visado por: aprueba actualizaciÓn resoluciÓn exenta n°...
TRANSCRIPT
DIVISIÓN JURÍDICA
RESOLUCION EXENTA Nº
SANTIAGO,
APRUEBA ACTUALIZACIÓN RESOLUCIÓN EXENTA N° 2.645, DE 2019, POLÍTICA DE DESARROLLO SEGURO DEL INSTITUTO NACIONAL DE ESTADÍSTICAS.
VISTOS: Lo dispuesto en la Ley Nº 17.374, de 1970, que fija el texto refundido, coordinando y actualizado del DFL N° 313, de 1960, que aprueba la Ley Orgánica Dirección Estadística y Censos y crea el Instituto Nacional de Estadísticas; en el Decreto N° 1.062, de 1970, del entonces Ministerio de Economía, Fomento y Reconstrucción, que aprueba el Reglamento del Instituto Nacional de Estadísticas; en el DFL 1/19.653, de 2000, del Ministerio Secretaría General de la Presidencia, que fija el texto refundido, coordinado y sistematizado de la Ley N° 18.575, Orgánica Constitucional de Bases Generales de la Administración del Estado; en la Ley N° 19.628 de Protección de la Vida Privada; en la Ley N° 19.223, de Delitos informáticos; en el Decreto N° 83, de 2005, del Ministerio Secretaría General de la Presidencia, que aprueba norma técnica para los órganos de la Administración del Estado, sobre Seguridad y Confidencialidad de los Documentos Electrónicos; en la Resolución Exenta N° 5.966 de 09 de diciembre de 2016, que aprueba políticas, normas, protocolos y procedimientos específicos de seguridad de la información; en Resolución Exenta N° 7.377, y N° 7.378, ambos de 2.107, del INE; en Resolución Exenta N° 2.645, de 06.08.2019, del INE; en solicitud GESDOC SDJ_DivisionJuridica_000001220016, de 12.12.2019, de la Jefa (S) del Departamento de Seguridad de la Información; Acta de Revisión del Comité Técnico de Seguridad de la Información, de 10.12.2019; y Acta de Aprobación del Comité de Seguridad de la Información de 11.12.2019; en Resolución N° 7, de 2019, de la Contraloría General de la República, que Fija Normas sobre Exención del Trámite de Toma de Razón; y en la demás normativa aplicable
CONSIDERANDO:
1. Que, con fecha 06 de agosto de 2019, nuestro Servicio aprobó mediante Resolución Exenta N° 2.645, la Política de Seguridad denominada Política de Desarrollo Seguro del Instituto Nacional de Estadísticas, elaborada por el Encargado de Seguridad de la Información, revisada y aprobada por el Comité de Seguridad de la Información y el Comité Técnico de Seguridad de la Información, y por la cual se busca establecer un estándar para los niveles de seguridad que deben poseer los productos de software instalados en la institución, que sean desarrollados tanto de forma interna como externa al INE.
2. Que, con fecha 03 de junio del presente, se aprobó mediante Resolución Exenta N° 1.753 la Nueva Estructura Orgánica del INE, dejando sin efecto las resoluciones Exentas N° 1.188, N° 3.676, N° 3.967, y N° 4.402, todas de 2018. Lo anterior, generó una revisión de las políticas de Seguridad, a fin de actualizar en todos aquellos casos en que las funciones u obligaciones en materia de seguridad se encontraban asociadas a un cargo, Departamento o estructura determinada, verificando si éstos se mantienen o a quiénes corresponde, en caso que el cambio de la Estructura Orgánica provoque una modificación en la Política.
3. Que, lo anterior se tradujo en una revisión de la totalidad de
las políticas de seguridad de la información vigentes en el INE, a efectos de determinar cuáles requerían de una actualización y/o modificación, en atención a los cambios derivados de su orgánica.
