ACUERDO MINISTERIAL nº 025-2019
EL MINISTRO DE TELECOMUNICACIONES Y DE LA SOCIEDAD DE LA INFORMACIÓN
CONSIDERANDO:
Que, el numeral 1 del artículo 154 de la Constitución de la República del Ecuador confiere a las Ministras y Ministros de Estado, además de las atribuciones establecidas en la ley, la rectoría de las políticas del área a su cargo, así como la facultad de expedir acuerdos y resoluciones administrativas;
Que, el artículo 226 de la Constitución de la República indica que: “Las instituciones del Estado, sus organismos, dependencias, las servidoras o servidores públicos y las personas que actúen en virtud de una potestad estatal ejercerán solamente las competencias y facultades que les sean atribuidas en la Constitución y la ley. Tendrán el deber de coordinar acciones para el cumplimiento de sus fines y hacer efectivo el goce y ejercicio de los derechos reconocidos en la Constitución“;
Que, el artículo 227 ibídem dispone: “La administración pública constituye un servicio a la colectividad que se rige por los principios de eficacia, eficiencia, calidad, jerarquía, desconcentración, descentralización, coordinación, participación, planificación, transparencia y evaluación”;
Que, el inciso segundo del artículo 314 de la Constitución de la República, dispone que el Estado garantizará que los servicios públicos, prestados bajo su control y regulación, respondan a principios de obligatoriedad, generalidad, uniformidad, eficiencia, responsabilidad, universalidad, accesibilidad, regularidad, continuidad y calidad;
Que, el artículo 140 de la Ley Orgánica de Telecomunicaciones, dispone: “Rectoría del sector. El Ministerio encargado del sector de las Telecomunicaciones y de la Sociedad de la Información es el órgano rector de las telecomunicaciones y de la sociedad de la información, informática, tecnologías de la información y las comunicaciones y de la seguridad de la información. A dicho órgano le corresponde el establecimiento de políticas, directrices y planes aplicables en tales áreas para el desarrollo de la sociedad de la información. de conformidad con lo dispuesto en la presente Ley, su Reglamento General y los planes de desarrollo que se establezcan a nivel nacional. Los planes y políticas que dicte dicho Ministerio deberán enmarcarse dentro de los objetivos del Plan Nacional de Desarrollo y serán de cumplimiento obligatorio tanto para el sector público como privado”;
Que, mediante Decreto Ejecutivo nº 8 de 13 de agosto de 2009, publicado en el Registro Oficial nº 10, de 24 de agosto de 2009, el Presidente de la República resolvió crear el Ministerio de Telecomunicaciones y de la Sociedad de la Información, como órgano rector del desarrollo de las Tecnologías de la Información y Comunicación, que incluye las telecomunicaciones y el espectro radioeléctrico.
Que, con Decreto Ejecutivo nº 5 de 24 de mayo de 2017, se suprime la Secretaría Nacional de la Administración Pública y se transfieren al Ministerio de Telecomunicaciones y de la Sociedad de la Información entre otras la atribución: “b Desarrollar y coordinar planes, programas o proyectos sobre gobierno electrónico que sean necesarios para su implementación”;
Que, conforme lo establece la Disposición General Segunda del referido Decreto “El Ministerio de Telecomunicaciones y Sociedad de la Información gestionará coordinará la implementación de políticas, planes, programas y proyectos de gobierno electrónico en las instituciones de la administración pública a través de las coordinaciones generales de gestión estratégica y las direcciones de tecnologías de la información, dependientes de estas o de quien haga sus veces”;
Que, mediante Acuerdo Ministerial nº 011-2018, del 08 de agosto de 2018, se expide el Plan Nacional de Gobierno Electrónico 2018-2021; este instrumento muestra la situación actual del país en materia de gobierno electrónico, las acciones que serán ejecutadas en tres programas; Gobierno Abierto, Gobierno Cercano y Gobierno Eficaz y Eficiente. En el Capítulo l. Fundamentos Generales, literal 5. Diagnóstico; se enfatiza que: “Dentro de las iniciativas relevantes que ha implementado el gobierno entorno a la ciberseguridad se encuentra la implementación del Esquema Gubernamental de Seguridad de la Infórmación (EGSI) … “
Que, mediante Decreto Ejecutivo nº 784 de 4 de junio de 2019, el Presidente de la República nombró al licenciado Andrés Michelena Ayala, como Ministro de Telecomunicaciones y de la Sociedad de la Información;
Que, en el Informe Técnico de 09 de septiembre de 2019, suscrito por el Subsecretario de Estado Gobierno Electrónico, se recomienda: “Expedir mediante Acuerdo Ministerial el Esquema Gubernamental de Seguridad de la Información -EGSI-, debido a la necesidad de gestionar la seguridad de la información acorde a la evolución normativa y tecnológica, ya que actualmente los riesgos en seguridad muestran continuos cambios, se desarrollan nuevas amenazas y se revelan vulnerabilidades e incidentes de seguridad que tienen efectos considerables en la sociedad “;
En ejercicio de las atribuciones que le confiere el numeral 1 del artículo 154 de la Constitución de la República, artículo 17 del Estatuto del Régimen Administrativo de la Función Ejecutiva;
ACUERDA
Artículo 1
Expedir el Esquema Gubernamental de Seguridad de la Información -EGSI-, el cual es de implementación obligatoria en las Instituciones de la Administración Pública Central, Institucional y que dependen de la Función Ejecutiva, que se encuentra como Anexo al presente Acuerdo Ministerial.
