Esquema Gubernamental de Seguridad de la Información EGSI PDF
Document Details
Uploaded by Deleted User
2024
Tags
Related
- 01 - Introducción a la Seguridad de la Información.pdf
- Seguridad Informática y Seguridad de la Información PDF
- Seguridad Informática y Seguridad de la Información PDF
- Notas de seguridad de la información (octubre 2024) PDF
- Tema 1 - Definición de información y Seguridad PDF
- Manual del Sistema de Gestión de Seguridad de la Información PDF
Summary
Este documento describe el Esquema Gubernamental de Seguridad de la Información (EGSI) para el sector público en Ecuador. El EGSI establece lineamientos, procedimientos y controles para la seguridad de la información, incluyendo la confidencialidad, integridad y disponibilidad, respondiendo a la normativa legal vigente en materia de ciberseguridad.
Full Transcript
ESQUEMA GUBERNAMENTAL DE SEGURIDAD DE LA INFORMACIÓN EGSI Tipo norma: ESQUEMA GUBERNAMENTAL DE SEGURIDAD DE LA Número de Norma:...
ESQUEMA GUBERNAMENTAL DE SEGURIDAD DE LA INFORMACIÓN EGSI Tipo norma: ESQUEMA GUBERNAMENTAL DE SEGURIDAD DE LA Número de Norma: 3 INFORMACIÓN EGSI Tipo publicación: Registro Oficial Fecha de publicación: 2024-03-01 Suplemento Estado: Vigente Número de publicación: 509 Fecha de última modificación: No aplica ACUERDO No. MINTEL-MINTEL-2024-0003 SR. DR. CÉSAR ANTONIO MARTÍN MORENO MINISTRO DE TELECOMUNICACIONES Y DE LA SOCIEDAD DE la INFORMACIÓN CONSIDERANDO: Que el numeral 1 del artículo 154 de la Constitución de la República confiere a las ministras y ministros de Estado, además de las atribuciones establecidas en la ley, la rectoría de las políticas del área a su cargo, así como la facultad de expedir acuerdos y resoluciones administrativas; Que el artículo 226 de la Constitución de la República dispone: "Las instituciones del Estado, sus organismos, dependencias, las servidoras o servidores públicos y las personas que actúen en virtud de una potestad estatal ejercerán solamente las competencias y facultades que les sean atribuidas en la Constitución y la ley. Tendrán el deber de coordinar acciones para el cumplimiento de sus fines y hacer efectivo el goce y ejercicio de los derechos reconocidos en la Constitución"; LEXIS S.A. Que el artículo 227 de la Constitución de la República del Ecuador establece que: "La Administración Pública constituye un servicio a la colectividad que se rige por los principios de eficacia, eficiencia, calidad, jerarquía, desconcentración, descentralización, coordinación, participación, planificación, transparencia y evaluación"; Que el primer inciso del artículo 233 de la Constitución de la República del Ecuador dispone: "Ninguna servidora ni servidor público estará exento de responsabilidades por los actos realizados en el ejercicio de sus funciones, o por sus omisiones, y serán responsables administrativa, civil y penalmente por el manejo y administración de fondos, bienes o recursos públicos (...)"; Que, el inciso segundo del artículo 314 de la Constitución de la República, dispone que el Estado garantizará que los servicios públicos, prestados bajo su control y regulación, respondan a principios de obligatoriedad, generalidad, uniformidad, eficiencia, responsabilidad, universalidad, accesibilidad, regularidad, continuidad y calidad; Que, el artículo 140 de la Ley Orgánica de Telecomunicaciones, dispone: "Rectoría del sector. El Ministerio encargado del sector de las Telecomunicaciones y de la Sociedad de la Información es el órgano rector de las telecomunicaciones y de la sociedad de la información, informática, tecnologías de la información y las comunicaciones y de la seguridad de la información. A dicho órgano le corresponde el establecimiento de políticas, directrices y planes aplicables en tales áreas para el desarrollo de la sociedad de la información, de conformidad con lo dispuesto en la presente Ley, su Reglamento General y los planes de desarrollo que se establezcan a nivel nacional. Los planes y políticas que dicte dicho Ministerio deberán enmarcarse dentro de los objetivos del Plan Nacional de Desarrollo y serán de cumplimiento obligatorio tanto para el sector público como privado"; Que el artículo 3 de la Ley Orgánica para la Transformación Digital y Audiovisual establece que "El ente rector en materia de telecomunicaciones será la entidad rectora en transformación digital y gobierno digital, para lo cual ejercerá atribuciones y responsabilidades, así como emitirá las políticas, directrices, acuerdos, normativa y lineamientos necesarios para su implementación". Que conforme establece el artículo 7 de la Ley Orgánica para la Transformación Digital y Audiovisual son atribuciones del ente rector de transformación digital "(...) b) Emitir políticas públicas, lineamientos, metodologías, regulaciones para la transformación digital, gobierno digital y evaluar su cumplimiento por parte de las entidades del sector público (...)"; Que el artículo 19 de la Ley ibídem establece que: "Gestión del Marco de Seguridad Digital.- El Marco de Seguridad Digital del Estado se tienen que observar y cumplir con lo siguiente: (...) d. Institucional: Las entidades de la Administración Pública deberán establecer, mantener y documentar un Sistema de Gestión de la Seguridad de la Información". Que el artículo 20 de la Ley Orgánica para la Transformación Digital y Audiovisual señala: "El Marco de Seguridad Digital se articula y sustenta en las normas, procesos, roles, responsabilidades y mecanismos regulados e implementados a nivel nacional en materia de Seguridad de la Información. La Seguridad de la Información se enfoca en la información, de manera independiente de su formato y soporte. La seguridad digital se ocupa de las medidas de la seguridad de la información procesada, transmitida, almacenada o contenida en el entorno digital, procurando generar confianza, gestionando los riesgos que afecten la seguridad de las personas y la prosperidad económica y social en dicho entorno"; Que artículo 38 de la Ley Orgánica de Protección de Datos Personales señala: "El mecanismo gubernamental de seguridad de la información deberá incluir las medidas que deban implementarse en el caso de tratamiento de datos personales para hacer frente a cualquier riesgo, amenaza, vulnerabilidad, accesos no autorizados, pérdidas, alteraciones, destrucción o comunicación accidental o ilícita en el tratamiento de los datos conforme al principio de seguridad de datos personales. El mecanismo gubernamental de seguridad de la información abarcará y aplicará a todas las instituciones del sector público, contenidas en el artículo 225 de la Constitución de la República de Ecuador, así como a terceros que presten servicios públicos mediante concesión, u otras figuras legalmente reconocidas. Estas, podrán incorporar medidas adicionales al mecanismo gubernamental de seguridad de la información"; Que mediante Decreto Ejecutivo No. 8 de 13 de agosto de 2009, publicado en el Registro Oficial No. 10, de 24 de agosto de 2009 , el Presidente de la República resolvió crear el Ministerio de Telecomunicaciones y de la Sociedad de la Información, como órgano rector del desarrollo de las Tecnologías de la Información y Comunicación, que incluye las telecomunicaciones y el espectro radioeléctrico; Que mediante Decreto Ejecutivo No. 31 de 25 de noviembre de 2023 el Presidente de la República del Ecuador designó al señor César Antonio Martín Moreno como Ministro de Telecomunicaciones y de la Sociedad de la Información; Que mediante el artículo 1 del Decreto Ejecutivo No. 981 de 28 de enero del 2020 se dispuso "La implementación del gobierno electrónico en la Función Ejecutiva, consiste en el uso de las tecnologías de la información y comunicación por parte de las entidades para transformar las relaciones con los ciudadanos, entre entidades de gobierno y empresas privadas a fin de mejorar la calidad de los servicios gubernamentales a los ciudadanos, promover la interacción con las empresas privadas, fortalecer la participación ciudadana a través del acceso a la información y servicios gubernamentales eficientes y eficaces y coadyuvar con la transparencia, participación y colaboración ciudadana"; Que mediante Acuerdo Ministerial No. 020-2019 de 2 de septiembre de 2019, se expide la política de seguridad de la información para implementar medidas preventivas y reactivas que permitan resguardar y proteger la información que reposa en las entidades de la administración pública central, institucional y que dependen de la Función Ejecutiva. Que mediante con Acuerdo Ministerial No. 15-2019, del 18 de julio del 2019, se expide la Política Ecuador Digital cuyo objeto es transformar al país hacia una economía basada en tecnologías digitales, mediante la disminución de la brecha digital, el desarrollo de la Sociedad de la Información y del Conocimiento, el Gobierno Digital, la eficiencia de la LEXIS S.A. administración pública y la adopción digital en los sectores sociales y económicos. Que mediante Acuerdo Ministerial No. 025-2019 de 20 de septiembre de 2019 se expidió el Esquema Gubernamental de Seguridad de la Información -EGSI-, el cual es de implementación obligatoria en las Instituciones de la Administración Pública Central, Institucional y que dependen de la Función Ejecutiva; Que mediante Acuerdo Ministerial No. MINTEL-MINTEL2022-0031 de 2 de noviembre de 2022 se emitió la Política para la Transformación Digital del Ecuador 2022-2025, con el objetivo de "establecer los lineamientos para fomentar la Transformación Digital del Ecuador, considerando la investigación, desarrollo e innovación sobre infraestructuras y capacidades digitales, así como la digitalización de las empresas y servicios públicos, fomentando el uso de tecnologías emergentes, gestión de datos, seguridad de la información e interoperabilidad hacia todos los sectores sociales del país, considerando el desarrollo de un entorno normativo, regulatorio e institucional"; Que el 02 de enero de 2024, el Director de Infraestructura, Interoperabilidad, Seguridad de la Información y Registro Civil elaboró el Informe Técnico de Motivación para Esquema Gubernamental de Seguridad de la Información -EGSI, en el que consta: "(...) En este contexto, el Ministerio de Telecomunicaciones y de la Sociedad de la Información a través de la Subsecretaría de Gobierno Electrónico y Registro Civil, inició un proceso de actualización del contenido del acuerdo ministerial No. 025-2019, con el fin de orientar adecuada y ordenadamente la implementación de un Sistema de Gestión de Seguridad de la Información en las Instituciones Públicas, ya no solo para las instituciones de las APC sino para el Sector Público de acuerdo a la normativa legal vigente (...) El EGSI contiene políticas, procedimientos y controles que están diseñados para mantener la seguridad de la información cumpliendo con los estándares de la confidencialidad que permite: acceso a los datos de usuarios autorizados; integridad que es mantener los datos completos y la disponibilidad nos garantiza que se pueda acceder a los datos cuando sea necesario o se tenga el acuerdo con quien provee el servicio. El Sistema de Gestión de Seguridad de la Información para el sector público es el EGSI. El avance tecnológico permite entregar servicios variados a través de la nube de internet en el ciberespacio (...) Permitir el acceso a la información en las instituciones del sector público bajo la confidencialidad, integridad y disponibilidad convenida. Implementar el EGSI, en las instituciones del sector público para cumplir con la normativa actual en el marco de seguridad de la información. Proteger los datos de los productos entregados a la ciudadanía por parte del sector público, a través de sus servicios web, en el ciberespacio"; Que mediante memorando No. MINTEL-SGERC-2024-0002-M de 4 de enero de 2024, el Subsecretario de Gobierno Electrónico y Registro Civil, aprobó el Informe Técnico de Motivación para la emisión del Esquema Gubernamental de Seguridad de la Información -EGSI; Que en el marco jurídico de ciberseguridad establecido en la Ley Orgánica de Protección de Datos, Ley Orgánica para la Transformación Digital y Audiovisual, y Norma de Control Interno de la Contraloría General del Estado, con el fin de orientar adecuada y ordenadamente la implementación de un Sistema de Gestión de Seguridad de la Información en el sector público, es necesario emitir un nuevo acuerdo Ministerial que abarque todo el sector público, y no exclusivamente en la Función Ejecutiva como se encuentra planteada en la normativa actual; En ejercicio de las atribuciones que le confieren el numeral 1 del artículo 154 de la Constitución de la República del Ecuador; el Código Orgánico Administrativo; la Ley Orgánica para la Transformación Digital y Audiovisual, y el artículo 17 del Estatuto del Régimen Jurídico y Administrativo de la Función Ejecutiva. ACUERDA: Art. 1.