4. Que, lo anterior generó la aprobación, con fecha 10.12.2019,
por el Comité técnico de seguridad de la información, de una nueva política de desarrollo seguro, que introdujo modificaciones, conforme a la nueva estructura orgánica, más otras actualizaciones, no
Visado Por:Dcarbone/Lsoto/Rbeyzaga/milabaca/
475227 de diciembre del 2019
2
consideradas en la versión anterior. La nueva política aprobada por el comité técnico, f ue ratificada mediante acta, por el Comité de Seguridad de la Información del INE.
5. Que, el inciso primero del artículo N° 3 de la Ley N° 19.880, que Establece Bases de Procedimientos Administrativos que rigen los Actos de los Órganos de la Administración del Estado, señala que: “[…] Las decisiones escritas que adopte la Administración se expresarán por medio de actos administrativos.”, especificando en su inciso tercero que éstos tomarán la forma de decretos supremos y resoluciones.
6. Que, la Ley N° 18.575, Orgánica Constitucional de Bases
Generales de la Administración del Estado, dispone en el artículo N° 28 inciso segundo que “A los Jefes de Servicio les corresponderá dirigir, organizar y administrar el correspondiente servicio; controlarlo y velar por el cumplimiento de sus objetivos; responder de su gestión, y desempeñar las demás funciones que la ley les asigne.”
7. Que, el artículo N° 3 letra h) del Reglamento del Instituto
Nacional de Estadísticas, dispone que al Director le corresponderá: “Dictar las resoluciones e impartir las instrucciones que sean necesarias para la organización y mejor funcionamiento del Instituto.”
8. Que, de conformidad con lo precedentemente expuesto, es
necesario aprobar la actualización de la Política de Desarrollo Seguro.
RESUELVO: 1° APRUÉBASE la actualización a la Política de Desarrollo Seguro del
Instituto Nacional de Estadísticas, resolución exenta N° 2.645, de 2019, del INE, reemplazando íntegramente su texto por el que se transcribe a continuación:
3
INSTITUTO NACIONAL DE ESTADÍSTICAS
Diciembre / 2019
POLÍTICA DE DESARROLLO SEGURO
4
“El uso de un lenguaje que no discrimine ni marque diferencias entre hombres y mujeres ha sido una preocupación en la elaboración de este documento. Sin embargo, y con el fin de evitar la sobrecarga gráfica que supondría utilizar en castellano “o/a” para marcar la existencia de ambos sexos, se ha optado por utilizar -en la mayor parte de los casos- el masculino genérico, en el entendido de que todas las menciones en tal género representan siempre a hombres y mujeres, abarcando claramente ambos sexos”.
5
ÍNDICE
1. DECLARACIÓN INSTITUCIONAL............................................................................................. 6
2. OBJETIVO GENERAL ............................................................................................................. 6
3. ROLES Y RESPONSABILIDADES .............................................................................................. 6
4. ALCANCE O AMBITO DE APLICACIÓN INTERNO ..................................................................... 7
5. POLÍTICA............................................................................................................................. 7
6. EVALUACIÓN Y SEGUIMIENTO DE LA POLÍTICA...................................................................... 8
7. DIFUSIÓN ........................................................................................................................... 8
8. CONTROL DE VERSIONES ..................................................................................................... 8
6
1. DECLARACIÓN INSTITUCIONAL En la declaración del propósito del INE, los objetivos y principios de la seguridad de la información, los contenidos y controles esenciales de carácter legal, deben considerarse:
Ley N° 17.374 de 1970, que fija el Nuevo Texto Refundido, Coordinado y Actualizado del DFL N° 313 de 1960, que aprobara la Ley Orgánica Dirección Estadística y Censos y crea el Instituto Nacional de Estadísticas. Ley Nº 20.285, sobre Acceso a la información Pública.
Ley N° 19.628 sobre Protección de la Vida Privada.
Ley 19.223 que Tipifica Figuras Penales relativas a la Informática.
Ley 19.927 que modifica el Código Penal, el Código de Procedimiento Penal y el Código Procesal Penal en materia de Delitos de Pornografía Infantil.