Artículo 2
Las Instituciones de la Administración Pública Central, Institucional y que dependen de la Función Ejecutiva, realizarán la Evaluación de Riesgos sobre sus activos de información críticos y diseñarán el plan para el tratamiento de los riesgos de su Institución, utilizando como referencia la “GUÍA PARA LA GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN” que es parte del Anexo del presente Acuerdo Ministerial, previo a la actualización o implementación de los controles de seguridad.
Artículo 3
Recomendar a las Instituciones de la Administración Pública Central, Institucional y que dependen de la Función Ejecutiva, utilicen como guía las Normas Técnicas Ecuatorianas NTE INEN ISO/J EC 27000 para la Gestión de Seguridad de la Información.
Artículo 4
Las Instituciones de la Administración Pública Central, Institucional y que dependen de la Función Ejecutiva, actualizarán o implementarán el Esquema Gubernamental de Seguridad de la Información EGSI en un plazo de doce (12) meses contados a partir de la publicación del presente Acuerdo Ministerial en el Registro Oficial.
La Evaluación de Riesgos y el plan para el tratamiento de los riesgos de cada Institución se realizarán en un plazo de cinco (5) meses y la actualización o implementación de los controles del Esquema Gubernamental de Seguridad de la Información (EGSI) se realizarán en un plazo siete (7) meses.
La actualización o implementación, se realizará en cada institución de acuerdo al ámbito de acción, estructura orgánica, recursos y nivel de madurez en gestión de Seguridad de la Información.
Artículo 5
La máxima autoridad designará al interior de su Institución, un Comité de Seguridad de la Información (CSI), que estará integrado por los responsables de las siguientes áreas o quienes hagan sus veces: Talento Humano, Administrativa, Planificación y Gestión Estratégica, Comunicación Social, Tecnologías de la Información, Unidades Agregadores de Valor y el Área Jurídica participará como asesor.
El Comité de Seguridad de la Información tiene como objetivo, garantizar y facilitar la implementación de las iniciativas de seguridad de la información en la institución.
Los Comités en la primera convocatoria definirán su agenda y su reglamento interno.
Artículo 6
El Comité de Seguridad de la Información, tendrá las siguientes responsabilidades:
a) Gestionar la aprobación de la política y normas institucional es en materia de seguridad de la información, por parte de la máxima autoridad de la Institución.
b) Realizar el seguimiento de los cambios significativos de los riesgos que afectan a los recursos de información frente a las amenazas más importantes.
c) Tomar conocimiento y supervisar la investigación y monitoreo de los incidentes relativos a la seguridad de la información, con nivel de impacto alto.
d) Coordinar la implementación de controles específicos de seguridad de la información para nuevos sistemas o servicios, en base al EGSI.
e) Promover la difusión de la seguridad de la información dentro de la institución.
f) Coordinar el proceso de gestión de la continuidad de la operación de los servicios y sistemas de información de la institución frente a incidentes de seguridad imprevistos.
g) El comité deberá convocarse bimensualmente o cuando las circunstancias lo ameriten, se deberá llevar registros y actas de las reuniones.
h) Informar a la máxima autoridad los avances de la implementación del Esquema Gubernamental de Seguridad de la Información (EGSI).
i) Reportar a la máxima autoridad las alertas que impidan la implementación del Esquema Gubernamental de Seguridad de la Información (EGSI).
j) Recomendar a la máxima autoridad mecanismos que viabilicen la implementación del Esquema Gubernamental de Seguridad de la Información (EGSI).
Artículo 7
El Comité de Seguridad de la Información (CSI) designará al interior de su Institución a un funcionario como Oficial de Seguridad de la Información (OSI).
El Oficial de Seguridad debe tener conocimiento en Seguridad de la Información y Gestión de Proyectos, podrá ser si existiere el responsable de la Unidad de Seguridad de la Información, se recomienda que no pertenezca al área de Tecnologías de la Información.
