visado por: aprueba actualizaciÓn resoluciÓn exenta n°...

DIVISIÓN JURÍDICA

RESOLUCION EXENTA Nº

SANTIAGO,

APRUEBA ACTUALIZACIÓN RESOLUCIÓN EXENTA N° 2.359, DE 2018, POLÍTICA DE CONTROL DE ACCESO DEL INSTITUTO NACIONAL DE ESTADÍSTICAS.

VISTOS: Lo dispuesto en la Ley Nº 17.374, de 1970, que fija el texto refundido, coordinando y actualizado del DFL N° 313, de 1960, que aprueba la Ley Orgánica Dirección Estadística y Censos y crea el Instituto Nacional de Estadísticas; en el Decreto N° 1.062, de 1970, del entonces Ministerio de Economía, Fomento y Reconstrucción, que aprueba el Reglamento del Instituto Nacional de Estadísticas; en el DFL 1/19.653, de 2000, del Ministerio Secretaría General de la Presidencia, que fija el texto refundido, coordinado y sistematizado de la Ley N° 18.575, Orgánica Constitucional de Bases Generales de la Administración del Estado; en la Ley N° 19.628 de Protección de la Vida Privada; en la Ley N° 19.223, de Delitos informáticos; en el Decreto N° 83, de 2005, del Ministerio Secretaría General de la Presidencia, que aprueba norma técnica para los órganos de la Administración del Estado, sobre Seguridad y Confidencialidad de los Documentos Electrónicos; en la Resolución Exenta N° 5.966 de 09 de diciembre de 2016, que aprueba políticas, normas, protocolos y procedimientos específicos de seguridad de la información; en Resolución Exenta N° 7.377, y N° 7.378, ambos de 2.107, del INE; en Resolución Exenta N° 2.359, de 02.08.2018, del INE; en solicitud GESDOC SDJ_DivisionJuridica_000001300016, de 23.12.2019, de la Jefa (S) del Departamento de Seguridad de la Información; Acta de Revisión del Comité Técnico de Seguridad de la Información, de 20.12.2019; y Acta de Aprobación del Comité de Seguridad de la Información de 23.12.2019; en Resolución N° 7, de 2019, de la Contraloría General de la República, que Fija Normas sobre Exención del Trámite de Toma de Razón; y en la demás normativa aplicable

CONSIDERANDO:

1. Que, con fecha 02 de agosto de 2018, nuestro Servicio aprobó mediante Resolución Exenta N° 2.359, la Política de Seguridad denominada Política de Control de Acceso del Instituto Nacional de Estadísticas, elaborada por el Encargado de Seguridad de la Información, revisada y aprobada por el Comité de Seguridad de la Información y el Comité Técnico de Seguridad de la Información, y por la cual se busca establecer las definiciones que administrarán, gestionarán y supervisarán el acceso a la información, controlado bajo los parámetros tanto legales, como de mitigación de riesgos y seguridad.

2. Que, con fecha 03 de junio del presente, se aprobó mediante

Resolución Exenta N° 1.753 la Nueva Estructura Orgánica del INE, dejando sin efecto las resoluciones Exentas N° 1.188, N° 3.676, N° 3.967, y N° 4.402, todas de 2018. Lo anterior, generó una revisión de las políticas de Seguridad, a fin de actualizar en todos aquellos casos en que las funciones u obligaciones en materia de seguridad se encontraban asociadas a un cargo, Departamento o estructura determinada, verificando si éstos se mantienen o a quiénes corresponde, en caso que el cambio de la Estructura Orgánica provoque una modificación en la Política.

3. Que, lo anterior se tradujo en una revisión de la totalidad de

las políticas de seguridad de la información vigentes en el INE, a efectos de determinar cuáles requerían de una actualización y/o modificación, en atención a los cambios derivados de su orgánica.

4. Que, lo anterior generó la aprobación, con fecha 20.12.2019,

por el Comité técnico de seguridad de la información, de una nueva política de control de acceso, que introdujo modificaciones, conforme a la nueva estructura orgánica, más otras actualizaciones, no

Visado Por:Dcarbone/Lsoto/Rbeyzaga/milabaca/

478230 de diciembre del 2019

consideradas en la versión anterior. La nueva política aprobada por el comité técnico, fue ratificada mediante acta, por el Comité de Seguridad de la Información del INE.

5. Que, el inciso primero del artículo N° 3 de la Ley N° 19.880, que

Establece Bases de Procedimientos Administrativos que rigen los Actos de los Órganos de la Administración del Estado, señala que: “[…] Las decisiones escritas que adopte la Administración se expresarán por medio de actos administrativos.”, especificando en su inciso tercero que éstos tomarán la forma de decretos supremos y resoluciones.

6. Que, la Ley N° 18.575, Orgánica Constitucional de Bases

Generales de la Administración del Estado, dispone en el artículo N° 28 inciso segundo que “A los Jefes de Servicio les corresponderá dirigir, organizar y administrar el correspondiente servicio; controlarlo y velar por el cumplimiento de sus objetivos; responder de su gestión, y desempeñar las demás funciones que la ley les asigne.”

7. Que, el artículo N° 3 letra h) del Reglamento del Instituto

Nacional de Estadísticas, dispone que al Director le corresponderá: “Dictar las resoluciones e impartir las instrucciones que sean necesarias para la organización y mejor funcionamiento del Instituto.”

8. Que, de conformidad con lo precedentemente expuesto, es

necesario aprobar la actualización de la Política de Control de Acceso.

RESUELVO: 1° APRUÉBASE la actualización a la Política de Control de Acceso del

Instituto Nacional de Estadísticas, resolución exenta N° 2.359, de 2018, del INE, reemplazando íntegramente su texto por el que se transcribe a continuación:

POLÍTICA DE CONTROL

DE ACCESO

CONTENIDO

1. DECLARACIÓN INSTITUCIONAL .................................................................................................... 5

2. OBJETIVO DEL DOCUMENTO ........................................................................................................ 5

2.1 OBJETVO GENERAL.....………………………………………………………………………………………………………………6

2.2 OBJETIVOS ESPECÍFICOS....................................................................................................... 5

3. ALCANCE O ÁMBITO DE APLICACIÓN INTERNO ............................................................................. 5

4. ROLES Y RESPONSABILIDADES ..................................................................................................... 6

5. CONTROL NORMATIVO ............................................................................................................... 6

5.1 REGLAS PARA EL CONTROL DE ACCESO................................................................................. 6

5.2 ACCESO A REDES Y SERVICIOS DE RED .................................................................................. 6

5.3 CONTROL DE ACCESO A LA RED ............................................................................................ 6

5.4 UTILIZACIÓN DE LOS SERVICIOS DE RED ............................................................................... 7