Decreto N° 83 de 2005, del Ministerio Secretaría General de la Presidencia: Aprueba norma técnica para los órganos de la Administración del Estado, sobre Seguridad y Confidencialidad de los Documentos Electrónicos.
Decreto N° 93 de 2006, del Ministerio Secretaría General de la Presidencia: Aprueba Norma Técnica para minimizar la recepción de mensajes electrónicos masivos no deseados, en las casillas electrónicas de los órganos de la Administración del Estado y de sus funcionarios.
Decreto Nº14, de 2014, Modifica Decreto Nº 181 de 2002, que Aprueba Reglamento de l a Ley 19.799 sobre documentos electrónicos, firma electrónica y la certificación de dicha firma, y deroga los decretos que indica.
NCh-ISO 27001., Of. 2013 - Código de prácticas para la gestión de seguridad de la información - INN Chile.
NCh-ISO 27002., Of. 2013 - Objetivos de control de prácticas para la gestión de seguridad de la información - INN Chile.
2. OBJETIVO GENERAL Establecer un estándar para los niveles de seguridad que deben poseer los productos de software instalados en la Institución, que sean desarrollados tanto de forma interna como externa al INE.
3. ROLES Y RESPONSABILIDADES
Dirección Nacional o Aprobar y comunicar la presente política. o Proveer recursos para la implementación.
Encargado(a) de Seguridad de la información o Difusión de la política. o Sugerir modificaciones para actualizar la política o En conjunto con el dueño o responsable del o los sistemas de información, son responsables de definir el nivel de criticidad del sistema de información, y de identificarlos controles de seguridad a aplicar, para resguardarlos. o Revisar, aprobar o rechazar procesos y controles tendientes a mitigar, eliminar o transferir los riesgos relacionados con el desarrollo de sistemas de información, según corresponda, y definir procedimientos para ello. o Verificar el cumplimiento de los procedimientos y controles de seguridad establecidos para el desarrollo de sistemas de información.
Subdirector(a) de Tecnologías de la información. o Revisar la presente política. o Velar por cumplimiento. o Definición y aprobación de pautas técnicas de desarrollo seguro. o Responsable de la seguridad de los sistemas de información (seguridad informática), del Instituto Nacional de Estadísticas (INE).
7
Jefe(a) Departamento de Soluciones Tecnológicas o Tiene la responsabilidad de definir normas, procedimientos y controles que permitan asegurar que, en los procesos de desarrollo de sistemas de información, se apliquen los controles necesarios para la seguridad de la información de los mismos: o Es responsable de promover y verificar el cumplimiento de las políticas de seguridad que se señalan en este documento. o Implementar metodología de desarrollo seguro.
Funcionarios(as) y colaboradores(as) del INE. o Velar por el buen uso del software. o Reportar errores y problemas de seguridad a la Mesa de Servicios TIC.
4. ALCANCE O AMBITO DE APLICACIÓN INTERNO La política es de aplicación obligatoria para todos los funcionarios del Instituto Nacional de Estadísticas, sin perjuicio de su calidad jurídica de planta, contrata y bajo la modalidad de prestación de servicios honorarios, que tengan derecho de acceso a la información, que pueda afectar los activos de información del Instituto Nacional de Estadísticas y/o sus relaciones con terceros. Esta política se ajusta al ordenamiento jurídico vigente y mantiene lineamientos acordes a las directrices estratégicas definidas por el Instituto Nacional de Estadísticas, particularmente en lo referido a los derechos y libertades de las personas y otras leyes aplicables al campo de la información y la tecnología. Están dentro del alcance de esta política, todas las construcciones o desarrollos de sistemas de información del Instituto Nacional de Estadísticas (INE). El alcance incluye los procesos y servicios de interoperabilidad electrónica entre el INE y otras entidades públicas y/o privadas.
