Conclusiones – Sistema de Gestión de Seguridad de la Mesa 1
Anuncio
Conclusiones Mesa 1 – Sistema de Gestión de Seguridad de la Información Moderador: Hugo Navarro Espínola, Director General de TI y Telecomunicaciones, Gobierno del Estado de Guanajuato Pregunta 1.- ¿Por qué es necesario crear un Sistema de Gestión de la Seguridad de la Información (SGSI)? Porque es necesario garantizar la integridad, la confidencialidad y la disponibilidad de la información, tanto para funcionarios como para los ciudadanos. Porque se hace necesario garantizar la continuidad de las operaciones gubernamentales. Porque un SGSI resguarda la información, que es el activo más importante de las organizaciones públicas. Un SGSI mitiga de los riesgos a los que es sometida la información. Pregunta 2.- ¿Cuáles son los factores críticos para el éxito de un Sistema de Gestión de la Seguridad de la Información? Contar con el apoyo de la más alta dirección. Manejarse con un enfoque multidisciplinario. Definir el alcance de la información que se va a proteger: Identificarla, clasificarla, y valorarla. Sensibilizar a los usuarios respecto a la seguridad de la información: fomentar la cultura de la seguridad. Focalizar el trabajo en la gestión del cambio organizacional. Definir y fijar métricas. Disponer de recursos. Centrar el trabajo en la gestión del riesgo. Dar seguimiento permanente al trabajo de seguridad. Pregunta 3.- La Seguridad de la Información es un proceso, ¿por qué? Porque la información se manifiesta como un flujo continuo; no es un producto estático, ni terminado. En su forma digital, es electricidad (bits y bytes) que fluye por las computadoras de las oficinas. Si la gestión de la información es un proceso, entonces la seguridad de la información también deberá serlo. Debe ser administrada bajo los criterios de mejora continua. Porque la seguridad forma parte del ciclo: P (Planear) D (Hacer) C (Verificar) A (Actuar). Mesa 2 – Controles de Seguridad Administrativa en los Procesos Moderador: H. Sergio Salas T., Director General Adjunto de Normatividad y Control de la Calidad, Secretaría de Hacienda y Crédito Público Pregunta 1.- ¿Es indispensable tener un inventario de procesos para establecer controles de seguridad? Lo que no se puede medir no se puede controlar. Lo primero es identificar los procesos y sus respectivos alcances; luego los activos que intervienen en los procesos. Esto hará posible identificar los controles que se deberán implementar. Sí, es indispensable para identificar los flujos de información: quienes capturan, quienes procesan y quienes consultan. Ese es el principio. Sí lo es, para poder identificar, entre otras cosas, la infraestructura que soporta cada proceso y de esa manera identificar los que son críticos. No basta el inventario; también es necesario clasificarlos, para identificar cuáles son críticos o sustantivos, cuáles opcionales o de apoyo, y cuáles “sobran”. Es fundamental identificar en qué proceso de nuestra dependencia aparecemos cada uno de nosotros. Pregunta 2.- ¿Qué etapas y/o actividades se deben considerar para implementar los controles de seguridad? Antes de arrancar la implementación de controles, es necesario evaluar los riesgos para identificar los activos que se van a proteger, sus amenazas y vulnerabilidades, y analizar impactos. Esto significa hacer un buen análisis de la información a proteger. El plan de acción que resulte, deberá ser cotejado con la normatividad vigente para determinar qué se permite hacer y que no. Una vez hecho lo anterior, se tiene que concientizar a la gente en materia de seguridad de la información. La difusión es importante para este objetivo, lo mismo que la capacitación. En esta parte es necesario hacer entender que todos, sin excepción, debemos participar en el tema de la seguridad de la información, sin importar qué nivel se tenga dentro de la dependencia. La prueba y el error es uno de los caminos a seguir debido a que se tiene que avanzar en la operación, enfrentando los riesgos. Muchas veces se actúa de manera correctiva más que preventiva. Algunas actividades que se deben hacer son: jerarquización o priorización de los procesos que tienen mayor impacto, para tratar de optimizar recursos, como el tiempo o el dinero. Dividir los procesos en técnicos y administrativos. Las bitácoras son importantes para rastrear abusos, aunque hay un gran hueco en la legislación nacional al respecto. Verificar a qué información tienen derecho tales o cuales usuarios; qué personas, con qué privilegios, etc. Esto evitará fugas de información y los accesos innecesarios. Pregunta 3.