En esta unidad veremos cómo funciona un sistemas de gestión de seguridad de la información y su integración con el esquema gubernamental de seguridad de la información.
3. Sistema de Gestión de Seguridad de la Información.
El SGSI (Sistema de Gestión de Seguridad de la
Información) es el concepto central sobre el que se
construye ISO 27001.
La gestión de la seguridad de la información debe
realizarse mediante un proceso sistemático, documentado
y conocido por toda la organización.
Este proceso es el que constituye un SGSI, que podría
considerarse, por analogía con una norma tan conocida
como ISO 9001, como el sistema de calidad para la seguridad
de la información.
4. Garantizar un nivel de protección total es virtualmente
imposible, incluso en el caso de disponer de un
presupuesto ilimitado. El propósito de un sistema de
gestión de la seguridad de la información es, por tanto,
garantizar que los riesgos de la seguridad de la información
sean conocidos, asumidos, gestionados y minimizados
por la organización de una forma documentada,
sistemática, estructurada, repetible, eficiente y adaptada a
los cambios que se produzcan en los riesgos, el entorno y
las tecnologías.
5. ¿Qué es un SGSI?
SGSI es la abreviatura utilizada para
referirse a un Sistema de Gestión de la
Seguridad de la Información. ISMS es el
concepto equivalente en idioma inglés,
siglas de Information Security
Management System.
6. En el siguiente contexto, se entiende por información todo
aquel conjunto de datos organizados en poder de una
entidad que posean valor para la misma,
independientemente de la forma en que se guarde o
transmita (escrita, en imágenes, oral, impresa en papel,
almacenada electrónicamente, proyectada, enviada por
correo o e-mail, transmitida en conversaciones, etc.), de su
origen (de la propia organización o de fuentes externas) o de
la fecha de elaboración.
7. La seguridad de la información, según ISO 27001, consiste en la
preservación de su confidencialidad, integridad y disponibilidad, así
como de los sistemas implicados en su tratamiento, dentro de una
organización. Así pues, estos tres términos constituyen la base
sobre la que se cimienta todo el edificio de la seguridad de la
información:
• Confidencialidad: la información no se pone a disposición
ni se revela a individuos, entidades o procesos no
autorizados.
• Integridad: mantenimiento de la exactitud y completitud
de la información y sus métodos de proceso.
• Disponibilidad: acceso y utilización de la información y los
sistemas de tratamiento de la misma por parte de los
individuos, entidades o procesos autorizados cuando lo
requieran.
8. Para garantizar que la seguridad de la información
es gestionada correctamente, se debe hacer uso
de un proceso sistemático, documentado y
conocido por toda la organización, desde un
enfoque de riesgo empresarial. Este proceso es el
que constituye un SGSI.
9. ¿Para qué sirve un SGSI?
La información, junto a los procesos y sistemas que
hacen uso de ella, son activos muy importantes de
una organización. La confidencialidad, integridad y
disponibilidad de información sensible pueden
llegar a ser esenciales para mantener los niveles
de competitividad, rentabilidad, conformidad legal
e imagen empresarial necesarios para lograr los
objetivos de la organización y asegurar beneficios
económicos.
10. ¿Para qué sirve un SGSI?
La información, junto a los procesos y sistemas que
hacen uso de ella, son activos muy importantes de
una organización. La confidencialidad, integridad y
disponibilidad de información sensible pueden
llegar a ser esenciales para mantener los niveles
de competitividad, rentabilidad, conformidad legal
e imagen empresarial necesarios para lograr los
objetivos de la organización y asegurar beneficios
económicos.
11. Las organizaciones y sus sistemas de información están
expuestos a un número cada vez más elevado de amenazas
que, aprovechando cualquiera de las vulnerabilidades
existentes, pueden someter a activos críticos de
información a diversas formas de fraude, espionaje,
sabotaje o vandalismo. Los virus informáticos, el “hacking”
o los ataques de denegación de servicio son algunos
ejemplos comunes y conocidos, pero también se deben
considerar los riesgos de sufrir incidentes de seguridad
causados voluntaria o involuntariamente desde dentro de
la propia organización o aquellos provocados
accidentalmente por catástrofes naturales y fallos técnicos.
12. El modelo de gestión de la seguridad debe contemplar unos
procedimientos adecuados y la planificación e implantación
de controles de seguridad basados en una evaluación de
riesgos y en una medición de la eficacia de los mismos.
13. El Sistema de Gestión de la Seguridad de la Información
(SGSI) ayuda a establecer estas políticas y procedimientos
en relación a los objetivos de negocio de la organización,
con objeto de mantener un nivel de exposición siempre
menor al nivel de riesgo que la propia organización ha
decidido asumir.
