SERVICIO NACIONAL DE CAPACITACIN Y EMPLEO-SENCE APRUEBA POLTICA DE SEGURIDAD DE INFORMACIN DEL SERVICIO NACIONAL CAPACITACIN Y EMPLEO-SENCE.

% LA DE

RESOLUCIN EXENTAN0 SANTIAGO, f O D1C

CONSIDERANDO: 1.- Que las reas de Mejoramiento del "Programa de Mejoramiento de Gestin", sus sistemas y etapas se encuentran definidos en el Documento Tcnico "Programa Marco Bsico"-diciembre de 2011, disponibles en la pgina web de la Direccin de Presupuestos. 2.- Que este Servicio Nacional debe contar con un Sistema de Gestin de Seguridad de la Informacin que permita lograr niveles adecuados de integridad, confidencialidad y disponibilidad para todos los activos de informacin institucional considerados relevantes, de manera tal que se asegure la continuidad operacional de los procesos institucionales y la entrega de productos y servicios a los usuarios / clientes / beneficiarios. 3.- Que se deber dar cumplimiento, para la implementacin del Sistema de Seguridad de la Informacin, a las normas establecidas en las Leyes: N19.799, sobre Documentos Electrnicos, Firma Electrnica y los Servicios de Certificacin de dicha Firma; Ley N 19.628 sobre Proteccin de la Vida Privada y Datos Personales; Ley N 19.880: Establece Bases de los Procedimientos Administrativos que Rigen los Actos de los rganos de la Administracin del Estado; Ley N 17.336: Sobre Propiedad Intelectual; Ley N 17.336: sobre Propiedad Intelectual; Ley N 19.223: sobre Delitos Informticos; Ley N 20.285: que Regula el Principio de Transparencia de la Funcin Pblica y el Derecho de Acceso a la Informacin de los rganos de la Administracin del Estado 4.- Que el Servicio Nacional de Capacitacin y Empleo, en virtud del Decreto N83 de junio de 2004 que aprueba Norma Tcnica para los rganos de la Administracin del Estado sobre Seguridad y Confidencialidad de los Documentos Electrnicos, debe implementar una Poltica de Seguridad de la informacin y a su vez establecer responsables en la materia.

VISTO: Las facultades que me otorga el artculo 85 N5 de la Ley N 19518 y lo preceptuado en la Resolucin N1.600, de 2008, de la Conralora General de la Repblica, que fija normas sobre exencin del trmite de toma de razn.

RESUELVO: 1- Aprubase una "Poltica de Seguridad de la Informacin" para ei Servicio Nacional de Capacitacin y Empleo, cuyo texto se transcribe a continuacin:
POLTICA GENERAL DE SEGURIDAD DE LA INFORMACIN

La presente Poltica de Seguridad de la Informacin se dicta en cumplimiento de las disposiciones legales vigentes, con el objeto de gestionar adecuadamente la seguridad de ia informacin, los sistemas informticos y el ambiente tecnolgico del Servicio Nacional de Capacitacin y Empleo. La Poltica debe ser conocida y cumplida por todos los funcionarios y personal del Servicio, cualquiera sea su nivel jerrquico y su situacin de revista. Seguridad de la informacin La seguridad de la informacin se entiende como la preservacin de las siguientes caractersticas: Confidencialidad: se garantiza que la informacin sea accesible slo a aquellas personas autorizadas a tener acceso a la misma. Integridad: se salvaguarda la exactitud y totalidad de la informacin y los mtodos de procesamiento. Disponibilidad: se garantiza que los usuarios autorizados tengan acceso a la informacin y a los recursos relacionados con la misma cada vez que lo requieran. Evaluacin de Riesgos Se entiende por evaluacin de riesgos, la evaluacin de las amenazas y vulnerabilidades relativas a la informacin y a las instalaciones de procesamiento de la misma, la probabilidad de que ocurran y su potencial impacto en la operatoria del Servicio. Administracin de Riesgos Ei proceso de identificacin, control y minimizacin o eliminacin, a un costo razonable, de los riesgos de seguridad que podran afectar a la informacin. Dicho proceso es cclico y debe llevarse a cabo en forma peridica. Incidente de Seguridad Es un evento adverso en un sistema de computadoras, o red de computadoras, que compromete la confidencialidad, integridad o disponibilidad, la legalidad y confiabilidad de la informacin. Puede ser causado mediante la explotacin de alguna vulnerabilidad o un intento o amenaza de romper los mecanismos de seguridad existentes. Poltica de Seguridad de la Informacin Generalidades La informacin es un recurso que, al igual que los dems activos, tiene valor para la Institucin y por consiguiente debe ser debidamente protegida. Las Polticas de Seguridad de la Informacin protegen a la misma de una amplia gama de amenazas, a fin de garantizar la continuidad de los sistemas de informacin, minimizar los riesgos de dao y asegurar el eficiente cumplimiento de los objetivos de a Institucin. Es importante que los principios de la Poltica de Seguridad sean parte de la cultura organizacional. Para esto, se debe asegurar un compromiso manifiesto de las mximas Autoridades de! Servicio y de los titulares de los departamentos y unidades del Servicio para la difusin, consolidacin y cumplimiento de la presente Poltica.