Articulo 8
El Oficial de Seguridad de la Información tendrá las siguientes responsabilidades:
a) Identificar todas las personas o instituciones públicas o privadas, que de alguna forma influyen o impactan en la implementación del EGSI.
b) Generar propuestas para la elaboración de la documentación esencial del Esquema Gubernamental de Seguridad de la Información (EGSI).
c) Asesorar a los funcionarios en la ejecución del Estudio de Gestión de Riesgos de Seguridad de la Información en las diferentes áreas.
d) Elaborar el Plan de concienciación en Seguridad de la Información basado en el Esquema Gubernamental de Seguridad de la Información (EGSI).
e) Elaborar un plan de seguimiento y control de la implementación de las medidas de mejora o acciones correctivas.
f) Coordinar la elaboración del Plan de Continuidad de Seguridad de Ja Información.
g) Orientar y generar un procedimiento adecuado para el manejo de los incidentes de seguridad de Ja información presentados al interior de la institución.
h) Coordinar la gestión de incidentes de seguridad con nivel de impacto alto a través de otras instituciones gubernamentales.
i) Mantener la documentación de la implementación del EGSI debidamente organizada.
j) Verificar el cumplimiento de las normas, procedimientos y controles de seguridad institucionales establecidos.
k) Informar al Comité de Seguridad de la Información. el avance de la implementación del Esquema Gubernamental de Seguridad de la Información (EGSI), así como las alertas que impidan su implementación.
l) Previa la terminación de sus funciones el Oficial de Seguridad realizará la transferencia de la documentación e información de la que fue responsable al nuevo Oficial de Seguridad, en caso de ausencia, al Comité de Seguridad de la Información.
DISPOSICIONES GENERALES
PRIMERA
Se designa al Subsecretario de Estado – Gobierno Electrónico o su delegado, para que en representación del Ministro de Telecomunicaciones y de la Sociedad de Ja Información, pueda emitir oficios, comunicaciones y cualquier otro documento que permita la implementación, control y seguimiento del Esquema Gubernamental de Seguridad de Ja Información- EGSI.
SEGUNDA
El Ministerio de Telecomunicaciones y de la Sociedad de la Información, a través de la Subsecretaría de Estado – Gobierno Electrónico, una vez finalizado el plazo fijado para la implementación, realizará la evaluación del cumplimiento del EGSI basado en los criterios establecidos en el Plan de Evaluación que para el efecto se elabore.
Durante el proceso de implementación del EGSI, las instituciones reportarán el avance mediante el Sistema de Gestión por Resultados (GPR) u otras herramientas que se implemente para el efecto.
TERCERA
El Ministerio de Telecomunicaciones y de la Sociedad de la Información, a través de la Subsecretaría de Estado – Gobierno Electrónico, deberá elaborar hasta el 31 de enero de cada año un “Plan de Evaluación” una vez finalizado el plazo de implementación del EGSI, que será socializado a las Instituciones de la Administración Pública Central, Institucional y que dependen de la Función Ejecutiva.
CUARTA
En caso de no ser posible la implementación de controles establecidos en el EGSl, deberá ser justificado técnicamente y comunicado a la Subsecretaria de Estado – Gobierno Electrónico, del Ministerio de Telecomunicaciones y de la Sociedad de la Información, para su análisis y aprobación.
QUINTA
Los Oficiales de Seguridad de la Información de las Instituciones de la Administración Pública Central, Institucional y que dependen de la Función Ejecutiva, actuarán como contrapartes del Ministerio de Telecomunicaciones y de la Sociedad de la Información en la actualización e implementación del EGSI, quienes reportarán a través del sistema Gobierno por Resultados (GPR).
SEXTA
Las instituciones deberán remitir hasta el 31 de enero de cada año un “informe de cumplimiento de la Gestión de Riesgos” debidamente suscrito por la máxima autoridad, a la Subsecretaria de Estado – Gobierno Electrónico del Ministerio de Telecomunicaciones y de la Sociedad de la Información.
SÉPTIMA
Es responsabilidad de la máxima autoridad de cada institución gestionar la implementación de esta normativa asignando los recursos necesarios.
DISPOSICIONES TRANSITORIAS
PRIMERA
La designación de Oficial de Seguridad de la Información deberá ser comunicada al Subsecretario de Estado Gobierno Electrónico o su delegado, del Ministerio de Telecomunicaciones y de la Sociedad de la Información dentro del plazo de treinta (30) días posteriores a la publicación del presente Acuerdo Ministerial en el Registro Oficial.
En el caso de cambio de Oficial de Seguridad de la Información, deberá comunicarse de forma inmediata a la misma autoridad.
SEGUNDA
Para efectivizar el control y seguimiento del EGSI el Subsecretario de Estado – Gobierno Electrónico o su delegado, del Ministerio de Telecomunicaciones y de la Sociedad de la Información en un plazo de sesenta (60) días desde la publicación del presente Acuerdo Ministerial en el Registro Oficial, creará indicadores de gestión e implementación del Esquema Gubernamental de Seguridad de la Información EGSI-, en el sistema Gobierno por Resultados (GPR).
TERCERA
El Subsecretario de Estado – Gobierno Electrónico o su delegado, del Ministerio de Telecomunicaciones y de la Sociedad de la Información, en un plazo de sesenta (60) días a partir de la publicación del presente Acuerdo Ministerial en el Registro Oficial, emitirá el formato en el cual las instituciones presentarán el “Informe de cumplimiento de la Gestión de Riesgos”.
