No, de acuerdo a las circunstancias mencionadas la Política de Seguridad de la Información como parte de los requisitos, debe ser de alto nivel.

La Política de Seguridad de la Información establece y confirma el compromiso de la máxima autoridad con los objetivos de seguridad de la información que se intenta lograr, observando los requisitos legales y reglamentarios aplicables, en este caso el Esquema Gubernamental de Seguridad de la Información.

Sí se puede, siempre y cuando esta selección se haya generado del resultando de un análisis y consenso con el Comité de Seguridad de la Información, es decir se debe reflexionar sobre qué procesos son los suficientemente significativos para la institución.

Efectivamente en el proceso de definición del alcance se debe establecer los límites de la implementación del EGSI V2 para este primer ciclo y su aplicabilidad (proceso, ubicación, tecnología); es decir definiendo el límite organizacional, físico y de TI.

Dependerá de cuando fue emitida esa observación, hay que recordar que la implementación del EGSI V1 estuvo vigente hasta diciembre de 2019. A partir del 10 de enero de 2020 se inició con el proceso de implementación de la nueva versión, para esto se emitió un oficio con las “Acciones a tomar con la implementación del EGSI V1”, en donde dependiendo del estado de la implementación en el que se encontraba cada institución se debía seguir ciertas directrices.

De acuerdo a las respuestas planteadas en ítems anteriores el Oficial de Seguridad de la Información (OSI) debe tener diferentes habilidades y capacidades, conocer diferentes temas; es decir no debería estar limitado al conocimiento de una sola área.

En el caso específico del EGSI V2 en su artículo 4 se estableció un perfil alineado a lo que proponen las buenas prácticas y casos de éxito, sin olvidar la estructura organizacional de las instituciones públicas; esto con el propósito de que las instituciones puedan seleccionar a un funcionario que desempeñe este rol.

La selección de los controles depende de las decisiones de carácter organizativo basadas en los criterios de aceptación del riesgo, las opciones de procesamiento del riesgo y de los enfoques generales de gestión del riesgo aplicados en la institución.

Es decir, no hay límites, cada institución debe seleccionar la cantidad de controles necesarios para reducir el nivel del riesgo identificado, reflexionando que la responsabilidad de preservar la confidencialidad, integridad y disponibilidad de la información, es de cada institución.

Con el propósito de que cada uno de los riesgos identificados sean tratados y posteriormente sean auditados, el Esquema Gubernamental de Seguridad de la Información incluye en la “Guía para la implementación de controles de seguridad de la información” 115 controles de Seguridad.

La información sensible o confidencial nace de identificar en primera instancia la información esencial (la que permite desarrollar los procesos de negocio) que se afianza en identificación y tasación de activos de información.

Con la información esencial se puede hacer una etapa de determinar su nivel de confidencialidad o sensibilidad verificando el impacto a la organización y al proceso por haberse afectado la confidencialidad de esta información. (*)

Si, el documento es la Declaración de Aplicabilidad (SoA).

La Declaración de aplicabilidad (SoA) es el vínculo que existe entre el plan de tratamiento de riesgos y la implementación de los controles del EGSI.  El objetivo de este documento es definir cuáles de los controles disponibles en el Anexo del Acuerdo Ministerial 025-2019 son los que la institución implementará.

De acuerdo a lo establecido en el artículo 4 del Acuerdo Ministerial No. 025-2019 la primera etapa contempla la Evaluación de Riesgos y el plan para el tratamiento de los riesgos, en su primera etapa.

Sí, efectivamente.

Los controles deben ser seleccionados en función de los resultados obtenidos en la evaluación de riesgos, sin olvidar que también se debe identificar de manera adicional los controles necesarios, por ejemplo, para el cumplimiento de requisitos legales, requisitos contractuales u otros procesos.

La nueva versión del EGSI fomenta precisamente la implementación de un SGSI a través de la norma ISO27001, sin embargo, es preciso aclarar que la norma internacional no define una estructura organizativa para la seguridad de la información (CSI y OSI), no establece plazos, no define responsabilidades puntuales, entre otros.

El EGSI V2, dispone la creación de una estructura organizativa para la gestión de la Seguridad de la Información, establece las responsabilidades, los plazos de implementación. Adicionalmente provee de una metodología de evaluación de riesgos como guía para la evaluación de riesgos y documentación adicional como soporte a la implementación.

NO, los plazos establecidos en el Acuerdo Ministerial son de cumplimiento obligatorio. La nueva autoridad posesionada en la institución se entiende que asume todas las responsabilidades y el cumplimiento de la normativa legal vigente.

El EGSI V2, dispone la creación de una estructura organizativa para la gestión de la Seguridad de la Información, establece las responsabilidades, los plazos de implementación. Adicionalmente provee de una metodología de evaluación de riesgos como guía para la evaluación de riesgos y documentación adicional como soporte a la implementación.

La Declaración de Aplicabilidad es un documento estructurado por el Oficial de Seguridad de Información apoyado del custodio técnico para proponer los controles que son requeridos en la gestión de riesgo. En este documento se describe cuáles controles se consideran implementar y cuáles no con su debida justificación.

El Comité de Seguridad de Información revisa, y determina los controles que efectivamente se van a ejecutar considerando disponibilidad de recursos, una vez aprobado por el Comité, se envía a la Gerencia General para su autorización (*).

Efectivamente, El Oficial de Seguridad de la Información (OSI) debe ser un funcionario independiente del área de TI, puesto que debe mantener su independencia para observar las necesidades de seguridad entre la estrategia de la institución y tecnologías de la información.