Objetivo Proteger los recursos de informacin de la Institucin y la tecnologa utilizada para su procesamiento, frente a amenazas, internas o extemas, deliberadas o accidentales, con e! fin de asegurar el cumplimiento de la confidencialidad, integridad, disponibilidad, legalidad y confiabilidad de la informacin. Asegurar la implementacin de las medidas de seguridad comprendidas en esta Poltica, identificando los recursos y las partidas presupuestarias correspondientes, sin que ello implique necesariamente la asignacin de partidas adicionales. Mantener la Poltica de Seguridad del Servicio actualizada a efectos de asegurar su vigencia y nivel de eficacia.

Alcance
Esta Poltica se aplica en todo e! mbito de la Institucin, a sus recursos y a la totalidad de los procesos, ya sean internos o extemos, vinculados a la entidad a travs de contratos o acuerdos con terceros. Responsabilidad El Director Nacional, los Directores Regionales, ios jefes de departamentos y encargados o sus equivalentes, tanto se trate de autoridades polticas o funcionarios o personal a honorarios y sea cual fuere su nivel jerrquico, son responsables de la implementacin de esta Poltica de Seguridad de la Informacin dentro de sus reas de responsabilidad, as como del cumplimiento de dicha Poltica por parte de su equipo de trabajo. La Poltica de Seguridad de la Informacin ser de aplicacin obligatoria para todos los funcionarios y personal del Servicio, cualquiera sea su situacin de revista, el rea a la cual se encuentre adscrito y cualquiera sea el nivel de las tareas que desempee. La mxima autoridad de la Institucin aprueba esta Poltica y es responsable de la autorizacin de sus modificaciones. El Encargado del Sistema de Seguridad de la Informacin en la Institucin ser responsable de: a. Asesorar al Director Nacional del Servicio Nacional de Capacitacin y Empleo en las materias relacionadas con la seguridad de los documentos electrnicos. b. Tener a su cargo el desarrollo inicial de las Polticas de Seguridad al interior de la organizacin y el control de su implementacin y correcta aplicacin. c. Coordinar las respuestas a incidentes compuacionales d. Establecer puntos de enlace con los encargados de seguridad y otros organismos pblicos y especialistas extemos que le permitan estar al tanto de las tendencias, normas y mtodos de seguridad pertinentes. e. Proponer la clasificacin y procedimientos del caso para el procesamiento electrnico. f. Desarrollar e implemenar las polticas de seguridad de los documentos electrnicos, en formar conjunta con el Comit de Gestin de Seguridad y Confidencialidad. El Comit de Gestin de Seguridad y Confidencialidad en la Institucin, ser responsable de: a. Proponer roles y responsabilidades especficas para la seguridad de la informacin de la Institucin. b. Acordar metodologas y procesos especficos para la seguridad de la informacin; como por ejemplo, evaluacin de riesgos, sistema de clasificacin de la seguridad, etc. c. Acordar y apoyar las iniciativas de seguridad de la informacin en toda la Institucin; d. Garantizar que la seguridad sea parte del proceso de planificacin de la informacin; e. Evaluar la adecuacin de los controles de seguridad de una informacin especifica y coordinar la implementacin para los nuevos sistemas o servicios; f. Revisar los incidentes de seguridad de la informacin; y g. Promover el apoyo a la seguridad de la informacin.