CUARTA
El Subsecretario de Estado – Gobierno Electrónico o su delegado, del Ministerio de Telecomunicaciones y de la Sociedad de la Información, en un plazo de noventa (90) días a partir de la publicación del presente Acuerdo Ministerial en el Registro Oficial, emitirá los lineamientos para el seguimiento y control de la implementación del Esquema Gubernamental de Seguridad de la Información -EGSI-.
DISPOSICIÓN DEROGATORIA ÚNICA
Deróguese el Acuerdo Ministerial nº 166, publicado en el Registro Oficial Suplemento nº 88 de 25 de septiembre de 2013 y los artículos 11, 12, 13 y 15 del Acuerdo Ministerial nº 1606 publicado en Registro Oficial 776 de 15 de junio del 201 6.
El presente Acuerdo Ministerial entrará en vigencia a partir de su publicación en el Registro Oficial.
Dado en el Distrito Metropolitano de Quito, a 20 de septiembre de 2019.
Lcdo. Andrés Michelena Ayala. MINISTRO DE TELECOMUNICACIONES Y DE LA SOCIEDAD DE LA INFORMACIÓN.
ANEXO.- ESQUEMA GUBERNAMENTAL DE SEGURIDAD DE LA INFORMACION (EGSI)
Versión 2.0
“El Sistema de Gestión de Seguridad de la Información de las Instituciones Públicas de la Administración Pública Central, Institucional y que dependen de la Función Ejecutiva -APCID-“
INTRODUCCIÓN
Los avances de las Tecnologías de la Información y Comunicación (TIC) han ocasionado que los gobiernos otorguen mayor atención a la protección de sus activos de información con el fin de generar confianza en la ciudadanía, en sus propias instituciones y minimizar riesgos derivados de vulnerabilidades y amenazas informáticas.
El presente documento, denominado Esquema Gubernamental de Seguridad de la Información (EGSI), está basado en las normas técnicas ecuatorianas “/NEN /SO/IEC 27000”, para la Gestión de la Seguridad de la Información y está dirigido a las Instituciones de la Administración Pública Central e Institucional y que depende de la Función Ejecutiva – APCID -.
El EGSI establece un conjunto de recomendaciones para la Gestión de la Seguridad de la Información y ejecuta un proceso de mejora continua en las instituciones de la Administración Pública. El EGSI no reemplaza a las normas técnicas ecuatorianas INEN ISO/IEC 27000.
La implementación del EGSI procura incrementar la seguridad de la información en las instituciones públicas, así como alcanzar la confianza de los ciudadanos en la Administración Pública.
“El Esquema Gubernamental de Seguridad de la información preserva la confidencialidad, integridad y disponibilidad de la información mediante la aplicación de un proceso de gestión de riesgos de seguridad de la Información y la selección de controles para el tratamiento de los riesgos identificados”
GUÍA PARA LA IMPLEMENTACIÓN DEL ESQUEMA GUBERNAMENTAL DE SEGURIDAD DE LA INFORMACIÓN (NTE INEN ISO/IEC 27001 :2017)
INTRODUCCIÓN
Esta guía se ha preparado para proporcionar los requisitos para establecer, implementar y mantener el mejoramiento continuo del Esquema Gubernamental de Seguridad de la Información, que pretende ser el Sistema de Gestión de Seguridad en las instituciones Públicas de la APCID.
El establecimiento y la implementación del Esquema Gubernamental de Seguridad de la Información, están influenciados por las necesidades y objetivos de la institución, los requisitos de seguridad, los procesos utilizados, el tamaño y estructura de la institución.
El Esquema Gubernamental de Seguridad de la información preserva la confidencialidad, integridad y disponibilidad de la información mediante la aplicación de un proceso de gestión de riesgos de seguridad de la información y la selección de controles para el tratamiento de los riesgos identificados.
OBJETIVO
Brindar los primeros lineamientos para que las instituciones de la APCID inicien con la implementación del Esquema Gubernamental de Seguridad de la Información.
ESTRUCTURA ORGANIZACI0NAL DE SEGURIDAD DE LA INFORMACIÓN EN LAS INSTITUCIONES DE LA APCID
La asignación de responsabilidades se definió en los artículos 5, 6, 7 y 8 del acuerdo ministerial, sin embargo, en esta guía se esclarece la estructura organizacional en materia seguridad de la información en las instituciones públicas de la APCID. A continuación, se presenta las 2 figuras o roles que son base para el trabajo en seguridad de la información, estableciendo las responsabilidades que cada uno debería tener.
Queda abierto el realizar ampliaciones en cada institución, a las responsabilidades definidas, de manera que se adapte a cada realidad particular y se cumpla con la implementación del EGSI.
Oficial de Seguridad de la Información (OSI)
El Comité de Seguridad de la Información (CSI) designará al interior de su Institución a un funcionario como Oficial de Seguridad de la Información (OSI).
El Oficial de Seguridad debe tener conocimiento en Seguridad de la Información y Gestión de Proyectos, podrá ser si existiere el responsable de la Unidad de Seguridad de la Información, se recomienda que no pertenezca al área de Tecnologías de la Información.
