Este documento define el alcance propuesto para el Sistema de Gestión de Seguridad de la Información del Ministerio de Educación del Perú. Se propone que el alcance incluya los procesos de la Dirección General de Tecnologías Educativas y la Oficina de Informática, debido a que estas áreas son responsables de prestar servicios tecnológicos clave que apoyan las funciones del Ministerio. Adicionalmente, se justifica que estas áreas están alineadas con la estrategia y objetivos institucionales del Ministerio, los cuales
1. OFICINA DE INFORMÁTICA
Calidad y Seguridad de la Información
SERVICIO PARA LA DEFINICIÓN DEL ALCANCE DEL SISTEMA DE
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) Y ELABORACIÓN
DE LA POLÍTICA DE SEGURIDAD DE LA OFICINA DE INFORMÁTICA –
PERIODO 2013
Orden de Servicio N° 1993
GINO ARTURO FERNÁNDEZ CANORIO
Entregable Final
2. INDICE
1. Introducción.....................................................................................................................1
2. Términos generales ........................................................................................................1
3. Organización del MINEDU..............................................................................................2
3.1 Naturaleza Jurídica..................................................................................................2
3.2 Visión........................................................................................................................2
3.3 Misión.......................................................................................................................2
3.4 Funciones generales ...............................................................................................2
3.5 Estructura Funcional................................................................................................3
4. Alcance del SGSI ............................................................................................................4
4.1 Criterios para definir el alcance...............................................................................5
4.2 Áreas que se incluirán en el alcance.......................................................................5
4.3 Justificación..............................................................................................................5
4.3.1 Estrategias y funciones institucionales ............................................................6
4.3.2 Alineamiento de las áreas con la estrategia institucional................................7
4.4 Enunciado del alcance...........................................................................................11
5. Política de Seguridad de la Información - Análisis de la Política vigente ....................11
5.1 Objetivos ................................................................................................................12
5.2 Alcance ..................................................................................................................12
5.3 Estructura organizacional para la seguridad de la información............................13
5.4 Marco Normativo para la seguridad ......................................................................15
5.5 Políticas específicas ..............................................................................................16
5.1.1 Activos de información ...................................................................................16
5.1.2 Seguridad de Personal...................................................................................16
5.1.3 Seguridad Física.............................................................................................17
5.1.4 Administración de las operaciones y comunicaciones ..................................17
5.1.5 Control de accesos.........................................................................................17
5.1.6 Desarrollo y Mantenimiento de Sistemas ......................................................18
5.1.7 Continuidad del Negocio ................................................................................18
5.1.8 Cumplimiento..................................................................................................19
5.1.9 Propiedad intelectual......................................................................................19
6. Conclusiones de la Revisión.........................................................................................19
ANEXO 1 – POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN......................................20
3. 1
1. Introducción
El Ministerio de Educación (En adelante MINEDU), es el ente de gobierno que tiene
como misión estratégica la promoción del desarrollo de la persona humana a través de
un eficiente sistema educativo el cual fortalezca las capacidades individuales, gracias
a una formación integral y permanente.
Entre sus funciones principales están:
Formular, aprobar, ejecutar y evaluar el Proyecto Educativo Nacional.
Definir, dirigir, regular y evaluar la política educativa y pedagógica nacional y
establecer políticas específicas de equidad.
Diseñar programas nacionales de aprovechamiento de nuevas tecnologías de
información y comunicación
Gestionar el presupuesto para la educación.
Planificar y administrar la infraestructura educativa.
Implementar un sistema de información para la toma de decisiones
estratégicas.
Para el cumplimiento de estas funciones el MINEDU emplea una serie de recursos,
entre los cuales la información se presenta como el activo intangible más importante y
por lo tanto debe ser protegido para garantizar su confidencialidad, integridad y
disponibilidad.
Enmarcado en la disposición de la Presidencia del Consejo de Ministros mediante
Resolución Ministerial RM 129-2012-PCM y en cumplimiento de sus objetivos
institucionales, el MINEDU implementa un Sistema de Gestión de Seguridad de la
Información (SGSI) alineado a dos normas:
• Norma Técnica Peruana NTP 27001: Tecnología de la Información. Técnicas de
seguridad. Sistemas de gestión de seguridad de la Información. Requisitos.
• Norma Técnica Peruana NTP ISO/IEC 17799:2007 Tecnología de la información.
Código de buenas prácticas para la gestión de la seguridad de la información.
Uno de los pasos más importantes al implementar un SGSI es definir adecuadamente
el alcance. El presente documento define una propuesta para el alcance que permita
la viabilidad de la implementación y que la gestión de la seguridad brinde valor a la
organización. Además se realizará un análisis respecto a su política de seguridad de
la información aprobada en el año 2009, con el propósito de elaborar una propuesta
que se ajuste a lo consignado en la Norma Técnica Peruana NTP27001:2008.
2. Términos generales
Alcance del SGSI: Procesos que delimitarán la implementación de la NTP
27001:2008
4. 2
NTP 17799:2007: Tecnología de la información. Código de buenas prácticas para
la gestión de la seguridad de la información.
NTP 27001:2008: Tecnología de la Información. Técnicas de seguridad. Sistemas
de gestión de seguridad de la Información. Requisitos.
PEN: Proyecto Educativo Nacional.
SGSI: Sistema de Gestión de Seguridad de la Información.
SINEACE: Sistema Nacional de Evaluación, Acreditación y Certificación de la
Calidad Educativa.
