2. ANTECEDENTES
La Secretaría Nacional de la Administración Pública (SNAP), con fecha 19 de
septiembre del 2013, emitió el Acuerdo Ministerial 166, en el cual establece
como aplicación obligatoria en las entidades de la Administración Pública
Central Dependiente e Institucional, la familia de Normas Técnicas Ecuatorianas
NTE INEN ISO/IEC 27000 para Gestión de la Seguridad de la Información.
Como anexo al acuerdo se emitió el Esquema Gubernamental de Seguridad de la
Información (EGSI), documento que está basado en la norma INEN ISO/IEC
27002 "Código de Buenas Prácticas de Seguridad de la Información", en el que
se priorizó el cumplimiento de 126 directrices hasta marzo del presente año y el
resto de directrices hasta marzo de 2015.
3. OBJETIVO:
Implementar el Esquema Gubernamental de
Seguridad de Información – EGSI en el Instituto
Espacial, que permitirá incrementar la seguridad de
la información en las entidades públicas, así como
también la confianza de los ciudadanos en la
Administración Pública.
4. OBJETIVOS ESPECÍFICOS:
La implantación de una ISO 27000 en una
organización permite proteger la información de ésta
de la forma más fiable posible. Se persiguen 3
objetivos:
• Preservar la confidencialidad de los datos de la
empresa
• Conservar la integridad de estos datos
• Hacer que la información protegida se encuentre
disponible.
5. CONFORMACIÓN DEL COMITÉ DE
SEGURIDAD
Este Comité debe estar conformado por:
• Oficial de Seguridad de Información
• Director Administrativo
• Responsable de la UATH
• Responsable de TICs
• Responsable de Auditoría Interna
• Responsable del Area Legal
6. • No pertenecerá al área de Tecnología.
• Reportará a la máxima autoridad de la Institución.
• Definir procedimientos para el control de cambios
de procesos operativos.
• Establecer criterios de Seguridad Informática.
El oficial de Seguridad de la Información deberá
definir procedimientos para el control de cambios a
los procesos operativos, los sistemas e instalaciones y
verificar su cumplimiento, de manera que no afecten
la seguridad de la información.
OFICIAL DE SEGURIDAD
7. Norma ISO 27001 – Seguridad de la Información
Esta norma internacional proporciona los requisitos para
establecer, implementar, mantener y mejorar continuamente un
sistema de gestión de seguridad de la información.
Es importante que el sistema de gestión de seguridad de la
información sea parte y se integre con los procesos de la
organización y la estructura general de gestión; diseño de
procesos, sistemas de información y los controles necesarios.
8. • Políticas de seguridad de la información
• Organización de la seguridad de la información
• Gestión de los activos
• Seguridad de los recursos humanos
• Seguridad física y del entorno
• Gestión de comunicaciones y operaciones
• Control de acceso
• Adquisición, desarrollo y mantenimiento de
sistemas de información
• Gestión de incidentes de la seguridad de la
información
TEMASPRIMORDIALESDE LA NORMA
9. Norma ISO 27001 – Seguridad de la Información
La adopción del EGSI debe ser una
decisión estratégica de la dirección de una
organización.
10. Preguntas:
• Por qué implementar un SGSI?
• Dónde está la información escencial del giro
del negocio?
• Cómo estoy protegiendo la información?
• Existe un control de accesos a la información
confidencial?
• Existe un plan de continuidad del negocio?