Comité de Seguridad de la Información de la Universidad de La Serena
El Comité de Seguridad de la Información de la Universidad de La Serena es una instancia transversal, cuya creación responde a la necesidad y compromiso de gestionar la seguridad de la información de la Institución como un proceso de mejora continua, que se debe cumplir en el marco de la normativa legal y reglamentaria vigente, basado en la norma chilena NCh ISO 27.001, los lineamientos de ciberseguridad emitidos por el Estado de Chile y, en caso de ser requerido, la inclusión de mejores prácticas o normativas nacionales e internacionales, con fines de complementar ámbitos específicos necesarios para dar cumplimiento a exigencias propias de las funciones institucionales. Todo lo anterior, por medio de la ejecución de las actividades y tareas que sean necesarias para establecer los niveles de seguridad que la propia Institución determine, con la finalidad de identificar, evaluar y controlar los riesgos que pudieran afectar la confidencialidad, integridad y disponibilidad de todos sus activos de información relevantes, como principio clave en la gestión de sus procesos.
MIEMBROS DEL COMITÉ
 |
 |
|
| Vicerrector de Asuntos Económicos y Administrativos Sr. Héctor Cuevas |
Director de Desarrollo Estratégico y Calidad Srta. Viviana Vásquez |
|
 |
 |
|
| Contralor Interno Mg. Enrique Acevedo González |
Director de Recursos Humanos Miguel Sánchez Sánchez |
|
 |
 |
|
| Director del Centro de Informática y Computación Mg. Luis Andrés Moya Baeza |
Director de Servicios ----------- |
|
| |
 |
|
| Director de Docencia ------ |
Director de Finanzas Mg. José Ojeda Cossio |
|
| |
|
|
| Abogado Asesoría Jurídica Mg. Julio Landaeta Pastene |
Coordinador de Redes y Datacenter CICULS Mg. Carlos Pedreros Lizama |
|
| |
||
| Oficial de Seguridad Institucional Coordinador de Operaciones CICULS Mg. Marcelo Zepeda Dubo |
||
FUNCIONES
Funciones del Comité de Seguridad de la Información
1. Gestionar la Política de Seguridad de la Información y supervisar que las actividades ejecutadas tanto por las unidades académicas como administrativas en estas temáticas, sean en conformidad con dicha Política, por ser materia de Ley.
2. Definir y enviar para la aprobación correspondiente, la implementación de normas vinculadas a la política de seguridad de la información.
3. Identificar, evaluar y hacer seguimiento de las acciones correctivas para dar solución a las observaciones de auditoría junto con informar sobre los incumplimientos a la Jefaturas directas y a Contraloría Interna.
4. Aprobar las metodologías y procesos relacionados a la evaluación del riesgo y la seguridad de la información.
5. Identificar cambios significativos que pudieran generar riesgos en el procesamiento de la información.
6. Proponer soluciones y evaluar la idoneidad y coordinación en la implementación de controles de seguridad de la información.
7. Establecer medios para la concientización y capacitación del personal en temas de seguridad de la información.
8. Evaluar la información recibida de los incidentes de seguridad de la información, emitiendo recomendaciones para su prevención, detección y corrección.
9. Recomendar al Centro de Informática y Computación y a la Vicerrectoría de Asuntos Económicos y Administrativos, respecto a oportunidades de mejora en el Sistema de Gestión de la Seguridad de la Información (SGSI), así como de los incidentes relevantes y su solución.
2. Definir y enviar para la aprobación correspondiente, la implementación de normas vinculadas a la política de seguridad de la información.
3. Identificar, evaluar y hacer seguimiento de las acciones correctivas para dar solución a las observaciones de auditoría junto con informar sobre los incumplimientos a la Jefaturas directas y a Contraloría Interna.
4. Aprobar las metodologías y procesos relacionados a la evaluación del riesgo y la seguridad de la información.
5. Identificar cambios significativos que pudieran generar riesgos en el procesamiento de la información.
6. Proponer soluciones y evaluar la idoneidad y coordinación en la implementación de controles de seguridad de la información.
7. Establecer medios para la concientización y capacitación del personal en temas de seguridad de la información.
8. Evaluar la información recibida de los incidentes de seguridad de la información, emitiendo recomendaciones para su prevención, detección y corrección.
9. Recomendar al Centro de Informática y Computación y a la Vicerrectoría de Asuntos Económicos y Administrativos, respecto a oportunidades de mejora en el Sistema de Gestión de la Seguridad de la Información (SGSI), así como de los incidentes relevantes y su solución.
