Esquema Gubernamental de Seguridad de la Información – EGSI

Esquema Gubernamental de Seguridad de la Información – EGSI

icono egsi

Los avances de las Tecnologías de la Información y Comunicación (TIC) han ocasionado que los gobiernos otorguen mayor atención a la protección de sus activos de información con el fin de generar confianza en la ciudadanía, en sus propias instituciones y minimizar riesgos derivados de vulnerabilidades informáticas.

Considerando que las TIC son herramientas imprescindibles para el desempeño institucional e interinstitucional, y como respuesta a la necesidad gestionar de forma eficiente y eficaz la seguridad de la información en las entidades públicas, emitió los Acuerdos Ministeriales No. 804 y No. 837, de 29 de julio y 19 de agosto de 2011 respectivamente, mediante los cuales creó la Comisión para la Seguridad Informática y de las Tecnologías de la Información y Comunicación.

La comisión realizó un análisis de la situación respecto de la gestión de la Seguridad de la Información en las Instituciones de la Administración Pública Central, Dependiente e Institucional, llegando a determinar la necesidad de aplicar normas y procedimientos para seguridad de la información, e incorporar a la cultura y procesos institucionales la gestión permanente de la misma. La comisión para satisfacer esta necesidad desarrolló El Esquema Gubernamental de Seguridad de la Información (EGSI).

El EGSI, está basado en la norma técnica ecuatoriana INEN ISO/IEC 27002 para Gestión de la Seguridad de la Información y está dirigido a las Instituciones de la Administración Pública Central, Dependiente e Institucional.

El EGSI establece un conjunto de directrices prioritarias para Gestión de la Seguridad de la Información e inicia un proceso de mejora continua en las instituciones de la Administración Pública. El EGSI no reemplaza a la norma INEN ISO/IEC 27002 sino que marca como prioridad la implementación de algunas directrices.

La implementación del EGSI incrementará la seguridad de la información en las entidades públicas, así como en la confianza de los ciudadanos en la Administración Pública.

*Mas información: Acuerdo Ministerial No. 166, publicado en el Registro Oficial No. 88 del 25 de septiembre de 2013*

Implementación del EGSI

Gráfico Implementación del EGSI

Mediante Acuerdo Ministerial No. 166, publicado en el Registro Oficial No. 88 del 25 de septiembre de 2013, dispone la implementación del Esquema Gubernamental de Seguridad de la Información (EGSI), en todas las entidades de la Administración Pública Central, (APC); donde se establece 126 hitos o controles, basadas en la norma técnica ecuatoriana INEN ISO/IEC 27002 “Código de Práctica para la Gestión de la Seguridad de la Información”, cuya implementación debe ser prioritaria para las entidades públicas (fase I) y la implementación de la fase II del EGSI se realizará en cada institución de acuerdo al ámbito de acción. Estructura orgánica, recursos y nivel de madurez en gestión de seguridad de la información.

Se recomienda que previo a la implementación del EGSI se proceda a dar cumplimiento al Art. 7: “Las entidades realizarán una evaluación de riesgos y diseñarán e implementarán el plan de manejo de riesgos de su institución, en base a la norma INEN ISO/IEC 27005 «Gestión del Riesgo en la Seguridad de la Información”; considerando que los activos críticos institucionales identificados en el estudio de gestión de Riesgos, permitirán determinar los controles necesarios a ser implementados.

Para validar el cumplimiento de lo expuesto anteriormente el MINTEL mediante la Subsecretaria de Gobierno Electrónico, realiza periódicamente el seguimiento de la implementación y evaluaciones del cumplimiento del EGSI emitiendo los rankings respectivos y realizando las evaluaciones en situ.

* la Subsecretaria de Gobierno Electrónico, continúa realizando las asesorías, seguimiento y evaluaciones del EGSI; de manera complementaria se envía comunicados con recomendaciones a través de la plataforma Quipux a fin de que las instituciones de la APC logren una implementación adecuada del EGSI y la mejora continua del mismo.

* Las instituciones pueden solicitar las asesorías del EGSI a través del correo electrónico: soporte@gobiernoelectronico.gob.ec

Medición ranking del EGSI

En cumplimiento a lo dispuesto en el Acuerdo Ministerial No. 166, respecto al seguimiento y coordinación de la implementación del EGSI, se ha elaborado un ranking de entidades de la Administración Pública Central, que cumplen con la implementación del EGSI. Esta información es tomada del GPR, así como de los avances recibidos de forma manual.