Usuarios: Sociedad Civil que hace uso de los servicios brindados por el MINEDU
3. Organización del MINEDU
El MINEDU, órgano rector del sector educación, es la “empresa de servicios” más
grande del país pues atiende doscientos días al año a más de seis millones de
alumnos en el sistema público, tiene una planilla de trescientos veinte mil empleados
activos; controla cuarenta y cuatro mil centros educativos públicos y diecisiete mil
programas no escolarizados, representando el 85% del servicio educativo que se
ofrece en el Perú.
3.1 Naturaleza Jurídica
El MINEDU es un organismo del Poder Ejecutivo. Tiene personería jurídica de
derecho público y constituye un pliego presupuestal.1
3.2 Visión
El MINEDUes el organismo rector que lidera una sociedad educadora con la
participación y vigilancia de la sociedad civil, para garantizar una educación
integral, pertinente y de calidad que contribuya al desarrollo pleno de las personas
a lo largo de su vida.
3.3 Misión
El MINEDU tiene como misión, asegurar ofertas educativas pertinentes de calidad,
sustentadas en el trabajo concertado con la sociedad civil y centradas en la
formación integral de todos los peruanos, guiados con una perspectiva de
interculturalidad, equidad, cohesión social y desarrollo humano sostenible, que
permita formar personas capaces de desarrollar su identidad, autoestima y
capacidades, e integrarse adecuada y críticamente a la sociedad, en armonía con
su entorno.
3.4 Funciones generales
Entre las funciones más importantes del MINEDU, se pueden resaltar las
siguientes:
1
Reglamento de Organización y Funciones aprobado mediante Decreto Supremo 006-2012-ED
5. 3
Definir, dirigir, regular y evaluar la política educativa y pedagógica nacional y
establecer políticas específicas de equidad.
Formular, aprobar, ejecutar y evaluar el Proyecto Educativo Nacional.
Planificar la educación.
Diseñar programas nacionales de aprovechamiento de nuevas tecnologías de
información y comunicación.
Organizar programas de apoyo al servicio educativo que compensen las
desigualdades y lograr equidad en el acceso, procesos y resultados
educativos.
Dirigir el Programa Nacional de Formación y Capacitación Permanente del
magisterio.
Dirigir el Programa Nacional de Investigación Educativa.
Definir e implementar políticas sectoriales y de mejoramiento del personal
directivo, docente y administrativo del Sector.
Gestionar el presupuesto para la educación.
Planificar y administrar la infraestructura educativa.
Implementar un sistema de información para la toma de decisiones
estratégicas.
Coordinación con el SINEACE los procesos de medición y evaluación de
logros.
Elaborar, proponer y ejecutar políticas relacionadas con el otorgamiento de
Becas y Crédito Educativo.
Concertar y promover la cooperación nacional e internacional técnica y
financiera para el mejoramiento de la educación.
3.5 Estructura Funcional
El organigrama estructural del MINEDU a un segundo nivel2
se compone de las
siguientes unidades orgánicas:
Alta Dirección
Órganos consultivos
Órganos de asesoramiento
Órgano de control
Procuraduría
Órganos de línea
Órganos de apoyo
Sin embargo, para efectos de un análisis netamente orientado a entender los
procesos críticos organizacionales, se puede esquematizar dicha estructura a nivel
funcional.
En la siguiente figura (Figura 1), se muestra un organigrama relacionado con las
funciones principales que desarrolla la institución.
2
Organigrama aprobado por Decreto Supremo 006-2012-ED
6. 4
Despacho
Ministerial
Secretaria General
Secretaria de Planificación
Estratégica
Viceministerio de
Gestión Pedagógica
Viceministerio de
Gestión Institucional
Proponer, coordinar, integrar, monitorear y evaluar
la política, objetivos y estrategia del Sector
Educación.
Integrar los sistemas de información y estadística
del Sector Educación
Coordinar activamente de manera técnico-funcional
con entes rectores.
Integrar los Sistemas de Planificación, presupuesto,
inversión pública y cooperación internacional.
Ejercer responsabilidad sobre los Sistemas
Administrativos de Abastecimiento,
Contabilidad, Tesorería y Recursos Humanos
del MED.
Asesorar e informar sobre la correcta
aplicación de las disposiciones legales y
reglamentarias del Sector.
Proponer políticas, objetivos y estrategias
educativas y pedagógicas a nivel nacional,
en las modalidades que el MED gestiona.
Proponer lineamientos para la supervisión
educacional.
Diseñar e implementar la política y estrategia para una
eficiente gestión del sistema educativo nacional.
Dirige el proceso de descentralización educativa
Velar por un eficiente desarrollo de la infraestructura
educativa a nivel nacional.
Gestionar el otorgamiento de becas y créditos
educativos.
Evalúa el cumplimiento de la supervisión educacional
Figura 1. Organigrama Funcional de primer nivel del MINEDU
La Norma Técnica Peruana NTP ISO/IEC 27001:2008 exige que el alcance del
SGSI sea definido en términos de las características del negocio, su localización,
activos y tecnología, incluyendo las justificaciones para cualquier exclusión. 3
En el caso de una institución pública como el MINEDU, que está orientada a
brindar servicios a usuarios y no tratar con clientes, el término “negocio” se refiere
a aquellas operaciones que apoyan el cumplimiento de la misión institucional.
Las funciones identificadas en el organigrama representan las actividades que
mantienen en operación a la institución, por lo tanto la seguridad debe estar
orientada a salvaguardar la información tratada en el cumplimiento de las mismas.
4. Alcance del SGSI
Uno de los pasos más importantes al implementar un SGSI es definir adecuadamente
el alcance. A continuación se define una propuesta para el alcance que permita la
3
Clausula 4.2.1 a) de la NTP 27001:2008
7. 5
viabilidad de la implementación y que la gestión de la seguridad brinde valor a la
organización.