Con un SGSI, la organización conoce los riesgos a los que
está sometida su información y los asume, minimiza,
transfiere o controla mediante una sistemática definida,
documentada y conocida por todos, que se revisa y mejora
constantemente.
14. Esquema Gubernamental de Seguridad de la Información
(EGSI).
La Gestión de la Seguridad de la Información
Gubernamental ha cobrado auge a partir de la
promulgación del Acuerdo Ministerial 166 de la Secretaría
Nacional de la Administración Pública (SNAP) del 19 de
septiembre de 2013. El acuerdo fija las actividades
principales que las entidades públicas deben cumplir para
implementar el Esquema Gubernamental de Seguridad de la
Información promulgado con el acuerdo, entre estas:
• La aplicación obligatoria de la familia de Normas
Técnicas Ecuatorianas INEN ISO/IEC 27000 para gestión
de la Seguridad de la Información por parte de las
entidades de la APCDI.
15. • La implementación del EGSI en base al ámbito de acción,
estructura orgánica, recursos y nivel de madurez en gestión
de seguridad de la información en las entidades.
• El control, seguimiento y coordinación de la implantación del
EGSI a cargo de la Secretaría Nacional de la Administración
Pública.
• La revisión anual del EGSI conforme el cambio de la norma
INEN ISO/IEC 27002 o cuando las circunstancias lo ameriten.
• El registro, documentación y reporte del cumplimiento del
EGSI y la revisión por parte de las autoridades de la
institución.
• La conformación al interior de cada institución de un Comité
de Gestión de Seguridad de la Información y la designación de
un Oficial de Seguridad de la Información y a un Responsable
de Seguridad de Tecnologías de la Información (TI).
16. La implementación del EGSI en las entidades de la
APCDI está siendo ejecutada y monitoreada por
medio del sistema de Gobierno por Resultados
(GPR) de la SNAP. En ese sistema, se ha creado un
programa institucional que abarca a 180 entidades,
las cuales ejecutan proyectos propios de
implementación del EGSI alineados al mencionado
programa.
17. Política de Seguridad de la Información.
¿Qué es una política de seguridad informática?
Una política de seguridad informática es establecer
mecanismos y técnicas para mantener comunicaciones
seguras, salvaguardar la información y los recursos de un
equipo o de una red de datos de una organización, de daños
intencionales o accidentales, destrucción y/o robo de la
información, transferencia y/o modificación no autorizada de
información, saturación de un sistema, virus y otros
programas maliciosos, uso no autorizado de un sistema
informático o hasta de intrusiones y/o ataques por simple
diversión; por lo que para proteger la integridad de la
información se lo debe hacer de forma oportuna, precisa,
confiable y completa.
18. “Una política de seguridad es un enunciado formal de las
reglas que los usuarios que acceden a los recursos de la red
de una organización deben cumplir”.
Se distinguen tres tipos:
• Política de seguridad, desarrollada por la función de
seguridad e impulsada por las máximas autoridades.
• Políticas de seguridad de la información específicas
desarrolladas e impulsadas por la función de
seguridad de la información (Ej. Política de control de
acceso).
• Políticas de otras áreas de la organización que
pueden estar relacionadas con la seguridad de la
información (Ej. Política de adquisición y desarrollo
de software, Política de ventas).
19. Debe alinearse con los principios, objetivos, estrategia y disposición al
riesgo de la organización.
Debe tener en cuenta el ambiente en el que funciona la organización.
Ej. Regulaciones, infraestructura, etc.
Debe ser revisada por otras áreas. Ej. Área legal.
Puede existir como un documento breve con guías de alto nivel y
enlaces a políticas más detalladas o como documento completo, con
descripciones acabadas de todos los elementos relevantes.
Requisitos de una Política de Seguridad.
• Es obligatoria.
• Debe prever sanciones por incumplimiento.
• Se focaliza en un resultado deseado y no en los medios a emplear
(Qué y no cómo).
• Se concreta a través de construcciones de menor nivel (políticas
específicas, procedimientos).
• Su ciclo de vida debe ser gestionado teniendo en cuenta las
etapas de desarrollo, difusión y mantenimiento.
20. Contenidos mínimos.
• Propósito.
• Alcance (qué abarca o incluye y qué no).
• Roles y responsabilidades.
• Consecuencias de incumplimientos.
• Autoridades que aprueban el documento y
sus cambios.
• Fechas: emisión, revisión y futuras revisiones.
• Identificación: código, número.
• Documentación de los cambios.
21. La Dirección de Seguridad Informática ha generado políticas
de seguridad para el Ministerio de Relaciones Exteriores y
Movilidad Humana, éstas políticas se las menciona en la
figura siguiente:
Las políticas aprobadas se encuentran publicadas en la intranet institucional, en
el a de tecnologías de la información.