La creciente ola de ciberataques a nivel mundial y local a sistemas informáticos de instituciones y organizaciones, que se acrecientan en esta época de festividades, plantea la necesidad permanente de fortalecer la seguridad de la información y específicamente la ciberseguridad. Para lo cual, se deben desarrollar y cumplir estándares internacionales como los denominados “Esquemas de Seguridad de la Información” que son un conjunto de políticas, procedimientos y controles diseñados que deben cumplirse para proteger la información y los sistemas de información de una entidad, organismo, institución o de una organización en general.
Su importancia radica en que permite proteger la información confidencial, datos personales incluidos los sensibles, información financiera, de propiedad intelectual y secretos comerciales; ayuda a la organización a cumplir con las regulaciones y leyes relacionadas con la Seguridad de la Información, así como la Ley Orgánica de Protección de Datos Personales; reduce el riesgo de incidentes de seguridad, como ataques cibernéticos, pérdida de datos y accesos no autorizados; mejora la confianza y la reputación de la organización, ya que demuestra su compromiso con la Seguridad de la Información. En suma, su implementación fortalece el ecosistema digital y promueve la economía digital.
En Ecuador, el Ministerio de Telecomunicaciones y de la Sociedad de la Información, mediante Acuerdo Ministerial Nro. MINTEL-MINTEL-2024-0003 expidió la tercera versión del Esquema Gubernamental de Seguridad de la Información (EGSI v3), el cual fue publicado en el Registro Oficial en el Tercer Suplemento, N° 509, el 1 de marzo de 2024.
Es decir, el estado ecuatoriano, a través de una norma técnica con un enfoque ordenado y estructurado, busca preservar la confidencialidad, integridad y disponibilidad de la información mediante la aplicación de un proceso de gestión de riesgos de seguridad de la información y la selección de controles para el tratamiento de los riesgos identificados.
El EGSI debe ser implementado obligatoriamente por entidades, organismos e instituciones del sector público, así como también por terceros que presten servicios públicos mediante concesión, u otras figuras legalmente reconocidas, quienes además pueden incorporar medidas de Seguridad de la Información adicionales.
Esta obligatoriedad está reconocida en el artículo 19 de la Ley Orgánica para la Transformación Digital y Audiovisual que determina que: “(…) Gestión del Marco de Seguridad Digital. – El Marco de Seguridad Digital del Estado se tienen que observar y cumplir con lo siguiente: (…) d. Institucional: Las entidades de la Administración Pública deberán establecer, mantener y documentar un Sistema de Gestión de la Seguridad de la Información (…)”.
Asimismo, el artículo 38 de la Ley Orgánica de Protección de Datos Personales señala: “(…) El mecanismo gubernamental de seguridad de la información deberá incluir las medidas que deban implementarse en el caso de tratamiento de datos personales para hacer frente a cualquier riesgo, amenaza, vulnerabilidad, accesos no autorizados, pérdidas, alteraciones, destrucción o comunicación accidental o ilícita en el tratamiento de los datos conforme al principio de seguridad de datos personales. El mecanismo gubernamental de seguridad de la información abarcará y aplicará a todas las instituciones del sector público, contenidas en el artículo 225 de la Constitución de la República de Ecuador, así como a terceros que presten servicios públicos mediante concesión, u otras figuras legalmente reconocidas. Estas, podrán incorporar medidas adicionales al mecanismo gubernamental de seguridad de la información (…)”
Es decir, es indispensable para las entidades, organismos e instituciones del sector público, así como también por terceros cumplir la normativa y realizar esfuerzos proactivos y demostrables para garantizar la Seguridad de la Información.
En este sentido, el EGSI establece que la Máxima Autoridad designará al interior de su Institución, un Comité de Seguridad de la Información (CSI) con el objetivo de garantizar y facilitar la implementación de las iniciativas de Seguridad de la Información en la institución; y ser el responsable del control y seguimiento en su aplicación; designará a un funcionario como Oficial de Seguridad de la Información (OSI), responsable de la implementación y mejora continua del EGSI, así como el de coordinar las acciones del Comité de Seguridad de la Información en relación a la implementación y cumplimiento del EGSI; pues una de sus responsabilidades, es implementar y actualizar el Esquema Gubernamental de Seguridad de la Información en la Institución; asimismo liderará el mantenimiento de ciclos de mejora continua, para lo cual, junto con el OSI, iniciará un nuevo proyecto en el plazo doce (12) meses a partir de su implementación.