4.1 Criterios para definir el alcance
La implantación de un SGSI es un proyecto de gran envergadura, con
repercusiones transversales y cuyo alcance debe estar orientado a cambiar la
cultura de la organización. Por lo tanto se debe tener en cuenta los siguientes
factores para definir el alcance:
No debe abarcar toda la organización. Se recomienda iniciar el SGSI con un
alcance reducido, que permita optimizar recursos y resultados.
Incluir procesos en donde la seguridad genere un mayor valor a la institución.
Esto se refiere a potenciar procesos que ya incorporan funciones de seguridad,
pues es ahí donde el SGSI aportará beneficios directos.
Orientado a servicios. Es recomendable al definir el alcance inicial buscar el
fortalecimiento de determinados servicios y procesos internos que apoyen al
negocio. En el caso del MINEDUque apoye los procesos que brindan servicios
externos.
4.2 Áreas que se incluirán en el alcance
Se propone que los procesos que integren el alcance del Sistema de Gestión
de Seguridad de la Información pertenezcan a las siguientes unidades
orgánicas encargadas de la gestión de las tecnologías de la información y
comunicaciones en el MINEDU:
Dirección General de Tecnologías Educativas (DIGETE): La cual ofrece los
siguientes servicios a los usuarios:
Administración, mantenimiento y asistencia técnica de la red
satelital
Administración de la televisión educativa
Oficina de Informática (OFIN): La cual ofrece los siguientes servicios:
Desarrollo y mantenimiento de aplicaciones
Asistencia técnica a usuarios a nivel nacional sobre las diferentes
aplicaciones que el MINEDU despliega.
Gestión de servicios de tecnologías de la información que apoyan
los procesos del MINEDU para el cumplimiento de sus funciones
4.3 Justificación
Basado en los criterios expuestos, las áreas a incluir en el alcance del SGSI
deben poseer procesos y funciones que se encuentren alineadas con la
estrategia de la organización y a la misión institucional.
8. 6
4.3.1 Estrategias y funciones institucionales
Para alinear el alcance del SGSI y garantizar que cumpla con el
objetivo de apoyar la estrategia institucional debemos identificar los
objetivos y funciones de las áreas involucradas.
4.3.1.1 Objetivos estratégicos institucionales
El MINEDU posee una serie de funciones orientadas a la gestión
educativa que ya han sido mencionadas; para garantizar que el SGSI
añada valor a los objetivos estratégicos tomaremos en cuenta los
definidos en el Proyecto Educativo Nacional al 20214
:
OE1. Oportunidades y resultados educativos de igual calidad
para todos
OE2. Estudiantes e instituciones educativas que logran
aprendizajes pertinentes y de calidad
OE3. Maestros bien preparados ejercen profesionalmente la
docencia
OE4. Una gestión descentralizada, democrática, que logra
resultados y es financiada con equidad.
OE5. Educación superior de calidad se convierte en factor
favorable para el desarrollo y la competitividad nacional.
OE6. Una sociedad que educa a sus ciudadanos y los
compromete con su comunidad
Estos objetivos son desarrollados por el MINEDU y sus dependencias
descentralizadas, es importante identificar cómo el alcance del SGSI se
alinea con dichos objetivos.
4.3.1.2 Funciones de la Dirección General de Tecnologías
Educativas
La Dirección General de Tecnologías Educativas es responsable de
integrar las Tecnologías de Información y Comunicación en el proceso
educativo, en concordancia con estándares internacionales y las
políticas educativas y pedagógicas5
.
Entre sus funciones principales destacan:
Desarrollar, ejecutar y supervisar la red nacional educativa
Garantizar la conectividad de las I.I.E.E
4
Proyecto Educativo Nacional al 2021 – Aprobado Noviembre 2006
5
Reglamento de Organización y Funciones
9. 7
Coordinar acciones intersectoriales y con otros organismos para
ampliar la cobertura de los servicios educativos mediante TIC y
televisión
Orientar la implementación de la plataforma tecnológica en las
I.I.E.E.
Desarrollar la educación a distancia en coordinación con las
Direcciones normativas, apoyada en las TIC.
Brindar soporte a los Gobiernos Regionales (GR) para el
desarrollo de políticas y cumplimiento de lineamientos técnico
normativos materia de su competencia.
Supervisar y efectuar el seguimiento a los Gobiernos Regionales
en el cumplimiento de las acciones materia de su competencia
de manera articulada.
4.3.1.3Funciones de la Oficina de Informática
La Oficina de Informática es la unidad orgánica encargada de apoyar al
logro de objetivos y metas institucionales a través de la adopción de
nuevas tecnologías, el desarrollo de sistemas de información y la
implementación de nuevas herramientas y servicios informáticos para
usuarios internos (dependencias del Ministerio) y externos (Sector
Educación).
Entre sus funciones principales tenemos:
Normar la conectividad requerida entre las instancias de Gestión
Educativa Descentralizada
Elaborar, desarrollar, ejecutar, evaluar y mantener el Plan
Estratégico Informático del MINEDU.
Brindar asistencia técnica a las dependencias internas del
MINEDU
Establecer los planes de contingencia necesarios para la
seguridad de los procesos informáticos del MINEDU.
Alineamiento a normas del Sistema Nacional de Informática
Establecer y operar un sistema de Base de Datos para la
planificación, investigación y monitoreo de la Educación.
Formular y proponer políticas de estandarización para las
herramientas informáticas.
4.3.2 Alineamiento de las áreas con la estrategia institucional
La proyección del MINEDU en mejorar la calidad educativa no sería
viable sin un soporte tecnológico que permita el despliegue de
información de manera confiable, íntegra y que esté disponible en el
momento requerido.
