Conclusiones – Sistema de Gestión de Seguridad de la Mesa 1

Anuncio
Conclusiones
Mesa 1 – Sistema de Gestión de Seguridad de la
Información
Moderador: Hugo Navarro Espínola, Director General de TI y
Telecomunicaciones,
Gobierno del Estado de Guanajuato
Pregunta 1.- ¿Por qué es necesario crear un Sistema de Gestión de la
Seguridad de la Información (SGSI)?

Porque es necesario garantizar la integridad, la confidencialidad y la
disponibilidad de la información, tanto para funcionarios como para los
ciudadanos.

Porque se hace necesario garantizar la continuidad de las operaciones
gubernamentales.

Porque un SGSI resguarda la información, que es el activo más
importante de las organizaciones públicas.

Un SGSI mitiga de los riesgos a los que es sometida la información.
Pregunta 2.- ¿Cuáles son los factores críticos para el éxito de un Sistema
de Gestión de la Seguridad de la Información?

Contar con el apoyo de la más alta dirección.

Manejarse con un enfoque multidisciplinario.

Definir el alcance de la información que se va a proteger: Identificarla,
clasificarla, y valorarla.

Sensibilizar a los usuarios respecto a la seguridad de la información:
fomentar la cultura de la seguridad.

Focalizar el trabajo en la gestión del cambio organizacional.

Definir y fijar métricas.

Disponer de recursos.

Centrar el trabajo en la gestión del riesgo.

Dar seguimiento permanente al trabajo de seguridad.
Pregunta 3.- La Seguridad de la Información es un proceso, ¿por qué?

Porque la información se manifiesta como un flujo continuo; no es un
producto estático, ni terminado.

En su forma digital, es electricidad (bits y bytes) que fluye por las
computadoras de las oficinas.

Si la gestión de la información es un proceso, entonces la seguridad de
la información también deberá serlo.

Debe ser administrada bajo los criterios de mejora continua.

Porque la seguridad forma parte del ciclo: P (Planear) D (Hacer) C
(Verificar) A (Actuar).
Mesa 2 – Controles de Seguridad Administrativa en los
Procesos
Moderador: H. Sergio Salas T., Director General Adjunto de Normatividad y
Control de la Calidad, Secretaría de Hacienda y Crédito Público
Pregunta 1.- ¿Es indispensable tener un inventario de procesos para
establecer controles de seguridad?

Lo que no se puede medir no se puede controlar.

Lo primero es identificar los procesos y sus respectivos alcances; luego
los activos que intervienen en los procesos. Esto hará posible identificar
los controles que se deberán implementar.

Sí, es indispensable para identificar los flujos de información: quienes
capturan, quienes procesan y quienes consultan. Ese es el principio.

Sí lo es, para poder identificar, entre otras cosas, la infraestructura que
soporta cada proceso y de esa manera identificar los que son críticos.

No basta el inventario; también es necesario clasificarlos, para identificar
cuáles son críticos o sustantivos, cuáles opcionales o de apoyo, y cuáles
“sobran”.

Es fundamental identificar en qué proceso de nuestra dependencia
aparecemos cada uno de nosotros.
Pregunta 2.- ¿Qué etapas y/o actividades se deben considerar para
implementar los controles de seguridad?

Antes de arrancar la implementación de controles, es necesario evaluar
los riesgos para identificar los activos que se van a proteger, sus
amenazas y vulnerabilidades, y analizar impactos. Esto significa hacer
un buen análisis de la información a proteger. El plan de acción que
resulte, deberá ser cotejado con la normatividad vigente para determinar
qué se permite hacer y que no.

Una vez hecho lo anterior, se tiene que concientizar a la gente en
materia de seguridad de la información. La difusión es importante para
este objetivo, lo mismo que la capacitación. En esta parte es necesario
hacer entender que todos, sin excepción, debemos participar en el tema
de la seguridad de la información, sin importar qué nivel se tenga dentro
de la dependencia.

La prueba y el error es uno de los caminos a seguir debido a que se
tiene que avanzar en la operación, enfrentando los riesgos. Muchas
veces se actúa de manera correctiva más que preventiva.

Algunas actividades que se deben hacer son: jerarquización o
priorización de los procesos que tienen mayor impacto, para tratar de
optimizar recursos, como el tiempo o el dinero. Dividir los procesos en
técnicos y administrativos.

