Introducción
En los últimos quince años las diferentes instancias de gobierno se han convertido en uno de los mercados tecnológicos de más rápido crecimiento. Las características particulares que los diferencian de la empresa privada es que requieren de servicios, tecnología y personal con las condiciones adecuadas para interpretar y atender las necesidades y oportunidades del sector.
La administración pública no escapa a la omnipresencia de las tecnologías de información y las telecomunicaciones (TIC). En la mayoría de los países, y a partir de las iniciativas formalmente impulsadas en los años 90 por organismos multilaterales como la ONU, se adelantan estrategias y proyectos de adecuación o implementación tecnológica aplicando criterios de gobierno electrónico de variada intensidad y alcance. La necesidad de preservar la seguridad de la información, además de ser tan importante como en cualquier organización, en el contexto de la gestión pública tienen aristas muy específicas que demandan atención especializada.
El ambiente dinámico de los riesgos de seguridad nos muestra cambios continuos, donde nuevas amenazas son desarrolladas, vulnerabilidades son descubiertas e incidentes de seguridad se presentan con repercusiones importantes, tanto para los organismos como para los ciudadanos. Un enfoque se centra en la idea de que ante este escenario, solo es cuestión de tiempo para padecer las consecuencias de dichas amenazas.
Por lo tanto, lo más importante es estar preparados para atender las incidencias, sin dejar de lado las medidas preventivas y proactivas que contribuyan a minimizar la probabilidad de su ocurrencia y/o el impacto que puedan generar, así como las acciones correctivas necesarias para solventar los problemas.
Los incidentes de seguridad pueden presentarse ya sea por desconocimiento o negligencia de las personas, de manera accidental o incluso de forma deliberada (lo que representa un ataque), por lo que esta idea considera la aplicación de distintas perspectivas para aumentar y mejorar la seguridad de la información. Una manera de conseguirlo es a través de la alineación con estándares y mejores prácticas en la materia.
Conclusiones
En este sentido, aplicar ISO 27001 tiene como base todos estos principios y fundamentos legales. Representa la experiencia acumulada de expertos en el tema. Y aunque su implementación debe realizarse en función de las características, necesidades y condiciones de cada organización, uno de los primeros pasos para su aplicación está relacionado con conocer su estructura básica.
Su estructura se reduce a dos elementos básicos:
- Pautas para operar con un sistema de gestión de seguridad de la información
El primer elemento base que considera el estándar son las cláusulas que definen todas las actividades necesarias para definir y establecer, implementar y operar, monitorear y revisar, así como mantener y mejorar un sistema de gestión de seguridad de la información (SGSI).
Los requisitos comprenden elementos clave, como entender el contexto de la organización, actividades que demuestran el liderazgo de la alta dirección, la planeación (que entre otros elementos, considera la evaluación de riesgos), el soporte que involucra a los recursos necesarios, competencias y concientización de las personas; la operación del SGSI, evaluación de su desempeño a través de auditorías internas y revisiones de la dirección, y finalmente la mejora del sistema de gestión por medio de acciones correctivas.
- Definición de objetivos de control y controles de seguridad
El segundo elemento que conforma la estructura central del estándar son los objetivos de control y los controles de seguridad. Estos elementos se encuentran agrupados en 14 dominios y una lista de 114 controles de seguridad agrupados en 35 objetivos de control. Dominios entre los que se encuentran políticas y organización de seguridad de la información, seguridad en recursos humanos, gestión de activos, control de accesos, criptografía, seguridad física, seguridad de las operaciones y de las comunicaciones.
Concluyendo, dedicar esfuerzos para lograr una certificación ISO27000, genera entre otros los siguientes beneficios:
- Cumplimiento a los diferentes lineamientos gubernamentales (PND, EDN, PGCM, Ley de Seguridad Nacional).
- Competir en mejores evaluaciones internacionales (OCDE) en cuanto a Buen Gobierno y Gobierno Digital.
- Proteger a la sociedad al proteger de mejor forma sus datos personales.
- Facilitar la rendición de cuentas y la transparencia, de manera controlada y segura, evitando sobre exposición a riesgos de seguridad.
- Garantizar el intercambio seguro de información en los diferentes niveles de gobierno.
- Ganar la confianza de la ciudadanía.
- Asegurar la eficiencia y eficacia gubernamental, al evitar incurrir en riesgos.
Mejorar la imagen de los servicios digitales gubernamentales.
Redactado por:
Humberto Guzmán
Director de Consultoría
ITB2B Consulting Solutions
Sin respuestas