10. 8
En los siguientes cuadros se identifica la relación entre las funciones de
las unidades orgánicas a cubrirse en el alcance y los objetivos
estratégicos del MINEDU. (Figura2, Figura3)
11. 9
Figura. 2 Alineamiento de la Dirección General de Tecnologías Educativas (DIGETE) con losobjetivos estratégicos institucionales
Oportunidades y
resultados
educativos de
igual calidad para
todos
Estudiantes e
instituciones
educativas que
logran
aprendizajes
pertinentes y de
calidad
Maestros bien
preparados
ejercen
profesionalmente
la docencia
Una gestión
descentralizada,
democrática, que
logra resultados y
es financiada con
equidad.
Educación superior
de calidad se
convierte en factor
favorable para el
desarrollo y la
competitividad
nacional.
Una sociedad que
educa a sus
ciudadanos y los
compromete con
su comunidad
Desarrollar, ejecutar y supervisar la red
nacional educativa
X X X X 4
Garantizar la conectividad de las I.I.E.E X X X X 4
Coordinar acciones intersectoriales y con
otros organismos para ampliar la
cobertura de los servicios educativos
mediante TIC y televisión
X X X 3
Orientar la implementación de la
plataforma tecnológica en las I.I.E.E
X X X 3
Desarrollar la educación a distancia en
coordinación con las Direcciones
normativas, apoyada en las TIC
X X X 3
Brindar soporte a los Gobiernos
Regionales(GR) para el desarrollo de
políticas y cumplimiento de lineamientos
técnico normativos materia de su
competencia.
X 1
Supervisar y efectuar el seguimiento a
los Gobiernos Regionales en el
cumplimiento de las acciones materia de
su competencia de manera articulada.
X 1
UNIDAD
ORGÁNICA
FUNCIONES
OBJETIVOS ESTRATEGICOS
IMPACTO
(OBJETIVOS
CUBIERTOS)
Dirección General
de Tecnologías
Educativas
(DIGETE)
12. 10
Figura. 3 Alineamiento de la Oficina de Informática (OFIN) con losobjetivos estratégicos institucionales
Oportunidades y
resultados
educativos de
igual calidad para
todos
Estudiantes e
instituciones
educativas que
logran
aprendizajes
pertinentes yde
calidad
Maestros bien
preparados
ejercen
profesionalmente
la docencia
Una gestión
descentralizada,
democrática, que
logra resultados y
es financiada con
equidad.
Educación superior
de calidad se
convierte en factor
favorable para el
desarrollo yla
competitividad
nacional.
Una sociedad que
educa a sus
ciudadanos ylos
compromete con
su comunidad
Normar la conectividad requerida entre
las instancias de Gestión Educativa
Descentralizada
X X X 3
Elaborar, desarrollar, ejecutar, evaluar y
mantener el Plan Estratégico Informático
del MINEDU
X X X X X X 6
Brindar asistencia técnica a las
dependencias internas del MINEDU
X X 2
Establecer los planes de contingencia
necesarios para la seguridad de los
procesos informáticos del MINEDU
X X X 3
Alineamiento a normas del Sistema
Nacional de Informática
X X X 3
Establecer y operar un sistema de Base
de Datos para la planificación,
investigación y monitoreo de la
Educación
X X X 3
Formular y proponer políticas de
estandarización para las herramientas
informáticas
X X X X 4
Oficina de
Informática (OFIN)
IMPACTO
(OBJETIVOS
CUBIERTOS)
UNIDAD
ORGÁNICA
OBJETIVOS ESTRATEGICOS
FUNCIONES
13. 11
Mediante los cuadros expuestos podemos comprobar que las funciones
desarrolladas por parte de la Dirección General de Tecnologías
Educativas y la Oficina de Informática generan valor al negocio y están
alineados a la estrategia institucional. Asimismo, se identifican las
funciones críticas (Impacto mayor), de donde se extraerán los procesos
para definir el alcance del SGSI.
4.4 Enunciado del alcance
El alcance del SGSI queda definido por los procesos críticos desarrollados en
la Dirección General de Tecnologías Educativas (DIGETE) y la Oficina de
Informática (OFIN).
Los procesos considerados son los siguientes:
Digete
Gestión de la Conectividad de la Red Satelital
Asistencia Técnica a la Red Satelital
Administración de la Televisión Educativa
Ofin
Gestión de Tecnologías de la Información
Gestión de la Calidad y Seguridad de la Información
Sistema de Información de Apoyo a la Gestión de la Institución
Educativa (SIAGIE)
Operaciones y Mantenimiento de Sistemas
Gestión de la Infraestructura
Atención al usuario
Soporte Administrativo
Este alcance cubrirá los activos que intervienen en los procesos, tales como:
Infraestructura (HW y SW)
Personal
Servicios de TI
Documentación impresa y digital
Instalaciones
5. Política de Seguridad de la Información - Análisis de la Política vigente
La Política vigente fue aprobada el 27 de marzo del año 2009. La Norma Técnica
Peruana NPT ISO/IEC 17799:2007, referente a las buenas prácticas engestión de
seguridad de la información recomienda la actualización de la política cada vez que se
cumpla un ciclo de SGSI (generalmente un año o ante cualquier cambio que amerite
14. 12
una nueva evaluación), la cual se realiza mediante los siguientes instrumentos de
entrada:
Resultados de la evaluación de riesgos
Seguimiento de indicadores de gestión
Cambios organizacionales
Documentación vigente en materia de seguridad
Resultado de auditorías internas o externas
Incidentes de seguridad reportados
Nuevas amenazas y vulnerabilidades identificadas
Normatividad vigente y retroalimentación de los terceros interesados.