- Expedir el Esquema Gubernamental de Seguridad de la Información - EGSI que se encuentra como Anexo al presente Acuerdo Ministerial, el cual es el mecanismo para implementar el Sistema de Gestión de Seguridad de la Información en el Sector Público. Art. 2.- El EGSI es de implementación obligatoria en las entidades, organismos e instituciones del sector público, de conformidad con lo establecido en el artículo 225 de la Constitución de la República del Ecuador y los artículos 7 literal o), y 20 de la Ley Orgánica para la Transformación Digital y Audiovisual; y, además, es de implementación obligatoria para terceros que presten servicios públicos mediante concesión, u otras figuras legalmente reconocidas, quienes podrán incorporar medidas adicionales de seguridad de la información. Art. 3.- Las Instituciones obligadas a implementar el EGSI realizarán la Evaluación de Riesgos sobre sus activos de información en los procesos esenciales y diseñarán el plan para el tratamiento de los riesgos de su Institución, utilizando como referencia la "GUÍA PARA LA GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN", que es parte del Anexo del presente Acuerdo Ministerial, previo a la actualización o implementación de los controles de seguridad de la información. Las instituciones deberán elaborar anualmente el "Informe de cumplimiento de la Gestión de Riesgos de seguridad de la información" debidamente suscrito por el presidente del Comité de Seguridad de la Información, el cual será puesto a conocimiento de la máxima autoridad, documento que servirá de insumo para el proceso de mejora continua. Art. 4.- El Ministerio de Telecomunicaciones y de la Sociedad de la Información definirá los procedimientos o metodologías para su actualización, implementación, seguimiento y control del Esquema Gubernamental de Seguridad de la Información. Art. 5.- Es responsabilidad de la máxima autoridad de cada institución, en la implementación del Esquema Gubernamental de Seguridad de la Información, conformar la estructura de seguridad de la información institucional, con personal formado LEXIS S.A. y experiencia en gestión de seguridad de la información, así como asignar los recursos necesarios. Art. 6.- La máxima autoridad designará al interior de la Institución, un Comité de Seguridad de la Información (CSI), que estará integrado por los responsables de las siguientes áreas o quienes hagan sus veces: Planificación quien lo presidirá, Talento Humano, Administrativa, Comunicación Social, Tecnologías de la Información, Jurídica y el Delegado de protección de datos. El Oficial de Seguridad de la Información asistirá a las reuniones del comité de seguridad de la información con voz, pero sin voto. Los representantes de los procesos Agregadores de Valor asistirán a las reuniones del comité, cuando se trate información propia de su gestión. Las instituciones del sector público que no cumplan con estas características, deberán identificar el modelo que corresponda a la institución en la conformación del comité de seguridad de la información, con al menos tres integrantes garantizando su funcionalidad. Art. 7.- El Comité de Seguridad de la Información tiene como objetivo, garantizar y facilitar la implementación de las iniciativas de seguridad de la información en la institución; y ser el responsable del control y seguimiento en su aplicación, tendrá las siguientes responsabilidades: 1. Establecer los objetivos de la seguridad de la información, alineados a los objetivos institucionales. 2. Gestionar la implementación, control y seguimiento de las iniciativas relacionadas a seguridad de la información. 3. Gestionar la aprobación de la política de seguridad de la información institucional, por parte de la máxima autoridad de la Institución. 4. Aprobar las políticas específicas internas de seguridad de la información, que deberán ser puestas en conocimiento de la máxima autoridad. 5. Realizar el seguimiento del comportamiento de los riesgos que afectan a los activos y recursos de información frente a las amenazas identificadas. 6. Conocer y supervisar la investigación y monitoreo de los incidentes relativos a la seguridad de la información, con nivel de impacto alto de acuerdo a la categorización interna de incidentes. 7. Coordinar la implementación de controles específicos de seguridad de la información para los sistemas o servicios, con base al EGSI. 8. Promover la difusión de la seguridad de la información dentro de la institución. 9. Coordinar el proceso de gestión de la continuidad de la operación de los servicios y sistemas de información de la institución frente a incidentes de seguridad de la información. 10. El comité deberá reunirse ordinariamente de forma bimestralmente y extraordinariamente en cualquier momento previa convocatoria 11. Informar semestralmente a la máxima autoridad los avances de la implementación y mejora continua del Esquema Gubernamental de Seguridad de la Información (EGSI). Art. 8.- La máxima autoridad designará al interior de su Institución a un funcionario como Oficial de Seguridad de la Información (OSI) y cuya designación deberá ser comunicada inmediatamente a la Subsecretaria de Gobierno Electrónico y Registro Civil del MINTEL, a través de las herramientas que para el efecto se utilicen. El Oficial de Seguridad de la Información debe tener formación o especializado y con experiencia de al menos 2 años en áreas de seguridad de la información, ciberseguridad, funcionario de carrera (de preferencia del nivel jerárquico superior), podrá ser el responsable del área de Seguridad de la Información (en el caso de existir) y dicha área no debe pertenecer a las áreas de procesos, riesgos, administrativo, financiero y tecnologías de la información. Art. 9.- El Oficial de Seguridad de la Información tendrá las siguientes responsabilidades: 1. Identificar y conocer la estructura organizacional de la institución. 2. Identificar las personas o instituciones públicas o privadas, que de alguna forma influyen o impactan en la implementación del EGSI 3. Implementar y actualizar del Esquema Gubernamental de Seguridad de la Información EGSI en su institución. 4. Elaborar y coordinar con las áreas respectivas las propuestas para la elaboración de la documentación esencial del Esquema Gubernamental de Seguridad de la Información (EGSI). 5. Elaborar, asesorar y coordinar con los funcionarios, la ejecución del Estudio de Gestión de Riesgos de Seguridad de la Información en las diferentes áreas. 6. Elaborar y coordinar el Plan de concienciación en Seguridad de la Información basado en el Esquema Gubernamental de Seguridad de la Información (EGSI), con las áreas involucradas que intervienen y en coordinación con el área de comunicación institucional. 7. Fomentar la cultura de seguridad de la información en la institución, en coordinación con las áreas respectivas. 8. Elaborar el plan de seguimiento y control de la implementación de las medidas de mejora o acciones correctivas, y coordinar su ejecución con las áreas responsables. 9. Coordinar la elaboración de un Plan de Recuperación de Desastres (DRP), con el área de TI y las áreas clave involucradas, para garantizar la continuidad de las operaciones institucionales ante una interrupción. 10. Elaborar el procedimiento o plan de respuesta para el manejo de los incidentes de seguridad de la información presentados al interior de la institución. 11. Coordinar la gestión de incidentes de seguridad de la información con nivel de impacto alto y que no pudieran ser resueltos en la institución, a través del Centro de Respuestas a Incidentes Informáticos (CSIRT) sectorial y/o nacional. LEXIS S.A. 12. Coordinar la realización periódica de revisiones internas al Esquema Gubernamental de Seguridad de la Información - (EGSI), así como, dar seguimiento en corto plazo a las recomendaciones que hayan resultado de cada revisión. 13. Mantener toda la documentación generada durante la implementación, seguimiento y mejora continua del EGSI, debidamente organizada y consolidada, tanto políticas, controles, registros y otros. 14. Coordinar con las diferentes áreas que forman parte de la implementación del Esquema Gubernamental de Seguridad de la Información, la verificación, monitoreo y el control del cumplimiento de las normas, procedimientos políticas y controles de seguridad institucionales establecidos de acuerdo a las responsabilidades de cada área. 15. Informar al Comité de Seguridad de la Información, el avance de la implementación del Esquema Gubernamental de Seguridad de la Información y mejora continua (EGSI), así como las alertas que impidan su implementación. 16. Previa la terminación de sus funciones el Oficial de Seguridad de la información realizará la entrega recepción de la documentación generada al nuevo Oficial de Seguridad de la información, y de la transferencia de conocimientos propios de la institución adquiridos durante su gestión, en caso de ausencia, al Comité de Seguridad de la Información; procedimiento que será constatado por la unidad de talento humano, previo el cambio y/o salida del oficial de seguridad de la información. 17. Administrar y mantener el EGSI mediante la definición de estrategias políticas normas y controles de seguridad, siendo responsable del cumplimiento el propietario de la información del proceso. 18. Actuar como punto de contacto del Ministerio de Telecomunicaciones y de la Sociedad de la Información. Art. 10.- Durante el proceso de implementación del EGSI, las instituciones reportarán al Ministerio de Telecomunicaciones y de la Sociedad de la Información, el avance de la implementación mediante las herramientas que se implemente para el efecto, la veracidad de dicho reporte será de responsabilidad de la institución, para lo cual se suscribirá una declaración de responsabilidad. DISPOSICIONES GENERALES PRIMERA.- Se delega al Subsecretario de Gobierno Electrónico y Registro Civil, para que en representación del Ministerio de Telecomunicaciones y de la Sociedad de la Información, emita directrices, oficios, comunicaciones y cualquier otro documento que permita la coordinación y seguimiento de la implementación del Esquema Gubernamental de Seguridad de la Información EGSI, en las entidades, organismos e instituciones sujetas al ámbito de gestión del presente acuerdo ministerial. SEGUNDA.- El Ministerio de Telecomunicaciones y de la Sociedad de la Información, a través de la Subsecretaría de Gobierno Electrónico y Registro Civil, realizará el monitoreo, evaluación y control del cumplimiento en la implementación del Esquema Gubernamental de Seguridad de la Información (EGSI), para lo cual utilizará las herramientas que sean necesarias. TERCERA.- El Ministerio de Telecomunicaciones y de la Sociedad de la Información, a través de la Subsecretaría de Gobierno Electrónico y Registro Civil, una vez finalizado el plazo fijado para la implementación, realizará una planificación para ejecutar la evaluación del cumplimiento del EGSI basado en los criterios establecidos en el Plan de Evaluación que para el efecto se elabore, los evaluadores tendrán formación, experiencia e independencia con relación a las instituciones objeto de la evaluación. CUARTA.- Las instituciones una vez finalizado el proceso de implementación del EGSI deberán mantenerse en ciclos de mejora continua, para lo cual deben iniciar un nuevo proyecto en el plazo doce (12) meses, en enero de cada año para mantener activo el sistema de gestión de seguridad de la información. DISPOSICIONES TRANSITORIAS PRIMERA.