En este sentido, en el artículo 7 del acuerdo ministerial No. 025-2019 se recomienda que el OSI que no pertenezca al área de Tecnologías de la Información.

En la nueva versión del EGSI, no se ha establecido “Hitos prioritarios” e “Hitos no prioritarios”.

La metodología de implementación del EGSI V2, establece la implementación en 2 etapas:

• La primera etapa comprende:La Evaluación y el plan para el tratamiento de los riesgos de cada Institución”, la cual debe estar implementada hasta el mes de septiembre del presente año.
• La segunda etapa comprende:La actualización o implementación de los controles de seguridad, hasta el mes de abril 2021. Se deben implementar todos los controles necesarios para reducir el riesgo.Con el propósito de que cada uno de los riesgos identificados sean tratados y posteriormente sean auditados, el Esquema Gubernamental de Seguridad de la Información incluye en la “Guía para la implementación de controles de seguridad de la información 115 controles de Seguridad.Cada institución es libre de incluir en el proceso de implementación controles adicionales a los propuestos en el EGSI, con el objetivo de contrarrestar efectivamente los riesgos identificados.

SI, Todos los “hitos homologados” (requisitos y controles) son obligatorios. Sin embargo, si uno o varios hitos que hacen referencia a controles de seguridad que no se van implementar, ya sea porque, no se requieren para reducir el nivel del riesgo identificado o no son aplicables de acuerdo al giro del negocio; estos se deben justificar a través de un informe técnico.

Las directrices para la elaboración del Informe Técnico serán informadas una vez que se inicie con la segunda etapa.

Es importante tener presente que el eje central de este Esquema es la evaluación de riesgos, por lo que se requiere agrupar esfuerzos para cumplir con la primera etapa.

SI, se elaboró un formato para la evaluación de riesgos en función de la Guía para la gestión de riesgos incluida en el anexo del Acuerdo Ministerial No. 025-2019, este formato fue remito a todas las instituciones de la Administración Pública Central, a través de los Oficiales de Seguridad.

El control adicional, no es un nuevo, se mantuvo de la versión anterior. A continuación, el control en referencia:

Consideraciones de la seguridad cuando se trata con ciudadanos o clientes

Identificar requisitos de seguridad antes de facilitar servicios a ciudadanos o clientes de instituciones gubernamentales que utilicen o procesen información de los mismos o de la institución. Se podrá utilizar los siguientes criterios:

• Protección de activos de información;
• Descripción del producto o servicio;
• Las diversas razones, requisitos y beneficios del acceso del cliente;
• Política de control del acceso.

NO, las políticas, procedimientos y cualquier documentación interna elaborados en cumplimiento del EGSI V1 deben ser revisados y actualizados continuamente; considerando que la documentación requiere la revisión de al menos una vez al año.

En relación a los acuerdos ministeriales, resoluciones y demás normativa legal interna de cada institución, que en función del cumplimiento del EGSI V1 fueron elaborados, deberían ser reformados.

La declaración de aplicabilidad (SoA); es un documento clave dentro del EGSI, en donde se listará y se describirá los controles del Anexo (Guía para la implementación de controles) que son aplicables en la institución, así como también los controles que no se van a implementar y estos últimos deben ser justificados mediante un Informe técnico.

Para ello se pueden considerar las siguientes recomendaciones:

• Identificar los controles que deben implementarse (los aplicables), analizando la necesidad de disminuir el nivel del riesgo identificado, esto en el proceso de tratamiento de riesgos.
• Identificar de manera adicional los controles necesarios, por ejemplo, para el cumplimiento de requisitos legales, requisitos contractuales u otros procesos.
• Identificar y documentar si cada control aplicable ya está implementado o no, describiendo brevemente el procedimiento vigente.

Los criterios de evaluación se han informado durante el proceso de evaluación del EGSI V1 y en las asistencias técnicas realizadas.

Los criterios de evaluación de los controles se basan en 3 parámetros:

• Documentación: normas, políticas, procedimientos, otros, formalmente establecidas (actualizadas, socializadas, y con firmas de responsabilidad).
• Implementación: La aplicación de lo establecido en la documentación.
• Verificables: Informes, diagramas, reportes, correos electrónicos, otros, que permitan evidenciar lo implementado (registros).

Efectivamente, si uno o varios “hitos” que hacen referencia a controles de seguridad que no se van implementar, ya sea porque, no se requieren para reducir el nivel del riesgo identificado o no son aplicables de acuerdo al giro del negocio; estos se deben justificar a través de un informe técnico.

Las directrices para la elaboración del Informe Técnico serán informadas una vez que se inicie con la segunda etapa.

Es importante tener presente que el eje central de este Esquema es la evaluación de riesgos, por lo que se requiere agrupar esfuerzos para cumplir con la primera etapa.

En función de la experiencia, el Oficial de Seguridad debería cumplir con lo siguiente:

• Conocimiento del negocio o la actividad económica de la empresa o entidad
• Fundamentos de Administración de Empresas
• Gestión y Dirección de Proyectos
• Gestión de la Seguridad de la Información: familia de las ISO 27000 + estándares de seguridad complementario
• Gestión de Riesgos: metodologías de gestión Magerit, ISO 31000, ISO 31010, COSO ERM, Octave dependerá de cuál es más a fin al perfil del oficial
• Conocimiento de gestión de Tecnologías de Información.
• Conocimientos básicos de gestión documental
• Habilidades comunicacionales, trabajo en equipo. (*)