Según lo estipulado en la norma técnica de la referencia, la política de seguridad
vigente del MINEDU debe ser actualizada y para ello se debe realizar un análisis de
los aspectos considerados líneas arriba.
A continuación se presenta una revisión de la política vigente con el propósito de
identificar posibles actualizaciones:
5.1 Objetivos
Los objetivos de la política de seguridad que se buscan mantener son los
siguientes:
Cumplir con los niveles de autorización y responsabilidad sobre la información
en el MINEDU.
Minimizar la posibilidad de ocurrencia de incidentes que impacten
negativamente a las instalaciones, infraestructura y otros medios de
tratamiento de información.
Cumplir con la normatividad vigente referente a la seguridad de la información.
Proteger la información como activo crítico del MINEDU, preservando su
confidencialidad, disponibilidad e integridad.
Sensibilizar al personal del MINEDU sobre su responsabilidad para mantener
la seguridad de la información.
5.2 Alcance
Se cubre 10 dominios de control de la NTP 17799:2007 (Anexo A de la
27001:2008), excluyendo la asociada a la gestión de incidentes de seguridad.
Las desventajas de implementar inicialmente una política extensa en detalle son
las siguientes:
Actualización compleja. La política debe ser un documento general prevalente,
cuya aprobación exige una serie de revisiones por distintas áreas (Área que
implementa, Área que controla, Organización y Métodos, Jurídica, Despacho).
Si agrupamos en la política detalles en materia operacional, administrativa y
15. 13
legal, el proceso de actualización ante cualquier evento meritorio se tornará
complejo y tedioso. Se recomienda abarcar estos aspectos en documentos de
rango menor, tales como directivas y procedimientos.
Incumplimiento. La política de seguridad de la información es de cumplimiento
obligatorio a nivel institucional e inclusive por terceros que tengan un vínculo
temporal o permanente con el MINEDU, si la política es extensa y cubre
muchos aspectos en un inicio, garantizar el cumplimiento es una tarea utópica.
Seguimiento inadecuado o insuficiente. La función de velar por el cumplimiento
de la política de seguridad recae en el CESI que, si bien es el responsable
mayor de la gestión de la seguridad de la información, debe delegar el
seguimiento de implementación de controles al COSI y al equipo de seguridad
de la información del MINEDU.
No está basada en riesgos. En un SGSI es importante desde el inicio
establecer una política de seguridad porque brinda orientación y establece el
compromiso de la dirección, sin embargo los aspectos contemplados en la NTP
17799:2007 que definen controles para los 11 dominios de la seguridad de la
información es conveniente cubrirlos posteriormente a una evaluación de
riesgos de seguridad, en donde se tiene identificado las brechas más críticas
que pueden impactar a las operaciones del MINEDU.
La recomendación es realizar una política general del SGSI donde se manifieste el
compromiso institucional para con la seguridad de la información.
Luego de la evaluación de riesgos, donde se han identificado las brechas de
seguridad, se pueden implementar a manera de políticas o directivas (evaluando la
factibilidad de cumplimiento, identificando los responsables del monitoreo y con la
aprobación del COSI y CESI) las disposiciones en materia de seguridad
correspondiente a los 11 dominios de control que propone la norma.
5.3 Estructura organizacional para la seguridad de la información
Una política de seguridad de la información, como se mencionó anteriormente, no
debe contener estructuras organizacionales (esto debe ir en un documento de
menor jerarquía), sin embargo en la política vigente se define una estructura
organizacional para la gestión de la seguridad de la información de la siguiente
manera (Figura 4):
16. 14
CESI
Comité Ejecutivo de
Seguridad de la
Información
COSI
Comité Operativo de
Seguridad de la
Información
Oficina de Seguridad de
la Información
Área de administración
de riesgos y respuestas a
incidentes
Área de recuperación
ante desastres
Área de soluciones de
Seguridad de la
Información
Área de Desarrollo y
Cumplimiento del Marco
Normativo de Seguridad
Conformado de manera
formal mediante RM 0066-
2009-I
Figura 4. Estructura organizacional para la seguridad de la Información en Política
Vigente
En la cual sólo se ha conformado de manera formal el Comité Ejecutivo y el
Comité Operativo, los demás entes no existen, por lo tanto no debería figurar en la
Política. Una estructura propuesta que se puede que se ajuste al actual
organigrama es el siguiente (Figura 5), sin embargo no se recomienda incluirla en
la política:
CESI
Comité Ejecutivo de
Seguridad de la
Información
COSI
Comité Operativo de
Seguridad de la
Información
Oficina de Seguridad de
la Información
Equipo de apoyo técnico
(Analistas de Seguridad)
17. 15
Figura 5. Estructura organizacional para la seguridad de la Información propuesta
Existen dos acciones importantes que el Comité Ejecutivo (CESI) debe realizar:
Nombrar un Coordinador u Oficial de Seguridad de la Información
Aprobar las funciones del área de Seguridad de la Información de OFIN.
5.4 Marco Normativo para la seguridad
En la política vigente se definen 3 documentos normativos que generalmente
reciben la aprobación a nivel institucional. Además se propone tener en
consideración los siguientes documentos complementarios, para tenerlos en
consideración en el análisis de la documentación:
Instructivos
Registros
No es conveniente incluirla en la política, ya que la oficina de planeamiento y
normatividad debe ser la que emita la directiva asociada a los mecanismos de
documentación
Quedaría la siguiente estructura para la documentación respecto a la seguridad de
la información (Figura 6):
Figura 6. Jerarquía documental para la Seguridad de la Información.
Política de
Seguridad
Normas Internas
(Directivas,
Manuales, etc)
Procedimientos
Instructivos
Registros
18. 16
Los mecanismos de elaboración, aprobación y distribución de documentos se
consignarán en directivas que emita el CESI, después de su evaluación. Lo que
sídebe manifestarse en la política es que el MINEDU se compromete a la
distribución oportuna de los documentos de gestión relacionados con la seguridad
de la información así como también a su actualización periódica.