- La designación de Oficial de Seguridad de la Información deberá ser ejecutada dentro del plazo de treinta (30) días posteriores a la publicación del presente Acuerdo, y cuya designación y/o cambio deberá ser comunicada inmediatamente a la Subsecretaria de Gobierno Electrónico y Registro Civil del Ministerio de Telecomunicaciones y de la Sociedad de la Información, a través de las herramientas que para el efecto se utilicen. SEGUNDA.- Las máximas autoridades de las Instituciones del Sector Público, actualizarán o implementarán el Esquema Gubernamental de Seguridad de la Información EGSI en un plazo de doce (12) meses contados a partir de la publicación del presente Acuerdo Ministerial. TERCERA.- El Subsecretario de Gobierno Electrónico y Registro Civil, del Ministerio de Telecomunicaciones y de la Sociedad de la Información, en un plazo de sesenta (60) días a partir de la publicación del presente Acuerdo, emitirá el formato en el cual las instituciones presentarán el "Informe de cumplimiento de la Gestión de Riesgos. CUARTA.- El Subsecretario de Gobierno Electrónico y Registro Civil, del Ministerio de Telecomunicaciones y de la Sociedad de la Información, en un plazo de noventa (90) días a partir de la publicación del presente Acuerdo Ministerial en el Registro Oficial, emitirá los lineamientos para efectivizar el seguimiento y control de la implementación del Esquema Gubernamental de Seguridad de la Información (EGSI). QUINTA.- La Subsecretaría de Gobierno Electrónico y Registro Civil, dispondrá los instrumentos necesarios para la implementación del EGSI, que estarán disponibles en el micrositio de seguridad de la información, de la página web oficial de gobierno electrónico https://www.gobiernoelectronico.gob.ec. DISPOSICIÓN DEROGATORIA ÚNICA.- Deróguese los acuerdos ministeriales No. 025-2019, publicado en el registro oficial No. 228 de viernes 10 de enero LEXIS S.A. del 2020 y No. MINTEL-MINTEL-2021-0012 publicado en el registro oficial No. 551 de 4 de octubre del 2021. El presente acuerdo ministerial entrará en vigencia a partir de su publicación en el registro oficial Dado en Quito, D.M., a los 08 día(s) del mes de Febrero de dos mil veinticuatro. Documento firmado electrónicamente SR. DR. CÉSAR ANTONIO MARTÍN MORENO MINISTRO DE TELECOMUNICACIONES Y DE LA SOCIEDAD DE la INFORMACIÓN. ANEXO ESQUEMA GUBERNAMENTAL DE SEGURIDAD DE la INFORMACIÓN (EGSI) Versión 3.0 "Sistema de Gestión de Seguridad de la Información para las Instituciones del Sector Público" INTRODUCCIÓN La masificación de los servicios con la ayuda de las tecnologías de la información, ha transformado a la información, y lo ha convertido en uno de los activos más valiosos para las instituciones del sector público, la pérdida, la exposición no autorizada o la corrupción de la información pueden tener consecuencias importantes, como pérdida de confianza de la ciudadanía, procesos legales y en general daño a la reputación de las instituciones. La seguridad de la información garantiza la confidencialidad, disponibilidad e integridad de la información; involucra la aplicación y gestión de controles apropiados considerando las amenazas existentes, con el objetivo de minimizar el impacto ocasionado por los incidentes de seguridad de la información y garantizar la continuidad del negocio. La seguridad de la información se consigue mediante la implementación de un conjunto de controles aplicables, seleccionados a través de un adecuado proceso de gestión de riesgos y gestionados mediante un Sistema de Gestión de Seguridad de la Información. El Ministerio de Telecomunicaciones y de la Sociedad de la Información - MINTEL, como ente rector de la seguridad de la información y cumpliendo su potestad en el establecimiento de políticas, directrices y planes aplicables en tal área para el desarrollo de la sociedad de la información; ha desarrollado el Esquema Gubernamental de Seguridad de la Información - EGSI v3, como un Sistema de Gestión de Seguridad de la Información para las Instituciones del Sector Público, que establece un conjunto de recomendaciones para la gestión de la seguridad de la información y ejecuta un proceso de mejora continua. Esta actualización responde a las necesidades estratégicas que actualmente tienen las instituciones del sector público, con la interrelación entre la ciberseguridad, seguridad de la información y protección de la privacidad; proporcionando una comprensión más profunda de cómo implementar y mantener un sistema de gestión de seguridad de la información efectivo, lo que ayudará a la institución a proteger su información y mantener la confianza de la ciudadanía en los servicios públicos. En consecuencia el Esquema Gubernamental de Seguridad de la Información (EGSI) es una norma técnica con un enfoque ordenado y estructurado diseñado para proteger la confidencialidad, integridad y disponibilidad de la información sensible y crítica de las instituciones del sector público del Ecuador; proporcionando un marco adecuado que permita gestionar eficazmente los riesgos de seguridad de la información, establecer políticas y procedimientos claros además de fomentar una cultura de seguridad. El EGSI v3 está estructurado por tres guías, cada una hace referencia a los estándares más importantes para la gestión de la seguridad de la información: - Guía para la implementación del EGSI: en esta guía se proporciona los lineamientos y requisitos para establecer, implementar y mantener el mejoramiento continuo del Esquema (basado en la NTE INEN ISO/IEC 27001). - Guía para la gestión de riesgos de seguridad de la información: en esta guía se proporciona una metodología para la gestión de los riesgos de seguridad de la información (basado en la NTE INEN ISO/IEC 27005 y la metodología MAGERIT). - Guía para la implementación de controles de seguridad de la información: esta guía está diseñada para que las instituciones la usen como referencia a la hora de seleccionar controles dentro del proceso de implementación del Esquema (basado en la NTE INEN ISO/IEC 27002). El EGSI es un recurso invaluable para proteger la información y salvaguardar los intereses de la institución, en una sociedad digitalmente interconectada; este esquema tiene como objetivo, preservar la confidencialidad, integridad y disponibilidad de la información mediante la aplicación de un proceso de gestión de riesgos de seguridad de la información y la selección de controles para el tratamiento de los riesgos identificados. ANEXO A GUÍA PARA LA IMPLEMENTACIÓN DEL ESQUEMA GUBERNAMENTAL DE SEGURIDAD DE LA INFORMACIÓN INTRODUCCIÓN LEXIS S.A. Esta guía le proporciona los requisitos para establecer, implementar y mantener el mejoramiento continuo del Esquema Gubernamental de Seguridad de la Información, que es el Sistema de Gestión de Seguridad de la información para las instituciones del Sector Público. El establecimiento y la implementación del Esquema Gubernamental de Seguridad de la Información son determinados por las necesidades y objetivos de la institución, la criticidad de la información, los requisitos de seguridad, los procesos utilizados, y la estructura de la institución. El Esquema Gubernamental de Seguridad de la información preserva la confidencialidad, integridad y disponibilidad de la información mediante la aplicación de una adecuada evaluación de riesgos de seguridad de la información, que permite la selección e implementación de controles para modificar los riesgos identificados y proveer de servicios seguros a la ciudadanía. OBJETIVO Proveer las directrices a las instituciones del Sector Público, para que comiencen y mantengan la implementación del Esquema Gubernamental de Seguridad de la Información mediante un proceso constante de mejora continua. RESPONSABILIDADES DE LA SEGURIDAD DE LA INFORMACIÓN EN LAS INSTITUCIONES DEL SECTOR PÚBLICO. La asignación de responsabilidades se definió en los artículos 5, 6, 7, 8 y 9 del acuerdo ministerial, sin embargo, en esta guía se esclarece la los roles y responsabilidades de los actores claves en la implementación y mejora continua del EGSI. Queda a criterio institucional el realizar ampliaciones, a las responsabilidades definidas, de acuerdo a su necesidad, para cumplir con la implementación del EGSI. Máxima autoridad (Alta dirección) Es responsabilidad de la máxima autoridad de cada institución, conformar la Estructura de Seguridad de la Información Institucional, con personal formado y experiencia en gestión de seguridad de la información, así como asignar los recursos necesarios. Además, deberá designar al interior de la Institución: 1. Al Comité de Seguridad de la Información (CSI) y; 2. Al Oficial de Seguridad de la Información (OSI). Oficial de Seguridad de la Información (OSI) La máxima autoridad designará al interior de su Institución a un funcionario como Oficial de Seguridad de la Información (OSI), será: El responsable de la implementación y mejora continua del EGSI, así como el de coordinar las acciones del Comité de Seguridad de la Información en relación a la implementación y cumplimiento del Esquema Gubernamental de Seguridad de la Información. El Oficial de Seguridad de la Información debe tener formación o especializado y con experiencia de al menos 2 años en áreas de seguridad de la información, ciberseguridad, de preferencia del nivel jerárquico superior, podrá ser el responsable del área de Seguridad de la Información (en el caso de existir) y no debe pertenecer a las áreas de procesos, riesgos, administrativo, financiero y tecnologías de la información. Debe considerarse cualidades como: liderazgo, capacidad para lograr acuerdos, aceptación de sus pares, poder de gestión; son fundamentales para llevar con éxito la tarea de Oficial de Seguridad de la Información -OSI-. Dentro de sus principales responsabilidades se encuentra: a) Identificar y conocer la estructura organizacional a través del estatuto por procesos de la institución. b) Identificar las personas o instituciones públicas o privadas, que de alguna forma influyen o impactan en la implementación del EGSI: - Identificar convenientemente las partes interesadas relacionadas con el negocio y en especial con la seguridad de la información. - Identificar los requisitos / necesidades de las partes interesadas. - Identificar los canales de comunicación con las partes interesadas especialmente con las autoridades y grupos de interés especiales. c) Implementar y actualizar del Esquema Gubernamental de Seguridad de la Información EGSI. d) Elaborar y coordinar con las áreas respectivas las propuestas para la elaboración de la documentación esencial del Esquema Gubernamental de Seguridad de la Información (EGSI). Para la elaboración del OSI LEXIS S.A. - Alcance de Implementación - Política de Seguridad de la información - Proceso de gestión de riesgos - Declaración de aplicabilidad - Plan de gestión de riesgos - Objetivos de Seguridad de la Información - Informes de evaluación y de gestión de riesgos - Procedimiento de respuesta a incidentes - Registros de capacitaciones, habilidades, experiencia y cualificaciones - Reportes, seguimiento y mediciones - Programa o plan de auditoría interna - Resultados de la Auditoría Internas - Resultado de las revisiones por parte de la dirección o de las autoridades - Registros de las actividades de usuarios Para coordinar con las áreas respectivas - Inventario de activos - Uso aceptable de los activos - Requisitos reglamentarios y contractuales - Procedimientos Operativos de Seguridad para la Gestión de TI - Definición de roles y responsabilidades de seguridad de la información - Política de control de accesos - Definición de configuraciones de seguridad - Principios de ingeniería de sistemas seguros NOTAS: - La documentación listada anteriormente es la esencial no siendo la única - Proceso de gestión de riesgos en la versión anterior se conocía como Metodología de gestión de riesgos, - Plan de gestión de riesgos en la versión anterior se le conocía como Plan de tratamiento de riesgos e) Elaborar, asesorar y coordinar con los funcionarios, la ejecución del Estudio de Gestión de Riesgos de Seguridad de la Información en las diferentes áreas: - Formación interna a los funcionarios propietarios de los activos de información, para que colaboren en la realización de la evaluación de riesgos - Coordinar el proceso de evaluación del riesgo. - Proponer la selección de controles para el tratamiento del riesgo. - Proponer plazos de aplicación para los controles. - Es deber del OSI identificar los procedimientos de seguridad de la información específicos, que fortalezcan la política de seguridad de la información institucional. f) Elaborar y coordinar el Plan de concienciación en Seguridad de la Información basado en el Esquema Gubernamental de Seguridad de la Información (EGSI), con las áreas involucradas que intervienen y en coordinación con el área de comunicación institucional. - Preparar el plan de formación y concienciación para la seguridad de la información y el cumplimiento del EGSI. - Realizar actividades continúas relacionadas con la concienciación. - Planificar charlas de Seguridad de Información para nuevos funcionarios. - Plan de medidas disciplinarias para violaciones a la seguridad de la Información. g) Fomentar la cultura de seguridad de la información en la institución, en coordinación con las áreas respectivas. h) Elaborar el plan de seguimiento y control de la implementación de las medidas de mejora o acciones correctivas, y coordinar su ejecución con las áreas responsables. - Plan de control de implementación de las medidas de mejora o acciones correctivas. - Control de la efectividad de las medidas adoptadas i) Coordinar la elaboración de un Plan de Recuperación de Desastres (DRP), con el área de TI y las áreas clave involucradas, para garantizar la continuidad de las operaciones institucionales ante una interrupción: - Coordinar la elaboración de un plan de recuperación de desastres. - Coordinar la revisión del plan con ejercicios y pruebas. - Verificar los planes de recuperación después de incidentes. j) Elaborar el procedimiento o plan de respuesta para el manejo de los incidentes de seguridad de la información presentados al interior de la institución. k) Coordinar la gestión de incidentes de seguridad de la información con nivel de impacto alto y que no pudieran ser resueltos en la institución, a través del Centro de Respuestas a Incidentes Informáticos (CSIRT) sectorial y/o nacional. l) Coordinar la realización periódica de revisiones internas al Esquema Gubernamental de Seguridad de la Información - LEXIS S.A. (EGSI), así como, dar seguimiento en corto plazo a las recomendaciones que hayan resultado de cada revisión. m) Mantener toda la documentación generada durante la implementación, seguimiento y mejora continua del EGSI, debidamente organizada y consolidada, tanto políticas, controles, registros y otros. n) Coordinar con las diferentes áreas que forman parte de la implementación del Esquema Gubernamental de Seguridad de la Información, la verificación, monitoreo y el control del cumplimiento de las normas, procedimientos políticas y controles de seguridad institucionales establecidos de acuerdo a las responsabilidades de cada área. o) Informar al Comité de Seguridad de la Información, el avance de la implementación del Esquema Gubernamental de Seguridad de la Información y mejora continua (EGSI), así como las alertas que impidan su implementación: - Plan de comunicación de los beneficios de la Seguridad de la Información - Proponer objetivos de Seguridad de la Información - Informe de resultados sobre indicadores medibles - Propuestas de mejoras en la Seguridad de la Información - Evaluación de recursos necesarios para la Seguridad de la Información p) Previa la terminación de sus funciones el Oficial de Seguridad de la información realizará la entrega recepción de la documentación generada al nuevo Oficial de Seguridad de la información, y de la transferencia de conocimientos propios de la institución adquiridos durante su gestión, en caso de ausencia, al Comité de Seguridad de la Información; procedimiento que será constatado por la unidad de talento humano, previo el cambio y/o salida del oficial de seguridad de la información. q) Administrar y mantener el EGSI mediante la definición de estrategias políticas normas y controles de seguridad, siendo responsable del cumplimiento el propietario de la información del proceso. r) Actuar como punto de contacto del Ministerio de Telecomunicaciones y de la Sociedad de la Información. Comité de Seguridad de la Información (CSI) La máxima autoridad designará al interior de la Institución, un Comité de Seguridad de la Información (CSI), que estará integrado por los responsables de las siguientes áreas o quienes haga sus veces: Planificación quien lo presidirá, Talento Humano, Administrativa, Comunicación Social, Tecnologías de la Información, Jurídica y el Delegado de protección de datos. El Oficial de Seguridad de la Información asistirá a las reuniones del comité de seguridad de la información con voz, pero sin voto. Los representantes de los procesos Agregadores de Valor asistirán a las reuniones del comité, cuando se trate información propia de su gestión. Las instituciones del sector público que no cumplan con estas características, deberán identificar el modelo que corresponda a la institución en la conformación del comité de seguridad de la información, con al menos tres integrantes garantizando su funcionalidad. El CSI es responsable de garantizar y facilitar la implementación de las iniciativas de seguridad de la información en la institución; y ser el responsable del control y seguimiento en su aplicación. El Comité en la primera convocatoria designará un presidente, definirá su agenda y su reglamento interno. Es imprescindible que desde las primeras reuniones del comité, puedan estar presentes todos los lideres/responsables de las áreas, con el fin de estimular la aprobación de políticas y normativas en relación a la Seguridad de la Información en cada institución; en las siguientes reuniones el enfoque puede orientarse a la planificación estratégica y gestión de aspectos vinculados a la seguridad de la información, por lo que se podría delegar la participación a los representantes de las respectivas áreas involucradas. El Comité tendrá como principales responsabilidades: a) Establecer los objetivos de la seguridad de la información, alineados a los objetivos institucionales. b) Gestionar la implementación, control y seguimiento de las iniciativas relacionadas a seguridad de la información. - Recomendar a la máxima autoridad mecanismos que viabilicen la implementación del Esquema Gubernamental de Seguridad de la Información (EGSI). - Realizar el seguimiento a los indicadores de gestión definidos, para el buen funcionamiento del EGSI. c) Gestionar la aprobación de la política de seguridad de la información institucional, por parte de la máxima autoridad de la Institución. d) Aprobar las políticas específicas internas de seguridad de la información, que deberán ser puestas en conocimiento de la máxima autoridad. e) Realizar el seguimiento del comportamiento de los riesgos que afectan a los activos y recursos de información frente a las amenazas identificadas. f) Conocer y supervisar la investigación y monitoreo de los incidentes relativos a la seguridad de la información, con nivel de impacto alto de acuerdo a la categorización interna de incidentes. g) Coordinar la implementación de controles específicos de seguridad de la información para los sistemas o servicios, con base al EGSI. h) Promover la difusión de la seguridad de la información dentro de la institución. convocatoria LEXIS S.A. i) Coordinar el proceso de gestión de la continuidad de la operación de los servicios y sistemas de información de la institución frente a incidentes de seguridad de la información. j) El comité deberá reunirse ordinariamente de forma bimestralmente y extraordinariamente en cualquier momento previa k) Informar semestralmente a la máxima autoridad los avances de la implementación y mejora continua del Esquema Gubernamental de Seguridad de la Información (EGSI). Para lograr el objetivo planteado con la Implementación del Esquema Gubernamental de Seguridad de la Información - EGSI -, es decir que la implementación sea orientada como un Sistema de Gestión de Seguridad de la Información (SGSI), es primordial conocer los principios, beneficios, modelo, entre otros aspectos de un SGSI. SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI)(1) El Sistema de Gestión de Seguridad de la Información unifica los criterios para la evaluación de los riesgos asociados al manejo de la información institucional. (1) Basado en la norma NTE-INEN-ISO-IEC-27001 PRINCIPIOS El Sistema de Gestión de Seguridad de la Información tiene como objetivo preservar la confidencialidad, integridad y disponibilidad de la información: Nota: Para leer Figura, ver Registro Oficial Suplemento 509 de 01 de marzo de 2024, página 18. - Confidencialidad: La información solo tiene que ser accesible o divulgada a aquellos que están autorizados. - Integridad: La información debe permanecer correcta (integridad de datos) y como el emisor la originó (integridad de fuente) sin manipulaciones por terceros. - Disponibilidad: La información debe estar siempre accesible para aquellos que estén autorizados. BENEFICIOS Entre los beneficios relevantes de un SGSI podemos citar los siguientes: - Establece una metodología de Gestión de la Seguridad estructurada y clara. - Reduce el riesgo de pérdida, robo o integridad de la información sensible. - Los riesgos y los controles son continuamente revisados. - Facilita la identificación y gestión de riesgos de seguridad de la información, lo que reduce la probabilidad de incidentes de seguridad. - Se garantiza la confianza de los usuarios en los servicios institucionales. - Facilita la integración con otros sistemas de gestión. - Se garantiza la continuidad de negocio tras un incidente grave. - Fortalece la capacidad de la institución para resistir y recuperarse de incidentes de seguridad, mejora la resiliencia. - Cumple con la legislación vigente sobre transformación digital, protección de datos, propiedad intelectual y otras. - La imagen de la institución mejora, por lo tanto, su competitividad. - Aumenta la confianza y las reglas claras para los miembros de la institución, socios comerciales y en general para las partes interesadas. - Ayuda a crear una cultura de seguridad en toda la institución. - Reduce los costes y la mejora de los procesos y el servicio. - Se incrementa la motivación y la satisfacción del personal. - Aumenta la seguridad en base la gestión de procesos en lugar de una compra sistemática de productos y tecnologías. - Fomenta la mejora continua al establecer un ciclo de revisión y actualización constante de políticas y procedimientos de seguridad. - Prepara a la institución para adaptarse a nuevas amenazas y desafíos en el entorno de ciberseguridad en constante evolución. CICLO DE VIDA (modelo PDCA) Es recomendable que los sistemas de gestión sean desarrollados bajo la metodología de la "mejora continua" o ciclo de Deming, conocido como círculo PDCA, del inglés Plan-Do-Check-Act. Nota: Para leer Figura, ver Registro Oficial Suplemento 509 de 01 de marzo de 2024, página 19. La relación que existe entre el modelo PDCA Y La ISO 27001:2013 se presenta a continuación: Nota: Para leer Grafico, ver Registro Oficial Suplemento 509 de 01 de marzo de 2024, página 19. PROCESO PDCA ASOCIADO AL ESTÁNDAR INTERNACIONAL ISO 27001 Nota: Para leer Grafico, ver Registro Oficial Suplemento 509 de 01 de marzo de 2024, página 20. LEXIS S.A. "La adecuada Gestión de los Riesgos en Seguridad de la Información, conllevará a una efectiva implantación de un Sistema de Gestión de Seguridad de la Información. Sólo una vez identificado los riesgos existentes, permitirá aplicar los controles necesarios para su tratamiento". MEJORA CONTINUA Una vez que las instituciones realizaron el proceso de implementación inician el ciclo de mejora continua. La mejora continua implica realizar una revisión general de lo que se ha implementado, es decir: revisión de la política de seguridad si sigue siendo eficaz, cumple con los objetivos de seguridad, si los riesgos cambiaron son aceptables, cambios en el contexto organizacional, resultado de las evaluaciones, no conformidades, acciones correctivas, entre otros. La mejora continua en el Esquema Gubernamental de Seguridad