5. POLÍTICA Para aquellos desarrollos de software internos, el INE seguirá los siguientes lineamientos:
Se debe contar con controles que aseguren una correcta separación entre los ambientes de desarrollo, testing y producción. así como establecer un entorno de desarrollo seguro, que incluye a las personas, procesos y tecnologías asociadas con el desarrollo e integración de sistemas. Además, se debe considerar aspectos de riesgo y elementos como los siguientes:
- La sensibilidad de los datos que el sistema procesa, almacena y transmite - El grado de externalización y confiabilidad asociado al proyecto de desarrol lo - Control de acceso al entorno de desarrollo - Control sobre el movimiento de datos desde y hacia el entorno.
Estos aspectos deberán quedar claramente especificados en el Acta de constitución de proyecto de cada proyecto de desarrollo que se inicie, considerando cada caso en particular.
Se debe contar con pautas de codificación segura (claramente definida y difundida entre todos los involucrados, cómo ejemplo, la guía técnica: Lineamientos para Desarrollo de Software para el Estado, versión Dic. 2018).
En la identificación de controles de seguridad, deben participar las áreas de negocio que serán usuarios del sistema en desarrollo y deben quedar declarados en los requerimientos.
El diseño e implementación de controles de seguridad, deben ser preferentemen te de tipo automático, evitando procesos o intervenciones manuales.
Se debe incorporar, los requerimientos de seguridad en base a lo definido en la Política de Desarrollo de Sistemas en los puntos 5.5 y 5.6 del referido documento.
Se debe verificar el cumplimiento de los requerimientos asociados a la seguridad de la información, al cumplirse los hitos relevantes del ciclo de desarrollo.
8
Se deben efectuar pruebas de funcionalidad en aspectos seguridad del sistema durante la etapa del desarrollo, por lo que como parte de las pruebas unitarias de las funcionalidades que se entreguen se deberá incorporar pruebas basadas en los riesgos de seguridad de aplicaciones considerados en OWASP Top 10. Además, se debe establecer programas de prueba y criterios relacionados para la aceptación de nuevos sistemas de información, actualizaciones y/o nuevas versiones, tal como está indicado en la Política de Desarrollo de Sistemas
Se debe contar con repositorios para código que permitan controlar el acceso al mismo, junto con un historial de los cambios realizados. Estos repositorios deben estar debidamente respaldados. Cada proyecto informático tendrá 3 repositorios, uno por cada ambiente: desarrollo, testing y producción.
Se debe incorporar como requisitos a cumplir por los perfiles de cargo de analistas desarrolladores, conocimientos relevantes de seguridad en el desarrollo de software. En materia de desarrollo de software externalizado, se debe considerar:
Todo producto de software que sea utilizado por el INE debe encontrarse con sus licencias vigentes. A su vez, se deben respetar los derechos de propiedad intelectual.
En los términos contractuales con terceros: - Codificación y prácticas de pruebas de seguridad.
El desarrollador externo, debe realizar pruebas de seguridad técnica del aplicativo desarrollado, las cuales deben comunicarse Subdepartamento de Aseguramiento de la Calidad para su aprobación. Cuando se trate de sistemas de información desarrollados por terceros, y que se implantan en el INE, se debe incorporar dentro de los requisitos de adjudicación la certificación de seguridad de dicho sistema.
El desarrollador externo, deberá entregar evidencias en relación al nivel de seguridad en sus desarrollos cuando el INE lo requiera y estas deberán considerar: - Resultados de pruebas para protegerse contra la presencia intencional y no intencional de contenido malicioso después de la entrega. - Resultados de pruebas para protegerse contra la presencia de vulnerabilidades conocidas.
Todos los sitios tienen que tener certificado de seguridad y esto tiene que quedar definido en términos contractuales.
6. EVALUACIÓN Y SEGUIMIENTO DE LA POLÍTICA La política deberá revisarse anualmente o cuando se realicen grandes cambios a sistemas de tecnologías de la información.
