Egsi
-
Upload
johanna-pazmino -
Category
Education
-
view
151 -
download
1
Transcript of Egsi
Esquema Gubernamental de Seguridad de la Información:
EGSI Diciembre, 2014
Objeto de
información
Crítico
Atributos:
• Confidencialidad
• Integridad
• Disponibilidad
• Ausencia de Control
• Control Débil
• Control no efectivo
Riesgo: Es la probabilidad de que una amenaza aprovechando
una vulnerabilidad de un control, se materialice su efecto,
impactando de manera no deseada para el dueño de ese objeto
crítico, sus atributos
VULNERABILIDAD
Amenaza
CONCEPTOS IMPORTANTES
META
Mitigar
Evitar
Transferir
Aceptar
Publicado mediante Acuerdo Ministerial 166, publicado en Registro
Oficial de 25 septiembre 2013.
Esquema Gubernamental de
Seguridad de la Información (EGSI)
INTRODUCCIÓN:
Artículo 1: Dispone a las entidades de la APCID, el uso obligatorio de
las normas NTE INEN-ISO/IEC 27000, para la gestión
de Seguridad de la Información.
Artículo 2 y 3: Fechas de Cumplimiento del Acuerdo
DESCRIPCIÓN FECHA MÁXIMA DE
CUMPLIMIENTO
Conformación de Comité de Seguridad de
Información, Responsable de TI y Oficial de
Seguridad
25 de octubre 2013
Directrices prioritarias (126)
25 de marzo 2014
Directrices no Prioritarias
25 de marzo 2015
Esquema Gubernamental de
Seguridad de la Información (EGSI) Artículo 4: Seguimiento y Control por parte de la SNAP por medio de
las siguientes opciones:
Sistema informático GPR: Programa Institucional “SNAP - Gestión de la Seguridad de la Información en las entidades de la Administración Pública Central Dependiente e Institucional“
Sistema paralelo de avance estructurado y semiautomatizado.
Artículo 5: La SNAP realizará:
Revisiones Anuales acorde modificaciones ISO 27002. Revisiones cuando las circunstancias lo ameriten. Definición de procedimientos, metodologías para su actualización,
implementación, seguimiento y control.
Artículo 6: La máxima autoridad de cada entidad debe mantener la
documentación de la implementación del EGSI
debidamente organizada y registrada.
Artículo 7: Entidades deberán realizar una evaluación de riesgos,
diseñar e implementar el plan de manejo de riesgos
de su institución, en base a la norma INEN ISO/IEC 27005
“Gestión del Riesgo en la Seguridad de la Información”.
ACTIVOS DE INFORMACIÓN
SEGURIDAD DE LA INFORMACIÓN
Confidencialidad
Integridad Disponibilidad
INFORMACIÓN
ESQUEMA GUBERNAMENTAL DE SEGURIDAD DE LA
INFORMACIÓN (EGSI)
EGSI
La implementación del EGSI
se realizará en cada
institución de acuerdo al
ámbito de acción, estructura
orgánica, recursos, y nivel de
madurez.
Basado en NTE INEN
ISO/27002
Conjunto 126 controles
(hitos) prioritarios para
Gestión de la Seguridad de
la Información
Determinar las líneas base de
seguridad de la información en
las entidades de la APCID,
para Incrementar la Seguridad
de la Información
CONFORMACIÓN DEL COMITÉ DE GESTIÓN DE SEGURIDAD
DE LA INFORMACIÓN
Comité de Seguridad de la Información
Director Administrativo Responsable del Área de RRHH Responsable Área de TIC’S Responsable de Auditoría Interna Responsable del Área Legal Oficial de Seguridad de la Información
Oficial de Seguridad de la información
No pertenecerá al área de Tecnologías de la Información Reportará a la máxima autoridad de la institución Coordinará con las diferentes áreas a fin de recolectar
información y dar cumplimiento a los hitos. Establecerá criterios de Seguridad de Información
Factores Claves de Éxito en la Implementación
del EGSI
Política de seguridad documentada y alineada con los objetivos del negocio.
Apoyo y participación visible de la alta gerencia.
Entendimiento de los requerimientos de seguridad, evaluación y gestión de los riesgos asociados.
Compatibilidad con la cultura organizacional.
Entrenamiento y educación.
Nivel de cumplimiento del EGSI según
rankings al 10 de Octubre de 2014
93
Factores Claves de Éxito en la Implementación
del EGSI
Política de seguridad documentada y alineada con los objetivos del negocio.
Apoyo y participación visible de la alta gerencia.
Entendimiento de los requerimientos de seguridad, evaluación y gestión de los riesgos asociados.
Compatibilidad con la cultura organizacional.
Entrenamiento y educación.
¿Preguntas?