En las diferentes depedencias, secretarias, instituciones u organismos del Gobierno tienen informacion del pais y de nosotros como personas. Esta información va desde datos simples hasta información muy precisa de nuestras actividades comerciales, de impuestos, propiedades, expedientes medicos, lugares de residencia, sueldos, etc.
Por ello esde suma importancia que el Gobierno este certficado, calificado, capacitado y equipado con todo lo necesario para ejecutar dia a dia las "buenas practicas" en la seguridad de la información. Tanto para salvaguardar la informacion de los ciudadanos asi como todos y cada uno de los datos que se generan dentro de estas entidades.
En muchos reportajes en diferentes medios hemos visto situaciones de paginas caidas, ataques por parte de ciertos grupos en protesta o por fines maliciosos, vulnerabilidades de sistemas, inestabilidad de los mismos, lo cual nos deja muy en claro que existe mucho trabajo por hacer.
Si bien en algunos departamentos de sistemas cuentan con equipamiento y personal destinado a la seguridad informatica se necesitan implementar mas tareas y procesos para este fin, como he mencionado en repetidas ocasiones la seguridad informatica es "Holistica" es un todo que esta en grupos "Heterogeneos" en donde participa mucha gente y mucha infraestrctura. La seguridad de la informacion no se basa en la implementacion de una caja o de un software si no que va mas alla de eso teniendo que complementarse con mucho mas insumos que solamente equipamiento. En el caso de los equipos incluso debe de existir una correcta evaluacion de ellos para determinar si son los equipos propios para gestionar correctamente la seguridad conforme al entorno en donde fue instalado sumado a ello la correcta configuracion que exprima el potencial que ofrece este equipo.
En muchisimos casos podremos comprobar que el encargado de sistemas no esta capacitado o actualizado para llevar de una manera correcta la gestion de la seguridad de la informacion. En muchos casos esto puede ser señalado por una falta de profesionalismo o incluso motivo de reclamo y criticas para los responsables de TI, pero esto no es culpa en la mayoria de los casos del personal de sistemas y no es su culpa por que no hay presupuestos, autorizaciones o apoyo a la capacitacion del personal que esta en esa area y menos aun en temas de seguridad informatica. Los casos de apoyo que llegaran a existir son aislados no hay un politica uniforme en donde se tenga muy bien definido los apoyos y acciones a estar en capacitación continua en temas de seguridad informatica a los responsables de TI de las dependecias de Gobierno, por otra parte los usuarios deberan de recibir capacitacion de seguridad informatica y del correcto uso delos sistemas, cosa que tampoco existe un plan claramente definido para ello.
Las partidas presupuestales de cada dependencia de Gobierno en sus proyecciones anuales deberan ya de tomar en cuenta esta modalidad de ver la seguridad informatica como Holistica considerando asi insumos necesarios y plasmados en presupuestos para ello. Por ejemplo equipamiento nuevo y renovaciones de licencias o por obsolecencias, entrenamiento del equipo para nuevos integrantes, capacitacion para los respondables de gestion de sistemas, capacitacion para los usuarios, presupuesto para software o aplicaciones para seguridad centralzado, de los usuarios y de las paginas Web, presupuesto para certificacion de las entidades de gobierno en las buenas practicas de la proteccion de la informacion, presupuesto para contratar servicios externos de analisis situacional de las seguridad de los sistemas propios de la dependencia, presupuestos para subcontratar a profesionales en la materia para proveer servicios de seguridad informatica al Gobierno, presupuesto para consultores y auditores del rubro, presupuesto de actualizacion de sistemas, software o sistema operativo, presupuesto para creacion de programas para garantizar la no pirateria en software usado por el Gobierno, etc. Todos ellos con el caracter propio del rubro.
La seguridad informatica debe de estar presente en cada rincon del Gobierno, en cada equipo o sistema que este interconectado o aislado con su tipologia de seguridad propio para cada uno de ellos.