El Oficial de Segundad de la Información, será el responsable de coordinar las acciones del Comité de Seguridad de la Información y de impulsar la implementación y cumplimiento del Esquema Gubernamental de Seguridad de la Información. Es recomendable que el oficial de Seguridad de la Información sea un miembro independiente de las áreas de tecnología o sistemas, puesto que deberá mantener su independencia para observar las necesidades de seguridad entre la estrategia de la institución y tecnología.
Es importante que este funcionario cuente con la aceptación y apoyo de todas las áreas de la institución, es por esto que a la hora de elegir al funcionario que lleve adelante este rol es necesario que sea elegido en consenso.
Cualidades como: liderazgo, capacidad para lograr acuerdos, aceptación de sus pares, poder de gestión: son fundamentales para llevar con éxito la tarea de Oficial de Seguridad de la Información -OSI-.
Dentro de sus principales responsabilidades se encuentra:
a) Identificar todas las personas o instituciones públicas o privadas, que de alguna forma influyen o impactan en la implementación del EGSI:
• Identificar convenientemente las partes interesadas relacionadas con el negocio y en especial con la seguridad de la información.
• Identificar los requisitos / necesidades de las partes interesadas.
• Identificar los canales de comunicación con las partes interesadas especialmente con las autoridades y grupos de interés especiales.
• Ejercer una labor de coordinación con las tareas y medios de protección de datos personales.
b) Generar propuestas para la elaboración de la documentación esencial del Esquema Gubernamental de Seguridad de la Información (EGSI):
• Política de Seguridad de la información
• Política de control de la Documentación
• Política de control de accesos
• Uso aceptable de /os activos
• Evaluación de riesgos
• Metodología de tratamiento de riesgos
• Declaración de aplicabilidad
• Plan de tratamiento de riesgos
• Política de revisión y actualización de la documentación
e) Asesorar a los funcionarios en la ejecución del Estudio de Gestión de Riesgos de Seguridad de la Información en las diferentes áreas:
• Formación interna a los funcionarios propietarios de los activos de información, para que colaboren en la realización de la evaluación de riesgos
• Coordinar el proceso de evaluación del riesgo.
• Proponer la selección de controles para el tratamiento del riesgo.
• Proponer plazos de aplicación para los controles.
d) Elaborar el Plan de concienciación en Seguridad de la Información basado en el Esquema Gubernamental de Seguridad de la Información (EGSI):
• Preparar el plan de formación y concienciación para la seguridad de la información y el cumplimiento del EGSI.
• Realizar actividades contínuas relacionadas con la concienciación.
• Planificar charlas de Seguridad de Información para nuevos funcionarios.
• Plan de medidas disciplinarias para violaciones a la seguridad de la Información.
e) Elaborar un plan de seguimiento y control de la implementación de las medidas de mejora o acciones correctivas:
• Plan de control de implementación de las medidas de me1ora o acciones correctivas.
• Control de la efectividad de las medidas adoptadas
f) Coordinar la elaboración del Plan de Continuidad de Seguridad de la Información:
• Coordinar la elaboración de un plan de continuidad de seguridad de la información.
• Coordinar la revisión del plan con ejercicios y pruebas.
• Verificar los planes de recuperación después de incidentes.
g) Orientar y generar un procedimiento adecuado para el manejo de los incidentes de seguridad de la información detectados o reportados.
h) Coordinar la gestión de incidentes de seguridad con nivel de criticidad alto a través de otras instituciones gubernamentales.
i) Mantener la documentación de la implementación del EGSI debidamente organizada.
j) Verificar el cumplimiento de las normas, procedimientos y controles de seguridad institucionales establecidos.
k) Informar al Comité de Seguridad de la Información, el avance de la implementación del Esquema Gubernamental de Seguridad de la Información (EGSI), así como las alertas que impidan su implementación:
• Plan de comunicación de los beneficios de la Seguridad de la Información
• Proponer objetivos de Seguridad de la Información
• Informe de resultados sobre indicadores medibles
• Propuestas de mejoras en la Seguridad de la Información
• Evaluación de recursos necesarios para la Seguridad de la Información
l) Previa la terminación de sus funciones el Oficial de Seguridad realizará la transferencia de la documentación e información de la que fue responsable al nuevo Oficial de Seguridad, en caso de ausencia, al Comité de Seguridad de la Información.
Comité de Seguridad de la Información (CSI)
El Comité de Seguridad de la Información (CSI), estará integrado por los responsables de las siguientes áreas o quienes haga sus veces: Talento Humano, Administrativa, Planificación y Gestión Estratégica, Comunicación Social, Tecnologías de la Información, Unidades Agregadores de Valor y el Área Jurídica participará como asesor.
Este comité tendrá reuniones bimensualmente, de manera recomendada durante el transcurso del primer año de implementación, desde la emisión del acuerdo ministerial.