- ¿Quién debe elaborar el Plan de Continuidad de Negocio y quién lo activa? Los titulares de las unidades sustantivas; la alta dirección. TI debe formar parte del proceso de toma de decisiones. El Órgano Interno de Control (OIC) pasa a ser elemento de apoyo que vigila el cumplimiento de los objetivos. Los responsables del negocio deben realizarlos. Es importante conocer facultades y atribuciones de los altos mandos, para determinar quiénes deben elaborar y activar estos planes. Es importante contar con asesoría experta en el tema. Las áreas de seguridad pueden estar a cargo de asesores externos. Es fundamental contar con un Consejo Técnico que esté involucrado en la planeación, ejecución, supervisión o evaluación del Plan de continuidad. ¿Quién activa el Plan de Continuidad del Negocio? Todos los involucrados en las diferentes áreas; el usuario de la información. Antes que nada se debió haber identificado cuáles son los procesos que no deben dejar de operar –actividades y recursos críticos. El Comité de Seguridad de la Información será el que decida quién activa el Plan de Continuidad. Las instituciones que ya tienen avance en la materia pueden apoyar a las que apenas empiezan. ¿Qué tipo de apoyo van a recibir las dependencias que apenas inician este camino? El software libre tiene muchos elementos maduros que pueden apoyar el desarrollo de varios temas en materia de seguridad Mesa 3 – Controles de Seguridad Físicos y Técnicos Moderador: Carlos Díaz Stringel, Coordinador de Tecnologías de la Información y Comunicaciones, Pronósticos para la Asistencia Pública Pregunta 1.- En la dependencia o entidad en la que trabajas ¿Existen controles físicos y técnicos para el aseguramiento de la información gubernamental? ¿Cuáles? Control de accesos. Vigilancia parcial. Cámaras de vigilancia. Credencialización. Contraseñas en equipos. Permisos para uso de Internet. Biométricos. Tarjeta electrónica. Uso de antivirus. Restricción de puertos. Filtros de datos. Fireware. Spyware. Conclusiones: Falta normatividad para crear estándares mínimos necesarios para el establecimiento de estos controles. Es necesario incrementar la difusión de las políticas de seguridad de la información. También hay que concientizar al funcionario acerca del uso de las políticas de seguridad de la información (cultura de seguridad de la información). Existen controles muy deficientes. No hay regulación para el manejo de información confidencial por parte de terceros. Se hace necesario garantizar la correcta aplicación de los controles de seguridad de información por parte de los Órganos Internos de Control (OIC). Es fundamental capacitar a los OIC en temas de seguridad de la información. Pregunta 2.- ¿Son suficientes estos controles, o por qué no son suficientes? Es necesario hacer un diagnóstico para decidir si son suficientes o no. Es preciso determinar qué se entiende por “suficiente” a través de un análisis de riesgo, por ejemplo. Para no caer en acciones reactivas, es necesaria la planeación estratégica. Si no fueran suficientes, ¿qué hace falta para que lo sean? Establecer niveles de servicio y compromiso. Implementar programas de contingencia para la recuperación de la información. Considerar la continuidad de la operación Pregunta 3.- ¿Bajo qué criterios se deben diseñar y ejecutar los controles físicos y técnicos en una dependencia o entidad? Que sean alcanzables por parte de los usuarios, y que se puedan medir por parte de quien evalúe esta actividad. El criterio central es el resultado del análisis de riesgo. Para definir los controles, primero hay que clasificar la información, valorar los sistemas, y valorar la información. De esta manera por ejemplo podremos determinar cuándo es necesario involucrar a la tecnología y cuándo no en estos temas. Tomar como punto de referencia los estándares ya existentes. La integridad de la información. El factor humano en el ciclo de la administración de la seguridad de la información es un criterio central para aplicar controles. Un criterio central es: No se puede ser juez y parte. Los usuarios de los controles no pueden ser quienes evalúan la efectividad de los planes de seguridad. Compartir mejores prácticas entre instituciones. Reforzar los valores éticos mediante capacitación de los funcionarios públicos. Urge capacitar a los OIC en materia de calidad y seguridad de la información. Se requiere presupuesto. Mesa 4 – Protección de Datos Personales Moderador: Alfredo Méndez Calatayud, Director General de Informática y Sistemas, Instituto Federal de Acceso a la Información Pública Pregunta 1.