5.5 AUTENTICACIÓN DE USUARIOS PARA CONEXIONES EXTERNAS ............................................. 7

5.6 IDENTIFICACIÓN DE EQUIPOS EN LA RED .............................................................................. 7

5.7 PROTECCIÓN DE LOS PUERTOS DE CONFIGURACIÓN Y DIAGNÓSTICO REMOTO..................... 7

5.8 SEPARACIÓN DE REDES ........................................................................................................ 7

5.9 CONTROL DE CONEXIÓN DE LAS REDES ................................................................................ 7

5.10 ADMINISTRACIÓN DEL ACCESO DE USUARIOS ...................................................................... 8

5.11 RESPONSABILIDAD DE LOS USUARIOS .............................................................................. 8

5.12 CONTROL DE ACCESO DE SISTEMAS Y APLICACIONES ............................................................ 8

5.13 USO DE UTILITARIOS DEL SISTEMA ....................................................................................... 9

5.14 COMPUTACIÓN MÓVIL Y TRABAJO REMOTO ........................................................................ 9

5.15 PROCEDIMIENTO DE INICIO DE SESIÓN SEGURO ................................................................... 9

6. EVALUACIÓN Y SEGUIMIENTO DE LA POLÍTICA ............................................................................. 9

7. DIFUSIÓN.................................................................................................................................... 9

8. CONTROL DE VERSIONES ........................................................................................................... 10

1. DECLARACIÓN INSTITUCIONAL En la declaración del propósito del INE, los objetivos y principios de la seguridad de la información y los contenidos y controles esenciales de carácter legal, deben considerarse:

● Ley N° 19.628 sobre Protección de la Vida Privada. ● Ley N° 19.223 que Tipifica Figuras Penales relativas a la Informática. ● Ley N° 19.927 que modifica el Código Penal, el Código de Procedimiento Penal y el Código Procesal

Penal en materia de Delitos de Pornografía Infantil. ● Ley N° 20.285 sobre Acceso a la Información Pública. ● Ley N° 17.374, de 1970, que fija el Nuevo Texto Refundido, Coordinado y Actualizado del DFL N°

313 de 1960, que aprobara la Ley Orgánica Dirección Estadística y Censos y crea el Instituto Nacional de Estadísticas.

● Decreto N° 83, de 2005, del Ministerio Secretaría General de la Presidencia: Aprueba norma técnica para los órganos de la Administración del Estado, sobre Seguridad y Confidencialidad de los Documentos Electrónicos.

● Decreto N° 93, de 2006, del Ministerio Secretaría General de la Presidencia: Aprueba Norma Técnica para minimizar la recepción de mensajes electrónicos masivos no deseados, en las casillas electrónicas de los órganos de la Administración del Estado y de sus funcionarios.

● Decreto N° 1, de 2015, que aprueba norma técnica sobre Sistemas y Sitios WEB de los Órganos de la Administración del Estado.

● NCh-ISO 27001., Of. 2013 - Sistema de gestión de seguridad de la información - INN Chile. ● NCh-ISO 27002., Of. 2013 - Tecnologías de la Información y Código de prácticas para la gestión de

seguridad de la información - INN Chile. ● NCh-ISO 27005., Of. 2013 - Gestión de Riesgos - INN Chile.

2. OBJETIVO DEL DOCUMENTO

2.1 OBJETIVO GENERAL El Instituto Nacional de Estadísticas crea la Política de Control de Acceso, para establecer las definiciones que administrarán, gestionarán y supervisarán el acceso a la información, los cuales deberán ser controlados sobre la base de los requisitos de cumplimiento legal, mitigación de riesgos y seguridad. Para ello, a través de sus diferentes áreas, permitirá administrar el ciclo de vida de los usuarios, desde la creación automática de las cuentas, roles y permisos necesarios hasta su inoperancia, todo a partir de los requerimientos reportados directamente de la respectiva Jefatura, lo anterior permitirá que el funcionario tenga un acceso adecuado a los sistemas de información y recursos tecnológicos, validando su autenticación, autorización y auditoría.

2.2 OBJETIVOS ESPECÍFICOS

Identificar los requerimientos de seguridad de cada una de las aplicaciones y sistemas informáticos.

Identificar toda la información relacionada con las aplicaciones y sistemas informáticos. • Definir los perfiles de acceso de usuarios estándar, comunes a cada categoría de estaciones de trabajo. • Administrar los derechos de acceso en un ambiente distribuido y de red, que reconozcan todos los tipos de conexiones disponibles. • Asegurar el cumplimiento de los requisitos normativos, estatutarios, reglamentarios y contractuales, que estén orientados hacia la seguridad de la información en el Instituto Nacional de Estadísticas. • Establecer los niveles de acceso apropiados a la información institucional, brindando y asegurando la confidencialidad, integridad y disponibilidad que requiera cada sistema y usuario.

3. ALCANCE O ÁMBITO DE APLICACIÓN INTERNO La política es de aplicación obligatoria para todos los funcionarios del Instituto Nacional de Estadísticas, sin perjuicio de su calidad jurídica de planta, contrata y para las personas bajo la modalidad de prestación

de servicios honorarios; sea como profesionales, técnicos de educación superior o expertos en determinadas materias, así como partes externas bajo la modalidad subcontratación, y servicios de consultoría externalizados si corresponde. Que tengan derechos de acceso a la información, que puedan afectar los activos de información del Instituto Nacional de Estadísticas y a todas sus relaciones con terceros que impliquen el acceso a sus datos, recursos tecnológicos y/o a la administración y control de sus sistemas de información. Esta Política se ajusta al ordenamiento jurídico vigente y mantiene lineamientos acordes a las directrices estratégicas definidas por el Instituto Nacional de Estadísticas, particularmente en lo referido a los derechos y libertades de las personas y otras leyes aplicables al campo de la información y la tecnología.

4. ROLES Y RESPONSABILIDADES La Subdirección de Tecnologías de la información, será la responsable de implementar todos los controles creados en esta política y velar por su correcta implementación. El Departamento de Seguridad de la Información será el responsable de verificar que los controles que se indican en la presente política se cumplan y entregar las alertas cuando se evidencie que así no sea.

5. CONTROL NORMATIVO

5.1 REGLAS PARA EL CONTROL DE ACCESO

Las reglas para el control de acceso, estarán documentados a través de los diferentes procedimientos de control de acceso a los recursos tecnológicos, considerando lo siguiente: • Se establece como premisa que “Todo está prohibido a menos que se permita expresamente”. • Sólo se otorgará acceso a la información a los funcionarios y terceros que lo requieran, para real izar tareas propias de su función o explícitamente encomendadas por el INE (estas tareas y roles requerirán de ciertos privilegios de acceso, los que se caracterizaron mediante perfiles ad hoc). • Sólo se otorgará acceso a las instalaciones de procesamiento de información, incluidos sus equipos, aplicaciones, procedimientos, salas, etc., a los funcionarios y terceros que lo requieran para desempeñar la tarea/trabajo/rol que le fuesen encomendados.