Poltica El Servicio Nacional de Capacitacin y Empleo, SENCE, contar con un Sistema de Gestin de Seguridad de la Informacin que permita los atributos de confidencialidad, integridad y disponibilidad para todos los activos de informacin institucional considerados relevantes, de manera tal que se aseguren los procesos de soporte y ios procesos de provisin de bienes y servicios para los potenciales beneficiarios de esta Institucin.

En ese marco, esta Institucin realizar las siguientes acciones para clasificar y catastrar los activos de informacin: Formalizar la Estructura Organizacional Revisar y formalizar las normativas base en Seguridad de la Informacin Catastrar los elementos tecnolgicos que intervienen en la continuidad del servicio tecnolgico. Identificar las vulnerabilidades del permetro internet Identificar las vulnerabilidades de servidores de soporte al portal web. identificar las vulnerabilidades de bases de datos. a Evaluacin de seguridad en el Diseo de la Arquitectura de Red. Evaluacin de vulnerabilidades de una muestra de aplicaciones web del portal. La siguiente es la estructura del marco de polticas, estndares y procedimientos en materia de seguridad de la informacin a ser desarrollados por SENCE: mbito Poltica de Seguridad Organizacin de la Seguridad de la informacin Administracin de Activos de informacin Poltica Poltica General de Seguridad Poltica de Conexin con terceros Poltica de Clasificacin de la informacin Poltica de proteccin de informacin Polticas de Personal (seleccin, contratacin, desvincularon) Poltica de Educacin en Seguridad de la Informacin Poltica de Seguridad Fsica Seguridad Fsica y ambiental Poltica de Control de Acceso Fisico

Seguridad de Recursos Humanos

mbito

Poltica Poitica de Seguridad de Redes de Comunicacin Poltica de Seguridad de Computadores Personales Poltica de Seguridad de Cdigo Malicioso Poltica de Seguridad de Correo Electrnico

Administracin de Operaciones y Comunicaciones

Poltica de Seguridad de uso de Internet Poltica de Seguridad de Firewall Poltica de Seguridad de Administracin de Medios Removibles Poltica de Seguridad de Respaldos de Informacin Poltica de Seguridad de Intercambio de Informacin Poltica de Seguridad de Control de Acceso Lgico Poltica de Identificacin y Autenticacin

Control de Acceso

Poltica de Cuentas de Usuarios Poltica de Escritorios y Pantallas Limpias Poltica de Seguridad de Acceso a Conexiones Remotas VPN Poltica de Seguridad de Desarrollo de Sistemas

Adquisicin, desarrollo y mantencin de Sistemas de Informacin

Poltica de Seguridad de Control de Cambios Poltica de Uso de Controles Criptogrficos