- ¿Tienen identificados y cuentan con un registro de los sistemas de datos personales en su institución? ¿Cuáles? Es fundamental crear un inventario de activos de información que debe clasificarse de acuerdo con un manual. Lo esencial es relacionar el procedimiento administrativo cotidiano con el tratamiento de los datos personales. Hay gran dificultad por parte de los propios organismos públicos, para identificar qué es un dato personal. Hay ambigüedad en las leyes, y la mayoría de los servidores públicos desconocen el tema de protección de datos personales. En el Estado de México se implementaron cédulas para identificar responsables y características esenciales de sistemas datos personales. Guanajuato cuenta con su propia ley de datos personales. LICONSA cuenta con un padrón de beneficiarios de familias. INEGI cuenta con su propio registro de sistemas de datos personales. Pregunta 2.- De acuerdo con la normatividad de protección de datos personales de su Entidad, ¿en su institución han elaborado algún documento de seguridad para ese propósito específico? No, ¿Por qué? La mayoría no cuenta con un documento de seguridad. Existe gran desconocimiento del tema y por tanto de la obligación de contar con un documento de seguridad en el ámbito federal. La ley de protección de datos no fija el contenido del documento de seguridad. Se propone el siguiente contenido para el documento de seguridad: Nombre del sistema; Responsable; Ámbito de aplicación; Funciones y obligaciones; y Medidas y controles específicos. Pregunta 2.- De acuerdo con la normatividad de protección de datos personales de su Entidad, ¿en su institución han elaborado algún documento de seguridad para ese propósito específico? Sí, ¿cómo fue el proceso? (recomendaciones para quienes no lo han hecho) • El Estado de México cuenta con el Manual de Procedimientos de Resguardo de datos Personales presentado ante el ITAIPEM. Pregunta 3.- ¿Cómo se relaciona el proceso de protección de datos personales con el proceso de seguridad de la información de su entidad o dependencia? La política de seguridad de la información se aplica de acuerdo con la clasificación de la información. Para ello es necesario crear manuales (manejo, clasificación y resguardo), guías y procedimientos orientados a los procesos de cada dependencia. Es necesario sensibilizar al personal en materia de seguridad de la información empezando por los datos personales. Es preciso identificar qué se va a proteger y cómo será la protección (cómo, cuándo, quién tiene acceso a sistemas informatizados, archivos, etc.). El aseguramiento de la información y de los datos personales se relaciona íntimamente. La relación entre ambos es procedimental, puesto que se establecen procesos específicos para su archivo, resguardo y acceso, entre otros. Es recomendable revisar los controles destinados a proteger toda la información y los datos personales dentro de los procedimientos ya establecidos. CONSIDERACIONES FINALES: La parte medular es la implementación de los procesos de seguridad de forma clara a través de manuales. Las instituciones públicas en general carecen de un proceso de seguridad de la información. Los factores de éxito para la implementación de un sistema de gestión de seguridad de la información son: apoyo de la alta dirección; normatividad (políticas, procedimientos, visión, misión, entre otros); reconocimiento del nivel estratégico de las TIC y conformación de un área especializada en materia de seguridad con personal multidisciplinario, distinta del área de informática; evaluación y auditoría; concientización, educación y difusión por perfiles de puesto con diplomados y centros de estudio especializados. Mesa 5: Estructura Organizacional para el Sistema Gubernamental de Seguridad de la Información Moderador: Edder Espinosa, Director General Adjunto de Proyectos de Gobierno Digital Secretaría de la Función Pública Según los Lineamientos que estamos discutiendo, las dependencias o entidades de la APF deberán crear tres instancias: Un Comité de Seguridad de la Información; un Área de Seguridad de la Información; y una Auditoría de Seguridad de la Información. Pregunta 1.