de la Información (EGSI) es un proceso esencial para garantizar que los datos y la información estén protegidos de manera efectiva, para lo cual es recomendable observar entre otras las siguientes consideraciones: - Compromiso de la máxima autoridad con la mejora continua. - Políticas y procedimientos actualizados. - Formación y concienciación a los funcionarios de la institución. - Monitorización y detección de amenazas. - Proceso sólido de gestión de incidentes. - Auditorías internas y externas. La mejora continua en el EGSI es un proceso cíclico y constante. A medida que evolucionan las amenazas, los riesgos cambian en la institución, por lo cual es fundamental adaptarse y mejorar constantemente para proteger los activos de información de manera efectiva. ANEXO B GUÍA PARA LA GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN(2) INTRODUCCIÓN La revolución digital ha provocado que las organizaciones a nivel global pongan mayor atención en la información que se genera, actor principal de este proceso de cambio; el cual ha permitido establecer nuevas alianzas y acortar distancias entre naciones, donde el internet cumple un papel fundamental en la comunicación. En términos de gestión de riesgos de seguridad de la información, el activo más importante a proteger es la información, tanto de información digital, contenida en los sistemas de información como aquella contenida en cualquier otro medio como por ejemplo el papel; se debe tener presente que la gestión debe ocuparse de todo el ciclo de vida de la información. Es necesario un enfoque sistemático para la gestión del riesgo en la seguridad de la información para identificar las necesidades de la institución con respecto a los requisitos de seguridad de la información y poder crear un eficaz sistema de gestión de la seguridad de la información - SGSI -. Este enfoque debe ser adecuado para el entorno de la institución y, en particular, debería cumplir los lineamientos de toda la gestión del riesgo de la institución. Los esfuerzos de seguridad deben abordar los riesgos de una manera eficaz y oportuna donde y cuando sean necesarios. La gestión del riesgo de la seguridad de la información debe ser una parte integral de todas las actividades de la gestión de la seguridad de la información y se deben aplicar tanto a la implementación como a la mejora continua de un SGSI. La gestión del riesgo de la seguridad de la información debe ser un proceso continuo. Tal proceso debe establecer el contexto, evaluar los riesgos, tratar los riesgos utilizando un plan de tratamiento para implementar las recomendaciones y decisiones. "La gestión del riesgo analiza lo que puede suceder y cuáles pueden ser las posibles consecuencias, antes de decidir lo que se debe hacer y cuando hacerlo, con el fin de reducir el riesgo hasta un nivel aceptable". CONCEPTOS BÁSICOS La información es el activo principal pero también debemos considerar: infraestructura informática, equipos auxiliares, redes de comunicaciones, instalaciones y personas. Cuando hablamos de seguridad de la información hablamos de protegerla de riesgos que puedan afectar a una o varias de sus tres principales propiedades: - Confidencialidad: La información solo tiene que ser accesible o divulgada a aquellos que están autorizados. - Integridad: La información debe permanecer correcta (integridad de datos) y como el emisor la originó (integridad de fuente) sin manipulaciones por terceros. (2) Basado en la norma ISO-IEC-27005:2022 - Disponibilidad: La información debe estar siempre accesible para aquellos que estén autorizados. LEXIS S.A. Nota: Para leer Figura, ver Registro Oficial Suplemento 509 de 01 de marzo de 2024, página 23. Para facilitar el proceso de análisis y valoración de los riesgos es importante entender algunos conceptos básicos: Riesgo: Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o daño en un activo de información. Suele considerarse como una combinación de la probabilidad de un evento y sus consecuencias. Amenaza: causa potencial de un incidente no deseado, que puede resultar en un daño a un sistema, persona u organización. Vulnerabilidad: Debilidad de un activo o control que puede ser explotada por una o más amenazas. Impacto: es la consecuencia de la materialización de una amenaza sobre un activo. El costo para la institución de un incidente de la escala que sea, que puede o no ser medido en términos estrictamente financieros (ejem.: pérdida de reputación, implicaciones legales, entre otros). Riesgo inherente: Es el riesgo existente y propio de cada actividad, sin la ejecución de ningún control. Riesgo residual: El riesgo que permanece tras el tratamiento del riesgo. PROCESO PARA LA GESTIÓN DEL RIESGO DE LA SEGURIDAD DE LA INFORMACIÓN El proceso de gestión del riesgo de la seguridad de la información puede ser iterativo para las actividades de evaluación y/o tratamiento del riesgo. Un enfoque cíclico para realizar la evaluación del riesgo puede incrementar la profundidad y el detalle de la evaluación en cada iteración. El enfoque cíclico suministra un buen equilibrio entre la reducción del tiempo y el esfuerzo requerido para identificar los controles, incluso garantizando que los riesgos de impacto alto se evalúen de manera correcta. Si la evaluación de riesgos proporciona información suficiente para determinar eficazmente las acciones necesarias para modificar los riesgos a un nivel aceptable, entonces la tarea está completa y sigue el tratamiento del riesgo. Si la información es insuficiente, se debe realizar otra iteración de la evaluación de riesgos. El tratamiento de riesgos implica también un proceso iterativo, es posible que dicho tratamiento no conduzca inmediatamente a un nivel aceptable de riesgos residuales, en este caso se puede realizar otro intento de encontrar un tratamiento de riesgo adicional o ejecutar otra iteración de la evaluación de riesgos en su totalidad o en partes. El conocimiento sobre las amenazas o vulnerabilidades relevantes puede conducir a mejores decisiones sobre las actividades adecuadas de tratamiento de riesgos en la siguiente iteración de la evaluación de riesgos. Actividades para la gestión del riesgo de la seguridad de la información: - Establecimiento del contexto - Evaluación del riesgo - Tratamiento del riesgo - Comunicación y consulta de los riesgos - Seguimiento y revisión del riesgo - Información documentada Pasos de las actividades del proceso de gestión del riesgo: Nota: Para leer Tabla, ver Registro Oficial Suplemento 509 de 01 de marzo de 2024, página 24. ESTABLECIMIENTO DEL CONTEXTO CONSIDERACIONES GENERALES "Se debe establecer el contexto externo e interno para la gestión del riesgo de la seguridad de la información, lo que implica establecer los criterios básicos necesarios para la gestión del riesgo de la seguridad de la información: definir el alcance y los límites, establecer una organización adecuada que opere la gestión del riesgo de la seguridad de la información". CRITERIOS BÁSICOS Dependiendo del alcance y los objetivos de la gestión del riesgo, se pueden aplicar diferentes enfoques. El enfoque también podría ser diferente para cada iteración. Se debe seleccionar o desarrollar un enfoque apropiado de gestión del riesgo que aborde los criterios básicos tales como: criterios de valoración del riesgo, criterios de impacto, criterios de aceptación de riesgos, entre otros. Criterios de identificación del riesgo Es recomendable considerar los activos de información con el valor de impacto alto para el proceso de evaluación del LEXIS S.A. riesgo. Criterios de valoración del riesgo Es recomendable desarrollar criterios de valoración de riesgos para evaluar el riesgo de la seguridad de la información de la institución. Criterios de impacto Los criterios de impacto deben desarrollarse y especificarse en términos del grado de daño o costos para la institución, causados por un evento de seguridad de la información. Criterios de la aceptación del riesgo Se deben desarrollar y especificar criterios de aceptación de riesgos, a menudo dependen de las políticas, metas, objetivos y de las partes interesadas de la institución. Las instituciones pueden definir sus propias escalas para los niveles de aceptación del riesgo. ALCANCE Y LÍMITES Es necesario definir el alcance del proceso de gestión de riesgos de seguridad de la información con el fin de garantizar que todos los activos relevantes se tengan en cuenta en la evaluación de riesgos, además, se necesita identificar los límites para abordar aquellos riesgos que pueden surgir a través de estos límites. Los ejemplos del alcance de la gestión del riesgo pueden ser una aplicación de tecnología de la información, infraestructura de tecnología de la información, un proceso del negocio o una parte definida de la institución. "El alcance y los límites de la gestión del riesgo de la seguridad de la información se relacionan con el alcance y los límites del Esquema Gubernamental de Seguridad de la información - EGSI -" ORGANIZACIÓN PARA LA GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN Se debe establecer y mantener la organización y las responsabilidades del proceso de gestión de riesgos de seguridad de la información definidas en el acuerdo ministerial. Esta organización para la gestión de riesgos, debería ser aprobada por la máxima autoridad de cada institución. EVALUACIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN "Los riesgos se deben identificar, describir cuantitativa o cualitativamente y priorizarse frente a los criterios y objetivos de valoración de riesgos relevantes para la institución" Un riesgo es una combinación de las consecuencias que se derivarían de la ocurrencia de un evento no deseado y de la probabilidad de que ocurra el evento. La evaluación de riesgos cuantifica o describe cualitativamente el riesgo y permite a los propietarios de los activos priorizar los riesgos de acuerdo con su gravedad percibida u otros criterios establecidos. "En este proceso se obtiene toda la información necesaria para conocer, valorar y priorizar los riesgos" La evaluación del riesgo consta de las siguientes actividades: - Identificación de riesgos - Análisis de riesgos - Valoración de riesgos IDENTIFICACIÓN DEL RIESGO Consiste en determinar qué puede provocar pérdidas a la institución afectando la consecución de sus objetivos de seguridad de la información. Existen dos enfoques para la identificación del riesgo. Enfoque basado en eventos: identificar escenarios de alto nivel o estratégicos a través de una consideración de las fuentes de riesgo y como utilizan o impactan a las partes interesadas para alanzar el objetivo deseado de esos riesgos. Enfoque basado en activos: identificar escenarios operativos, que se detallan en términos de activos, amenazas y vulnerabilidades. En la presente guía se utiliza el enfoque basado en activos, es decir, los riesgos se identifican y evalúan mediante una inspección de activos, amenazas y vulnerabilidades de acuerdo a los siguientes pasos: - Identificación de los activos - Identificación de las amenazas - Identificación de vulnerabilidades - Identificación de controles existentes. LEXIS S.A. Identificación de los activos Un activo es cualquier cosa que tenga valor para la institución y que, por lo tanto, requiera protección. Para la identificación de los activos se debe tener en cuenta que un sistema de información consiste en algo más que hardware y software. Se debe identificar un propietario del activo para cada activo, para que se responsabilice y rinda cuentas por el mismo. El propietario del activo tal vez no tenga derechos de propiedad sobre el activo, pero tiene la responsabilidad de su producción, desarrollo, mantenimiento, uso y seguridad, según corresponda. El propietario del activo suele ser la persona más adecuada para determinar el valor que el activo tiene para la organización. "La identificación de los activos es un punto clave para la identificación de las amenazas, vulnerabilidades, y determinar el nivel de riesgo o exposición de los activos y la selección de controles para mitigarlos" De este proceso se genera una lista de los activos que van a estar sometidos a gestión del riesgo, y una lista de los procesos del negocio relacionados con los