Existe en la política vigente responsabilidades asignadas para la actualización de
los documentos normativos; esto debe ir en una directiva, mas no en la política
inicial ya que aún esas responsabilidades no están formalizadas.
5.5 Políticas específicas
-
En la política vigente se tocan aspectos específicos de seguridad de la
información, los cuales deben ser generalizados para que su cumplimiento será
factible. La política de seguridad de la información debe ser obligatoria para todo el
MINEDU, no solo para un área.
5.1.1 Activos de información
Especifica que en el MINEDU se deben establecer niveles de clasificación
de la información de acuerdo a su criticidad. Si en la política se establece
los niveles de clasificación, esto significa que existe un inventario de
activos de información que tienen ese atributo asignado, sin embargo el
inventario de activos de información es parte del proceso de análisis de
riesgos, el cual aún está en desarrollo, por lo tanto es conveniente
establecer esta jerarquía posteriormente.
5.1.2 Seguridad de Personal
Es importante delimitar al personal respecto a su responsabilidad para con
la seguridad de la información. Además se dan lineamiento sobre los
siguientes aspectos:
Gestión de los accesos ante el alta, baja o modificación de
empleados
Responsabilidad del personal ante la gestión de incidentes
Firma de compromiso de aceptación y cumplimiento de políticas de
seguridad
Capacitación en seguridad de la información.
De estos aspectos, solo el punto donde se manifiesta que cualquier
empleado puede reportar un incidente de seguridad es válido para incluirlo
en la política, los otros puntos deben ser abarcados en directivas y/o
procedimientos.
19. 17
5.1.3 Seguridad Física
En este dominio se puede mantener los conceptos definidos:
Áreas críticas
Seguridad de los equipos informáticos
Está definidos de manera general, lo cual permite su entendimiento y
cumplimiento.
5.1.4 Administración de las operaciones y comunicaciones
Este dominio no es conveniente que entre en una política institucional por
tocar puntos netamente técnicos. En la política vigente se tocan los
siguientes aspectos operacionales:
Separación de ambientes
Control de cambios en los ambientes
Controles para malware
Seguridad de redes
Copias de respaldo
Seguridad de correo electrónico
Seguridad en Internet
Se detallan flujos de comunicación entre áreas que son importantes pero
que actualmente no se están cumpliendo, por eso es mejor establecerlos
mediante procedimientos formales en el ámbito OFIN.
5.1.5 Control de accesos
Se detallan los procesos de autorización, cese y modificación de accesos,
definiendo áreas y responsables que en la actualidad no están definidos de
manera formal. Como se menciona anteriormente, incluir esto en una
política institucional de seguridad conlleva a un riesgo de incumplimiento.
Se debe redefinir este apartado, consignando solo lineamientos generales
que el MINEDU se compromete a cumplir para que los accesos sean
gestionados con seguridad.
Además existe una cláusula que manifiesta que el MINEDU se reserva el
derecho de supervisar, acceder, recuperar, leer y/o descubrir
comunicaciones del empleado bajo ciertas condiciones. Actualmente
existen dos marcos normativos que regulan estos aspectos:
Ley de Protección de Datos Personales la cual tiene por objetivo
velar por el respeto a la información sensible del ciudadano.
Derecho al secreto de las comunicaciones descrito en la
Constitución Política del Perú.
20. 18
Esto debe ser evaluado pues, mediante la aplicación de estas medidas,
existe la posibilidad de infringir las normativas referenciadas.
5.1.6 Desarrollo y Mantenimiento de Sistemas
Los controles que se incluyen en la política vigente son:
Requerimientos de seguridad
Actualmente se encuentra implementado un módulo de seguridad que
controla los accesos a los diferentes sistemas de información
desarrollados en el MINEDU, lo cual podría incluirse en la política, sin
perder de vista que es un tema técnico.
Criptografía
Se habla de mecanismos de cifrado para la información crítica del
MINEDU, esto no se aplica en la actualidad para todos los sistemas,
debería ser excluido en la actualización de la política.
Seguridad en el desarrollo y procedimientos de soporte
Se manifiesta el compromiso del MINEDU en asegurar el cumplimiento
de las buenas prácticas en seguridad para el desarrollo de sus
sistemas de información. Por no especificar aspectos técnicos se puede
en la actualización de la política.
5.1.7 Continuidad del Negocio
Hace referencia a dos planes que no existen en la actualidad:
Plan de Continuidad del Negocio, orientado a mantener la operatividad
de los procesos del negocio (Con o sin TI) del MINEDU ante una crisis
que genere indisponibilidad total.
Plan de Recuperación de TI, enfocado en reestablecer los servicios e
infraestructura de TI dentro de los límites y tiempos exigidos por los
procesos del negocio.
Al no contar con dichos planes, el MINEDU debe desarrollar en primera
instancia un plan de contingencia que permita la alta disponibilidad y la
recuperación de los servicios críticos ante eventos de interrupción
menores.
21. 19
5.1.8 Cumplimiento
Referido al alineamiento del MINEDU hacia las buenas prácticas
especificadas en las normas vigentes relacionadas a la seguridad de la
información, tales como:
5.1.9 Propiedad intelectual
Licenciamiento de Software
Acuerdos de confidencialidad
Se pueden mantener ciertos enunciados sobre el cumplimiento de estos
aspectos, pero no establecer directamente procedimientos de reporte de
incumplimientos y mecanismos de sanción, esto debe ir en una directiva de
Recursos Humanos, como es el caso en el inciso “Responsabilidades”,
donde se describe un procedimiento de reporte de parte del personal hacia
el Oficial de Seguridad de la Informaci
6. Conclusiones de la Revisión
Después de la evaluación de la política de seguridad vigente se puede llegar a las
siguientes conclusiones:
La política vigente data del año 2009, por lo tanto su actualización es
prioritaria.