Administracin de Incidentes de Seguridad

Poltica de Incidentes de Seguridad

La impementacin de este proceso se realizar a travs de: 1. Emitir una Resolucin Exenta para nominar ai Encargado de seguridad de los documentos electrnicos en conjunto con el Comit que apoyar las iniciativas en tos temas. 2. Establecer un Glosario de Trminos. 3. Disear e implernenar un programa de capacitacin sobre gestin de seguridad de la informacin. 4. Disear e implernenar un programa comunicacionai, para difundir ia informacin a todos los funcionarios y persona! del SENCE. Como elementos relevantes para la gestin de seguridad, se deben considerar: 1. La Poltica de Gestin de Riesgos, cuyo foco se encuentra en la reduccin de los riesgos, obedece ai propsito de mejorar la gestin institucional, a fin de contribuir efectivamente al cumplimiento de sus objetivos estratgicos y con ello al logro de su misin. 2. La Poltica de Calidad del Servicio, que orienta las decisiones y acciones hacia la mantencin de un Sistema de Gestin de Calidad, certificable bajo la Norma ISO 9001:2000, buscando el mejoramiento continuo. Esta definicin tiene su alcance a ios Sistemas del PMG susceptibles de ser implemenados bajo Norma ISO; La presente declaracin se revisar cada tres aos de modo de adecuara a a cultura organizacional vigente, en cuanto a seguridad de la informacin. Sanciones Previstas por ncumpimieno El incumplimiento de ia Poltica de Seguridad de la Informacin tendr como resultado la aplicacin de sanciones, conforme a la responsabilidad administrativa que pueda imputarse de acuerdo a la ley. Capacitacin y Difusin de la Poltica Formacin y Capacitacin en batera de Seguridad de ia Informacin Todos los funcionarios y personal del Servicio y, cuando sea pertinente, los usuarios externos y los terceros que desempeen funciones en ia Institucin, recibirn una adecuada capacitacin y actualizacin peridica en materia de la poltica, normas y procedimientos de la Institucin. Esto comprender a los requerimientos de seguridad y las responsabilidades legales, as corno la capacitacin referida al uso correcto de las instalaciones de procesamiento de informacin y el uso correcto de los recursos en general, como por ejemplo, su estacin de trabajo. El/la Encargado/a de !a Unidad de Recursos Humanos del Servicio ser el responsable de coordinar las acciones de capacitacin que surjan de la presente Poltica. Cada seis meses se revisar e! material correspondiente a ia capacitacin, a fin de evaluar a pertinencia de su actualizacin, de acuerdo a su necesidad. El personal que ingrese al Servicio recibir el materia! de capacitacin, indicndosele e! compoitamiento esperado en lo que respecta a la seguridad de la informacin, antes de serie otorgados los privilegios de acceso a los sistemas que correspondan. Por otra parte, se arbitrarn los medios tcnicos necesarios para comunicar a todos tos funcionarios y personal, eventuales modificaciones o novedades en materia de seguridad, que deban ser tratadas con un orden preferencial.

Respuesta a Incidentes y Anomalas en Materia de Seguridad Comunicacin de Incidentes Relativos a la Seguridad Los incidentes relativos a la seguridad de la informacin sern comunicados a travs de canales formales apropiados tan pronto como sea posible. Se establecer un procedimiento formal de comunicacin y de respuesta a incidentes, indicando la accin que ha de emprenderse al recibir un informe sobre incidentes. Dicho procedimiento deber contemplar que, ante la deteccin de un supuesto incidente o violacin de la seguridad, el Responsable de Seguridad Informtica sea informado tan pronto como se haya tomado conocimiento, quien deber indicar los recursos necesarios para la investigacin y resolucin del incidente, y se encargar de su monitoreo. Asimismo, mantendr al Comit de Seguridad al tanto de la ocurrencia de incidentes de seguridad. Todos los funcionarios y contratistas deben conocer el procedimiento de comunicacin de incidentes de seguridad, y deben informar de los mismos tan pronto hayan tomado conocimiento de su ocurrencia. Comunicacin de Debilidades en Materia de Seguridad Los usuarios de servicios de informacin, al momento de tomar conocimiento directa o indirectamente acerca de una debilidad de seguridad, debern registrar y comunicar las mismas al Responsable de Seguridad Informtica. Se prohibe a los usuarios la realizacin de pruebas para detectar y/o utilizar una supuesta debilidad o falla de seguridad. Comunicacin de Anomalas del Software Se establecern procedimientos para la comunicacin de anomalas de softwares, los cuales debern contemplar a) Registrar los sntomas del problema y los mensajes que aparecen en pantalla. b) Establecer las medidas de aplicacin inmediata ante la presencia de una anomala. c) Alertar inmediatamente al Responsable de Seguridad Informtica o del activo de que se trate. Se prohibe a los usuarios retirar un software supuestamente anmalo, a menos que se encuentren autorizados formalmente para hacerlo. La recuperacin ser realizada por personal experimentado, adecuadamente habilitado.

