Se aprueba el Modelo de Gobernanza de Seguridad de la Información en el Estado
26/02/2020 11:22
Recientemente mediante la Resolución MITIC Nro. 733/2019 se aprobó el “Modelo de Gobernanza de Seguridad de la Información en el Estado”, que tiene como punto principal la designación de un área de Seguridad de la Información en todas las instituciones gubernamentales, con objetivos, roles, competencias y responsabilidades bien definidas.
Esta iniciativa nace en el marco de los esfuerzos de mejorar el nivel de Ciberseguridad en el Gobierno Paraguayo.
Si bien, hoy en día se cuenta con diversos estándares, directivas y políticas en materia de Ciberseguridad, como por ejemplo los “Controles Críticos de Ciberseguridad” (Res. SENATICs 115/2018), la gran mayoría de las instituciones públicas no cuentan con áreas responsables de la seguridad de la información, por lo que en la práctica, el nivel de cumplimiento de dichos estándares es bajo. Desde el MITIC se ha llevado a cabo diagnósticos en varias instituciones para medir el nivel de cumplimiento de dichos controles, lo cual ha evidenciado que la ausencia de un área de Seguridad de la Información es uno de los principales impedimentos para poder implementar los controles propuestos.
De acuerdo a las recomendaciones de diversas normas, tales como ISO 27000, el NIST Cybersecurity Framework, y ISO 38500 es importante ver a la Ciberseguridad como un componente fundamental no solo en la operativa de las organizaciones sino como un eje transversal, que afecta a los pilares misionales de cada institución. Además, esta Resolución se encuentra alineada al Plan Nacional de Ciberseguridad, el cual en su línea de acción 6.a.3 establece la creación de áreas especializadas de TIC y de Ciberseguridad en las instituciones públicas.
De acuerdo a la Resolución aprobada, objetivo del área de Seguridad de la Información es velar por la seguridad de todos los activos de información de la institución en cuanto a su confidencialidad, integridad y disponibilidad.
Sus responsabilidades engloban los siguientes aspectos:
● Identificar y evaluar los riesgos y las brechas que afectan a los activos de información de la institución y proponer planes y controles para gestionarlos
● Elaborar y velar por la implementación de un plan o estrategia de seguridad de la información
● Elaborar, proponer y velar por el cumplimiento de las políticas de seguridad de la información de la institución
● Proponer los planes de continuidad de negocio y recuperación de desastres en el ámbito de las tecnologías de la información.
● Supervisar la administración del control de acceso a la información.
● Supervisar el cumplimiento normativo de la seguridad de la información.
Dicha área debe poder reportar a la Máxima Autoridad y debe ser independiente de las áreas de Tecnología o TIC, entendiéndose que Seguridad de la Información y Ciberseguridad son áreas transversales, con roles y responsabilidades distintos a Tecnología: seguridad de la información debe ser responsable, no de las tecnologías en sí, sino en la protección de la misma, así como también de los activos de información (digitales o no), y no desde el punto de vista operativo simplemente, sino desde una visión más amplia que incluya la identificación y gestión de los riesgos riesgos, la continuidad de negocios, cumplimiento normativo y muchos otros.
Además, las normas y estándares internacionales muchas veces recomiendan esa independencia, como una manera de evitar conflicto de intereses que muchas veces pueden surgir entre ambas áreas, en cuyo caso es la Máxima Autoridad quien debe poder tomar decisiones para resolverlos. La Resolución igualmente aclara que Seguridad de la Información no sustituye, de ninguna manera, a Seguridad Informática, Seguridad TICs o cualquier otra área operativa, las cuales normalmente tienen entre sus funciones la implementación de los controles tecnológicos. Todas estas áreas deben trabajar de manera coordinada con Seguridad de la Información, bajo la premisa que ciberseguridad es un eje transversal a toda la institución.
Con esta política de Estado, que marca un hito en el modelo de madurez de la ciberseguridad como país, se busca generar un modelo de gobernanza descentralizado, entendiendo que la ciberseguridad es un tema de responsabilidades compartidas y compromiso de todas las partes. Si bien, el Ministerio de Tecnologías de la Información y Comunicaciones constituye la Autoridad central en materia de ciberseguridad, ésta es solamente para establecer los planes, políticas, proyectos e iniciativas tendientes a mejorar la ciberseguridad a nivel nacional y particularmente en el Estado - sin embargo, la adopción, implementación y apropiación de estas iniciativas debe ser asumida por cada una de las instituciones. Los Responsables de Seguridad de la Información serán la contraparte activa de este compromiso. Se espera que todas las instituciones públicas, especialmente aquellas que se encuentran bajo la autoridad del MITIC, designen a los responsables de Seguridad de la Información antes del 01 de abril.
Así mismo, los Responsables de Seguridad de la Información de todas las OEE formarán parte del subcomité de Ciberseguridad de la Administración Pública.
