Anexo Informe 000055 2016 Gite

OFICINA NACIONAL DE PROCESOS ELECTORALES Jr. Washington Nro 1894, Lima 1, Lima - Peru / Central: (511) 417-0630

www.onpe.gob.pe

"Decenio de las Personas con Discapacidad en el Perú" "Año de la consolidación del Mar de Grau"

Lima, 23 de Marzo de 2016

INFORME N° -2016-GITE/ONPE A: FRIEDA ROXANA DEL AGUILA TUESTA

Comité de Gestión de Seguridad de la Información

De: AMPARO ORTEGA CAMPANA Gerente de la Gerencia de Informática y Tecnología Electoral

Asunto: INVENTARIO DE ACTIVOS DE INFORMACIÓN DE LA GERENCIA DE

INFORMÁTICA Y TECNOLOGÍA ELECTORAL - GITE. Referencia: a. MEMORANDO MULTIPLE N° 000155-2015-GITE/ONPE

(23DIC2015) b. MEMORANDO MULTIPLE N° 000003-2016-CGSI/ONPE (21MAR2016) c. CORREO ELECTRÓNICO DE SGIID (22MAR2016)

d. CORREO ELECTRÓNICO DE SGOI (23MAR2016) e. INFORME N° 000221-2016-SGPEL-GITE/ONPE (23MAR2016)

f. INFORME N° 000446-2016-SGIST-GITE/ONPE (23MAR2016)

Tengo a bien dirigirme a usted, en relación al asunto del rubro y documentos de la referencia, a fin de informar lo siguiente: I. ANTECEDENTES

1.1 Con Resolución Jefatural Nº 000370-2015-J/ONPE de fecha 22 de diciembre de 2015 se aprueba la Política de Seguridad de la Información.

1.2 Con MEMORANDO MÚLTIPLE Nº 000155-2015-GITE/ONPE de fecha 23 de diciembre; por el cual, la Gerencia de Informática y Tecnología Electoral – GITE dispone que la Sub Gerencia de Infraestructura y Seguridad Tecnológica – SGIST, la Sub Gerencia de Proyectos Electorales - SGPEL, la Sub Gerencia de Operaciones Informáticas – SGOI y la Sub Gerencia de Innovación, Investigación y Desarrollo – SGIID, de acuerdo a sus competencias funcionales procedan con las acciones correspondientes a fin de implementar y documentar cada una de las obligaciones establecidas en cada uno de los DEBES de la Política de Seguridad de la Información.

1.3 Con MEMORANDO MÚLTIPLE Nº 000003-2016-CGSI/ONPE de fecha 21 de marzo de 2016, la Presidencia del Comité de Seguridad de la Información de ONPE convoca a los órganos de la institución participar de la evaluación de la información considerada sensible.

1.4 Mediante correos electrónicos de fechas 22 y 23 de marzo de 2016, la Sub

Gerencia de Innovación, Investigación y Desarrollo y la Sub Gerencia de Operaciones Informáticas cumplen con remitir, respectivamente, los archivos en Excel de los Formatos “Inventarios de Activos de Información” que les corresponden.


www.onpe.gob.pe

1.5 Con INFORME Nº 000221-2016-SGPEL-GITE/ONPE e INFORME Nº 000446-2016-SGIST-GITE/ONPE, la Sub Gerencia de Proyectos Electorales y la Sub Gerencia de Infraestructura y Seguridad de la Información, respectivamente, cumplen con atender lo dispuesto por los documentos a) y b) de la referencia.

II. ANALISIS

2.1 Con Resolución Jefatural Nº 000370-2015-J/ONPE de fecha 22 de diciembre

de 2015, se aprueba la Directiva “Política de Seguridad de la Información”, con Código: D IO3-GGC/GC, Versión: 00, cuyo objetivo es establecer las normas relacionadas a la seguridad de la información a fin de garantizar su confidencialidad, integridad y disponibilidad, siendo de aplicación para todo el personal; así como, proveedores y terceros.

2.2 La Directiva DI03-GGC/GC Versión 00 “Política de Seguridad de la Información” tiene como base normativa la Resolución Nº 129-2014/CNB-INDECOPI de fecha 20 de noviembre de 2014, que aprueba la NTP-ISO/IEC 27001:2014 Norma Técnica Peruana sobre Tecnología de la Información. Técnicas de Seguridad. Sistemas de gestión de seguridad de la información. Requisitos 2º edición; por la cual se reemplaza a la NTP-ISO/IEC 27001.2008.