7. DIFUSIÓN La política estará publicada en el intranet institucional http://intranet.ine.cl/
8. CONTROL DE VERSIONES
Autor Modificación Versión Fecha aprobación
Juan Carlos Troncoso Creación documento 0.0 19-02-2019
Juan Carlos Troncoso Observaciones de comité técnico de seguridad de la información
0.1 07-05-2019
Juan Carlos Troncoso Observaciones de Jurídica 1.0 11-06-2019
Alberto Lagos Se mejora el alcance de la política 1.1 05-11-2019
Raúl Beyzaga Observaciones por cambio de SDTI 1.2 13-11-2019
9
2° REMÍTASE copia íntegra del presente acto administrativo, por
parte del Subdepartamento y de Partes y Registros, al Jefe (S) del Departamento de Seguridad de la
Información, una vez que este se encuentre totalmente tramitado.
ANÓTESE, REGÍSTRESE Y ARCHÍVESE
GUILLERMO PATTILLO ÁLVAREZ
Director Nacional
Instituto Nacional de Estadísticas
DCO/MGIT/LSV/RBC/ybh
Distribución:
-Dirección Nacional.
-Todas las Subdirecciones.
-División Jurídica.
-Departamento de Seguridad de la Información
-Subdepto. Partes y Registro.
Validar en http://validadoc.ine.cl/ con el id: e2a25e49-5c3f-4e16-b2f2-fbad9915ee2d
1
DIVISIÓN JURÍDICA
RESOLUCION EXENTA Nº
SANTIAGO,
APRUEBA POLÍTICA DE DESARROLLO SEGURO DELINSTITUTO NACIONAL DE ESTADÍSTICAS.
VISTOS: Lo dispuesto en la Ley Nº 17.374, de 1970, que fija eltexto refundido, coordinando y actualizado del DFL N° 313, de 1960, que aprueba la Ley OrgánicaDirección Estadística y Censos y crea el Instituto Nacional de Estadísticas; en el Decreto N° 1.062, de1970, del entonces Ministerio de Economía, Fomento y Reconstrucción, que aprueba el Reglamento delInstituto Nacional de Estadísticas; en el DFL 1/19.653, de 2000, del Ministerio Secretaría General de laPresidencia, que fija el texto refundido, coordinado y sistematizado de la Ley N° 18.575, OrgánicaConstitucional de Bases Generales de la Administración del Estado; en la Ley N° 19.628 de Protección dela Vida Privada; en la Ley N° 19.223, de Delitos informáticos; en el Decreto N° 83, de 2005, del MinisterioSecretaría General de la Presidencia, que aprueba norma técnica para los órganos de la Administracióndel Estado, sobre Seguridad y Confidencialidad de los Documentos Electrónicos; en la Resolución ExentaN° 5.966 de 09 de diciembre de 2016, que aprueba políticas, normas, protocolos y procedimientosespecíficos de seguridad de la información; en la Resolución Exenta N° 7.001 de 07 de diciembre de 2017,que aprueba política general de seguridad de la información y deja sin efecto Resolución Exenta queindica; en ORD. INT. N° 03, de 29.07.2019, del Jefe (S) del Departamento de Seguridad de la Información;y en la demás normativa aplicable.
CONSIDERANDO:
1. Que, el Instituto Nacional de Estadísticas, reconoce la importancia y el valor de los activos de informacióncomo un elemento crítico para el cumplimiento de la misión del servicio, por ello asume que lainformación requiere ser protegida de las amenazas que puedan poner en peligro la continuidadoperacional, los niveles y calidad de los productos, la rentabilidad social y la conformidad legal, atributosnecesarios para el logro de los objetivos del Servicio.
2. Que, considerando que la información es clave para la gestión, operación, crecimiento y éxito de laInstitución, se hizo necesario la adopción y aprobación de una Política de Seguridad de la información,que define criterios y lineamientos esenciales. Así, el Instituto Nacional de Estadísticas aprobó laresolución Exenta N° 7.001, de 07.12.2017, Nueva Política General de Seguridad de la Información,dejando sin efecto la Resolución Exenta N° 5.955, de 2016.