Las bitácoras son importantes para rastrear abusos, aunque hay un gran
hueco en la legislación nacional al respecto. Verificar a qué información
tienen derecho tales o cuales usuarios; qué personas, con qué
privilegios, etc. Esto evitará fugas de información y los accesos
innecesarios.
Pregunta 3.- ¿Quién debe elaborar el Plan de Continuidad de Negocio y
quién lo activa?

Los titulares de las unidades sustantivas; la alta dirección. TI debe
formar parte del proceso de toma de decisiones.

El Órgano Interno de Control (OIC) pasa a ser elemento de apoyo que
vigila el cumplimiento de los objetivos.

Los responsables del negocio deben realizarlos.

Es importante conocer facultades y atribuciones de los altos mandos,
para determinar quiénes deben elaborar y activar estos planes.

Es importante contar con asesoría experta en el tema. Las áreas de
seguridad pueden estar a cargo de asesores externos.

Es fundamental contar con un Consejo Técnico que esté involucrado en
la planeación, ejecución, supervisión o evaluación del Plan de
continuidad.

¿Quién activa el Plan de Continuidad del Negocio? Todos los
involucrados en las diferentes áreas; el usuario de la información.

Antes que nada se debió haber identificado cuáles son los procesos que
no deben dejar de operar –actividades y recursos críticos. El Comité de
Seguridad de la Información será el que decida quién activa el Plan de
Continuidad.

Las instituciones que ya tienen avance en la materia pueden apoyar a
las que apenas empiezan.
¿Qué tipo de apoyo van a recibir las dependencias que apenas inician
este camino?


El software libre tiene muchos elementos maduros que pueden apoyar el
desarrollo de varios temas en materia de seguridad
Mesa 3 – Controles de Seguridad Físicos y Técnicos
Moderador: Carlos Díaz Stringel, Coordinador de Tecnologías de la
Información y Comunicaciones, Pronósticos para la Asistencia Pública
Pregunta 1.- En la dependencia o entidad en la que trabajas ¿Existen
controles físicos y técnicos para el aseguramiento de la información
gubernamental? ¿Cuáles?

Control de accesos.

Vigilancia parcial.

Cámaras de vigilancia.

Credencialización.

Contraseñas en equipos.

Permisos para uso de Internet.

Biométricos.

Tarjeta electrónica.

Uso de antivirus.

Restricción de puertos.

Filtros de datos.

Fireware.

Spyware.
Conclusiones:

Falta normatividad para crear estándares mínimos necesarios para el
establecimiento de estos controles.

Es necesario incrementar la difusión de las políticas de seguridad de la
información. También hay que concientizar al funcionario acerca del uso
de las políticas de seguridad de la información (cultura de seguridad de
la información).

Existen controles muy deficientes.

No hay regulación para el manejo de información confidencial por parte
de terceros.

Se hace necesario garantizar la correcta aplicación de los controles de
seguridad de información por parte de los Órganos Internos de Control
(OIC).

Es fundamental capacitar a los OIC en temas de seguridad de la
información.
Pregunta 2.- ¿Son suficientes estos controles, o por qué no son
suficientes?

Es necesario hacer un diagnóstico para decidir si son suficientes o no.

Es preciso determinar qué se entiende por “suficiente” a través de un
análisis de riesgo, por ejemplo.

Para no caer en acciones reactivas, es necesaria la planeación
estratégica.
Si no fueran suficientes, ¿qué hace falta para que lo sean?

Establecer niveles de servicio y compromiso.

Implementar programas de contingencia para la recuperación de la
información.

Considerar la continuidad de la operación
Pregunta 3.- ¿Bajo qué criterios se deben diseñar y ejecutar los controles
físicos y técnicos en una dependencia o entidad?

Que sean alcanzables por parte de los usuarios, y que se puedan medir
por parte de quien evalúe esta actividad.

El criterio central es el resultado del análisis de riesgo.

Para definir los controles, primero hay que clasificar la información,
valorar los sistemas, y valorar la información. De esta manera por
ejemplo podremos determinar cuándo es necesario involucrar a la
tecnología y cuándo no en estos temas.

Tomar como punto de referencia los estándares ya existentes.

La integridad de la información.

El factor humano en el ciclo de la administración de la seguridad de la
información es un criterio central para aplicar controles.

Un criterio central es: No se puede ser juez y parte. Los usuarios de los
controles no pueden ser quienes evalúan la efectividad de los planes de
seguridad.


Compartir mejores prácticas entre instituciones.
Reforzar los valores éticos mediante capacitación de los funcionarios
públicos.