ELABORADO POR JEFE UNIDAD DE AUDITORA INTERNA

REVISADO POR ENCARGADO DE PMG INSTITUCIONAL

APROBADO POR DIRECTOR NACIONAL

GLOSARIO:

a) Activos de Informacin: Algunos ejemplos de activos son: Recursos de informacin: bases de datos y archivos, documentacin de sistemas, manuales de usuario, material de capacitacin, procedimientos operativos o de soporte, planes de continuidad, informacin archivada, etc. Recursos de software: software de aplicaciones, sistemas operativos, herramientas de desarrollo, utilitarios, etc.

b) c) d) e) f) g)

h) i) j) k) I) m) n) 0) p) q)

r) s) 1)

u) v)

Activos fsicos: equipamiento informtico (procesadores, monitores, computadoras porttiles, mdems), equipos de comunicaciones (routers, PABXs, mquinas de fax, contestadores automticos), medios magnticos (cintas, discos), otros equipos tcnicos (relacionados con I suministro elctrico, unidades de aire acondicionado), mobiliario, lugares de emplazamiento, etc. Servicios: servicios informticos y de comunicaciones, utilitarios generales (calefaccin, iluminacin, energa elctrica, etc.). Autenticacin: proceso de confirmacin de a identidad del usuario que gener un documento electrnico y/o que utiliza un sistema informtico. Confidencialidad: Aseguramiento de que el documento electrnico sea conocido slo por quienes estn autorizados para ello. Contenido de! documento electrnico: informacin, ideas y conceptos que un documento expresa. Continuidad del negocio: continuidad de ias operaciones de la institucin. Disponibilidad: aseguramiento que ios usuarios autorizados tengan acceso oportuno a! documento electrnico y sus mtodos de procesamiento. Documento electrnico: toda representacin de un hecho, imagen o idea que sea creada, enviada, comunicada o recibida por medios electrnicos y almacenada de un modo idneo para permitir su uso posterior. Documentos pblicos: Aquellos documentos que se encuentran a libre disposicin de las personas. Documentos reservados: aquellos documentos cuyo conocimiento est circunscrito al mbito de la respectiva unidad del Servicio a la que sean remitidos Documentos secretos: los documentos que tienen tal carcter de conformidad a una ley de quorum calificado. Ejecutivo: autoridad dentro de la institucin. Identificador formal de autenticacin: mecanismo tecnolgico que permite que una persona acredite su identidad utilizando tcnicas y medios electrnicos. Incidentes de seguridad: situacin adversa que amenaza o pone en riesgo un sistema informtico, Informacin: contenido de un documento electrnico. Integridad: salvaguardia de la exactitud y totalidad de a informacin y de los mtodos de procesamiento del documento electrnico, as como de ias modificaciones realizadas por entes debidamente autorizados. Negocio: funcin o servicio prestado por a Institucin. Poltica de Seguridad: conjunto de normas o buenas prcticas declaradas y .aplicadas por una organizacin, cuyo objetivo es disminuir el nivel de riesgo en ia realizacin de un conjunto de actividades de inters o bien garantizar la realizacin peridica y sistemtica de este conjunto, Repositorio: estructura electrnica donde se almacenan documentos electrnicos, Riesgos: amenazas de impactar y vulnerar a seguridad dei documento electrnico y su posibilidad de ocurrencia. Sistema informtico: conjunto de uno o ms computadores, sofwares asociados, perifricos, terminales, usuarios, procesos fsicos, medios de transferencia de informacin y oros, que forman un todo autnomo capaz de realizar procesamiento de informacin y/o transferencia de informacin. Usuario: entidad o individuo que utiliza un sistema informtico, Activos de Informacin: Algunos ejemplos de activos son:

Recursos de informacin: bases de datos y archivos, documentacin de sistemas, manuales de usuario, material de capacitacin, procedimientos operativos o de soporte, planes de continuidad, informacin archivada, etc. Recursos de software: software de aplicaciones, sistemas operativos, herramientas de desarrollo, utilitarios, etc. Activos fsicos: equipamiento informtico (procesadores, monitores, computadoras porttiles, mdems), equipos de comunicaciones (routers, PABXs, mquinas de fax, contestadores automticos), medios magnticos (cintas, discos), otros equipos tcnicos (relacionados con el suministro elctrico, unidades de aire acondicionado), mobiliario, lugares de emplazamiento, etc. Servicios: servicios informticos y de comunicaciones, utilitarios generales (calefaccin, iluminacin, energa elctrica, etc.).

ANTESE, COMUNQUESE, PUBLQUESE EN LA PGINA WEB INSTITUCIONAL Y ARCHVESE.

YO COLOMA NAL SUBROGANTE SENCE

F/Jc strbubir Direccin Nacional Departamentos Unidades Unidad de Marketing y Comunicaciones Oficina de Partes