3. Que, de acuerdo a la “Nueva Política General de Seguridad”, existirá un Comité de Seguridad de laInformación, el cual debe asegurar la implementación, ejecución, mantención, mejora y difusión delSistema de Gestión de Seguridad de la Información. Está encargado -además- de aprobar las políticas,procedimientos, normativas y otros aspectos en materia de seguridad. En relación a este punto, laspolíticas son previamente elaboradas por el Encargado de Seguridad de la Información y el ComitéTécnico de Seguridad de la Información, de acuerdo a las necesidades del Servicio.
Visado Por:Rbeyzaga/milabaca/
26456 de agosto del 2019
2
4. Que, mediante Ord. Int. N° 03, de 29.07.2019, el Jefe (S) del Departamento de Seguridad de laInformación, adjunta la Política de Desarrollo Seguro, aprobada por el Comité Técnico de Seguridad de laInformación, según da cuenta Acta de Aprobación de fecha 18.07.2019, y por el Comité de Seguridad dela Información, conforme Acta de Aprobación de 19.07.2019, que también se adjunta.
5. Que, el inciso primero del artículo N° 3 de la Ley N° 19.880, que Establece Bases de ProcedimientosAdministrativos que rigen los Actos de los Órganos de la Administración del Estado, señala que: “[…] Lasdecisiones escritas que adopte la Administración se expresarán por medio de actos administrativos.”,especificando en su inciso tercero que éstos tomarán la forma de decretos supremos y resoluciones.
6. Que, la Ley N° 18.575, Orgánica Constitucional de Bases Generales de la Administración del Estado,dispone en el artículo N° 28 inciso segundo que “A los Jefes de Servicio les corresponderá dirigir, organizary administrar el correspondiente servicio; controlarlo y velar por el cumplimiento de sus objetivos;responder de su gestión, y desempeñar las demás funciones que la ley les asigne.”
7. Que, el artículo N° 3 letra h) del Reglamento del Instituto Nacional de Estadísticas, dispone que alDirector le corresponderá: “Dictar las resoluciones e impartir las instrucciones que sean necesarias para laorganización y mejor funcionamiento del Instituto.”
8. Que, de conformidad con lo precedentemente expuesto, es necesario aprobar la Política de Control deDesarrollo Seguro.
9. Que, la aprobación de la presente política persigue establecer un estándar para los niveles de seguridadque deben poseer los productos de software instalados en la institución, que sean desarrollados tanto deforma interna como externa al INE.
RESUELVO:
1° APRUÉBASE la presente Política de Control de Desarrollo Segurodel Instituto Nacional de Estadísticas, cuyo texto íntegro se transcribe a continuación:
3
POLÍTICA DE DESARROLLO SEGUROCODIGO: SGSI-PDS-2019VERSION: 1.0FECHA DE APROBACIÓN:PAGINA: Página 1 de 7
POLÍTICA DE DESARROLLOSEGURO
4
CONTENIDO
5
1. DECLARACIÓN INSTITUCIONAL
En la declaración del propósito del INE, los objetivos y principios de la seguridad de la información, los
contenidos y controles esenciales de carácter legal, deben considerarse:
• Ley N° 17.374 de 1970, que fija el Nuevo Texto Refundido, Coordinado y Actualizado del DFL N°
313 de 1960, que aprobara la Ley Orgánica Dirección Estadística y Censos y crea el Instituto
Nacional de Estadísticas.
• Ley Nº 20.285, sobre Acceso a la información Pública.
• Ley N° 19.628 sobre Protección de la Vida Privada.
• Ley 19.223 que Tipifica Figuras Penales relativas a la Informática.
• Ley 19.927 que modifica el Código Penal, el Código de Procedimiento Penal y el Código Procesal
Penal en materia de Delitos de Pornografía Infantil.
• Decreto N° 83 de 2005, del Ministerio Secretaría General de la Presidencia: Aprueba norma
técnica para los órganos de la Administración del Estado, sobre Seguridad y Confidencialidad de
los Documentos Electrónicos.