2.3 A su vez, la citada Norma Técnica Peruana se sustenta en el Decreto Legislativo Nº 1030, Decreto Legislativo que aprueba la Ley de los Sistemas Nacionales de Normalización y Acreditación, que reconoce como uno de sus objetivos, la importancia de que el Estado armonice “las políticas públicas de seguridad, salud, protección del ambiente, entre otros objetivos de interés público”.

2.4 En ese sentido, la ONPE dispone en el literal a) del numeral 6.1 Política

general de seguridad de la información, lo siguiente:

“6. NORMAS GENERALES

6.1 Política general de seguridad de la información

Nos comprometemos a:

a) Promover e implantar una cultura de seguridad de la información que prevenga

la ocurrencia o reduzca el impacto de eventos que atentan contra su

confidencialidad, integridad y disponibilidad, a fin de ofrecer oportunamente

información fiable a los ciudadanos y entidades de acuerdo al marco normativo.

b) …”

Adicionalmente, cumple con precisar que la organización de la seguridad de la información, estará conformada por una estructura de organización interna, según el siguiente detalle:

a. El Comité de Gestión de Seguridad de la Información (CGSI), que lo encabeza

b. Propietario del Riesgo c. Oficial de Seguridad de la Información (OSI) d. Oficial de Seguridad de la EREP e. Responsable de Seguridad Tecnológica f. Responsables del Sistema de Gestión g. Encargado del Bando de Datos Personales


www.onpe.gob.pe

h. Oficial de Privacidad de la EREP i. Todo el personal en general

En consecuencia, la implementación y aplicación de la Política de Seguridad de la Información impacta respecto del tratamiento de la información que en el ámbito de sus funciones corresponde a cada uno de los órganos de ONPE administrar.

2.5 Asimismo, en el literal b) del numeral 6.4.1 Responsabilidad de los Activos, de

la citada Directiva se precisa:

“6.4 Gestión de Activos

6.4.1 Responsabilidad de los activos

Los responsables de los órganos de la entidad deben asegurar que se elabore un

inventario de activos de información.

Los propietarios de activos deben:

a) …

b) Asegurar el adecuado tratamiento y protección de los activos de información a su

cargo”. (El resaltado y subrayado son nuestros).

En razón de lo cual, corresponde a quien detenta el rol de Propietario de activo, la responsabilidad y autoridad, dentro del alcance de sus competencias, de asegurar el buen uso, funcionamiento y protección del activo de la información, a fin que cumpla con los objetivos para los cuales se adquirió.

2.6 De conformidad por lo dispuesto en el Artículo 82º del Reglamento de

Organización y Funciones de ONPE, aprobado y modificado mediante las Resoluciones Jefaturales Nº 063-2014-J/ONPE, Nº 0122-2015-J/ONPE y Nº 216-2014-J/, la Gerencia de Informática y Tecnología Electoral es el órgano de línea dependiente de la Gerencia General encargado de planificar, organizar, conducir e implementar las políticas y acciones en el campo de las tecnologías de la información de la ONPE. Asimismo, realiza la innovación hacia servicios públicos electorales seguros con énfasis en las políticas de Gobierno Abierto en el marco de la Infraestructura Oficial de Firma Electrónica. Promueve la investigación y el desarrollo, así como propone, recomienda y evalúa las iniciativas y los proyectos en cualquier estado de los procesos de la entidad, priorizando, definiendo, controlando y supervisando su implementación y despliegue. Busca mejorar las actividades en materia electoral de la ONPE y el apoyo y asistencia técnica, en el ámbito de sus competencias, a las Organizaciones Políticas, Instituciones públicas, privadas y de la sociedad civil, asimismo, es el órgano responsable de la administración del Sistema de Producción y Almacenamiento de Microformas de la Oficina Nacional de Procesos Electorales.

2.7 Para el cumplimiento de sus funciones, la GITE cuenta con las siguientes Sub Gerencias y Jefaturas de Área:


www.onpe.gob.pe

Gerencia de Informática y

Tecnología Electoral

Sub Gerencia de Innovación,

Investigación y Desarrollo

Sub Gerencia de Proyectos Electorales

Sub Gerencia de Infraestructura y

Seguridad Tecnológica

Sub Gerencia de Operaciones Informáticas

Jefatura de Área de Proyectos

Informáticos

Jefatura de Área de Plataforma

Tecnológica

a. Sub Gerencia de Innovación, Investigación y Desarrollo – SGIID, encargada de las funciones referidas a evaluar y promover iniciativas de innovación que provengan de distintas áreas de la ONPE o de sus propias investigaciones, asesorando y brindando asistencia técnica en la gestión por proyectos, conforme a las buenas prácticas y estándares internacionales.