5.2 ACCESO A REDES Y SERVICIOS DE RED Se deberá asegurar el acceso a la Red y a los Servicios de Red de todos los usuarios autorizados, y consecuentemente prevenir el acceso no autorizado a los mismos. Se usará para la gestión de las credenciales de accesos el Instructivo de Aseguramiento de Servicios en Redes Públicas, que determine las directrices para los accesos lógicos a los sistemas de información de la institución.

5.3 CONTROL DE ACCESO A LA RED Las conexiones no seguras a los servicios de red pueden afectar a toda la institución, p or lo tanto, se controlará el acceso a los servicios de red tanto internos como externos. Esto es necesario para garantizar que los usuarios que tengan acceso a las redes y a sus servicios, no comprometan la seguridad de los mismos. Las reglas de acceso a la red a través de los puertos, estarán basadas en la premisa de que todo está restringido, a menos que esté expresamente permitido.

5.4 UTILIZACIÓN DE LOS SERVICIOS DE RED Se desarrollarán procedimientos para la activación y desactivación de derechos de acceso a las redes, los cuales comprenderán: • Control de acceso a los servicios de red tanto internos como externos. • Identificación de las redes y servicios de red a los cuales se permite el acceso. • Normas y procedimientos de autorización de interconexión o acceso entre redes. • Controles y procedimientos de administración para proteger el acceso y servicios de red.

5.5 AUTENTICACIÓN DE USUARIOS PARA CONEXIONES EXTERNAS El Departamento de Plataformas Tecnológicas debe contemplar servicios de conexiones externas VPN para funcionarios que requieran conexión remota a la red de datos institucional, y cumplan con los requisitos para ello. La autenticación a los servicios VPN para usuarios con conexiones externas, estará documentado mediante el procedimiento Uso del Acceso Remoto VPN.

5.6 IDENTIFICACIÓN DE EQUIPOS EN LA RED El Departamento de Plataformas Tecnológicas deberá controlar e identificará los equipos conectados a su red, mediante el uso de controladores de dominio, asignación manual de IP y credenciales de acceso para WIFI.

5.7 PROTECCIÓN DE LOS PUERTOS DE CONFIGURACIÓN Y DIAGNÓSTICO

REMOTO Los puertos que permitan realizar mantenimiento y soporte remoto a los equipos de red, servidores y equipos de usuario final, estarán restringidos para su uso, sólo a los administradores de red o servidores.

5.8 SEPARACIÓN DE REDES El Departamento de Plataformas Tecnológicas utilizará como medida de seguridad básica, dispositivos tipo cortafuegos (firewalls) para controlar todo acceso entre cualquier red del INE y redes externas, como lo son entre otras, la Internet y las redes privadas de terceros. La red interna del INE deberá segmentarse ya sea en forma física o lógica para separar grupos de sistemas, aplicaciones o personas, y estableciendo mecanismos que controlen y limiten el tráfico entre ellos. Esto permitirá contener errores o incidentes de seguridad, limitando su propagación, alcance y podrá implementarse mediante el uso de VLANs y Lista de Control de Acceso (ACL) en los equipos de comunicaciones o mediante mecanismos alternativos.

5.9 CONTROL DE CONEXIÓN DE LAS REDES Dentro de la red de datos institucional se restringirá el acceso a: • Mensajería instantánea mediante aplicaciones no autorizadas por la institución. • Telefonía a través de internet no autorizada por la institución. • Correo electrónico comercial no autorizado. • Descarga de archivos de sitio peer to peer. • Conexiones a sitios de streaming no autorizado. • Acceso a sitios de pornografía de cualquier índole, piratería, violencia, ventas de artículos ilegales, discriminaciones y delitos de odio, violencia de género. • Servicios de escritorio remoto a través de internet mediante aplicaciones no autorizadas por la institución • Cualquier otro servicio que vulnere la seguridad de la red o degrade el desempeño de la misma.

5.10 ADMINISTRACIÓN DEL ACCESO DE USUARIOS Para la correcta administración de las credenciales que se utilizarán para controlar el acceso de los usuarios, se instauran las siguientes indicaciones: • Para los funcionarios o colaboradores que ingresen a trabajar por primera vez a la institución, la jefatura directa deberá gestionar previamente a través de la Mesa de Servicios TIC, la creación de la cuenta de red o UID, en la misma solicitud además se deberá solicitar la creación de correo electrónico asociado a su cuenta. • Cada funcionario de la institución poseerá una cuenta de red único e irrepetible. • El UID es personal e intransferible; compartirlo con otros está tajantemente prohibido. • Cuando las circunstancias lo ameriten, excepcionalmente y mediante autorización expresa del Subdirector de Tecnologías de la Información, podrá autorizarse el uso de UID genéricos. • Cuando empleados de entidades externas a la institución requieran creación de cuentas de red, se deberá autorizar previamente por el Jefe (a) del Departamento de Seguridad de la Información o quien lo subrogue. La solicitud para creación de cuenta se deberá realizar a través de La Mesa de Servicios TIC. La debe realizar el jefe (a) del área en la cual se desempeña el empleado externo. Se deberá especificar la caducidad de la cuanta y las restricciones para acceder a información asociada el INE. • Los UID de aquellos usuarios que hayan abandonado la institución deben ser deshabilitados apenas cesen en sus funciones. • Se deberá revisar mensualmente la lista de usuarios con especial énfasis en las altas y bajas, y en la modificación de los derechos de acceso. Cualquier inconsistencia deberá ser corregida. • Se deberá tener un proceso formal para la creación de accesos, otorgamiento de los derechos asociados y su entrega al usuario. Deberá incluir consideraciones especiales que se requieren para el caso de accesos privilegiados (ej.: administrador, root, SA, etc.). Con el propósito de proporcionar un acceso adecuado a las cuentas de usuarios se establecerán deberes y derechos para todos los tipos de sistemas y para todos los tipos de usuarios.

5.11 RESPONSABILIDAD DE LOS USUARIOS Todos los funcionarios o terceros que hagan uso de la plataforma tecnológica de la Subdirección de Tecnologías de la Información, deberán conocer y cumplir con lo establecido tanto en esta política, como también en aquellas políticas, normas y procedimientos, donde se dictan pautas sobre derechos y deberes de los usuarios, respecto al uso adecuado de recursos TI, protección de PC desatendido, escritorio y pantalla limpios. Es importante asegurar siempre el estricto resguardo de la autenticación secreta como confidencial.