Es imprescindible que desde las primeras reuniones del comité, puedan estar presentes todos los lideres/responsables de las áreas, con el fin de estimular la aprobación de políticas y normativas en relación a la Seguridad de la Información en cada institución: en las siguientes reuniones el enfoque puede orientarse a la planificación estratégica y gestión de aspectos vinculados a la seguridad de la información, por lo que se podría delegar la participación a los representantes de las respectivas áreas involucradas.
El Comité tendrá como principales responsabilidades:
a) Gestionar la aprobación de la política y normas institucionales en materia de seguridad de la información, por parte de la máxima autoridad de la Institución.
b) Realizar el seguimiento de los cambios significativos de los riesgos que afectan a los recursos de información frente a las amenazas más importantes.
c) Tomar conocimiento y supervisar la investigación y mon1toreo de los incidentes relativos a la seguridad de la información, con nivel de impacto alto.
d) Coordinar la implementación de controles específicas de seguridad de la información para nuevos sistemas o servicios, en base al EGSL
e) Promover la difusión de la seguridad de la información dentro de la institución.
f) Coordinar el proceso de gestión de la continuidad de la operación de los servicios y sistemas de información de la institución frente a incidentes de seguridad imprevistos.
g) El comité deberá convocarse trimestralmente o cuando las circunstancias lo ameriten. se deberá llevar registros y actas de las reuniones.
h) Informar a la máxima autoridad los avances de la implementación del Esquema Gubernamental de Seguridad de la Información (EGSI).
i) Reportar a la máxima autoridad las alertas que impidan la implementación del Esquema Gubernamental de Seguridad de la Información (EGSI).
J) Recomendar a la máxima autoridad mecanismos que viabilicen la implementación del Esquema Gubernamental de Seguridad de la Información (EGSI).
Para lograr el objetivo planteado con la Implementación del Esquema Gubernamental de Seguridad de la Información – EGSI -, es decir que la implementación sea orientada como un Sistema de Gestión de Seguridad de la Información (SGSI), es primordial conocer los principios, beneficios, modelo, entre otros aspectos de un SGSI.
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI)
El Sistema de Gestión de Seguridad de la Información es el elemento más importante de la norma ISO 27001, que unifica los criterios para la evaluación de los riesgos asociados al manejo de la información institucional.
PRINCIPIOS
El Sistema de Gestión de Seguridad de la Información tiene como objetivo preservar la confidencialidad, integridad y disponibilidad de la información
[…]
Figura nº 1 PRINCIPIOS DE LA S.I , Fuente: https:lnfosegur.wordpress.comtag/disponibilidad/
• Confidencialidad: La información solo tiene que ser accesible o divulgada a aquellos que están autorizados.
• Integridad: La información debe permanecer correcta (integridad de datos) y como el emisor la originó (integridad de fuente) sin manipulaciones por terceros.
• Disponibilidad: La información debe estar siempre accesible para aquellos que estén autorizados.
BENEFICIOS
Entre los beneficios relevantes de un SGSI podemos citar los siguientes:
• Establece una metodología de Gestión de la Seguridad estructurada y clara.
• Reduce el riesgo de pérdida, robo o integridad de la información sensible.
• Los riesgos y los controles son continuamente revisados.
• Se garantiza la confianza de los usuarios en los servicios institucionales.
• Facilita la integración con otros sistemas de gestión.
• Se garantiza la continuidad de negocio tras un incidente grave.
• Cumple con la legislación vigente sobre información personal, propiedad intelectual y otras.
• La imagen de la institución mejora.
• Aumenta la confianza y las reglas claras para los miembros de la institución.
• Reduce los costes y la mejora de los procesos y el servicio.
• Se incrementa la motivación y la satisfacción del personal.
• Aumenta la seguridad en base la gestión de procesos en lugar de una compra sistemática de productos y tecnologías.
CICLO DE VIDA (modelo POCA)
Es recomendable que los sistemas de gestión sean desarrollados bajo la metodología de la “mejora continua” o ciclo de Deming, conocido como círculo POCA, del inglés Plan-Do-Check-Act.
[…]
Figura nº 2 MODELO POCA, Fuente: https://www jacquelinebetancourt.com/single post/2019/03/04/Mejora-Continua-Excelencia-a-nuestro-alcance
La relación que existe entre el modelo POCA Y La ISO 27001 :2013 se presenta a continuación:
[…]
Figura nº 3, ESTRUCTURA PDCA·IS027001, Fuente: elaboración propia
PROCESO PDCA ASOCIADO AL ESTANDAR INTERNACIONAL ISO 27001
[…]
Figura nº 4, PROCESO PDCA-18027001, Fuente: http://www.iso27000.es/sgsi.html
“La adecuada Gestión de los Riesgos en Seguridad de la Información, conllevará a una efectiva implantación de un Sistema de Gestión de Seguridad de la Información.