b. Sub Gerencia de Proyectos Electorales – SGPEL, encargada de las funciones referidas a proponer e impulsar la ejecución de proyectos tecnológicos electorales e interinstitucionales basado en estándares y buenas prácticas.

c. Sub Gerencia de Infraestructura y Seguridad Tecnológica – SGIST,

encargada de diseñar, crear, administrar y controlar las bases de datos de la ONPE, el soporte y mantenimiento de los equipos y el servicio de telecomunicaciones.

Asimismo, en coordinación con el Comité de Gestión de Seguridad de la Información efectúa las acciones necesarias para el adecuado funcionamiento de los aspectos informáticos del sistema de producción y almacenamiento de microformas, en concordancia con la Política de Seguridad de la Información de la Oficina Nacional de Procesos Electorales.

d. Sub Gerencia de Operaciones Informáticas – SGOI, entre otras funciones,

es la encargada de organizar la logística necesaria para el procesamiento de resultados durante los procesos electorales. Asimismo, ejecuta la administración del Sistema de Producción y Almacenamiento de Microformas de la Oficina Nacional de Procesos Electorales conforme a los lineamientos dispuestos por la Gerencia de Informática y Tecnología Electoral.

2.8 En razón a lo expuesto, la GITE como gerencia técnica es la encargada de

implementar los mecanismos de seguridad tecnológica que permitan la cautela de la información que ONPE administra, procesa y ejecuta, a fin de garantizar el cumplimiento de las funciones institucionales. Para estos efectos, corresponde a la GITE la determinación de la naturaleza de la información que posee a nivel de la institución, atendiendo a la complejidad, riesgos potenciales y vulnerabilidad de la misma, teniendo como criterio de


www.onpe.gob.pe

clasificación el consignado en el numeral 6.4.2 Clasificación de la información de la Directiva: a. Secreta: Es la información relacionada a la seguridad nacional, utilizada

para la defensa militar y no militar (sistema de inteligencia) contra posibles agresiones de otros Estados o fuerzas irregulares militarizadas internas o externas y cuya revelación pondría en riesgo a la integridad territorial y de las personas, así como a la subsistencia del sistema democrático

b. Reservada: Es la información que tiene por finalidad prevenir y reprimir la criminalidad en el país para mantener el orden interno, y cuya revelación puede entorpecerla originando un riesgo a la integridad territorial y/o la subsistencia del sistema democrático.

c. Confidencial: Es la información que poseen las entidades públicas o

privadas y cuya revelación originaría daños a sus titulares (personas naturales o jurídicas).

d. Pública: Es la información a ser publicada o entregada de acuerdo a lo

señalado en la Ley de Transparencia y Acceso a la Información Pública y en las excepciones de la Ley de Protección de Datos Personales.

2.9 Para el adecuado tratamiento y custodia de la información que administra, la

Sub Gerencia de Innovación, Investigación y Desarrollo mediante comunicación de correo electrónico de fecha 22 de marzo de 2016 remite el Formato “INVENTARIO DE ACTIVOS DE INFORMACIÓN”, en el que detalla como Información de carácter CONFIDENCIAL la correspondiente a los documentos técnicos “VERIFICACIÓN Y VALIDACIÓN DEL PRODUCTO SOFTWARE”, según se aprecia del siguiente cuadro:

2.10 En ese mismo sentido, la Sub Gerencia de Operaciones Informáticas mediante comunicación de correo electrónico de fecha 22 de marzo de 2016 remite el Formato “INVENTARIO DE ACTIVOS DE INFORMACIÓN”, para el adecuado tratamiento de la información, en lo que corresponde a la producción de microformas digitales, correspondiente a los documentos técnicos que se catalogan como “CONFIDENCIAL”:


www.onpe.gob.pe

Manual del Sistema de Producción y Almacenamiento de Microformas Digitales – SPAMD

Arquitectura de Red del Sistema de Producción y Almacenamiento de Microformas Digitales

Plan de Contingencia para la Producción de Microformas Digitales

Transmisión Telemática en el Sistema de Producción y Almacenamiento de Microformas Digitales

2.11 Asimismo, la Sub Gerencia de Proyectos Electorales y la Sub Gerencia

de Infraestructura y Seguridad de la Información, respectivamente, cumplen con remitir los Formatos de “INVENTARIO DE ACTIVOS DE INFORMACIÓN” anexos a los informes de sustento, señalados en los literales d) y e) de la referencia. En los cuales se describe y detalla la categoría de información que poseen; así como el tipo de soporte en el que se encuentra contenidos y la clasificación que en virtud a su naturaleza corresponde técnicamente atribuirle, la misma que se adjunta al presente.