Existen enunciados en la política vigente que deben mantenerse debido a que
están relacionados con aspectos generales de la seguridad de la información y
que su cumplimiento debe ser obligatorio a nivel institucional.
Existen procedimientos descritos que actualmente no se cumplen y que deben
ser reconsiderados para incluirlos en la nueva versión.
Las estructuras organizacionales expuestas deben ser nuevamente evaluadas,
ajustándolas a la realidad institucional y en búsqueda de una fluidez en la
coordinación de asuntos relacionados a la seguridad de la información.
En el Anexo 1 se expone la propuesta de política de seguridad actualizada y
según los lineamientos de la NTP 27001:2008
22. ANEXO 1 – POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
1. INTRODUCCIÓN
El Ministerio de Educación (En adelante MINEDU) es el órgano del Gobierno
Nacional que tiene por misión estratégica la promoción del desarrollo de la
persona, a través de un nuevo sistema educativo en el cual las capacidades
individuales se vean fortalecidas, gracias a una formación integral y permanente.
El MINEDU, como ente encargado de liderar la iniciativa educativa en el país, debe
garantizar una formación de calidad que contribuya activamente al desarrollo
nacional; por ende, una de sus prioridades es velar por la eficiente ejecución de
sus procesos institucionales.
Actualmente las tendencias tecnológicas, administrativas y operacionales vienen
evolucionando a un ritmo bastante intensivo, acrecentándose la exposición a
riesgos que pueden comprometer la información, activo principal en las
operaciones del negocio.
El MINEDU, para el cumplimiento de sus objetivos y funciones, propone mediante
esta política, la base de la gestión de la seguridad de la información a nivel
organizacional.
2. OBJETIVOS
El presente documento tiene por objetivo general establecer el compromiso del
MINEDUpara implementar unagestión de la seguridad de la información de
manera efectiva, apropiada y consistente.
Los objetivos específicos son los siguientes:
Fijar el marco de actuación necesario para proteger los activos de información
frente a amenazas, internas o externas, deliberadas o accidentales, con el fin
de preservar su confidencialidad, integridad y disponibilidad.
Reducir el riesgo asociado al uso indebido de la información crítica de la
organización y de sus trabajadores.
Sensibilizar al personal del MINEDU respecto a su responsabilidad para
mantener la seguridad de la información, estableciendo una cultura
organizacional que incorpore las buenas prácticas en el manejo y cuidado de la
información como un aspecto relevante en los procesos institucionales.
Sentaren el MINEDU la base del Sistema de Gestión de Seguridad de la
Información (En adelante SGSI) alineado a la Norma Técnica Peruana NTP-
ISO/IEC 27001:2008.
23. 21
3. DECLARACIÓN DE INTENCIÓN
El Ministerio de Educación se compromete a proteger sus procesoscríticos
mediante una gestión eficiente y continua de la seguridad de la información. Para
este objetivo proveerá oportunamente los recursos necesarios, siendo la alta
dirección el primer promotor del Sistema de Gestión de Seguridad de la
Información (SGSI).
4. BASE LEGAL
Ley N° 27444, Ley del Procedimiento Administrativo General.
Ley N° 27658, Ley Marco de la Modernización de la Gestión del Estado.
Ley N° 27806, Ley de Transparencia y Acceso a la Información Pública.
Ley N° 29733, Ley de Protección de Datos Personales.
Resolución de Contraloría General N° 320-2006-CG, Normas de Control
Interno.
Resolución Ministerial N° 129-2012-PCM Uso obligatorio de la “NTP-ISO/IEC
27001:2012 EDI. Tecnología de la Información. Técnicas de Seguridad.
Sistemas de Gestión de Seguridad de la Información. Requisitos”.
5. CONCEPTOS GENERALES
El MINEDU establece que la información, sea de carácter público o propio de la
institución, es uno de los activos más importantes. Por lo tanto, para un mayor
entendimiento de la presente política, se definen los siguientes conceptos:
Activo de información: Todo medio quealmacena, transporta, procesa o genera
informacióny que tiene valor para la institución. Se consideran activos de
información:
Documentos de papel (contratos, manuales, etc.)
Documentos digitales
Activos de software (aplicación, sistemas, etc.)
Activos físicos (computadoras, medios magnéticos, instalaciones)
Personal (clientes, empleados)
Imagen institucional y reputación
Servicios (Comunicaciones, correo, etc.)
Confidencialidad:La información sólo debe ser conocida por el personal que la
requiera para el desarrollo de sus funciones. Este principio busca garantizar que
todo activo de información este protegido del uso no autorizado y que pueda
conllevar un riesgo para el MINEDU.
Integridad:La información no puede ser alterada ni eliminada por cambios no
autorizados o accidentales. Se busca garantizar la precisión, suficiencia y validez
de la información, de acuerdo con las expectativas del negocio.
24. 22
Disponibilidad:Principio que busca que la información esté disponible para el
personal, usuarios y entidades reguladoras de manera oportuna y acorde a sus
niveles de autorización.
Seguridad de la Información: Es el proceso sistemático y continuo, aplicado por
toda la institución, que busca garantizar los principios de confidencialidad,
integridad y disponibilidad en los activos de información.