Funciones del Oficial de Seguridad de la Información
1. Participar en el desarrollo y revisión de las políticas de seguridad al interior de la institución.
2. Proponer normativa, procedimientos y mecanismos al Comité de Seguridad de la Información para su aprobación.
3. Velar por la correcta aplicación y cumplimiento de las políticas, normativas, y procedimientos relativos a la seguridad de la información.
4. Coordinar la respuesta a incidentes de seguridad que afecten a los activos de información que dan soporte a los procesos institucionales.
5. Establecer puntos de enlace con encargados de seguridad de otros organismos públicos y especialistas externos que le permitan estar al tanto de las tendencias, normas y métodos de seguridad pertinentes.
6. Dar asistencia y asesorar al personal de la institución en materia de seguridad de la información.
7. Gestionar la creación y/o aprobación de estándares y procedimientos documentados operativos de seguridad para el tratamiento de los activos de información.
8. Formular los planes de contingencia para asegurar la continuidad de las operaciones críticas de la institución.
9. Monitorear el avance general de la implementación de las estrategias de control y tratamiento de riesgos.
10. Mantener la coordinación con otras unidades de la institución para apoyar los objetivos de seguridad, respaldado por la dirección del Centro de Informática y Computación.
2. Proponer normativa, procedimientos y mecanismos al Comité de Seguridad de la Información para su aprobación.
3. Velar por la correcta aplicación y cumplimiento de las políticas, normativas, y procedimientos relativos a la seguridad de la información.
4. Coordinar la respuesta a incidentes de seguridad que afecten a los activos de información que dan soporte a los procesos institucionales.
5. Establecer puntos de enlace con encargados de seguridad de otros organismos públicos y especialistas externos que le permitan estar al tanto de las tendencias, normas y métodos de seguridad pertinentes.
6. Dar asistencia y asesorar al personal de la institución en materia de seguridad de la información.
7. Gestionar la creación y/o aprobación de estándares y procedimientos documentados operativos de seguridad para el tratamiento de los activos de información.
8. Formular los planes de contingencia para asegurar la continuidad de las operaciones críticas de la institución.
9. Monitorear el avance general de la implementación de las estrategias de control y tratamiento de riesgos.
10. Mantener la coordinación con otras unidades de la institución para apoyar los objetivos de seguridad, respaldado por la dirección del Centro de Informática y Computación.
DECRETOS
 |
 |
 |
PREGUNTAS FRECUENTES
¿Qué es un activo de información?
R: Son todos aquellos elementos relevantes en la producción, emisión, almacenamiento, comunicación, visualización y recuperación de información de valor para la institución, en la que se distinguen tres niveles: (a) La información propiamente tal, en sus múltiples formatos (papel, digital, texto, imagen, audio, video, entre otros) (b) Los equipos/sistemas/infraestructura que soportan esta información (c) Las personas que utilizan la información, y que tienen el conocimiento de los procesos institucionales
¿Qué es un incidente de seguridad de la información?
R: Evento único o una serie de eventos de seguridad de la información inesperados o no deseados que poseen una probabilidad significativa de comprometer las operaciones del negocio y amenazar la seguridad de la información, tanto en su DISPONIBILIDAD (Propiedad de la información de estar accesible y utilizable cuando lo requiera una entidad autorizada), INTEGRIDAD (Propiedad de la información relativa a su exactitud y completitud) y CONFIDENCIALIDAD (Propiedad de la información de no ponerse a disposición o ser revelada a individuos, entidades o procesos no autorizados).
Algunos ejemplos de clasificaciones de incidentes de seguridad de la información:Acceso no autorizado de información, uso no autorizado de información, modificación no autorizada de información, formas de obtención de información como ingeniería social, presencia de código malicioso (virus, gusanos, troyanos, spyware, etc.), contenido abusivo (correo spam, difamación, otros), intentos de intrusión (intentos de login no autorizado, explotación de vulnerabilidades conocidas, otros), compromiso de cuentas de usuario en plataformas, compromiso de la disponibilidad de información (denegación de servicio, sabotaje, corte de servicio), violación de derechos de autor, divulgación no autorizada de información personal o sensible, suplantación de identidad, entre otros.
¿Qué debo hacer ante la ocurrencia o sospecha de un incidente de seguridad de la información?
R: Si usted está en conocimiento de la ocurrencia o sospecha de un incidente de seguridad, debe comunicarse inmediatamente al correo Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo. detallando el incidente junto con sus datos de contacto. A la brevedad, el Oficial de Seguridad de la Información de la Universidad de La Serena tomará contacto para recopilar mayores antecedentes para tomar las acciones que se requieran, dando respuesta en el menor tiempo posible.