activos y su importancia. Para realizar la valoración de los activos, es necesario que la institución identifique primero sus activos (con un grado adecuado de detalles). De manera general se pueden diferenciar dos clases de activos: Los activos primarios: - Procesos y actividades del negocio. - Información. Los activos de soporte (en los que se basan los elementos principales del alcance) de todos los tipos: - Hardware. - Software. - Redes. - Personal. - Ubicación. - Estructura de la organización. Ejemplo de identificación de activos: Nota: Para leer Tabla, ver Registro Oficial Suplemento 509 de 01 de marzo de 2024, página 28. Valoración de los activos / Ponderación de la criticidad de activos La ponderación de activos es una etapa en la que participan las unidades del negocio involucradas con el fin de determinar en términos cualitativos la criticidad de los distintos activos. Esta ponderación fue realizada en términos de "alto, medio o bajo" donde se asigna un valor cuantitativo a cada valor cualitativo Esta ponderación fue realizada en términos de "alto, medio o bajo" donde se asigna un valor cuantitativo a cada valor cualitativo A continuación, se presentan las referencias para la valoración del impacto en los activos de la información. Valoración del impacto en términos de la pérdida de la confidencialidad: Valoración del impacto en términos de la pérdida de la integridad: Valoración del impacto en términos de la pérdida de la disponibilidad: Nota: Para leer Tablas, ver Registro Oficial Suplemento 509 de 01 de marzo de 2024, página 29. Con referencia a las tablas mencionadas, la valoración se la realiza respecto a la confidencialidad, integridad y disponibilidad ya que estas son los principios en que se basa la seguridad de la información. Nota: Para leer Tabla y Formula, ver Registro Oficial Suplemento 509 de 01 de marzo de 2024, página 29. Identificación de Amenazas Se deben identificar las amenazas y sus orígenes. Una amenaza tiene el potencial de dañar activos como información, procesos y sistemas, por lo tanto, a las organizaciones. Las amenazas pueden ser de origen natural o humano, y pueden ser accidentales o deliberadas. Algunas amenazas pueden afectar a más de un activo. En tales casos pueden causar diferentes impactos dependiendo los activos que se vean afectados. LEXIS S.A. Ejemplo de la identificación de amenazas: Nota: Para leer Tabla, ver Registro Oficial Suplemento 509 de 01 de marzo de 2024, página 30. Identificación de Vulnerabilidades Se debe identificar las vulnerabilidades que puedes ser explotadas por las amenazas, para causar daños a los activos de la institución. La presencia de una vulnerabilidad no causa daño por sí misma, ya que necesita que exista una amenaza presente para aprovecharla. Una vulnerabilidad que no tiene la amenaza correspondiente puede no requerir la implementación de un control, pero debería reconocerse y monitorearse para detectar cambios. Se debe o es preciso señalar que un control implementado incorrectamente, que funciona mal o un control que se usa incorrectamente, puede ser una vulnerabilidad. Ejemplo de la identificación de vulnerabilidades: Nota: Para leer Tabla, ver Registro Oficial Suplemento 509 de 01 de marzo de 2024, página 31. Identificación de Existencia de Controles "Se debe identificar los controles existentes y los planificados". Se debe identificar los controles existentes para evitar trabajo o costos innecesarios, por ejemplo, en la duplicación de los controles. Además, al identificar los controles existentes, se debe hacer una verificación para asegurarse que los controles funcionan correctamente, una referencia a los reportes de auditoría del SGSI ya existentes debe limitar el tiempo dedicado a esta tarea. Si el control no funciona como se espera, esto puede causar vulnerabilidades. Ejemplo de la identificación de los controles existentes (implementados): Nota: Para leer Tabla, ver Registro Oficial Suplemento 509 de 01 de marzo de 2024, página 33. Estimación o Análisis del riesgo "Proceso para asignar valores a la probabilidad y las consecuencias de un riesgo" Consiste en utilizar métodos cuantitativos o cualitativos para obtener una cuantificación de los riesgos identificados, tomando en cuenta los activos, las amenazas, otros. El análisis de riesgos puede llevarse a cabo en diversos grados de detalle dependiendo de la importancia de los activos, la extensión de las vulnerabilidades conocidas e incidentes previos relacionados con la organización. Una metodología de análisis de riesgos puede ser cualitativa o cuantitativa, o una combinación de estos, dependiendo de las circunstancias. En la práctica, el análisis cualitativo a menudo se usa primero para obtener una indicación general del nivel de riesgo y revelar los principales riesgos. VALORACIÓN DEL RIESGOS Consiste en comparar los riesgos estimados con los criterios de valoración y los criterios de aceptación de riesgos definidos en el establecimiento del contexto. Proceso de comparación del riesgo estimado contra un criterio de riesgo calculado dado para determinar la importancia del riesgo. El grado del riesgo es expresado numéricamente basado en las medidas del valor de los activos de información, el impacto de la amenaza y el alcance de la vulnerabilidad. Criterios de probabilidad de ocurrencia de amenazas: En la tabla se detallan los criterios calificativos y los valores numéricos a ser utilizados para la valoración de la probabilidad de amenazas que podrían explotar alguna vulnerabilidad existente. Nota: Para leer Tabla, ver Registro Oficial Suplemento 509 de 01 de marzo de 2024, página 34. Criterio de probabilidad de ocurrencia de vulnerabilidades 34 Nota: Para leer Tabla, ver Registro Oficial Suplemento 509 de 01 de marzo de 2024, página 35. Criterio de la Evaluación de Riesgos El producto de la probabilidad de ocurrencia de una amenaza, la probabilidad de ocurrencia de vulnerabilidades y el valor del impacto del activo de la información (CID), tenemos como resultado el nivel de riesgo de cada activo Nota: Para leer Tabla, ver Registro Oficial Suplemento 509 de 01 de marzo de 2024, página 35. Ejemplo del cálculo de la evaluación de riesgos: LEXIS S.A. Nota: Para leer Tabla, ver Registro Oficial Suplemento 509 de 01 de marzo de 2024, página 35. TRATAMIENTO DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN El tratamiento de los riesgos es tomar decisiones frente a los diferentes riesgos existentes de acuerdo a la estrategia de la institución. Se deben seleccionar controles para reducir, aceptar/retener, evitar o compartir los riesgos y se debe definir un plan para el tratamiento del riesgo. Existen cuatro opciones disponibles para el tratamiento del riesgo: - Prevención/Evitación del riesgo - Modificación del riesgo - Retención/Aceptación del riesgo - Compartición del riesgo La Figura ilustra la actividad del tratamiento del riesgo dentro de los procesos de gestión del riesgo de la seguridad de la información: Nota: Para leer Figura, ver Registro Oficial Suplemento 509 de 01 de marzo de 2024, página 37. Las opciones para el tratamiento de riesgos se deberían seleccionar en función del resultado de la evaluación de riesgos, el costo esperado para implementar estas opciones y los beneficios esperados de estas opciones. Cuando se pueden obtener grandes reducciones en los riesgos con un costo relativamente bajo, se deberían implementar esas opciones. Las opciones de mejora pueden ser antieconómicas y es necesario juzgar si son justificables. En general, las consecuencias adversas de los riesgos deberían ser tan bajas como sea razonablemente viable e independientemente de cualquier criterio absoluto. En tales casos, puede ser necesario implementar controles que no son justificables por razones estrictamente económicos (por ejemplo, los controles para la continuidad del negocio que se considera que cubren riesgos altos específicos). MODIFICACIÓN DE RIESGOS Se debe gestionar mediante la implementación de controles (introducción, eliminación o alteración), para que el riesgo residual se pueda reevaluar como aceptable. Se debe seleccionar controles apropiados y justificados para cumplir con los requisitos identificados por la evaluación de riesgos y el tratamiento de riesgos. Esta selección también debería tener en cuenta el costo y el plazo para la implementación de controles, o aspectos técnicos, ambientales y culturales. A menudo, es posible reducir el costo total de propiedad de un sistema con controles de seguridad de la información adecuadamente seleccionados. "...tiene por objetivo reducir el nivel del riesgo para a su vez reducir el impacto y la probabilidad de ocurrencia de daños sobre los activos de información de la institución..." RETENCIÓN / ACEPTACIÓN DEL RIESGO La decisión sobre la retención del riesgo sin más acción debe tomarse dependiendo de la valoración del riesgo. Considerar que, si el nivel de riesgo cumple con los criterios de aceptación del riesgo, no es necesario implementar más controles y el riesgo se puede mantener con el monitoreo continuo. PREVENCIÓN/EVITACIÓN DE RIESGOS Se debe prevenir o evitar la actividad o condición que da lugar al riesgo particular. Cuando los riesgos identificados se consideran demasiado altos, o los costos de implementar otras opciones de tratamiento de riesgos exceden los beneficios, se puede tomar una decisión para prevenir el riesgo por completo, al retirarse de una actividad o un conjunto de actividades planificadas o existentes, o al cambiar las condiciones bajo las cuales se opera la actividad. Por ejemplo, para los riesgos causados por la naturaleza, la alternativa más eficaz en función de los costos puede ser mover físicamente las instalaciones de procesamiento de información a un lugar donde el riesgo no existe o está bajo control. COMPARTICIÓN DE RIESGOS El riesgo debe compartirse con otra parte que pueda gestionar de manera más efectiva el riesgo particular dependiendo de la valoración de riesgos; implica la decisión de compartir ciertos riesgos con partes externas. La compartición de riesgos puede crear riesgos nuevos o modificar riesgos existentes e identificados. Por lo tanto, puede ser necesario un tratamiento de riesgos adicional. LEXIS S.A. Ejemplo del tratamiento de los riesgos: Nota: Para leer Tabla, ver Registro Oficial Suplemento 509 de 01 de marzo de 2024, página 38. Aceptación del riesgo de la seguridad de la información Se debe tomar la decisión de aceptar los riesgos y las responsabilidades de la decisión, y registrarla de manera formal. Esta opción se toma cuando los costos de implementación de un control de seguridad sobrepasan el valor del activo de información que se desea proteger o cuando el nivel del riesgo es muy bajo, en ambos casos la organización asume los daños provocados por la materialización del riesgo. En algunos casos, el nivel de riesgo residual no cumple con los criterios de aceptación de riesgos porque los criterios que se aplican no tienen en cuenta las circunstancias prevalecientes. Por ejemplo, se puede argumentar que es necesario aceptar los riesgos porque los beneficios que acompañan a los riesgos son muy atractivos o porque el costo de la modificación de riesgos es demasiado alto. La organización debería definir sus propias escalas para los niveles de aceptación del riesgo. Durante el desarrollo, se deberían considerar los siguientes aspectos: - Los criterios de aceptación del riesgo pueden incluir umbrales múltiples, con un nivel de riesgo deseado, pero se prevé que la alta dirección acepte riesgos por encima de este nivel en circunstancias definidas - Los criterios de aceptación de riesgos pueden expresarse como la relación entre el beneficio estimado (u otro beneficio de negocios) y el riesgo estimado; - Pueden aplicarse diferentes criterios de aceptación de riesgos a diferentes clases de riesgos; por ejemplo, los riesgos que podrían resultar en incumplimiento con reglamentos o leyes, podrían no ser aceptados, aunque se puede permitir la aceptación de riesgos altos, si esto se especifica como un requisito contractual. - Los criterios de aceptación de riesgos pueden incluir requisitos para futuros tratamientos adicionales, por ejemplo, se puede aceptar un riesgo si hay aprobación