Sólo una vez identificado los riesgos existentes, permitirá aplicar los controles necesarios para su tratamiento”
GUÍA PARA LA GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN
(NTE-INEN ISO/EC 27005,2008 & MAGERIT)
INTRODUCCIÓN
La revolución digital ha generado que las organizaciones a nivel mundial tomen mayor atención a la información, actor principal de este proceso de cambio. Este proceso ha permitido establecer nuevas alianzas y acortar distancias entre naciones, donde el internet cumple un papel fundamental en la comunicación
En términos de gestión de riesgos de seguridad de la información, el activo a proteger es la información, tanto de información digital, contenida en los sistemas de información como aquella contenida en cualquier otro medio como por ejemplo el papel. Debemos tener presente que la gestión debe ocuparse de todo el ciclo de vida de la información.
Es necesario un enfoque sistemático para la gestión del riesgo en la seguridad de la información para identificar las necesidades de la organización con respecto a los requisitos de seguridad de la información y para crear un eficaz sistema de gestión de la seguridad de la información – SGSI -.
Este enfoque debe ser adecuado para el entorno de la institución y, en particular, debería cumplir los lineamientos de toda la gestión del riesgo de la institución.
Los esfuerzos de seguridad deben abordar los riesgos de una manera eficaz y oportuna donde y cuando sean necesarios. La gestión del riesgo de la seguridad de la información debe ser una parte integral de todas las actividades de la gestión de la seguridad de la información y se deben aplicar tanto a la implementación como al funcionamiento continuo de un SGSI.
La gestión del riesgo de la seguridad de la información debe ser un proceso continuo. Tal proceso debe establecer el contexto, evaluar los riesgos, tratar los riesgos utilizando un plan de tratamiento para implementar las recomendaciones y decisiones.
“La gestión del nesgo analiza lo que puede suceder y cuáles pueden ser las posibles consecuencias, antes de decidir lo que se debe hacer y cuando hacerlo, con el fin de reducir el riesgo hasta un nivel aceptable'”.
CONCEPTOS BÁSICOS
La información es el activo principal pero también debemos considerar: infraestructura informática, equipos auxiliares, redes de comunicaciones, instalaciones y personas.
Cuando hablamos de seguridad de la información hablamos de protegerla de riesgos que puedan afectar a una o varias de sus tres principales propiedades:
• Confidencialidad: La información solo tiene que ser accesible o divulgada a aquellos que están autorizados.
• Integridad La información debe permanecer correcta (integridad de datos) y como el emisor la originó (integridad de fuente) sin manipulaciones por terceros.
• Disponibilidad: La información debe estar siempre accesible para aquellos que estén autorizados.
[…]
Figura nº 1 PRINCIPIOS DE LA S.I., Fuente: ttps://infosegur.wordpress.com/tag/disponibilidad/
Para facilitar el proceso de análisis y valoración de los riesgos es importante entender algunos conceptos básicos:
Riesgo: Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o daño en un activo de información. Suele considerarse como una combinación de la probabilidad de un evento y sus consecuencias.
Amenaza. causa potencial de un incidente no deseado, que puede resultar en un daño a un sistema, persona u organización.
Vulnerabilidad: Debilidad de un activo o control que puede ser explotada por una o más amenazas.
Impacto: es la consecuencia de la materialización de una amenaza sobre un activo. El costo para la institución de un incidente de la escala que sea, que puede o no ser medido en términos estrictamente financieros (ejem.: pérdida de reputación, implicaciones legales, entre otros).
Riesgo inherente: Es el riesgo existente y propio de cada actividad, sin la ejecución de ningún control.
Riesgo residual: El riesgo que permanece tras el tratamiento del riesgo.
PROCESO PARA LA GESTIÓN DEL RIESGO DE LA SEGURIDAD DELA INFORMACIÓN
El proceso de gestión del riesgo de la seguridad de la información puede ser iterativo para las actividades de valoración del riesgo y/o de tratamiento del riesgo. Un enfoque iterativo para realizar la valoración del riesgo puede incrementar la profundidad y el detalle de la valoración en cada iteración_ El enfoque iterativo suministra un buen equilibrio entre la reducción del tiempo y el esfuerzo requerido para identificar los controles, incluso garantizando que los riesgos de impacto alto se valoren de manera correcta.
Actividades para la gestión del riesgo de la seguridad de la información:
• Establecimiento del contexto
• Valoración del riesgo
• Tratamiento del riesgo
• Aceptación del riesgo
• Comunicación del riesgo
• Monitoreo y revisión del riesgo
Pasos de /as actividades del proceso de gestión del riesgo:
[…]
Figura nº 2 PROCESO DE GESTIÓN DEL RIESGO EN LA SEGURIDAD DE LA INFORMACIÓN,
Fuente: IS027005
ESTABLECIMIENTO DEL CONTEXTO CONSIDERACIONES GENERALES
“Se debe establecer el contexto para la gestión del riesgo de la seguridad de la información, lo cual implica establecer los criterios básicos que son necesarios para la gestión del riesgo de la seguridad de la información: definir el alcance y los límites, establecer una organización adecuada que opere la gestión del riesgo de la seguridad de la información”.
