mexicano; b)AA: informacin resultante del ejercicio de las atribuciones de las Instancias de seguridad nacional y de sus servidores pblicos, cuya revelacin no autorizada pueda actualizar o potenciar un riesgo o amenaza a la seguridad nacional en trminos de la Ley de Seguridad Nacional, o bien, comprometer la operacin de las propias Instancias, las condiciones de seguridad de sus instalaciones o la integridad fsica de su personal, c)A: se asignar este nivel a aquella informacin que derive del cumplimiento de las disposiciones jurdicas en materia de ejercicio del gasto, transparencia y rendicin de cuentas, cuya revelacin no autorizada pueda comprometer la operacin de las Instancias de seguridad nacional, las condiciones de seguridad de sus instalaciones o la integridad fsica de su personal;
*Diseminacin: La transmisin o entrega de informacin considerada de seguridad nacional, a quienes cumplan con los requisitos para conocer esa informacin, de acuerdo con el nivel de acceso autorizado;
�Cambios tCniCos: maaGtiC & maaGtiC si
PROCESO: Administracin de la Seguridad de la Informacin Los productos incrementan un 250%, (de 6 a 25). Los roles se incrementa el nmero (de 3 a 5). Los indicadores del proceso; contina siendo un slo indicador, pero cambia en contexto y forma. Cambian e incrementan las reglas del proceso en un 90 %, (de 8 a 15). El nmero de actividades incrementa en un 100 %. (de 4 a 8). El nmero de factores crticos aumenta un 200%, (de 19 a 63). El orden de las actividades, generando con ello, la incorporacin de un nuevo proceso (OPEC); el cual se desarrolla en conjunto con el proceso ASI. Debido a las modificaciones mayores que sufren los productos relacionados con ASI y OPEC, se cre el Anexo 5. PROCESO: Operacin de los controles de seguridad de la informacin y del ERISC El proceso OPEC cuenta con 7 actividades y 42 factores crticos. Tiene 2 productos, 1 repositorio, 3 roles, 2 indicadores y 4 reglas. Dando un total entre los 2 procesos (ASI-OPEC) de 15 Actividades y 105 factores crticos.
�ProPuesta de CumPlimiento haCia el maaGtiC si
Descripcin del Servicio Generacin de estructuras de procesos enfocados a las necesidades de las organizaciones, implementacin de las buenas prcticas de documentacin, alineacin a MAAGTIC SI, liberando valor por medio de procesos que soportan servicios de TI en las Dependencias as como la transferencia del conocimiento pertinente. Modelado, Documentacin, Optimizacin de procesos alineados a MAAGTIC - SI. Ejecutar acciones de transferencia de conocimiento y ejercicios de concientizacin sobre temas de Seguridad Estratgica.
Metodologa Se propone desarrollar procesos de soporte que permitan alinear los servicios de TI de las Dependencias de Gobierno y brindar soluciones eficientes en trminos de inversin, valor, calidad y cumplimiento con el MAAGTIC - SI, as como una alineacin a las buenas prcticas que considera el Manual. Alcance de diseo, estandarizacin y documentacin por Proceso: Diagramas de Procedimientos, realizar los diferentes procedimientos, en cumplimiento con las buenas prcticas as como con los Factores Crticos que especifica el MAAGTIC.
�metodoloGa
Descripcin de Procedimientos, realizar una explicacin a detalle de cada una de las actividades que conforman los procedimientos. Conformacin de Gua de Trabajo, realizar una integracin de las actividades de los procesos con los entregables requeridos: Factores Crticos Productos Roles Indicadores
�FaCtores CrtiCos
ProduCtos
�indiCadores
roles
�ProPuesta Para la oPtimizaCin de ProCesos
Talleres de trabajo en conjunto y transferencia de conocimiento para el aseguramiento de la correcta ejecucin de los procesos. Simulacin de los Procesos con la finalidad de verificar el entendimiento y apoyar a la transicin hacia la operacin de los procesos documentados. Planeacin de la implementacin de procesos, listando las acciones a ejecutar para la implementacin de los factores crticos de cada proceso.
El desarrollo e implementacin de cada proceso implica un anlisis de dominios especializados de conocimiento
Contamos con personal certificado en cada dominio de conocimiento, permitiendo la implantacin de buenas prcticas de manera integral ya que contamos con recursos certificados
�esPeCialistas
WHITE HAT CONSULTORES ofrece su amplia experiencia y CERTIFICACIONES en Metodologas y mejores prcticas de alcance mundial, como las siguientes: 1. PMP: Project Management Professional, Certificados por PMI y con reconocimiento internacional como el estndar de la Gestin de Proyectos. 2. ITIL Especialistas Certificados en Foundations & Practitioners con amplia experiencia en proyectos reales ITIL Foundation v3 ITIL INT: SOA ITIL INT: RCV ITIL INT: PPO ITIL INT: OSA 3. (ISC)2: International Information Systems Security Certification Consortium, que se reconoce globalmente como el Estandar de Oro en materia de Certificaciones de Seguridad con su Certificacin CISSP. 4. ISO27001: ISO/IEC 27001 es el nico estndar internacional auditable que define los requerimientos de un Information Security Management System (ISMS). El estndar esta diseado para asegurar la seleccin adecuada de controles de seguridad auditables. 5. COBIT: Control Objectives for Information and related Technologies. Usada como una lnea base de seguridad, proporcionada por ISACA (Information Systems Audit and Control Association).
�modelo suGerido Para abordar maaGtiC - si
ASI Administracin de la seguridad de la informacin Identificacin de Infraestructuras y Activos crticos as como la elaboracin del Catlogo respectivo. Establecer los mecanismos de administracin de riesgos, (identificar, analizar, evaluar, atender y monitorear los riesgos). Establecer un SGSI que proteja los Activos de informacin de la Institucin, con la finalidad de preservar su confidencialidad, integridad y disponibilidad. Vigilar los mecanismos establecidos y el desempeo del SGSI, a fin de prever desviaciones y mantener una mejora continua. OPEC Operacin de los Controles de Seguridad de la Informacin y del ERISC Implantar y operar los controles de seguridad de la informacin. Operacin del ERISC Gua Tcnica de Atencin de Incidentes Deteccin Priorizacin Investigacin Tcnica Contencin Obtencin, preservacin y destino de los indicios Erradicacin Recuperacin Documentacin de lecciones aprendidas