• Decreto N° 93 de 2006, del Ministerio Secretaría General de la Presidencia: Aprueba Norma
Técnica para minimizar la recepción de mensajes electrónicos masivos no deseados, en las casillas
electrónicas de los órganos de la Administración del Estado y de sus funcionarios.
• Decreto Nº14, de 2014, Modifica Decreto Nº 181 de 2002, que Aprueba Reglamento de la Ley
19.799 sobre documentos electrónicos, firma electrónica y la certificación de dicha firma, y
deroga los decretos que indica.
• NCh-ISO 27001., Of. 2013 - Código de prácticas para la gestión de seguridad de la información -
INN Chile.
• NCh-ISO 27002., Of. 2013 - Objetivos de control de prácticas para la gestión de seguridad de la
información - INN Chile.
2. OBJETIVO GENERAL
6
Establecer un estándar para los niveles de seguridad que deben poseer los productos de software
instalados en la Institución, que sean desarrollados tanto de forma interna como externa al INE.
3. ROLES Y RESPONSABILIDADES
• Dirección Nacional o Aprobar y comunicar la presente política.
o Proveer recursos para la implementación.
• Encargado(a) de Seguridad de la información o Difusión de la política.
o Sugerir modificaciones para actualizar la política
o En conjunto con el dueño o responsable del o los sistemas de información, son
responsables de definir el nivel de criticidad del sistema de información, y de
identificarlos controles de seguridad a aplicar, para resguardarlos.
o Revisar, aprobar o rechazar procesos y controles tendientes a mitigar, eliminar o
transferir los riesgos relacionados con el desarrollo de sistemas de información, según
corresponda, y definir procedimientos para ello.
o Verificar el cumplimiento de los procedimientos y controles de seguridad
establecidos para el desarrollo de sistemas de información.
• Subdirector(a) de Tecnologías de la información.
o Revisar la presente política. o Velar por cumplimiento.
o Definición y aprobación de pautas técnicas de desarrollo seguro.
o Responsable de la seguridad de los sistemas de información (seguridad informática),
del Instituto Nacional de Estadísticas (INE).
• Jefe(a) Departamento de Soluciones Tecnológicas o Tiene la responsabilidad de definir normas,
procedimientos y controles que permitan asegurar que en los procesos de desarrollo de
sistemas de información, se apliquen los controles necesarios para la seguridad de la
información de los mismos:
o Es responsable de promover y verificar el cumplimiento de las políticas de seguridad
que se señalan en este documento.
o Implementar metodología de desarrollo seguro.
• Funcionarios(as) y colaboradores(as) del INE.
o Velar por el buen uso del software.
o Reportar errores y problemas de seguridad a la Mesa de Servicios TIC.
4. ALCANCE O AMBITO DE APLICACIÓN INTERNO
La política es de aplicación obligatoria para todos los funcionarios del Instituto Nacional de Estadísticas,
sin perjuicio de su calidad jurídica de planta, contrata y bajo la modalidad de prestación de servicios
honorarios, que tengan derecho de acceso a la información, que pueda afectar los activos de
7
información del Instituto Nacional de Estadísticas y/o sus relaciones con terceros.
Esta política se ajusta al ordenamiento jurídico vigente y mantiene lineamientos acordes a las
directrices estratégicas definidas por el Instituto Nacional de Estadísticas, particularmente en lo referido
a los derechos y libertades de las personas y otras leyes aplicables al campo de la información y la
tecnología.
Están dentro del alcance de esta política, todas las construcciones o desarrollos de sistemas de
información del Instituto Nacional de Estadísticas (INE). El alcance incluye los procesos y servicios de
interoperabilidad electrónica entre el INE y otras entidades públicas y/o privadas.
5. POLÍTICA
Para aquellos desarrollos de software internos, el INE seguirá los siguientes lineamientos:
• Se debe contar con controles que aseguren una correcta separación entre los ambientes de
desarrollo, testing y producción.