y compromiso de tomar medidas para reducirlo a un nivel aceptable dentro de un período de tiempo definido COMUNICACIÓN Y CONSULTA DE LOS RIESGOS DE SEGURIDAD DE LA INFORMACIÓN "La información acerca de los riesgos se debe intercambiar y/o compartir entre el responsable de la toma decisiones y otras partes interesadas." La comunicación de los riesgos es una actividad para lograr un acuerdo sobre cómo gestionar los riesgos mediante el intercambio y/o el compartir la información sobre el riesgo entre los responsables de la toma de decisiones y otras partes interesadas. La información incluye, entre otros, existencia, naturaleza, forma, probabilidad, gravedad, tratamiento y aceptabilidad de los riesgos. La comunicación efectiva entre las partes interesadas es importante ya que esto puede tener un impacto significativo sobre las decisiones a tomar. La comunicación asegura que los responsables de implementar la gestión de riesgos y los que tienen un interés personal entiendan la base sobre la cual se toman las decisiones y por qué se requieren acciones particulares. La comunicación es bidireccional. En consecuencia, la comunicación busca promover la toma de conciencia y la comprensión del riesgo, mientras que la consulta implica obtener retroalimentación e información para apoyar la toma de decisiones. La comunicación de riesgos debe llevarse a cabo para: - Asegurar que se consideren de manera apropiada los diferentes puntos de vista cuando se definen los criterios del riesgo y cuando se valoran los riesgos. - Proporcionar garantías del resultado de la gestión de riesgos de la institución. - Recopilar información sobre los riesgos. - Compartir los resultados de la evaluación de riesgos y presentar el plan de tratamiento de riesgos. - Prevenir o reducir tanto la ocurrencia como la consecuencia de violaciones de seguridad de la información debido a la falta de entendimiento mutuo entre quienes son los responsables de la toma de decisiones y las partes interesadas. - Soportar la toma de decisiones. - Obtener nuevos conocimientos sobre la seguridad de la información. - Coordinar con otras partes y planificar la respuesta para reducir las consecuencias de cualquier incidente. LEXIS S.A. - Dar a los responsables de la toma de decisiones y a las partes interesadas un sentido de responsabilidad sobre los riesgos. - Mejorar la toma de conciencia. La coordinación entre los principales responsables de la toma de decisiones y las partes interesadas se puede lograr en el Comité de Seguridad de la Información (CSI) en el cual pueda tener lugar el debate acerca de los riesgos, su prioridad, el tratamiento adecuado y la aceptación. INFORMACIÓN DOCUMENTADA Especifica los requisitos para que las instituciones conserven la información documentada, sobre el proceso de evaluación de riesgos su tratamiento, así como sus resultados. Información documentada sobre procesos El proceso de evaluación y el tratamiento de riesgos de seguridad, se debe documentar y conservar. Esta información podrá ser utilizada por las partes interesadas o determinada por la institución como necesaria para la efectividad del proceso de evaluación de riesgos de seguridad de la información o del tratamiento de los riesgos. La información documentada sobre el proceso de evaluación de riesgos debe contener: - La definición de criterios de riesgo, incluidos los criterios de aceptación del riego y los criterios para realizar la evaluación; - Razonamiento para la consistencia, validez y comparación de los resultados; - Descripción del método de identificación del riesgo incluida la identificación de los propietarios del riesgo; - Descripción del método para analizar los riesgos de seguridad de la información, incluida la evaluación de las posibles consecuencias, la probabilidad real y el nivel de riesgo resultante; - Descripción del método para comparar los resultados con los criterios de riesgo y priorización de riesgos para el tratamiento de riesgos; La información documentada sobre el proceso de tratamiento de riesgos, debe contener: - El método para seleccionar opciones apropiadas de tratamiento de riesgos de seguridad de la información; - El método para determinar los controles necesarios; - Revisar los controles que se han pasado por alto sin darse cuenta; - Como se elaboran los planes de tratamiento de riesgos; - Como se obtiene la aprobación de los propietarios del riesgo; Información documentada sobre resultados La información de los resultados de la evaluación y tratamiento de riesgos de seguridad de la información, debe conservarse. Las instituciones deben realizar evaluaciones de riesgos en intervalos planificados, cuando lo requieran o cuando ocurran cambios significativos, por lo que es necesario la existencia de un cronograma y de su cumplimiento. Cuando realmente existe un cambio significativo debe existir evidencia de la evaluación de riesgos realizada y esta deberá contener: - Los riesgos identificados, sus consecuencias y probabilidad - La identidad del propietario del riesgo - Los resultados de la aplicación de los criterios de aceptación de riesgos; - La prioridad para el tratamiento del riesgo; - Registrar la justificación de las decisiones de riesgo, para aprender de los errores y facilitar la mejora continua; - Identificar los controles necesarios; - Evidencia de que los controles aplicados actúan para modificar los riesgos de manera que cumplan con los criterios de aceptación de riesgos institucionales. MONITOREO Y REVISIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN MONITOREO Y REVISIÓN DE LOS FACTORES DE RIESGO Los riesgos no son estáticos. Las amenazas, las vulnerabilidades, la probabilidad o las consecuencias pueden cambiar abruptamente sin ninguna indicación. Por ende, es necesario el monitoreo constante para detectar estos cambios. Esta actividad se puede respaldar en servicios externos que brinden información sobre nuevas amenazas o vulnerabilidades. LEXIS S.A. Las instituciones deben asegurarse del monitoreo continuo en los siguientes aspectos: - Activos nuevos que se han incluido en el alcance de la gestión de riesgos. - Modificaciones necesarias de los valores de los activos, por ejemplo, debido a los requisitos del negocio modificados. - Nuevas amenazas que podrían estar activas tanto fuera como dentro de la organización y que no han sido evaluadas. - Probabilidad de que nuevas vulnerabilidades o incrementadas puedan permitir que las amenazas aprovechen estas vulnerabilidades nuevas o modificadas. - Vulnerabilidades identificadas para determinar a quienes están expuestos a amenazas nuevas o reemergentes. - El incremento en el impacto o consecuencias de las amenazas evaluadas, las vulnerabilidades y riesgos en conjunto que dan como resultado un nivel inaceptable de riesgos. - Incidentes de la seguridad de la información. Los factores que afectan la probabilidad y las consecuencias de las amenazas pueden cambiar, al igual que los factores que afectan la idoneidad o el costo de las diversas opciones de tratamiento. Los cambios importantes que afectan a la institución deberían ser motivo de una revisión más específica. Por lo tanto, las actividades de monitoreo de riesgos deberían repetirse regularmente y las opciones seleccionadas para el tratamiento de riesgos deberían revisarse periódicamente. MONITOREO, REVISIÓN Y MEJORA DE LA GESTIÓN DEL RIESGO "El proceso de gestión de riesgos de seguridad de la información se debe monitorear, revisar y mejorar continuamente, según sea necesario y apropiado". El monitoreo y la revisión continuos son necesarios para garantizar que el contexto, el resultado de la evaluación y el tratamiento de riesgos, así como los planes de gestión sigan siendo relevantes y apropiados para las circunstancias actuales. La organización debe garantizar que el proceso de gestión del riesgo de seguridad de la información y las actividades relacionadas continúen siendo apropiadas en las circunstancias actuales y se cumplen. Cualquier mejora acordada para el proceso o las acciones necesarias para mejorar el cumplimiento del proceso, se debería notificar al Comité de Seguridad de la Información, para tener seguridad de que no se omite ni subestima ningún riesgo o elemento del riesgo, y que se toman las acciones necesarias y las decisiones para brindar una comprensión realista del riesgo y la capacidad para responder. ANEXO C GUÍA PARA LA IMPLEMENTACIÓN DE CONTROLES DE SEGURIDAD DE la INFORMACIÓN(3) ANTECEDENTES Y CONTEXTO Esta guía está diseñada para que las instituciones del Sector Público, usen como referencia a la hora de seleccionar controles dentro del proceso de implementación del Esquema Gubernamental de Seguridad de la Información como un Sistema de Gestión de Seguridad de la Información (SGSI), como documento referencial para instituciones que implementen controles de seguridad de la información comúnmente aceptados. Las instituciones públicas de todo tipo y tamaño recogen, procesan, almacenan y transmiten información de muchas formas que incluyen medios electrónicos, físicos y verbales. El valor de la información va más allá de las palabras escritas, números e imágenes: conocimientos, conceptos, ideas y marcas son ejemplos de formas intangibles de la información. En un mundo interconectado, información y procesos relacionados, sistemas, redes y personal que participan en su operación, manejo y protección de los activos, al igual que otros activos comerciales importantes, son valiosos para el desarrollo de una institución, por lo que requieren protección contra diversos riesgos. Los activos están sujetos tanto a amenazas deliberadas como accidentales, mientras que los procesos relacionados, los sistemas, las redes y las personas tienen vulnerabilidades inherentes. Los cambios en los procesos y sistemas de negocio u otros cambios externos (por ejemplo, nuevas leyes y reglamentos) pueden crear nuevos riesgos de seguridad de la información. Por lo tanto, dada la multitud de formas en que las amenazas podrían aprovecharse de las vulnerabilidades para dañar a la institución, los riesgos de seguridad de la información están siempre presentes. Una seguridad de la información eficaz reduce estos riesgos protegiendo a la organización frente a las amenazas y vulnerabilidades, y en consecuencia reduce el impacto en sus activos. La seguridad de la información se logra mediante la implementación de un conjunto adecuado de controles, incluidas las políticas, procesos, procedimientos, estructuras institucionales, de software y funciones del hardware. Estos controles se deben establecer, implementar, supervisar, revisar y mejorar, cuando sea necesario, para asegurar que se cumplen los objetivos de seguridad y de los objetivos estratégicos de cada institución. "La seguridad que se puede lograr a través de medios técnicos es limitada y debe ser apoyada por la administración y los procedimientos apropiados". "Un Sistema de Gestión de Seguridad de la Información exitoso requiere el apoyo de todos los miembros de la institución, se requiere la participación de la máxima autoridad, los líderes de áreas, proveedores u otras partes externas. El asesoramiento especializado de las partes externas puede ser necesario". LEXIS S.A. (3) Basado en la norma NTE-INEN-ISO-IEC-27002:2022 REQUISITOS DE SEGURIDAD DE LA INFORMACIÓN Es fundamental que las instituciones conozcan e identifiquen sus requisitos de seguridad de la información, para lo cual existen tres fuentes principales de requisitos de seguridad: - La evaluación de los riesgos de la institución. - El conjunto de requisitos legales, que debe cumplir la institución - Las necesidades propias, conjunto de principios, objetivos y requisitos de negocio que la institución ha desarrollado para el manejo, procesamiento, almacenamiento, comunicación y archivo de la información que da soporte a sus operaciones. "Los recursos utilizados en la implementación de los controles han de estar equilibrados con el nivel de daños probables que resultarían de problemas de seguridad en ausencia de dichos controles". SELECCIÓN DE CONTROLES La selección de los controles depende de las decisiones de carácter organizativo basadas en los criterios de aceptación del riesgo, las opciones de procesamiento del riesgo