El nivel de cumplimiento del EGSI de una entidad en el ranking se calcula en base al número de hitos verificados en relación al total de 126 hitos a cumplir y la calidad de los documentos cargados como verificables del cumplimiento de cada hito, en base a 4 criterios como se indica en la Criterios para calificar documentos cargados como verificables de un hito del EGSI en GPR.

tabla de criterios para calificar documentos cargados como verificables de un hito del EGSI en GPR
Criterios para calificar los verificables del EGSI en GPR

El cálculo del valor asignado a la calidad de la información, se lo determina con la siguiente formula:

Sumatoria del puntaje de calidad del verificable de cada hito (criterios de verificación) ∗ 100% / Total de hitos indicados como cumplidos por parte de la entidad que presenta la información ∗100

El ranking del EGSI se expresa en una tabla, cuyas columnas se indican en la siguiente figura:

Gráfico del formato del ranking del EGSI se expresa en una tabla
Criterios para calificar los verificables del EGSI en GPR

La tabla del ranking del EGSI establece también un nivel de cumplimiento de las entidades públicas en base a la cantidad de hitos, como se indica en la siguiente tabla.

NIVEL DE CUMPLIMIENTO EGSI
SEMÁFORO
% DE HITOS CUMPLIDOS EGSI
Buena
Verde
100%-90%
Regular
Amarillo
89%-60%
Mala
Naranja
59%-30%
Muy Mala
Rojo
29%-0%
Clasificación de cumplimiento del EGSI

Evaluación in situ

Con fecha 19 de septiembre de 2013, se emitió el Acuerdo Ministerial No. 166, publicado en el Registro Oficial No. 88 del 25 de septiembre de 2013, el cual dispone la implementación del Esquema Gubernamental de Seguridad de la Información (EGSI) en todas las entidades de la Administración Pública Central (APC) y en su artículo 5, dispone: “realizar de forma ordinaria una revisión anual del EGSI en conformidad a las modificaciones de la norma INEN ISO/IEC 27002 que se generen y de forma extraordinaria o periódica cuando las circunstancias así lo ameriten, además definirá los procedimientos o metodologías para su actualización, implementación, seguimiento y control”.

La Evaluación se la realiza a una cantidad de hitos definidos previamente de la Fase I y Fase II, donde se evalúa la documentación, verificables y ejecución, que evidencien que la implementación del EGSI se mantiene de manera eficaz, eficiente y efectiva con el objetivo de asegurar la información crítica de la entidad además de estar en conformidad con los requisitos de la familia de normas INEN ISO/IEC 27000, legales y los del EGSI.

Resultado
Franja
Ponderación
Acciones
Buena
Verde
100%-90%
Emisión de comunicado favorable y recomendaciones de mejora continua.
Regular
Amarillo
89%-60%
Emisión de observaciones y hallazgos para correcciones a la implementación.
Mala
Naranja
59%-30%
Emisión de observaciones y hallazgos para correcciones inmediatas. Definición de hoja de ruta.
Muy Mala
Rojo
29%-0%
Emisión de observaciones y hallazgos para correcciones inmediatas. Estado urgente.
Semáforo de Calificación

La selección de las instituciones se realiza según el cumplimiento en la implementación y a la ubicación geográfica de la institución.

La calificación de los hitos se basa en tres parámetros:

– Documentación: Normas, políticas, procedimientos, etc, formalmente establecidos;

– Implementación (ejecución): La aplicación de lo establecido en la documentación;

– Verificables: Informes, diagramas de red, reportes, correos electrónicos, etc.

* La Subsecretaria de Gobierno Electrónico se encuentra evaluando el cumplimiento del EGSI, razón por la cual la documentación debe estar debidamente formalizada y con la evolución que cada hito ha tenido.

* Para garantizar la vigencia de la política de seguridad de la información en la institución, esta deberá ser revisada anualmente o cuando se produzcan cambios significativos a nivel operativo, legal, tecnológico, económico, entre otros. (hito 1.2 Revisión de la política, literal “a)”)

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra ACEPTAR
Aviso de cookies