2.12 A mayor detalle, la Sub Gerencia de Proyectos Electorales precisa que la importancia de la identificación de los activos de información del proceso o proyecto, respecto de los que se utiliza Formato “INVENTARIO DE ACTIVOS DE INFORMAICÓN, Código FM13-GGC/GC, Versión 01”, radica en se constituyen como parte del procedimiento de “Gestión de Riesgos de Procesos y Proyecto Institucionales, Código PR05-GGC/GC, Versión 01” los que por su naturaleza y función requieren ser identificados a fin de salvaguardar el desarrollo y ejecución de los proyectos institucionales.

2.13 Para el caso particular del proceso de desarrollo y mantenimiento de software institucional se han identificado los siguientes activos de información: código fuente de los productos software, productos software, documentos

Código FM13-GGC/GC

Versión 01

Página 1 de 1

Fecha de actualización: 23/03/2016 Nombre del proceso / proyecto:

Item Categoría Nombre Descripción Propietario Clasificació

nTipo de soporte

1 Información

Manual del Sistema de Producción y

Almacenamiento de Microformas

Digitales - SPAMD

Documento que describe las especificaciones que norman el SPAM D

de la ONPE mediante el uso de tecnologias y descripción del hardware y

software con el que personal procesa los documentos hasta formar las

microformas digitales con valor legal

GITE Confidencial Física y Electrónica

2 Información

Arquitectura de Red del Sistema de

Producción y Almacenamiento de

Microformas Digitales

Documento que describe la arquitectura interna y externa de la línea de

producción de microformas digitales.GITE Confidencial Física y Electrónica

2 Información

Instructivo sobre control de ingreso y

salida de personas y bienes en las

instalaciones del Sistema de

Producción y Almacenamiento de

Microformas Digitales

Documento de aplicación al personal del SPAM D para los contro les

físicos especificos en el mantenimiento de la seguridad.GITE Pública Física y Electrónica

2 InformaciónPlan de contingencia para la

producción de microformas digitales

Documento que contiene información e instrucciones para responder

ante una contingencia en el SPAM D GITE Confidencial Física y Electrónica

2 Información

Transmisión Telemática en el Sistema

de Producción y almacenamiento de

microformas digitales

Documento en cumplimiento a la NTP 392.030-2 respecto a la

transmisión telemática en el SPAM DGITE Confidencial Física y Electrónica

FORMATO

INVENTARIO DE ACTIVOS DE INFORMACIÓN

SGOI


www.onpe.gob.pe

técnicos y bases de datos relacionados; así como, los riesgos potenciales de su exposición o tratamiento inadecuado.

Activos de Información

Riesgo

Código fuente de los productos software

La exposición del código fuente de las soluciones tecnológicas supondría posibles riesgos de fraude, robo de identidad, modificación del código, entre otros; debido principalmente a:

El análisis y aprovechamiento de vulnerabilidades técnicas, con el objetivo de obtener accesos no autorizados o infiltrar código malicioso para poder realizar operaciones o tratamientos no autorizados sobre las bases de datos.

Reutilización de código no autorizado, con el objetivo de producir copia similar o "pirata" sin el consentimiento del titular, infringiendo los derechos de autor.

Productos software

La exposición del producto software de las soluciones tecnológicas supondría posibles riesgos de fraude, robo de identidad, modificación del código, entre otros; debido principalmente a:


Ingeniería inversa, con el objetivo de obtener información o el diseño a partir del producto, para deducir información relevante tales como; de qué está hecho, qué lo hace funcionar y cómo fue elaborado, etc.