y de los enfoques generales de gestión del riesgo aplicados en la institución, y debería depender también de la norma legal vigente nacional e internacional aplicable. La selección de los controles también depende del modo en que los controles interactúan para proporcionar una protección en profundidad. Algunos de los controles en esta guía, pueden considerarse como principios que guían la gestión de la seguridad de la información, siendo aplicables a la mayoría de las instituciones. "Se pueden agregar nuevos controles para cubrir adecuadamente las necesidades específicas de cada institución". ESTRUCTURA DE LOS CONTROLES Esta guía contiene 4 categorías de controles de seguridad que en conjunto contienen un total de 93 controles. a) Controles organizacionales (37) Controles diseñados para la gobernanza, toma de decisiones como: políticas de seguridad, roles, responsabilidades, segregación de tareas, cumplimiento legal, etc. b) Controles de personas (8) Controles deseñados para la intervención del talento humano como: concientización, acuerdos de confidencialidad, proceso disciplinario, teletrabajo, reporte de eventos de SI, etc. c) Controles físicos (14) Controles diseñados específicamente para el monitoreo y acceso a las instalaciones físicas, protecciones ambientales. d) Controles tecnológicos (34) Controles en los que intervienen la tecnología Atributos de los controles: La institución tiene la capacidad de utilizar atributos para generar diversas perspectivas que categorizan los controles de manera diferente a través de diferentes temas. Estos atributos pueden ser utilizados para filtrar, ordenar o presentar los controles en distintas aristas. A cada control del anexo EGSI, se asocia cinco atributos, precedidos con (#) que facilita la búsqueda por atributo y son los siguientes: a) Tipo de control El atributo del tipo de control se utiliza para analizar los controles desde la perspectiva de cómo y cuándo modifican el riesgo en relación con la aparición de incidentes de seguridad de la información. Los valores atribuidos a este atributo son: - Preventivo: Actúan sobre la causa de los riesgos, tiene como objetivo disminuir la probabilidad de la ocurrencia de un incidente de seguridad de la información, por consiguiente, elimina la vulnerabilidad o la amenaza de un activo. - Detectivo: Son controles que constituyen una segunda barrera o capa de seguridad, e control se activa cuando se produce un incidente de seguridad de la información. - Correctivo: El control actúa después de que ocurra un incidente de seguridad de la información, es decir, elimina la causa para evitar futuras ocurrencias b) Propiedades de seguridad de la información Las propiedades de seguridad de la información son otro atributo utilizado para evaluar los controles desde la perspectiva de qué características de la información contribuirán a preservar el control. Los valores atribuidos a este atributo son Confidencialidad, Integridad y Disponibilidad. LEXIS S.A. - Confidencialidad: La información solo tiene que ser accesible o divulgada a aquellos que están autorizados, los controles orientados a la confidencialidad buscan prevenir la divulgación no autorizada de información sensible. - Integridad: La información debe permanecer correcta (integridad de datos) y como el emisor la originó (integridad de fuente) sin manipulaciones por terceros, los controles de integridad buscan proteger la exactitud y la integridad de los datos frente a alteraciones no deseadas o maliciosas. - Disponibilidad: La información debe estar siempre accesible para aquellos que estén autorizados, los controles de disponibilidad buscan prevenir interrupciones o limitaciones en el acceso a la información, asegurando su disponibilidad continua. Estos valores atribuidos a las propiedades de seguridad de la información ayudan a clasificar y seleccionar los controles adecuados para proteger y preservar cada una de estas características en el manejo de la información c) Conceptos de ciberseguridad Los conceptos de ciberseguridad son un atributo que permite observar los controles desde la perspectiva de cómo se asocian con los conceptos de ciberseguridad definidos en el marco de referencia de ciberseguridad descrito en ISO/IEC TS 27110; los valores de los atributos incluyen Identificar, Proteger, Detectar, Responder y Recuperar 1. Identificar: El concepto de identificar se enfoca en definir el alcance de las actividades a través de personas, políticas, procesos y tecnología. Las actividades relacionadas con la identificación son fundamentales para la ciberseguridad y pueden abarcar categorías como el entorno empresarial, la evaluación de riesgos, la estrategia de gestión de riesgos, la gobernanza, la gestión de activos y consideraciones de la cadena de suministro; la comprensión obtenida del concepto de identificación permite una visión flexible y repetible de la ciberseguridad, lo que permite que la institución se enfoque y priorice sus esfuerzos, al diseñar el concepto de identificación, es importante considerar la evolución de las amenazas cibernéticas y la tecnología emergente para cumplir con los requisitos futuros en la implementación del esquema gubernamental de seguridad en la información. 2. Proteger: El concepto de proteger se centra en desarrollar medidas de seguridad adecuadas para salvaguardar la identidad cibernética de la institución, garantizar el funcionamiento de los controles preventivos y preparar a la institución para brindar servicios críticos y mantener la seguridad de la información; este concepto abarca diversas categorías y actividades relacionadas con la protección de activos contra el mal uso intencional o no intencional, tanto en sistemas de TI tradicionales como en sistemas de control industrial o Internet de las cosas, al desarrollar el concepto de proteger, se consideran aspectos como el control de acceso, la concienciación y capacitación, la seguridad de datos, los procesos y procedimientos de protección de la información, la tecnología de protección, la arquitectura de seguridad, la configuración de activos, la criptografía, la gestión de identidad y acceso, y la seguridad de datos, el creador de un marco de seguridad cibernética debe determinar el alcance del concepto de proteger, considerando enfoques preventivos y orientados a amenazas, y teniendo en cuenta la protección de personas, procesos y tecnología en la implementación del esquema gubernamental de seguridad de la información. 3. Detectar: Un marco de ciberseguridad debe incluir el concepto detectar, el concepto detectar desarrolla las actividades adecuadas para descubrir eventos de ciberseguridad, las actividades en el concepto de detección brindan a la institución la capacidad de observar de manera proactiva cambios en comportamientos, estados, tráfico, configuración o procesamiento de sus recursos clave, estos cambios pueden ser internos o externos, intencionales o no intencionales; al comprender el panorama cambiante, la institución puede actualizar las políticas, los procedimientos y la tecnología según sea necesario, el concepto de detección puede incluir detección tradicional las categorías pueden incluir: anomalías y eventos, monitoreo continuo de seguridad, proceso de detección, registro, correlación y análisis de registros, búsqueda de amenazas, detección de anomalías, un creador de un marco de seguridad cibernética debe considerar la profundidad y el alcance de los cambios internos y externos que se observarán; el aumento del alcance del concepto de detección puede agregar valor a la seguridad cibernética, algunos marcos de seguridad cibernética pueden centrarse en el nivel de sistema mientras que otros se enfocan en el nivel de proceso al considerar el concepto de detección, los creadores del marco de seguridad cibernética deben determinar el nivel de detalle apropiado para guiar a la institución en la implementación del esquema gubernamental de seguridad de la información. 4. Responder: Un marco de ciberseguridad debe incluir el concepto de responder, el cual se enfoca en desarrollar las actividades adecuadas para responder a eventos de ciberseguridad, estas actividades permiten a la institución calificar, evaluar y abordar los eventos de ciberseguridad en su entorno, el concepto responder abarca la categorización, evaluación y remediación de eventos de ciberseguridad según las necesidades, recursos, partes interesadas y requisitos específicos de la institución, esto incluye la planificación de la respuesta, comunicaciones, análisis, mitigación, mejoras, respuesta a incidentes y eliminación de malware, al crear un marco de seguridad cibernética, es importante considerar aspectos administrativos y de procedimiento en el contexto más amplio del concepto responder, además de la respuesta a incidentes, este concepto puede incorporar la comunicación con partes externas, como la divulgación de vulnerabilidades, informes de amenazas y el intercambio de información con fuentes externas; el creador del marco de seguridad cibernética debe comprender todo el ecosistema en el que se implementará el marco para comprender adecuadamente el concepto responder en la implementación del esquema gubernamental de seguridad de la información. 5. Recuperación: Es esencial que un marco de ciberseguridad incluya el concepto de recuperación; el concepto de recuperación engloba las actividades necesarias para restaurar servicios, reparar sistemas y restablecer la reputación, las acciones comprendidas en el concepto de recuperación definen las actividades relacionadas con la restauración y la comunicación después de un evento de ciberseguridad, este concepto no se limita únicamente a ser reactivo, sino que también abarca un enfoque proactivo, la planificación y ejecución eficaces y eficientes de las actividades en el ámbito de LEXIS S.A. recuperación deberían minimizar los daños y ayudar a la institución a reanudar sus operaciones, durante un incidente de ciberseguridad es posible que los servicios se vean afectados negativamente el concepto de recuperación brinda la oportunidad de dar orientación sobre cómo restaurar esos servicios, estos servicios pueden ser tanto de naturaleza técnica como de gestión, asimismo, los activos pueden encontrarse en un estado de funcionamiento no deseado o inoperable. El concepto de recuperación también ofrece la posibilidad de brindar orientación sobre cómo reparar dichos activos, además, la reputación puede haber sido dañada durante un incidente de ciberseguridad, la reputación constituye un factor clave para mantener la cuota de mercado y la confianza de los ciudadanos las categorías que pueden incluirse son: planificación de la recuperación, comunicaciones, mejoras, capacitación en recuperación y ejecución de la recuperación. Al crear un marco de ciberseguridad, es importante que el creador considere diversos factores que influyen en la prioridad de la restauración del servicio estos factores abarcan el impacto comercial, las necesidades de las partes interesadas, los escenarios de implementación y la madurez tecnológica. Aunque algunos marcos de ciberseguridad no incluyen objetivos comerciales, las consecuencias no técnicas de una recuperación pueden ser graves y deben abordarse mediante un marco de ciberseguridad en la implementación del esquema gubernamental de seguridad de la información. d) Capacidades operativas Las capacidades operativas representan otro atributo utilizado para analizar los controles desde la perspectiva de las habilidades y competencias del profesional de seguridad de la información, los valores atribuidos a este atributo incluyen: 1. Gobernanza: Se refiere al establecimiento de políticas, estructuras y procesos para garantizar una adecuada dirección y control de la seguridad de la información en la institución. 2. Gestión de activos: Se relaciona con la identificación, clasificación y gestión de los activos de información, así como la asignación de responsabilidades para su protección y correcto uso. 3. Protección de la información: Se refiere a la implementación de controles y medidas de seguridad para preservar la confidencialidad, integridad y disponibilidad de la información. 4. Seguridad de recursos humanos: Implica establecer prácti