- Quiénes deberían formar parte del Comité de Seguridad de la Información, el Área de Seguridad de la Información, y la Auditoría de Seguridad de la Información?: Los directivos de las dependencias. Los representantes del área de Tecnologías de la Información, y similares. Los comités que ya han sido creados. Aquellos quienes posean las competencias adecuadas: mecatrónicos, abogados, técnicos, etc. La sociedad civil o miembros de las ONG´s. El representante del Control de Registros. La academia. Los auditores. El personal certificado en seguridad. Todas las áreas (staff): desde la Dirección hasta las áreas operativas. Las unidades administrativas de la organización. (no necesariamente tecnificadas). Organismos que cuidan la Gobernabilidad. Plazas de nueva creación, con roles y especialidades de acuerdo al Modelo de Gobernabilidad adoptado. Pregunta 2.- Cuáles deberían ser las principales funciones del Comité de Seguridad de la Información: El patrocinio. Aprobar las políticas que se emitan en materia de Seguridad de la Información. Identificar las funciones y después los riesgos (explotación de vulnerabilidad), así como laas políticas. Captación, clasificación y resguardo de la información. La rendición de cuentas. Establecer las responsabilidades de los funcionarios. Elaborar un autodiagnóstico para la toma de decisiones (presupuesto). Especificar responsabilidades (causa y efecto). Elaboración del Mapa de Riesgos (robo, retroalimentación de ideas, evolución de políticas establecidas, así como leyes más dinámicas). Abrir el ámbito a otras instancias. Pregunta 2 (continúa).- ¿Cuáles deberían ser las principales funciones del Área de Seguridad de la Información? Determinar cómo dar cumplimiento a las políticas de seguridad de la información (desde la organización hasta respaldo que se haga de ésta) y elaborar los informes respectivos. Realizar compromisos en materia de seguridad de la información, asignando roles y responsabilidades para identificar activos y la normatividad respectiva. Tener facultades para sancionar conductas no autorizadas. Generar ciclos de mejora continua y recomendaciones. Implementar el Mapa de Riesgos. Retroalimentar al Comité de Seguridad. Identificar los riesgos y elaborar análisis y diagnósticos para minimizarlos. Definir cada uno de los procesos (función Operativa) y retroalimentar al Comité de Seguridad (función Normativa). Lograr mejoras con el mismo presupuesto (automatizar la información). Establecer modelos para los niveles de gobierno federal, estatal o municipal y crear un orden para cada modelo. Operar con métricas (indicadores de medición). Diseñar soluciones de seguridad. Centralizar la información en un servidor. Analizar el estado que guarda la Información. Elaborar la Estrategias de seguridad. Hacer uso del Plan Nacional de Desarrollo. Desarrollar un Plan de Contingencias, y actualizarlo de acuerdo con un análisis de riesgos. Esta área debe ser un ente independiente que funcione conforme a un “Sistema de Gestión”. Pregunta 2 (continúa).- ¿Cuáles deberían ser las principales funciones de la Auditoría de Seguridad de la Información?: El enfoque normativo y correctivo son sus principales responsabilidades. Verificar los planes del negocio y sus resultados; emitir recomendaciones; verificar que el Sistema opere adecuadamente. Los Órganos Internos de Control deberían hacerse cargo de esta labor. Aplicar cada uno de los “Lineamientos en materia de seguridad de la información”. Cada área tendrá un Plan muy particular, pero la Auditoría debe buscar la homologación interna y externa. Ejecutar las estrategias y asegurar el cumplimiento de las normas. Resguardar la información conforme a un Modelo de Orden y Disciplina. Manejar adecuadamente el Sistema de Gestión de la Información. Pregunta 3.- ¿Cuál es el perfil que debería tener el responsable del Área de Seguridad de la Información? Buen negociador y ejecutor de planes. Con conocimientos de la Administración Pública, de la parte tecnológica y del marco jurídico vigente. Que visualice posibles problemas en la organización. Con experiencia en materia de seguridad (sobre todo en el diagnóstico de riesgos). Contar con grados de certificación reconocidos (como el PMP). Que tenga habilidades directivas, sentido ético y valores morales. Que cuente con la aprobación del Comité de Seguridad o de las máximas autoridades. Con capacidad para trabajar en ambientes multidisciplinarios e interdisciplinarios. Que sea objetivo y tenga “visión de conjunto”. Que esté capacitado en el Sistema de Gestión de la Información. Que se apegue a las políticas institucionales y al cumplimiento de metas.