Análisis y planteamiento de políticas de acuerdo al esquema gubernamental de seguridad de la información (EGSI) para la empresa pública Yachay

Abstract

Se considera la información como un recurso altamente utilizado en hogares, instituciones educativas, empresas, otras organizaciones. Por esta razón es importante determinar las acciones a seguir para protegerla. La Empresa Pública YACHAY es una organización creada para apoyar al proyecto “Ciudad del Conocimiento YACHAY”, el cual tiene como objetivo principal efectuar investigaciones tecnológicas que mejoren la Matriz Productiva en el país. La Dirección de Tecnologías de la Institución tiene toda la predisposición de respaldar la información que conlleva el proyecto YACHAY. Se considera importante evaluar los riesgos a los que se enfrentan las tecnologías de la información; es así que existen varias metodologías que permiten realizar este proceso. Algunas son: MARGERIT, OCTAVE, ISO/IEC 27005, MSAT. Cada una de ellas propone una serie de actividades para determinar los peligros tecnológicos a lo que se enfrenta la empresa y se orientan al tipo de organización que se desea aplicar; de tal manera que al seleccionar cuál herramienta es la más adecuada para el proyecto, la decisión es Microsoft Security Assessment Tool que trabaja en 4 áreas esenciales como: infraestructura, aplicaciones, operaciones y personal y sus recomendaciones van enfocadas a la Norma Internacional ISO/IEC 27002. A partir de la evaluación de riesgos, todos los procesos que se ejecutan deben regirse a Estándares Internacionales. En el caso de la seguridad de la información, el regimiento es en base a la ISO/IEC 27000 propuesta por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC), que se enfoca en 4 aspectos fundamentales; entre ellos la tecnología de la información. En el Ecuador, el Instituto Ecuatoriano de Normalización (INEN) acoge la Norma Internacional y la expone para su uso como Norma Técnica Ecuatoriana ISO/IEC 27000. La Norma se clasifica de la siguiente forma: en la ISO/IEC 27000 se encuentran términos y definiciones; así también, en la ISO/IEC 27001 se presentan los requisitos para trabajar con los sistemas de gestión de seguridad de la información (SGSI); además la ISO/IEC 27002 que recoge la guía de buenas prácticas, es decir las medidas a tomar para asegurar los sistemas de información, contenidos en 11 dominios, 39 objetivos de control y 133 controles. Además, la Secretaría Nacional de Administración Pública presenta en el Esquema Gubernamental de Seguridad de la Información los dominios de la Norma ISO/IEC 27002; que las empresas y entidades públicas deben cumplir los hitos en un 100% al finalizar el año 2016. De esta manera surgió la necesidad de cumplir con Políticas de Seguridad de la Información que sean evidencia del desarrollo de los hitos requeridos por la SNAP. La entidad pública ha venido presentando algunos ítems que conformen el documento y la presente investigación se enfoca a colaborar en la parte de gestión de comunicaciones y operaciones; aclarando que es una propuesta de Políticas de Seguridad para que la empresa realice su análisis, aceptación y puesta en marcha de los controles según lo crea conveniente.