CRITERIOS BÁSICOS
Dependiendo del alcance y los objetivos de la gestión del riesgo, se pueden aplicar diferentes enfoques. El enfoque también podría ser diferente para cada iteración.
Es aconsejable seleccionar o desarrollar un enfoque adecuado para la gestión del riesgo que aborde los criterios básicos tales como: criterios de evaluación del riesgo, criterios de impacto, criterios de aceptación del riesgo, entre otros_
Criterios de identificación del riesgo
Es recomendable considerar los activos de información con el valor de impacto alto para el proceso de evaluación del riesgo.
Criterios de evaluación del riesgo
Es recomendable desarrollar criterios para la evaluación del riesgo con el fin de determinar el riesgo de la seguridad de la información de la institución.
Criterios de impacto
Es recomendable desarrollar criterios de impacto del riesgo y especificarlos en términos del grado de daño o de los costos para la organización, causados por un evento de seguridad de la información.
Criterios de la aceptación del riesgo
Es recomendable desarrollar y especificar criterios de aceptación del riesgo. Estos criterios dependen con frecuencia de las políticas, metas, objetivos de la institución y de las partes interesadas.
Las instituciones pueden definir sus propias escalas para \os niveles de aceptación del riesgo.
ALCANCE Y LÍMITES
Es necesario definir el alcance del proceso de gestión del riesgo de la seguridad de la información, con el fin de garantizar que todos los activos relevantes se toman en consideración en la valoración del riesgo. Además, es necesario identificar los límites para abordar aquellos riesgos que se pueden presentar al establecer estos límites.
Los ejemplos del alcance de la gestión del riesgo pueden ser una aplicación de tecnología de la información, infraestructura de tecnología de la información, un proceso del negocio o una parte definida de la institución
”El alcance y los límites de la gestión del riesgo de la seguridad de la información se relacionan con el alcance y Jos límites del Esquema Gubernamental de Seguridad de la información – EGSI-“
ORGANIZACIÓN PARA LA GESTIÓN DEL RIESGO DE LA SEGURIDAD DE LA INFORMACIÓN
Se recomienda establecer y mantener la organización y las responsabilidades en el proceso de gestión del riesgo y la seguridad de la información definidas en el acuerdo ministerial.
Esta organización para la gestión del riesgo, debería ser aprobada por la máxima autoridad de cada institución.
VALORACIÓN DEL RIESGO DE LA SEGURIDAD DE LA INFORMACIÓN
“Los riesgos se deberían identificar, describir cuantitativa o cualitativamente y priorizar frente a los criterios de evaluación del riesgo y los objetivos relevantes para la institución”
Un riesgo es una combinación de las consecuencias que se presentarían después de la ocurrencia de un evento indeseado y de su probabilidad de ocurrencia. La valoración del riesgo cuantifica o describe cualitativamente el riesgo y permite a los propietarios de los activos priorizar los riesgos de acuerdo con su gravedad percibida u otros criterios establecidos.
“En este proceso se obtiene toda la información necesaria para conocer, valorar y priorizar los riesgos”
La valoración del riesgo consta de las siguientes actividades:
• Análisis del riesgo
o Identificación del riesgo
o Estimación del riesgo
• Evaluación del riesgo
ANÁLISIS DEL RIESGO
Identificación del riesgo
Consiste en determinar qué puede provocar pérdidas a la institución. La identificación del riesgo consta de las siguientes actividades:
• Identificación de los activos
• Identificación de las amenazas
• Identificación de vulnerabilidades
• Identificación de la existencia de controles.
Identificación de los activos
Un activo es todo aquello que tiene valor para la organización y que, por lo tanto, requiere de protección. Para la identificación de los activos se recomienda tener en cuenta que el sistema de información consta de más elementos que sólo hardware y software.
Se debería identificar al propietario de cada activo, para asignarle la responsabilidad y rendición de cuentas sobre éste. El propietario del activo puede no tener derechos de propiedad sobre el activo, pero tiene la responsabilidad de su producción, desarrollo, mantenimiento, uso y seguridad, según corresponda. El propietario del activo con frecuencia es la persona más idónea para determinar el valor que el activo tiene para la organización
” La identificación de los activos es un punto clave para la identificación de las amenazas, vulnerabilidades, y determinar el nivel de riesgo o exposición de los activos y la selección de controles para mitigarlos”
De este proceso se genera una lista de los activos que van a estar sometidos a gestión del riesgo, y una lista de los procesos del negocio relacionados con los activos y su importancia.
Para realizar la valoración de los activos, es necesario que la institución identifique primero sus activos (con un grado adecuado de detalles). De manera general se pueden diferenciar dos clases de activos:
Los activos primarios:
– Actividades y procesos del negocio.
– Información.
Los activos de soporte (de los cuales dependen los elementos primarios del alcance) delodos los tipos:
– Hardware.
– Software.
– Redes.
– Personal.
– Ubicación.
– Estructura de la organización
Ejemplo de identificación de activos
[…]