5.12 CONTROL DE ACCESO DE SISTEMAS Y APLICACIONES Todo acceso a los sistemas y aplicaciones del Instituto Nacional de Estadísticas se debe regular para evitar accesos no autorizados. El acceso a la información y a las funciones del sistema de aplicación se deberá restringir de acuerdo a esta política de control de acceso. Las restricciones de acceso a la información y funciones del sistema deberán considerar: • Menú de acceso a las funciones de los sistemas en base al UID. • El acceso a la información a través de una aplicación, se controlará a través de roles y los privilegios asignados a los usuarios dentro del sistema de información. • Control de los datos a los que un usuario puede acceder. • Control de derechos de lectura, escritura, eliminación y ejecución. • Mecanismos de inicio de sesión seguro. • Exigir el uso de contraseñas de calidad. • Permitir a los usuarios la definición y cambio de sus propias contraseñas.

• Restringir el acceso a códigos fuentes de programas, para evitar cambios no intencionales. • Registros de auditoría del acceso a los programas fuentes. • Bloqueo automático de acceso, por inactividad del usuario, sin cerrar las sesiones de aplicación o de red. • Opción de bloqueo de acceso, cuando deban abandonar temporalmente su puesto de trabajo.

5.13 USO DE UTILITARIOS DEL SISTEMA El uso del software utilitario del sistema, estará restringido a usuarios con privilegios de administradores. En los sistemas Windows se establecerá una política a nivel del controlador de dominio, que impida la instalación de software y cambios de configuración del sistema. Ningún usuario final, deberá tener privilegios de usuario administrador.

5.14 COMPUTACIÓN MÓVIL Y TRABAJO REMOTO Teniendo en cuenta las ventajas de la computación móvil y el trabajo remoto, como así mismo su nivel de exposición a amenazas que ponen en riesgo la seguridad de la información institucional, a continuación, se establecen algunas normas generales que permitirán regular el uso de la computación móvil y trabajo remoto: • Se entiende como dispositivos de cómputo y comunicación móviles, todos aquellos que permitan tener acceso y almacenar información institucional, desde lugares diferentes a las instalaciones. • El uso de equipos de cómputo y dispositivos de almacenamiento móviles, está restringido únicamente a los provistos por la institución y su utilización deberá contemplar las directrices establecidas en la Política de Uso de Dispositivos Móviles En casos de índole excepcional, en la cual el desempeño de las funciones no se puede realizar debido a una contingencia que afecte el trabajo en la institución: ● Se podrá utilizar computadores personales, mediante una cuanta VPN, previa autorización de la jefatura directa a la cual pertenece. Dicha cuenta se deberá pedir a través de la mesa de servicios TIC.

5.15 PROCEDIMIENTO DE INICIO DE SESIÓN SEGURO Los accesos a los sistemas estarán protegidos, mediante un inicio seguro de sesión, que contempla las siguientes condiciones: • Se deberá utilizar claves seguras basadas en La Política de Contraseñas. • No mostrar información del sistema, hasta que el proceso de inicio se haya completado. • No suministrar mensajes de ayuda, durante el proceso de autenticación. • Validar los datos de acceso, una vez que se han gestionado todos los datos de entrada. • Limitar el número de intentos fallidos de conexión auditando los intentos no exitosos. • No mostrar las contraseñas digitadas. • No transmitir la contraseña en texto plano. Definición respecto a la(s) materia(s) específica(s) que aborda, esta(s) debe(n) concordar explícitamente con el requisito de control normativo.

6. EVALUACIÓN Y SEGUIMIENTO DE LA POLÍTICA La política deberá revisarse anualmente o cuando se realicen grandes cambios a sistemas de tecnologías de la información.

7. DIFUSIÓN La política estará publicada en el intranet institucional http://intranet.ine.cl/

http://intranet.ine.cl/

8. CONTROL DE VERSIONES

Nombre Modificación Fecha Versión

Juan Carlos Troncoso

Creación del documento 14 Junio 2017 0.1

Sebastian Vargas Actualización del documento 21 Junio 2017 0.2

Sebastian Vargas Actualización y mejoras 27 Junio 2017 0.3

Sebastian Vargas Mejoras 29 Junio 2017 0.4

Carlos Valdivieso Revisión 7 Agosto 2017 0.5

Sebastian Vargas Formato oficial 7 Agosto 2017 06

Comité de seguridad técnico

Revisión contenido 21/03/2018 0.7 0.8

División jurídica Adecuaciones 26/06/2018 0.9

Sebastian Vargas Envió a resolución 27/06/2018/ 1.0

Raúl Beyzaga Modificación por Observaciones de Comité 11-11-2019 1.1

Leandra Soto Validación final del Departamento de Seguridad de la Información

12-11-2019 1.2

2° REMÍTASE copia íntegra del presente acto administrativo, por

parte del Subdepartamento y de Partes y Registros, al Jefe (S) del Departamento de Seguridad de la

Información, una vez que este se encuentre totalmente tramitado.

ANÓTESE, REGÍSTRESE Y ARCHÍVESE

GUILLERMO PATTILLO ÁLVAREZ

Director Nacional

Instituto Nacional de Estadísticas

DCO/MGIT/LSV/RBC/ybh

Distribución:

-Dirección Nacional.

-Todas las Subdirecciones.

-División Jurídica.

-Departamento de Seguridad de la Información

-Subdepto. Partes y Registro.

Validar en http://validadoc.ine.cl/ con el id: 2009fa49-a337-415f-a033-d9c9cd662597

Á. Oficina de Partes

II1E II/ZEJj

'II It! IIlil fiiHL 11 115542

resoltje

DIVISIÓN JURÍDICA

APRUEBA POLÍTICA DE CONTROL DE ACCESO DEL

INSTITUTO NACIONAL DE ESTADÍSTICAS.

CH 2313 RESOLUCION EXENTA N2 2359 SANTIAGO, 0 7 AGH 21

VISTOS: Lo dispuesto en la Ley N2 17.374, de 1970, que fija

el texto refundido, coordinando y actualizado del DFL N° 313, de 1960, que aprueba la Ley Orgánica

Dirección Estadística y Censos y crea el Instituto Nacional de Estadísticas; en el Decreto N° 1.062, de

1970, del entonces Ministerio de Economía, Fomento y Reconstrucción, que aprueba el Reglamento del

Instituto Nacional de Estadísticas; en el DFL 1/19.653, de 2000, del Ministerio Secretaría General de la

Presidencia, que fija el texto refundido, coordinado y sistematizado de la Ley N° 18.575, Orgánica

Constitucional de Bases GeneriIes de la Administración del Estado; en la Ley N° 19.628 de Protección de

la Vida Privada; en la Ley N° 19.223, de Delitos informáticos; en el Decreto N° 83, de 2005, del Ministerio

Secretaría General de la Presidencia, que aprueba norma técnica para los órganos de la Administración

del Estado, sobre Seguridad y Confidencialidad de los Documentos Electrónicos; en la Resolución Exenta

N° 5.966 de 09 de diciembre de 2016, que aprueba políticas, normas, protocolos y procedimientos

específicos de seguridad de la información; en la Resolución Exenta N 7.001 de 07 de diciembre de

2017, que aprueba política general de seguridad de la información y deja sin efecto Resolución Exenta

que indica; en ORD. INT. N° 105, de 29.06.2018, y ORD. INT. N° 110, de 11.07.2018, ambos del

Departamento de Planificación y Control; en Resolución Exenta N° 7.377, y N° 7.378, ambos de 2.107, de

la División Jurídica del Instituto, y en la demás normativa aplicable.