Documentos técnicos de desarrollo de software

La exposición de la documentación técnica detallada de las soluciones tecnológicas supondría riesgos de uso no autorizado de información reservada, debido principalmente a:


Bases de datos La exposición de las bases de datos personales supondría riesgos de cumplimiento legal, según lo tipificado en la Ley N° 29733, Ley de Protección de Datos Personales. La exposición de las bases de datos de las soluciones tecnológicas de voto electrónico supondría posibles riesgos de afectación al sistema democrático, por la percepción de fraude electoral, entre otros.


www.onpe.gob.pe

2.14 En ese sentido, se advierte que las categorías detalladas constituyen información de carácter “sensible” que requiere de un tratamiento adecuado, tomando en consideración que de ser brindada o facilitada a terceros ajenos a la institución podría:

a. poner en riesgo los sistemas de información, afectando con ello el

cumplimiento de las funciones de ONPE, esto es, “ … velar por la obtención de la fiel y libre expresión de la voluntad popular, manifestada a través de los procesos

electorales, de referéndum y otros tipos de consulta popular a su cargo”1 y en ese sentido afectar o poner en grave riesgo la subsistencia del sistema democrático, que es el caso de la información clasificada como “reservada”.

b. afectar la espera de los derechos de las personas, que es el caso de la

información clasificada como “confidencial”.

2.15 En consecuencia, la GITE propone formalizar las clasificaciones de “Reservada” y “Confidencial” respecto de aquella información, que con su difusión podría afectar la voluntad popular traducida en las urnas o afectar la esfera íntima de los derechos de los ciudadanos y ciudadanas. Para tales efectos, se cumple con remitir adjunto al presente informe el FORMATO “INVENTARIO DE ACTIVOS DE INFORMACIÓN” en el que se presenta de manera detallada la propuesta de clasificación formulada por la GITE para su validación por la Gerencia de Asesoría Legal y su posterior formalización a través de la emisión de la Resolución Jefatural que corresponda.

III. CONCLUSIONES

3.1 La GITE como gerencia técnica es la encargada de implementar los mecanismos de seguridad tecnológica que permitan la cautela de la información que ONPE administra, procesa y ejecuta, a fin de garantizar el cumplimiento de las funciones institucionales.

3.2 Conforme a lo dispuesto por el literal b) del numeral 6.4.1 Responsabilidad de los Activos, de la Directiva DI03-GGC/GC Versión 00 “Política de Seguridad de la Información” corresponde que para la adecuada “gestión de activos” los propietarios de los mismos, aseguren su adecuado tratamiento y protección, previa clasificación de la información a su cargo.

3.3 En razón de lo cual, corresponde que GITE previa determinación de la naturaleza de la información que posee a nivel de la institución, atendiendo a la complejidad, riesgos potenciales y vulnerabilidad de la misma, teniendo como criterio de clasificación el consignado en el numeral 6.4.2 Clasificación de la información de la Directiva: Secreta, Reservada, Confidencial y Pública, cumpla con presentar y sustentar formalmente su propuesta de clasificación.

3.4 En ese sentido, GITE propone la clasificación de “Reservada” respecto de aquella información, que con su difusión podría afectar la voluntad popular traducida en las urnas, poniendo en grave riesgo la subsistencia del sistema democrático; mientras que, “Confidencial” respecto de aquella información que

1 Artículo 2º de la Ley Nº 26487, Ley Orgánica de ONPE.


www.onpe.gob.pe

con su difusión puede afectar la esfera íntima de los derechos de los ciudadanos y ciudadanas.

3.5 Para tales efectos, esta Gerencia presenta al Comité de Seguridad de la Información los FORMATOS “INVENTARIO DE ACTIVOS DE INFORMACIÓN”, emitidos por la Sub Gerencia de Innovación, Investigación y Desarrollo, la Sub Gerencia de Proyectos Electorales, la Sub Gerencia de Operaciones Informáticas y Sub Gerencia de Infraestructura y Seguridad Tecnológica, que se adjunta al presente, y en los que se detalla, explica y sustenta nuestra propuesta de clasificación, recomendando al Comité disponga su validación por la Gerencia de Asesoría Legal, para su posterior formalización a través de la emisión de la Resolución Jefatural correspondiente.

IV. RECOMENDACIONES

Se recomienda, salvo mejor parecer:

4.1 Remitir el presente informe a la Gerencia de Asesoría Jurídica a fin de que proceda a validar legalmente los criterios de clasificación establecidos por la Gerencia de Informática y Tecnología Electoral en el FORMATO “INVENTARIO DE ACTIVOS DE INFORMACIÓN”, para su posterior formalización a través de la Resolución Jefatural correspondiente, conforme lo dispuesto por el numeral 6.4.2 Clasificación de la información de la Directiva DI03-GGC/GC Versión 00 “Política de Seguridad de la Información”.

Es todo cuanto se informa para su conocimiento y fines que se sirva determinar. cc: Gerencia de Asesoría Jurídica

(AOC/lra)

Documents

Anexo Informe 000055 2016 Gite