Pero como poder legislar, ordenar o tomar criterios para ello siendo que el Gobierno es muy basto, complejo y grande. Son muchas acciones a realizar pero para ello existen "Normas" la norma aplicable para la seguridad informatica es la familia ISO 27000 que ya existe su normativa propiamente Mexicana resultado de la mencionada que es la NMX-I-27000 y quien esta facutado en Mexico para estar certificacion es NYCE, quien es un organismo Nacional de Normalización y Evaluacion de la Conformidad, incluso certifica varios procesos y productos y lo veremos en casi todos los equipos electronicos del pais bajo este Logo.
El ISO 27000 es un estandar que esta diseñado para la correcta gestion de la seguridad de la información, nos da un amplio marco de gestion de la segruidad informatica que es aplicable para cualquier tipo de organizacion, institucion, dependencias o entidad de Gobierno de cualquier tamaño, publico o privado, tambien por supuesto aplicable a cualquier tamaño y giro de empresas particulares
Este estandar no solamente es valido en Mexico si no que es valido y aplicable para cualquer parte de nuestro planeta, aplica a organizaciones, empresas, insttutuciones, Gobierno, etc. que maneje informacion ya sea impresa o escrita, almacenada electronicamente, enviada por correo o medios electronicos, mostrada en video corporativo o privado, verbal, estadistica, de caracter cultural o educativo, informacion Medica, etc. Como podrmos observar casi nadie queda fuera dentro de este estandar que se convierte un apoyo muy fuerte y solido para poder llevar una serie de lineamientos para gestionar correctamente la seguridad informatica.
Los beneficios que ofrece que el Gobierno este certificado y que implemente este tipo de estandares es muy claro por que se establece una metodologia de gestion de la seguridad informatica demanera clara, uniforme, estructurada e integral. Se lleva un control de los riesgos tante de manera preventiva, la gestion segura de accesos controlados a la informacion, crear la confianza en los usuarios de que su informacion esta segura y disponible, crear mecanismos identificados y regulados de auditorias externas para el analisis situacional en relacion a la estabilidad del sistema, su grado de vulnerabilidad, deteccion de amenzas, evaluacion d elos controles de la gestion de la seguridad informatica, crear procesos para la continuidad de las operaciones tras incidentes de gravedad que se presenten, cumplimiento de la legislacion en los rubros de propiedad intelectual, proteccion de datos personales, seguridad nacional y propias del Gobierno, Reglamentaciones del uso de la informacion, aumento de la seguridad, gestion de seguridad fisica, reduccion de costos por perdidas, compatibilidad con otros sistemasde gestion como ISO 9000, etc.
Los procesos de implementacion en su mejor modelo se desarrollarian de la siguiente manera:
- Participacion de un cosultor especialista en seguridad informatica para analizar en que grado o situacion esta el organismo o insttucion a certificar, realizar analisis y pruebas que nos den un mapa asi como los resultados de como estan estructurados, configurados, administrados y protegidos los sistemas, conocer los grados de actualizacion de los mismos, determinar politicas de la empresa de manera general, realizar grupos de trabajo integrados con el cosultor para conocer los usos, actividades y practicas en relacion a sistemas-usuarios-organismo. Recibir el coaching del consultor. El consultor debera de ser especialista en la materia se aconseja que su negocio principal sea eso ya que con eso podriamos asentuar que sus recursos, experiencia, tiempo, inversiones y casos de exito esten dirgidos por y para el segmento de seguridad informatica
- Implementar de manera estructurada y organizada a traves del consultor el estandar ISO 27000, organizar y clarificar entregables a la medida del organismo a certificar, crear documento maestro de cumplimiento del estandar.
- Implementar en accion, derivado del analisis previo se procece a las documentaciones, creacion de procesos, politicas, reglamentos, e implementacion de equipos y software de seguridad informatica, correcta configuracion de sistemas, programas y entidads informaticas, creacion y ejecucion de plan de capacitacion para personal de sisetmas y usuarios.