CONSIDERANDO:

Que, el Instituto Nacional de Estadísticas, reconoce la

importancia y el valor de los activos de información como un elemento crítico para el cumplimiento de la

misión del servicio, por ello asume que la información requiere ser protegida de las amenazas que

puedan poner en peligro la continuidad operacional, los niveles y calidad de los productos, la

rentabilidad social y la conformidad legal, atributos necesarios para el logro de los objetivos del Servicio.

Que, considerando que la información es clave para la

gestión, operación, crecimiento y éxito de la Institución, se hizo necesario la adopción y aprobación de

una Política de Seguridad de la información, que define criterios y lineamientos esenciales. Así, el

Instituto Nacional de Estadísticas aprobó la resolución Exenta N° 7.001, de 07.12.2017, Nueva Política

General de Seguridad de la Información, dejando sin efecto la Resolución Exenta N° 5.955, de 2016.

Que, de acuerdo a la "Nueva Política General de Seguridad",

existirá un Comité de Seguridad de la Información, el cual debe asegurar la implementación, ejecución,

mantención, mejora y difusión del Sistema de Gestión de Seguridad de la Información. Está encargado -

además- de aprobar las políticas, procedimientos, normativas y otros aspectos en materia de seguridad.

En relación a este punto, las políticas son previamente elaboradas por el Encargado de Seguridad de la

Información y el Comité Técnco de Seguridad de la Información, de acuerdo a las necesidades del

4. Que, de acuerdo a la Nueva Política General de Seguridad, es

Servicio "[...] dará lugar a las políticas de segundo nivel que a continuación se indican: [...] A. Política de

Control de Acceso." Dando cumplimiento a lo dispuesto previamente, el Encargado de Seguridad de la

Información ha elaborado una nueva política de "Control de Acceso", política que fue revisada y

aprobada por los organismos respectivos, señalados en el considerando anterior. Su aprobación consta

en acta de reunión de 26 de junio del presente, del Comité Técnico de Seguridad de la Información, y

acta de reunión de 10 de julio del presente, del Comité de Seguridad de la Información, acompañadas

por ORD. INT. N° 110, citado en el visto.

S. Que, de conformidad con lo precedentemente expuesto, es

necesario aprobar la Política de Control de Acceso.

6. Que, la aprobación de la presente política adoptada por este

Instituto, tiene por objeto dar cumplimiento a lo dispuesto en los artículos 9 y 17 del Decreto N° 83, de

2005, del Ministerio Secretaría General de la Presidencia, citado en el visto; y lo requerido por ORD. INT.

N° 105 y N° 110, de 2018, ambos del Departamento de Planificación y Control.

RESUELVO:

l APRUÉBASE la presente Política de Control de Acceso del

Instituto Nacional de Estadísticas, cuyo texto íntegro se transcribe a continuación:

ITE] E POLÍTICA DE CONTROL DE ACCESO

CÓDIGO: SGSI-PCA-2018

VERSIÓN: 1.0

PÁGINA: Página 1 de 12

POLÍTICA DE CONTROL

DE ACCESO

POLÍTICA DE CONTROL DE ACCESO

f,' P CÓDIGO: SGSI-PCA-2018 VERSIÓN: 1.0

c. PÁGINA: Página 2 de 12

Contenido

1. DECLARACIÓN INSTITUCIONAL ...................................................................... . ......................... . ... 3

2. OBJETIVO DEL DOCUMENTO .......................................................................................................4

2.1. OBJETIVO GENERAL............................................................................................................. 4

2.2. OBJETIVOS ESPECÍFICOS ...................................................................................................... 4

3. ALCANCE O ÁMBITO DE APLICACIÓN INTERNO ..........................................................................5

4. ROLES Y RESPONSABILIDADES ............... . ... . ................................................................................. 5

S. CONTROL NORMATIVO ...............................................................................................................5

S.S. AUTENTICACIÓN DE USUARIOS PARA CONEXIONES EXTERNAS ..................................... 7

5.6. IDENTIFICACIÓN DE EQUIPOS EN LA RED........................................................................ 7

5.7. PROTECCIÓN DE LOS PUERTOS DE CONFIGURACIÓN Y DIAGNÓSTICO REMOTO...........7

5.8. SEPARACIÓN DE REDES.................................................................................................... 7

5.9. CONTROL DE CONEXIÓN DE LAS REDES .......................................................................... 8

5.10. ADMINISTRICIÓN DEL ACCESO DE USUARIOS............................................................ 8

5.11. RESPONSABLIDAD DE LOS USUARIOS ........................... . ........................................ . .... 9

5.12. CONTROL DE ACCESO DE SISTEMAS Y APLICACIONES .............. . .... . ............................. 9

5.13. USO DE UTILITARIOS DEL SISTEMA............................................................................ 10

5.14. COMPUTACIÓN MÓVILYTRABAJO REMOTO ......... . .................................................. 10

5.15. PROCEDIMIENTO DE INICIO DE SESIÓN SEGURO ...................................................... 11

6. EVALUACIÓN Y SEGUIMIENTO DE LA POLÍTICA ......................... . ............................................... 12

DIFUSIÓN ................................................................................................................................... 12

CONTROL DE VERSIONES ..................... . ..................................................................................... 12

Copias electrónicas, una vez impresas, son consideradas como NO 2 112

CONTROLADAS y pueder; estar obsoletas.

v1 1. DECLARACIÓN INSTITUCIONAL

POLÍTICA DE CONTROL DE ACCESO CÓDIGO: SGSI-PCA-2018

VERSIÓN: 1.0


En la declaración del propósito del INE, los objetivos y principios de la seguridad de la información

y los contenidos y controles esenciales de carácter legal, deben considerarse:

Ley N° 19.628 sobre Protección de la Vida Privada.

Ley N° 19.223 que Tipifica Figuras Penales relativas a la Informática.

Ley N° 19.927 que modifica el Código Penal, el Código de Procedimiento Penal y el Código

Procesal Penal en materia de Delitos de Pornografía Infantil.

Ley N° 20.285 sobre Acceso a la Información Pública.

