Esquema Gubernamental de Seguridad de la Información (EGSI)

 

El Esquema Gubernamental de Seguridad de la Información (EGSI) es un marco de referencia integral que establece los principios, lineamientos, normas y procedimientos para la gestión de la seguridad de la información en las entidades del sector público ecuatoriano. Su objetivo es proteger la información confidencial, clasificada y de interés público que manejan estas entidades, así como los sistemas de información que la soportan.

Componentes del EGSI.

El EGSI se compone de diversos elementos que trabajan en conjunto para garantizar la seguridad de la información en el sector público:

Política de Seguridad de la Información:

• Define la visión, misión, objetivos y principios rectores que guiarán la gestión de la seguridad de la información en las entidades del sector público.
• Establece el compromiso de la alta dirección con la seguridad de la información y asigna responsabilidades a los diferentes niveles de la organización.
• Define los marcos legales y normativos que sustentan la política de seguridad de la información.
• Establece los mecanismos para la comunicación, capacitación y sensibilización en materia de seguridad de la información.

Normativa de Seguridad de la Información:

• Establece las normas técnicas y estándares que deben cumplir las entidades públicas para gestionar la seguridad de la información.
• Define los requisitos mínimos de seguridad para los sistemas de información, las redes de comunicación y los activos de información.
• Establece los procedimientos para la gestión de riesgos, la implementación de controles de seguridad, la auditoría de seguridad de la información y la respuesta a incidentes de seguridad.
• Define los criterios para la selección y adquisición de productos y servicios de seguridad de la información.

Metodología para la Gestión de Riesgos de Seguridad de la Información:

• Proporciona un marco estructurado para identificar, evaluar, tratar y comunicar los riesgos de seguridad de la información en las entidades públicas.
• Define las etapas del proceso de gestión de riesgos, incluyendo la identificación de activos de información, el análisis de amenazas y vulnerabilidades, la evaluación de riesgos y la selección e implementación de controles de seguridad.
• Establece los criterios para la clasificación de riesgos y la priorización de acciones para su tratamiento.
• Define los mecanismos para el monitoreo y revisión periódica de los riesgos de seguridad de la información.

Controles de Seguridad de la Información:

• Define las medidas de seguridad que deben implementarse para proteger los activos de información de las entidades públicas.
• Incluye controles preventivos, detectivos y correctivos para abordar los diferentes tipos de amenazas y riesgos de seguridad de la información.
• Ejemplos de controles de seguridad incluyen:
  • Control de acceso físico y lógico a los sistemas de información.
  • Protección contra malware y virus informáticos.
  • Implementación de firewalls y sistemas de detección de intrusiones.
  • Encriptación de datos confidenciales.
  • Copias de seguridad y recuperación de desastres.
  • Capacitación y sensibilización en seguridad de la información.

Lineamientos para la Auditoría de Seguridad de la Información:

• Establecen los criterios y procedimientos para realizar auditorías de seguridad de la información en las entidades públicas.
• Definen el alcance, la metodología y los entregables de las auditorías de seguridad de la información.
• Establecen los criterios para la selección de auditores y la evaluación de la competencia técnica del equipo auditor.
• Definen los mecanismos para la comunicación de los resultados de las auditorías de seguridad de la información a la alta dirección y a las partes interesadas.

Capacitación y Sensibilización en Seguridad de la Información:

• Promueve la formación y concientización de los servidores públicos en materia de seguridad de la información.
• Busca crear una cultura de seguridad en las entidades públicas, donde los servidores públicos sean conscientes de los riesgos de seguridad de la información y adopten prácticas seguras en su trabajo diario.
• Incluye programas de capacitación en temas como:
  • Conceptos básicos de seguridad de la información.
  • Identificación y reporte de incidentes de seguridad.
  • Uso seguro de las tecnologías de la información y la comunicación.
  • Protección de datos confidenciales.
  • Políticas y procedimientos de seguridad de la información.

Gestión de Incidentes de Seguridad de la Información:

• Define el proceso para identificar, contener, erradicar y recuperarse de incidentes de seguridad de la información en las entidades públicas.
• Establece los roles y responsabilidades de los diferentes actores involucrados en la gestión de incidentes de seguridad.
• Define los procedimientos para la comunicación de incidentes de seguridad a la alta dirección y a las partes interesadas.
• Incluye mecanismos para el análisis forense de incidentes de seguridad y el aprendizaje de las lecciones aprendidas.

Monitoreo y Control Continuo:

• Establece mecanismos para el monitoreo continuo de la seguridad de la información en las entidades públicas.
• Permite identificar y evaluar nuevos riesgos de seguridad de la información y tomar las medidas correctivas necesarias.

Beneficios del EGSI.

La implementación del EGSI en las entidades del sector público ecuatoriano ofrece diversos beneficios, entre los que se destacan:

• Protección de la información confidencial, clasificada y de interés público: Reduce el riesgo de pérdida, robo, alteración o divulgación no autorizada de información sensible.
• Mejora de la continuidad del negocio: Garantiza la disponibilidad y accesibilidad de la información y los sistemas de información para el cumplimiento de las funciones públicas.
• Cumplimiento de las regulaciones: Permite cumplir con las leyes, normas y estándares relacionados con la seguridad de la información en el sector público.
• Aumento de la confianza ciudadana: Fortalece la confianza de los ciudadanos en la gestión pública al demostrar un compromiso con la seguridad de la información.
• Optimización de recursos: Permite utilizar los recursos de manera más eficiente al reducir los costos asociados a incidentes de seguridad.

Implementación del EGSI.

La implementación del EGSI en las entidades del sector público ecuatoriano se realiza en etapas:

• Planificación: Se define el alcance de la implementación, se asigna un equipo responsable y se establece un plan de trabajo.
• Evaluación de riesgos: Se identifican, analizan y evalúan los riesgos de seguridad de la información que enfrenta la entidad.
• Diseño e implementación de controles: Se seleccionan e implementan los controles de seguridad necesarios para mitigar los riesgos identificados.
• Monitoreo y control: Se verifica el funcionamiento efectivo de los controles de seguridad y se realizan ajustes cuando sea necesario.
• Mejora continua: Se evalúa periódicamente la gestión de la seguridad de la información y se implementan mejoras continuas.

Situación actual del EGSI.

El EGSI se encuentra en constante evolución para adaptarse a las nuevas amenazas y desafíos de la seguridad de la información. En 2019, se publicó la versión 2.0 del EGSI, que incluye mejoras significativas en la metodología de gestión de riesgos, la normativa de seguridad de la información y los lineamientos para la auditoría de seguridad de la información.

En 2024, el Ministerio de Telecomunicaciones y de la Sociedad de la Información (MINTEL) anunció la implementación de la versión 3 del EGSI, la cual amplía su alcance para cubrir a todas las entidades del sector público y fortalece los mecanismos para la gestión de riesgos y la protección de la información.