• Se debe contar con pautas de codificación segura (claramente definida y difundida entre todos los
involucrados, cómo ejemplo, la guía técnica: Lineamientos para Desarrollo de Software para el
Estado, versión Dic. 2018).
• En la identificación de controles de seguridad, deben participar las áreas de negocio que serán
usuarios del sistema en desarrollo y deben quedar declarados en los requerimientos.
• El diseño e implementación de controles de seguridad, deben ser preferentemente de tipo
automático, evitando procesos o intervenciones manuales.
• Se debe incorporar, los requerimientos de seguridad en base a lo definido en la Política de
Desarrollo de Sistemas en los puntos 5.5 y 5.6 del referido documento.
• Se debe verificar el cumplimiento de los requerimientos asociados a la seguridad de la
información, al cumplirse los hitos relevantes del ciclo de desarrollo.
• Se debe contar con repositorios para código que permitan controlar el acceso al mismo, junto con
un historial de los cambios realizados. Estos repositorios deben estar debidamente respaldados.
Cada proyecto informático tendrá 3 repositorios, uno por cada ambiente: desarrollo, testing y
producción.
• Se debe incorporar como requisitos a cumplir por los perfiles de cargo de analistas
desarrolladores, conocimientos relevantes de seguridad en el desarrollo de software.
En materia de desarrollo de software externalizado, se debe considerar:
• Todo producto de software que sea utilizado por el INE debe encontrarse con sus licencias
vigentes.. A su vez, se deben respetar los derechos de propiedad intelectual.
• En los términos contractuales con terceros:
o Codificación y prácticas de pruebas de seguridad.
8
• El desarrollador externo, debe realizar pruebas de seguridad técnica del aplicativo desarrollado,
las cuales deben comunicarse Subdepartamento de Aseguramiento de la Calidad para su
aprobación. Cuando se trate de sistemas de información desarrollados por terceros, y que se
implantan en el INE, se debe incorporar dentro de los requisitos de adjudicación la certificación
de seguridad de dicho sistema
• El desarrollador externo, deberá entregar evidencias en relación al nivel de seguridad en sus
desarrollos cuando el INE lo requiera y estas deberán considerar: o Resultados de Pruebas para
protegerse contra la presencia intencional y no intencional de contenido malicioso después de la
entrega.
o Resultados de pruebas para protegerse contra la presencia de vulnerabilidades
conocidas.
• Todos los sitios tienen que tener certificado de seguridad y esto tiene que quedar definido en
términos contractuales.
6. EVALUACIÓN Y SEGUIMIENTO DE LA POLÍTICA
La política deberá revisarse anualmente o cuando se realicen grandes cambios a sistemas de
tecnologías de la información.
7. DIFUSIÓN
La política estará publicada en el intranet institucional http://intranet.ine.cl/
8. CONTROL DE VERSIONES
Autor Modificación Versión Fecha aprobación
Juan Carlos Troncoso Creación documento 0.0 19-02-2019
Juan Carlos Troncoso Observaciones de comité técnico de
seguridad de la información
0.1 07-05-2019
Juan Carlos Troncoso Observaciones de Jurídica 1.0 11-06-2019
2° REMÍTASE copia íntegra del presente acto administrativo, porparte del Subdepartamento y de Partes y Registros, al Jefe (S) del Departamento de Seguridad de laInformación, una vez que este se encuentre totalmente tramitado.
ANÓTESE, REGÍSTRESE Y ARCHÍVESE
9
GUILLERMO PATTILLO ÁLVAREZDirector Nacional
Instituto Nacional de Estadísticas
MGIT/RBC/ YBH
Distribución:-Dirección Nacional.-Todas las Subdirecciones.-División Jurídica.-Departamento de Seguridad de la Información-Subdepto. Partes y Registro.
Documento firmado digitalmente, validar con el siguiente id: 6e6ad62c-e5b1-4522-b793-021c1914a858