Urge capacitar a los OIC en materia de calidad y seguridad de la
información.

Se requiere presupuesto.
Mesa 4 – Protección de Datos Personales
Moderador: Alfredo Méndez Calatayud, Director General de Informática y
Sistemas, Instituto Federal de Acceso a la Información Pública
Pregunta 1.- ¿Tienen identificados y cuentan con un registro de los
sistemas de datos personales en su institución? ¿Cuáles?

Es fundamental crear un inventario de activos de información que debe
clasificarse de acuerdo con un manual.

Lo esencial es relacionar el procedimiento administrativo cotidiano con el
tratamiento de los datos personales.

Hay gran dificultad por parte de los propios organismos públicos, para
identificar qué es un dato personal.

Hay ambigüedad en las leyes, y la mayoría de los servidores públicos
desconocen el tema de protección de datos personales.

En el Estado de México se implementaron cédulas para identificar
responsables y características esenciales de sistemas datos personales.

Guanajuato cuenta con su propia ley de datos personales.

LICONSA cuenta con un padrón de beneficiarios de familias.

INEGI cuenta con su propio registro de sistemas de datos personales.
Pregunta 2.- De acuerdo con la normatividad de protección de datos
personales de su Entidad, ¿en su institución han elaborado algún
documento de seguridad para ese propósito específico?
No, ¿Por qué?

La mayoría no cuenta con un documento de seguridad.

Existe gran desconocimiento del tema y por tanto de la obligación de
contar con un documento de seguridad en el ámbito federal.

La ley de protección de datos no fija el contenido del documento de
seguridad.

Se propone el siguiente contenido para el documento de seguridad:
Nombre del sistema; Responsable; Ámbito de aplicación; Funciones y
obligaciones; y Medidas y controles específicos.
Pregunta 2.- De acuerdo con la normatividad de protección de datos
personales de su Entidad, ¿en su institución han elaborado algún
documento de seguridad para ese propósito específico?
Sí, ¿cómo fue el proceso? (recomendaciones para quienes no lo han
hecho)
•
El Estado de México cuenta con el Manual de Procedimientos de
Resguardo de datos Personales presentado ante el ITAIPEM.
Pregunta 3.- ¿Cómo se relaciona el proceso de protección de datos
personales con el proceso de seguridad de la información de su entidad o
dependencia?

La política de seguridad de la información se aplica de acuerdo con la
clasificación de la información. Para ello es necesario crear manuales
(manejo, clasificación y resguardo), guías y procedimientos orientados a
los procesos de cada dependencia.

Es necesario sensibilizar al personal en materia de seguridad de la
información empezando por los datos personales.

Es preciso identificar qué se va a proteger y cómo será la protección
(cómo, cuándo, quién tiene acceso a sistemas informatizados, archivos,
etc.).

El aseguramiento de la información y de los datos personales se
relaciona íntimamente. La relación entre ambos es procedimental,
puesto que se establecen procesos específicos para su archivo,
resguardo y acceso, entre otros.

Es recomendable revisar los controles destinados a proteger toda la
información y los datos personales dentro de los procedimientos ya
establecidos.
CONSIDERACIONES FINALES:

La parte medular es la implementación de los procesos de seguridad de
forma clara a través de manuales.

Las instituciones públicas en general carecen de un proceso de
seguridad de la información.

Los factores de éxito para la implementación de un sistema de gestión
de seguridad de la información son: apoyo de la alta dirección;
normatividad (políticas, procedimientos, visión, misión, entre otros);
reconocimiento del nivel estratégico de las TIC y conformación de un
área especializada en materia de seguridad con personal
multidisciplinario, distinta del área de informática; evaluación y auditoría;
concientización, educación y difusión por perfiles de puesto con
diplomados y centros de estudio especializados.
Mesa 5: Estructura Organizacional para el Sistema
Gubernamental de Seguridad de la Información
Moderador: Edder Espinosa, Director General Adjunto de Proyectos de
Gobierno Digital Secretaría de la Función Pública
Según los Lineamientos que estamos discutiendo, las dependencias o
entidades de la APF deberán crear tres instancias: Un Comité de Seguridad
de la Información; un Área de Seguridad de la Información; y una Auditoría
de Seguridad de la Información.
Pregunta 1.- Quiénes deberían formar parte del Comité de Seguridad de la
Información, el Área de Seguridad de la Información, y la Auditoría de
Seguridad de la Información?:

Los directivos de las dependencias.

Los representantes del área de Tecnologías de la Información, y
similares.