Ley N° 17.374, de 1970, que fija el Nuevo Texto Refundido, Coordinado y Actualizado del

DFL N° 313 de 1960, que aprobara la Ley Orgánica Dirección Estadística y Censos y crea el

Instituto Nacional de Estadísticas.

Decreto N° 83, de 2005, del Ministerio Secretaría General de la Presidencia: Aprueba norma

técnica para los órganos de la Administración del Estado, sobre Seguridad y

Confidencialidad de los Documentos Electrónicos.

Decreto N° 93, de 2006, deI Ministerio Secretaría General de la Presidencia: Aprueba Norma

Técnica para minimizar la recepción de mensajes electrónicos masivos no deseados, en las

casillas electrónicas de los órganos de la Administración del Estado y de sus funcionarios.

Decreto N 1, de 2015, que aprueba norma técnica sobre Sistemas y Sitios WEB de los

órganos de la Administración del Estado.

NCh-ISO 27001., Of. 2013 - Sistema de gestión de seguridad de la información - INN Chile.

NCh-ISO 27002., Of. 2013 - Tecnologías de la Información y Código de prácticas para la

gestión de seguridad de la información - INN Chile.

NCh-ISO 27005., Of. 2013 - Gestión de Riesgos - INN Chile.


CONTROLADAS y pueden estar obsoletas.



VERSIÓN: 1.0


2. OBJETIVO DEL DOCUMENTO

2.1. OBJETIVO GENERAL

El Instituto Nacional de Estadísticas crea la Política de Control de Acceso, para establecer las

definiciones que administrdran, gestionaran y supervisarán el acceso a la información, los cuales

deberán ser controlados sobre la base de los requisitos de cumplimiento legal, mitigación de riesgos

y seguridad.

Para ello, a través de sus diferentes áreas, permitirá administrar el ciclo de vida de los usuarios,

desde la creación automática de las cuentas, roles y permisos necesarios hasta su inoperancia, todo

a partir de los requerimientos reportados directamente de la respectiva Jefatura, lo anterior

permitirá que el funcionario tenga un acceso adecuado a los sistemas de información y recursos

tecnológicos, validando su autenticación, autorización y auditoría.

2.2. OBJETIVOS ESPECÍFICOS

Identificar los requerimientos de seguridad de cada una de las aplicaciones y sistemas

informáticos.

Identificar toda la información relacionada con las aplicaciones y sistemas informáticos.

Definir los perfiles ce acceso de usuarios estándar, comunes a cada categoría de estaciones

de trabajo.

Administrar los der3chos de acceso en un ambiente distribuido y de red, que reconozcan

todos los tipos de conexiones disponibles.

Asegurar el cumplimiento de los requisitos normativos, estatutarios, reglamentarios y

contractuales, que estén orientados hacia la seguridad de la información en el Instituto Nacional de

Estadísticas.

Establecer los nive'es de acceso apropiados a la información institucional, brindando y

asegurando la confidencialidad, integridad y disponibilidad que requiera cada sistema y usuario.

Copias electrónicas, una vez impresas, son consideradas como NO 4 1 12



11/1 t 1 CÓDIGO: SGSI-PCA-2018

II' 1/L 1 VERSIÓN: 1.0


ALCANCE O ÁMBITO DE APLICACIÓN INTERNO

La política es de aplicación obligatoria para todos los funcionarios del Instituto Nacional de

Estadísticas, sin perjuicio de su calidad jurídica de planta, contrata y para las personas bajo la

modalidad de prestación de servicios honorarios; sea como profesionales, técnicos de educación

superior o expertos en determinadas materias, así como partes externas bajo la modalidad

subcontratación, y servicios de consultoría externalizados si corresponde. Que tengan derechos de

acceso a la información, que puedan afectar los activos de información del Instituto Nacional de

Estadísticas y a todas sus relaciones con terceros que impliquen el acceso a sus datos, recursos

tecnológicos y/o a la administración y control de sus sistemas de información.

Esta Política se ajusta al ordenamiento jurídico vigente y mantiene lineamientos acordes a las

directrices estratégicas definidas por el Instituto Nacional de Estadísticas, particularmente en lo

referido a los derechos y libertades de las personas y otras leyes aplicables al campo de la

información y la tecnología.

ROLES Y RESPONSABILIDADES

El Departamento de Tecn3logías de la información y Comunicación, será el responsable de

implementar todos los controles creados en esta política y velar por su correcta implementación.

S. CONTROL NORMATIVO

5.1. REGLAS PARA EL CONTROL DE ACCESO

Las reglas para el control de acceso, estarán documentados a través de los diferentes

procedimientos de control de acceso a los recursos tecnológicos, considerando lo siguiente:

Se establece como premisa que "Todo está prohibido a menos que se permita

expresamente".

Sólo se otorgará acceso a la información a los funcionarios y terceros que lo

requieran, para rea'izar tareas propias de su función o explícitamente encomendadas por el

INE (estas tareas y roles requerirán de ciertos privilegios de acceso, los que se caracterizaron

mediante perfiles ad hoc.




11/7 C 1 CÓDIGO: SGSI-PCA-2018

VERSIÓN: 1.0


Sólo se otorgará acceso a las instalaciones de procesamiento de información,

incluidos sus equipos, aplicaciones, procedimientos, salas, etc., a los funcionarios y terceros

que lo requieran para desempeñar la tarea/trabajo/rol que le fuesen encomendados.

5.2. ACCESO A REDES Y SERVICIOS DE RED

Se deberá asegurar el acceso a la Red y a los Servicios de Red de todos los usuarios autorizados, y

consecuentemente prever ir el acceso no autorizado a los mismos.

Se usará para la gestión de las credenciales de accesos un Manual de Acceso institucional, que

determine el ciclo de vida de las credenciales en los distintos Sistemas.

5.3. CONTROL DE ACCESO A LA RED

las conexiones no seguras a los servicios de red pueden afectar a toda la institución, por lo tanto,

se controlará el acceso a los servicios de red tanto internos como externos.

Esto es necesario para garantizar que los usuarios que tengan acceso a las redes y a sus servicios,

no comprometan la segurdad de los mismos.

Las reglas de acceso a la red a través de los puertos, estarán basadas en la premisa todo está

restringido, a menos que esté expresamente permitido.

5.4. UTILIZACIÓN DE LOS SERVICIOS DE RED

Se desarrollarán procedimientos para la activación y desactivación de derechos de acceso a las

redes, los cuales comprenderán:

o Control de acceso a los servicios de red tanto internos como externos.

Identificación de las redes y servicios de red a los cuales se permite el acceso.

Normas', procedimientos de autorización de interconexión o acceso entre redes.

Controles y procedimientos de administración para proteger el acceso y servicios

de red.