- Una vez realizado todas estas actividades (Se muestran de manera simplificada) por parte de la integracion de consultor en seguridad informatica, representante de sistemas y la direccion (es sumamente importante involucrar desde el inicio a la direccion o mandos altos) este ultimo para poder tener el apoyo en relacion de lo que se establecera como buenas practicas tanto en implementacion de equipo (autorizacion de adqusicion) como en los reglamentos, politicas y capacitacion que seran parte activa del dia a dia de los integrantes de este ecosistema informatico.
- Cuando todo esto se tiene estructurado por medio del consultor o de manera directa contactar a NYCE, asi directamente... por que cuenta con la facultad, experiencia, auditores y procedimientos para certificar el ISO 27000, este procesos de auditorio es en 2 etapas, la primera se basa en conocimiento de lo que se tiene y se ha hecho para emitir el primer dictamen, dando por entregable comentarios, necesidades de mejora y observaciones que se fijara un tiempo en comun acuerdo para ajustes, reparacion y mejoras a las observaciones del auditor, recordemos en esta parte es un auditor que se involucra con el represetante del organismo para la certificacion asi como con el consultor.
- La segunda parte es para revisar los resultados de la primera parte ver finalmente el "como quedo" y realizar una serie de evualuaciones y si surgen nuevas observaciones se emitiran, asi mismo se deja por un periodo determinado ver la maduracion de los procesos y la emplementacion, si!, para ver como se comporta, como se respeta y se lleva acabo, garantizando asi que sea el organismo a certificar su entregable final el ISO 27000
- Este tiene una vigencia de 3 años en donde se realizaran en este periodo de tiempo una seria de auditorias programadas para ver el cumplimiento y documentar las mejoras continuas que se le deberan de hacer a todos los sistemas y gestion d ela seguridad informatica con fines de mejora.
Dentro de tantos estartegicos entregables propios de este implementacion nos dara un panorama y un analisis para poder tomar desiciones correctas en adquisicion de equipo, ver si las fallas son propias de una vulnerabilidad o incluso de una mala configuracion del sistema, evualar situaciones con una mayor presicion y un orden, Nuesros sistemas tarbajaran mas optimizados y seguros.
El tener sistemas automatizado asi como correcta gestion de la seguridad informatica y por que el poder tener un gobierno electronico muy dinamico tambien puede ser una importante aportacion para minimizar la corrupcion en ciertos puntos.
Existen buenas intenciones, en lo relacionado al Certificacion de ISO 27000 tengo conocimiento de que la Comision Federal Electoral (CFE) esta certificada, asi mismo NYCE y el IFAI estan realizando varias actividades entorno a ello, asi mismo en lo particular estamos realizando actividades de esta Indole con la Agencia Espacial Mexicana en conjuncion con NYCE, tambien en muchos Paises como Colombia, Peru, Brasil estan realizando fuertes actividades en el Gobierno en la busqueda o manutencion de certificacion del ISO 27000 segun el caso.
Tambien como usuarios de Gobierno debemos de estar conciente de estos temas y asi mismo exigir de una u otra manera que nuestra informacion este segura tanto la personal como la del pais, por que a final de cuenta es nuestra tambien.
Con este Paper quiero decir que "Toda" la informacion que tiene el Gobierno este insegura si no que hay muchisimo trabajo por realizar, hacer conciencia de ello, informar que son necesarias estas mejoras y que en algunos casos si es inexistente la seguridad de la información, Que el Gobierno cree consciencia y apoye con fondos programas a capacitar en este tema especifico a sus profesionales de TI para tenerlos en equidad de conocimiento, en uniformidad de la seguridad y el desarrollo humano de sus profesionales.
Esta conciencia como lodigo una vez mas se logra con exito en compartir conocimiento, entre mas conocimiento tengamos podremos tener mas y mejores reacciones ante las desiciones que tomamos dia a dia.
La capacitacion es muy importante y elemental, NYCE tambien ofrece importantes diplomados en diferentes areas acercate a su pagina y conoce.
Otras entidades importantes de conocimiento que menciono muy seguido es:
seguridadinformatica@canietinoroeste.com
La seguridad informatica es Holistica y heterogenea y es labor de todos
No hay comentarios:
Publicar un comentario