Los comités que ya han sido creados.

Aquellos quienes posean las competencias adecuadas: mecatrónicos,
abogados, técnicos, etc.

La sociedad civil o miembros de las ONG´s.

El representante del Control de Registros.

La academia.

Los auditores.

El personal certificado en seguridad.

Todas las áreas (staff): desde la Dirección hasta las áreas operativas.

Las unidades administrativas de la organización. (no necesariamente
tecnificadas).

Organismos que cuidan la Gobernabilidad.

Plazas de nueva creación, con roles y especialidades de acuerdo al
Modelo de Gobernabilidad adoptado.
Pregunta 2.- Cuáles deberían ser las principales funciones del Comité de
Seguridad de la Información:

El patrocinio.

Aprobar las políticas que se emitan en materia de Seguridad de la
Información.

Identificar las funciones y después los riesgos (explotación de
vulnerabilidad), así como laas políticas.

Captación, clasificación y resguardo de la información.

La rendición de cuentas.

Establecer las responsabilidades de los funcionarios.

Elaborar un autodiagnóstico para la toma de decisiones (presupuesto).

Especificar responsabilidades (causa y efecto).

Elaboración del Mapa de Riesgos (robo, retroalimentación de ideas,
evolución de políticas establecidas, así como leyes más dinámicas).

Abrir el ámbito a otras instancias.
Pregunta 2 (continúa).- ¿Cuáles deberían ser las principales funciones del
Área de Seguridad de la Información?

Determinar cómo dar cumplimiento a las políticas de seguridad de la
información (desde la organización hasta respaldo que se haga de ésta)
y elaborar los informes respectivos.

Realizar compromisos en materia de seguridad de la información,
asignando roles y responsabilidades para identificar activos y la
normatividad respectiva.

Tener facultades para sancionar conductas no autorizadas.

Generar ciclos de mejora continua y recomendaciones.

Implementar el Mapa de Riesgos.

Retroalimentar al Comité de Seguridad.

Identificar los riesgos y elaborar análisis y diagnósticos para
minimizarlos.

Definir cada uno de los procesos (función Operativa) y retroalimentar al
Comité de Seguridad (función Normativa).

Lograr mejoras con el mismo presupuesto (automatizar la información).

Establecer modelos para los niveles de gobierno federal, estatal o
municipal y crear un orden para cada modelo.

Operar con métricas (indicadores de medición).

Diseñar soluciones de seguridad.

Centralizar la información en un servidor.

Analizar el estado que guarda la Información.

Elaborar la Estrategias de seguridad.

Hacer uso del Plan Nacional de Desarrollo.

Desarrollar un Plan de Contingencias, y actualizarlo de acuerdo con un
análisis de riesgos.

Esta área debe ser un ente independiente que funcione conforme a un
“Sistema de Gestión”.
Pregunta 2 (continúa).- ¿Cuáles deberían ser las principales funciones de
la Auditoría de Seguridad de la Información?:

El enfoque normativo y correctivo son sus principales responsabilidades.

Verificar los planes del negocio y sus resultados; emitir
recomendaciones; verificar que el Sistema opere adecuadamente.

Los Órganos Internos de Control deberían hacerse cargo de esta labor.

Aplicar cada uno de los “Lineamientos en materia de seguridad de la
información”.

Cada área tendrá un Plan muy particular, pero la Auditoría debe buscar
la homologación interna y externa.

Ejecutar las estrategias y asegurar el cumplimiento de las normas.

Resguardar la información conforme a un Modelo de Orden y Disciplina.

Manejar adecuadamente el Sistema de Gestión de la Información.
Pregunta 3.- ¿Cuál es el perfil que debería tener el responsable del Área
de Seguridad de la Información?

Buen negociador y ejecutor de planes.

Con conocimientos de la Administración Pública, de la parte tecnológica
y del marco jurídico vigente.

Que visualice posibles problemas en la organización.

Con experiencia en materia de seguridad (sobre todo en el diagnóstico
de riesgos).

Contar con grados de certificación reconocidos (como el PMP).

Que tenga habilidades directivas, sentido ético y valores morales.

Que cuente con la aprobación del Comité de Seguridad o de las
máximas autoridades.

Con capacidad para trabajar en ambientes multidisciplinarios e
interdisciplinarios.

Que sea objetivo y tenga “visión de conjunto”.

Que esté capacitado en el Sistema de Gestión de la Información.

Que se apegue a las políticas institucionales y al cumplimiento de metas.
Descargar