VERSIÓN: 1.0


S.S. AUTENTICACIÓN DE USUARIOS PARA CONEXIONES EXTERNAS

El Departamento de Tecnologías de la Información y Comunicaciones (TIC) debe contemplar

servicios de conexiones externas VPN para funcionarios que requieran conexión remota a la red de

datos institucional.

La autenticación a los servicios VPN para usuarios con conexiones externas, estará documentado

mediante el procedimiento Uso del Acceso Remoto VPN.

5.6. IDENTIFICACIÓN DE EQUIPOS EN LA RED

El Departamento de Tecnologías de la Información y Comunicaciones (TIC) deberá controlar e

identificará los equipos conectados a su red, mediante el uso de controladores de dominio,

asignación manual de IP y credenciales de acceso para WIFI.

5.7. PROTECCIÓN DE LOS PUERTOS DE CONFIGURACIÓN Y DIAGNÓSTICO REMOTO

Los puertos que permitan realizar mantenimiento y soporte remoto a los equipos de red, servidores

y equipos de usuario final, estarán restringidos para su uso, sólo a los administradores de red o

servidores.

5.8. SEPARACIÓN DE REDES

El Departamento de Tecnologías de la Información y Comunicaciones (TIC) utilizará como medida

de seguridad básica, dispositivos tipo cortafuegos (firewalls) para controlar todo acceso entre

cualquier red del INE y redes externas, como lo son entre otras, la Internet y las redes privadas de

terceros.

La red interna del INE deberá segmentarse ya sea en forma física o lógica para separar grupos de

sistemas, aplicaciones o personas, y estableciendo mecanismos que controlen y limiten el tráfico


CONTROLADAS y puedcn estar obsoletas.


1 V L/L 1 VERSIÓN: 1.0


entre ellos. Esto permitirá contener errores o incidentes de seguridad, limitando su propagación,

alcance y podrá implementarse mediante el uso de VLAN5 y Lista de Control de Acceso (ACL) en los

equipos de comunicaciones o mediante mecanismos alternativos.

5.9. CONTROL DE CONEXIÓN DE LAS REDES

Dentro de la red de datos nstitucional se restringirá el acceso a:

Mensajería instantánea.

Telefonía 3 través de internet.

Correo elEctrónico comercial no autorizado.

o Descarga de archivos de sitio peer to peer.

Conexiones a sitios de streaming no autorizado.

Acceso a sitios de pornografía de cualquier índole, piratería, violencia, ventas de

artículos ilegales, discriminaciones y delitos de odio, violencia de género.

Servicios de escritorio remoto a través de internet.

Cualquier otro servicio que vulnere la seguridad de la red o degrade el desempeño

de la misma.

5.10. ADMINISTRACIÓN DEL ACCESO DE USUARIOS

Para la correcta administración de las credenciales que se utilizarán para controlar el acceso de los

usuarios, se instauran las siguientes indicaciones:

Cada funcionario de la institución poseerá una cuenta de red o UID único e

irrepetible.

El UID €s personal e intransferible; compartirlo con otros está tajantemente

prohibido.

Cuando las circunstancias lo ameriten, excepcionalmente y mediante autorización

expresa del Jefe del Departamento TIC, podrá autorizarse el uso de UID genéricos.

Copias electrónicas, un; vez impresas, son consideradas como NO 8 1 12



11/7 C 1 CÓDIGO: SGSI-PCA-2018

VERSIÓN: 1.0


Los UID d€ aquellos usuarios que hayan abandonado la institución deben ser

deshabilitados apenas cesen en sus funciones.

Se deberá revisar mensualmente la lista de usuarios con especial énfasis en las altas

y bajas, y en la modificación de los derechos de acceso. Cualquier inconsistencia deberá ser

corregida.

Se deberá tener un proceso formal para la creación de accesos, otorgamiento de

los derechos asociados y su entrega al usuario. Deberá incluir consideraciones especiales

que se requieren para el caso de accesos privilegiados (ej.: administrador, root, SA, etc.).

Con el propósito de proporcionar un acceso adecuado a las cuentas de usuarios se

establecerán deberes y derechos para todos los tipos de sistemas y para todos los tipos de

usuarios.

5.11. RESPONSABILIDAD DE LOS USUARIOS

Todos los funcionarios o terceros que hagan uso de la plataforma tecnológica del Departamento de

Tecnologías de la Información y Comunicaciones (TIC), deberán conocer y cumplir con lo establecido

tanto en esta política, como también en aquellas políticas, normas y procedimientos, donde se

dictan pautas sobre derechos y deberes de los usuarios, respecto al uso adecuado de recursos TI,

protección de PC desatendido, escritorio y pantalla limpios.

Es importante asegurar siempre el estricto resguardo de la autenticación secreta como confidencial.

5.12. CONTROL DE ACCESO DE SISTEMAS Y APLICACIONES

Todo acceso a los sistemas i aplicaciones del Instituto Nacional de Estadísticas se debe regular para

evitar accesos no autorizados.

El acceso a la información y a las funciones del sistema de aplicación se deberá restringir de acuerdo

a esta política de control de acceso.

Las restricciones de acceso a la información y funciones del sistema deberán considerar:

Menú de acceso a las funciones de los sistemas en base al UID.



-- POLÍTICA DE CONTROL DE ACCESO ¡ni CÓDIGO: SGSI-PCA-2018

1 VERSIÓN: 1.0 E


El acceso a la información a través de una aplicación, se controlará a través de roles

y los privilegios asignados a los usuarios dentro del sistema de información.

40 Control de los datos a los que un usuario puede acceder.

Control de derechos de lectura, escritura, eliminación y ejecución.

Mecanismos de inicio de sesión seguro.

o Exigir el uso de contraseñas de calidad.

Permitir a los usuarios la definición y cambio de sus propias contraseñas.

Restringir el acceso a códigos fuentes de programas, para evitar cambios no

intencionales.

Registros de auditoría del acceso a los programas fuentes.

Bloqueo automático de acceso, por inactividad de¡ usuario, sin cerrar las sesiones

de aplicación o de red.

Opción de bloqueo de acceso, cuando deban abandonar temporalmente su puesto

de trabajo.

5.13. USO DE UTILITARIOS DEL SISTEMA

El uso de¡ software uti'itario de¡ sistema, estará restringido a usuarios con privilegios de

administrado res.

En los sistemas Windows 5 e establecerá una política a nivel del Controlador de Dominio, que impida

la instalación de softwarey cambios de configuración del sistema. Ningún usuario final, deberá tener

privilegios de usuario adrrinistrador.