Sin duda esta herramienta es una metodología de trabajo fundamental para las organizaciones ante el masivo desarrollo tecnológico y la evidente proliferación de uso y procesamiento de información, por lo que, a continuación se detallan las utilidades y ventajas de la implementación del Esquema Gubernamental de Seguridad de la Información con la gestión del CSI y del OSI:
- Identificación y gestión de riesgos: El EGSI ayuda a identificar los activos estratégicos de la Institución y gestionar los riesgos relacionados con la Seguridad de la Información.
- Implementación de controles de seguridad: El EGSI ayuda a implementar controles de seguridad efectivos; los controles están relacionados a: controles organizacionales, controles físicos, controles de personas y controles tecnológicos.
- Concienciación: El EGSI ayuda a concienciar a los funcionarios, servidores, trabajadores y terceros relacionados a la Institución, sobre la importancia de la Seguridad de la Información.
- Mejora de la eficiencia y la productividad: El EGSI ayuda a mejorar la eficiencia y la productividad, ya que reduce el tiempo y los recursos necesarios para gestionar la Seguridad de la Información.
- Cumplimiento de estándares y certificaciones: El EGSI ayuda a cumplir con estándares y certificaciones de Seguridad de la Información, como la ISO 27000 (27001, 27002, 27005), entre otros.
- Mejora de la resiliencia y la continuidad: El EGSI ayuda a mejorar la resiliencia y la continuidad del negocio, ya que reduce el impacto de los incidentes de seguridad y mejora la capacidad de recuperación.
- Mejora de la colaboración y la comunicación: El EGSI ayuda a mejorar la colaboración y la comunicación entre las diferentes Unidades Administrativas y las partes interesadas, ya que fomenta la compartición de información y la coordinación de esfuerzos interinstitucionales.
Su prioridad e importancia se evidencian con la decisión del Ministerio de Telecomunicaciones y Seguridad de la Información, que desde marzo de 2024, solicitó a las Instituciones Públicas, crear en el sistema de Gobierno por Resultados (GPR) el Proyecto denominado “Implementación del Esquema Gubernamental de Seguridad de la Información (EGSI V3)”, el cual deberá estar alineado al Programa “Gestión de la Seguridad de la Información en las instituciones del Sector Público – EGSI v3” y que deberá finalizar en su implementación hasta el 28 de febrero de 2025. Mientras que, las instituciones que finalizaron en diciembre el proyecto de implementación deberán mantenerse en mejora continua, ejecutando actividades como: actualizaciones periódicas de riesgos, indicadores, Políticas de Seguridad, Evaluaciones Internas, Cumplimiento partes interesadas, entre otros. (Acuerdo Ministerial Nro. MINTEL-MINTEL-2024-0003)
El cumplimiento de estos hitos y plazos resulta necesario para el fortalecimiento de la ciberseguridad y en especial dota a la información y en especial a los datos personales, que están almacenados masivamente en instituciones públicas, de mayores niveles de salvaguardia. El diseño, implementación, cumplimiento y mantenimiento de estos esquemas y metodologías permiten evidenciar el cumplimiento del principio de seguridad de la información previsto en la Ley Orgánica de Protección de Datos y además dibujan el contenido esencial de uno de los nuevos derechos digitales, el derecho a la seguridad digital. Es decir, las comunidades técnicas, la academia, la sociedad civil y la ciudadanía en general debemos desarrollar los conocimientos, las habilidades y destrezas para comprender el alcance del cumplimiento de estos estándares y además de verificar su debido cumplimiento convertirnos en permanentes veedores y fiscalizadores de su adecuado y oportuno cumplimiento. No podemos olvidar que, en esta era digital, la información es poder y los datos personales somos nosotros mismos, pues son nuestra manifestación digital y por ende debe ser protegida.