6. ALCANCE
El alcance de la presente política se define desde los siguientes aspectos:
Cumplimiento de las disposiciones normativas vigentes
Es aplicable en todo el ámbito de la institución, a sus recursos y a la totalidad
de sus procesos internos y externos vinculados a la entidad a través de
contratos y acuerdos con terceros.
Debe ser conocida y cumplida por todo el personal vinculado laboralmente con
el MINEDU, cualquiera fuera la modalidad.
7. EVALUACIÓN DE RIESGOS
El MINEDU asegura la realización periódica deun proceso de análisis y evaluación
de riesgos de seguridad de la información, y de acuerdo a su resultado, se
implementen las acciones correspondientes con el fin de tratar los riesgos que se
consideren inaceptables.
8. DOMINIOS DE LA SEGURIDAD DE LA INFORMACIÓN
La presente política comprende 11 aspectos o también denominados dominios que
el MINEDU considera de vital importancia para mantener la seguridad de la
información en la institución.
8.1 Política de seguridad de la información
Constituye el presente documento y representa el compromiso del MINEDU
a realizar las acciones que estén a su alcance para garantizar la seguridad
de la información, protegiendo sus procesos críticos ante las amenazas
externas e internas, y enfocado en la continuidad de sus operaciones.
El MINEDU, a través del Comité Ejecutivo de Seguridad de la Información
(en adelante CESI), se compromete a revisar la presente política de
manera anual o ante las siguientes circunstancias:
- Requerimiento de la Alta dirección
25. 23
- Cambios normativos que afecten al MINEDU relacionados con la
seguridad de la información
- Cambios significativos en la organización
- Incidentes concretados de alto impacto
- Otras que el CESI crea conveniente
El MINEDUestablece procedimientos en Recursos Humanos para verificar
el cumplimiento de la presente política y considerará mecanismos de
sanción en caso contrario.
La presente política, así como los aspectos relevantes en materia de
seguridad de la información, son de conocimientoobligatorio de todo el
personal del MINEDU y a las entidades externas relevantes, haciendo uso
de distintos medios (intranet, boletines, portal institucional).
8.2 Organización para la seguridad de la información
El MINEDU establece la conformación del Comité Ejecutivo de Seguridad
de la Información (CESI), cuya funciones son:
- Aprobar y promulgar las normativas, controles, procedimientos y
responsabilidades generales asociadas a la seguridad de la
información.
- Definir las estrategias del MINEDU respecto a las normas del
Estado Peruano y tendencias globales referidas a la seguridad de la
información.
- Velar por el cumplimiento y actualización del marco normativo de
seguridad de la información.
- Monitorear cambios significativos que pudieran variar los riesgos
presentes en el MINEDU.
- Definir los lineamientos para implementar un Plan de Sensibilización
de Seguridad de la Información para el personal del MINEDU.
Las responsabilidades en materia de seguridad de la información están
identificadas y delegadas correspondientemente.
8.3 Seguridad en los activos de información
Se mantiene un inventario de activos de información críticos,
documentando la información relevante de cada uno de ellos.
Los activos que componen este inventario son protegidos mediante
controles de seguridad que permitan garantizar su disponibilidad, integridad
y disponibilidad.
26. 24
8.4 Seguridad en los Recursos Humanos
El personal del MINEDUconoce sus responsabilidades respecto a la
seguridad de la información.
Cuando un empleado culmine o modifique su vínculo laboral con el
MINEDU, se notifica a las áreas correspondientes para la eliminación y/o
modificación de sus recursos y accesos. Esto también aplica para los
servicios realizados por terceros.
Todo empleado es informado en el tema de seguridad de la información,
con el objeto de obtener la sensibilización que conlleve a la aplicación de
las buenas prácticas en sus labores diarias.
Todo empleado es responsable de registrar y reportar las violaciones a la
seguridad, confirmadas o sospechadas.
8.5 Seguridad física
El acceso a las áreas críticas de procesamiento de información sólo está
permitido a personal autorizado. El acceso a estas áreas por parte de
terceros es controlado por personal del MINEDU.
El MINEDU establece mecanismos para garantizar la integridad de las
personas y de sus activos de información mediante controles que mitiguen
el riesgo de impacto ante incidentes causados por agentes ambientales
externos (Sismos, siniestros, atentados, etc.).
8.6 Seguridad de las Operaciones y Comunicaciones
El MINEDUcertifica periódicamente quela infraestructura y procesos de
tecnologías de la información y comunicaciones que soportan la
información institucional operan bajo efectivos controles de seguridad, lo
cual garantiza la confidencialidad, integridad y disponibilidad de los
mismos.
8.7 Control de accesos
La asignación de accesos y privilegios sobre los diferentes activos de
información es formalmente autorizada y estrictamente en base a las
labores que el empleado, por contrato, realizará en la institución.
27. 25
8.8 Seguridad en sistemas de información
Los sistemas de información, tanto desarrollados internamente como
adquiridos a terceros, implementarán controles de seguridad en todas las
etapas de su desarrollo, garantizando que la información procesada se
encuentra protegida.
8.9 Gestión de incidentes
El MINEDU entiende que la protección de la información puede presentar
brechas, por ende establece procedimientos internos para el tratamiento de
incidentes de seguridad de la información, con el objetivo de reestablecer la
funcionalidad del proceso, servicio o activo afectado en el rango de
tolerancia que demanda el negocio.
8.10 Continuidad del Negocio
Se cuenta con un esquema de contingencia que establece los pasos a
seguir, en caso ocurra algún evento de interrupción de la disponibilidad, de
tal forma que la institución pueda recuperar oportunamente la operatividad
de sus procesos críticos del negocio.
8.11 Cumplimiento
El MINEDUcumple con la normativa vigente respecto a la seguridad de la
información y establece procedimientos regulatorios para el monitoreo de
su alineamiento.