5.14. COMPUTACIÓN MÓVIL Y TRABAJO REMOTO

Teniendo en cuenta las ventajas de la computación móvil y el trabajo remoto, como así mismo su

nivel de exposición a amEnazas que ponen en riesgo la seguridad de la información institucional, a

continuación, se establ€cen algunas normas generales que permitirán regular el uso de la

computación móvil y trabajo remoto:

Copias electrónicas, un vez impresas, son consideradas como NO 10 112




VERSIÓN: 1.0


Se entiende como dispositivos de cómputo y comunicación móviles, todos aquellos que

permitan tener acceso y almacenar información institucional, desde lugares diferentes a las

instalaciones.

El uso de equipos de cómputo y dispositivos de almacenamiento móviles, está restringido

únicamente a los provistos por la institución y su utilización deberán contemplar las directrices

establecidas en el Manual de Acceso establecido en la institución.

En casos de índole excepcional para el buen desempeño de las funciones:

Se podrá utilizar el Smrtphone personal, mediante un formulario simple donde se autoriza por

parte de la institución el uso de correo institucional en los Smartphone personales y el

funcionario acepta el riesgo de dicha práctica según lo establecido en la norma de uso de

recursos tecnológicos.

En casos de¡ uso de BOD por parte de asesores y contratistas, se deberá firmar un documento

aceptando el riesgo de seguridad de la información que esto conlleva.

5.15. PROCEDIMIENTO DE INICIO DE SESIÓN SEGURO

Los accesos a los sistemas estarán protegidos, mediante un inicio seguro de sesión, que contempla

las siguientes condiciones:

Se deberá utilizar claves seguras basadas en el protocolo de contraseña segura.

No mostrar información del sistema, hasta que el proceso de inicio se haya completado.

No suministrar mensajes de ayuda, durante el proceso de autenticación.

Validar los datos de acceso, una vez que se han gestionado todos los datos de entrada.

Limitar el número de intentos fallidos de conexión auditando los intentos no exitosos.

No mostrar las contraseñas digitadas.

No transmitir la contraseña en texto plano.

Definición respecto a la() materia(s) específica(s) que aborda, esta(s) debe(n) concordar

explícitamente con el requisito de control normativo.




11/7 CÓDIGO: SGSI-PCA-2018 II' 1/t VERSIÓN: 10


EVALUACIÓN Y SEGUIMIENTO DE LA POLÍTICA

La política deberá revisarse anualmente o cuando se realicen grandes cambios a sistemas de

tecnologías de la informacion.

DIFUSIÓN

La política estará publicada en el intranet institucional ittp://intranet.ir .çJL

CONTROL DE VERSIONES

Nombre Modificación Fecha Versión

Juan Carlos Creación del documento 14 Junio 2017 0.1

Troncoso

Sebastian Vargas Actualización de¡ documento 21 Junio 2017 0.2

Sebastian Vargas Actualización y mejoras 27 Junio 2017 0.3

Sebastian Vargas Mejoras 29 Junio 2017 0.4

Carlos Valdivieso Revisión 7 Agosto 2017 0.5

Sebastian Vargas Formato oficial 7 Agosto 2017 06

Comité de Revisión contenido 2 1/03/2018 0.7 0.8

seguridad técnico

División jurídica Adecuaciones 26/06/2018 0.9

Sebastian Vargas Envió a resolución 27/06/2018/ 1.0



20 REMÍTASE copia íntegra del presente acto administrativo, por

parte del Subdepartamento y de Partes y Registros, a la Jefa de la División de Planificación y Control, una

vez que este se encuentre totalmente tramitado.

ANÓTESE, REGÍSTRESE Y ARCHÍVESE

PATflLLO At.VAREZ

DirectorNacional

ftuto Nacional de Estadísticas

Lo que transcribo, para su conocimiento.

Saluda atentamente a usted,

,9 DIRECT ÑMLILÜ GUTIÉRREZ PRADO

Subditor Administrativo

-Dirección Nacional.

-Todas las Subdirecciones.

-División Jurídica.

-División de Planificación y Control

-Todas las Direcciones Regionales.

-Todos los Departamentos y Subdepartamentos del INE.

-Subdepto. de Partes y Registro.

VIE Estadísticas Chile

DIRECCIÓN NACIONAL

Departamento de Planificación y Control

ORD. INT. Nº 105 /2018

ANT.: Solicitud de formalización mediante resolución.

MAT.: Políticas y normas de seguridad de la información.

Santiago, viernes, 29 de junio de 2018

A : MARIA GABRIELA ILABACA JEFA DIVISIÓN JURIDICA

DE : ESTEFANNY ARTUS CC1NTRERAS

JEFA DEPARTAMENTO DE PLANIFICACIÓN Y CONTROL

Según lo establecido en el Com té de Seguridad de la Información del día 19 de Junio de¡ 2018, donde se hace presente la necesidad de emitir resoluciones individualizadas para 11 documentos elaborados y revisados por el

Comité de Seguridad Técnico. En esta oportunidad, envió a usted 7 políticas y normas de la materia, para su tramitación y gestión:

- Política de escritorio limpio y pantalla desatendida. - Política uso dispositivo nóvil

- Política desarrollo de sistemas

- Política administración ae activos

- Política control de acceso - Política uso correo electrónico

(JJ DE'- Política de contacto con autoridades.

Atentamente,

ESTEFANN ONTRERAS Jefa Departamen ficación y Control

SY/ MGi _

Z'.-11C^

Distribución:

- División Jurídica

- Archivo

VtE instituto Nadonal de Endinkan ChHe

DIRECCIÓN NACIONAL

Departamento de Planificación y Control

ORD. INT. Nº 110 /2018

ANT.: Envió antecedentes para resolución de

políticas de seguridad de la información.

MAT.: Políticas y normas de seguridad de la

información.

Santiago, Miércoles, 11 de julio de 2018

A : MARIA GABRIELA ILABACA JEFA DIVISIÓN JURIDICA

DE : ESTEFANNY ARTUS CONTRERAS JEFA DEPARTAMENTO DE PLANIFICACIÓN Y CONTROL

Según lo establecido en el Comité de Seguridad de la Información del día 10 de Julio del 2018, se solicita emitir

resoluciones individualizadas para las políticas. Para el caso particular de la Política de escritorio limpio y pantalla desatendida, dejar sin efecto resolución antigua y emitir nueva resolución, se adjunta el acta del comité técnico donde se validan las políticas, el acta del comité de seguridad de la información donde se aprueban las políticas.

Política de escritorio limpio y pantalla desatendida.

Política uso dispositivo móvil

Política desarrollo de sistemas

Política administración de activos

Política control de acceso

Política uso correo electrónico

Política de contacto con autoridades.

Política de uso de Antivirus

Política de uso aceptable

Norma técnica de clasificación de activos de info

Atentamente,

Jefa :ontrol

MGJ Distribución:

- División Jurídica

- Archivo RECIBIDO

11 JUL 2018 DIVl51OwR1DKA

visado por: aprueba actualizaciÓn resoluciÓn exenta n°...

Documents