ESQUEMA GUBERNAMENTAL DE SEGURIDAD DE LA INFORMACIÓN - EGSI

DPTO. DE TECNOLOGÍAJUNIO DE 2014

ANTECEDENTES

La Secretaría Nacional de la Administración Pública (SNAP), con fecha 19 de septiembre del 2013, emitió el Acuerdo Ministerial 166, en el cual establece como aplicación obligatoria en las entidades de la Administración Pública Central Dependiente e Institucional, la familia de Normas Técnicas Ecuatorianas NTE INEN ISO/IEC 27000 para Gestión de la Seguridad de la Información.

Como anexo al acuerdo se emitió el Esquema Gubernamental de Seguridad de la Información (EGSI), documento que está basado en la norma INEN ISO/IEC 27002 "Código de Buenas Prácticas de Seguridad de la Información", en el que se priorizó el cumplimiento de 126 directrices hasta marzo del presente año y el resto de directrices hasta marzo de 2015.

OBJETIVO:

Implementar el Esquema Gubernamental de Seguridad de Información – EGSI en el Instituto Espacial, que permitirá incrementar la seguridad de la información en las entidades públicas, así como también la confianza de los ciudadanos en la Administración Pública.

OBJETIVOS ESPECÍFICOS: La implantación de una ISO 27000 en una

organización permite proteger la información de ésta de la forma más fiable posible. Se persiguen 3 objetivos:

• Preservar la confidencialidad de los datos de la empresa

• Conservar la integridad de estos datos• Hacer que la información protegida se encuentre

disponible.

CONFORMACIÓN DEL COMITÉ DE SEGURIDAD

Este Comité debe estar conformado por:• Oficial de Seguridad de Información• Director Administrativo• Responsable de la UATH• Responsable de TICs• Responsable de Auditoría Interna• Responsable del Area Legal

• No pertenecerá al área de Tecnología.• Reportará a la máxima autoridad de la Institución.• Definir procedimientos para el control de cambios

de procesos operativos.• Establecer criterios de Seguridad Informática.

El oficial de Seguridad de la Información deberá definir procedimientos para el control de cambios a los procesos operativos, los sistemas e instalaciones y verificar su cumplimiento, de manera que no afecten la seguridad de la información.

OFICIAL DE SEGURIDAD

Norma ISO 27001 – Seguridad de la Información

Esta norma internacional proporciona los requisitos para establecer, implementar, mantener y mejorar continuamente un sistema de gestión de seguridad de la información.

Es importante que el sistema de gestión de seguridad de la información sea parte y se integre con los procesos de la organización y la estructura general de gestión; diseño de procesos, sistemas de información y los controles necesarios.

• Políticas de seguridad de la información• Organización de la seguridad de la información• Gestión de los activos• Seguridad de los recursos humanos• Seguridad física y del entorno• Gestión de comunicaciones y operaciones• Control de acceso• Adquisición, desarrollo y mantenimiento de

sistemas de información• Gestión de incidentes de la seguridad de la

información

TEMAS PRIMORDIALES DE LA NORMA

Norma ISO 27001 – Seguridad de la Información

La adopción del EGSI debe ser una decisión estratégica de la dirección de una organización.

Preguntas:

• Por qué implementar un SGSI?• Dónde está la información escencial del giro

del negocio?• Cómo estoy protegiendo la información?• Existe un control de accesos a la información

confidencial?• Existe un plan de continuidad del negocio?

InstitutoEspacialEcuatoriano

www.institutoespacial.gob.ec