sábado, marzo 13, 2010

ISO 27001 e ISO 27002: Dominio 9 - Seguridad Física

Continuando con los Dominios de la ISO 27002 (Numeral 9) o Anexo A de la ISO 27001 (Anexo A9), hoy vamos a revisar la Seguridad Física. Que dicen la ISO 27001 e ISO 27002? Bien, incluyen dos objetivos de control:

9.1 Áreas Seguras

Evitar el acceso físico no autorizado, el daño o la interferencia a las instalaciones y a la información de la organización.

Los servicios de procesamiento de información sensible o crítica deberían estar ubicados en áreas seguras, protegidas por perímetros de seguridad definidos, con barreras de seguridad y controles de entrada adecuados, Dichas áreas deberían estar protegidas físicamente contra acceso no autorizado, daño e interferencia.

La protección suministrada debería estar acorde con los riesgos identificados.

9.2 Seguridad de los Equipos

Evitar pérdida, daño, robo o puesta en peligro de los activos, y la interrupción de las actividades de la organización.


Los equipos deberían estar protegidos contra amenazas físicas y ambientales.

La protección del equipo (incluyendo el utilizado por fuera) es necesaria para reducir el riesgo de acceso no autorizado a la información y para proteger contra pérdida o daño. También se debería considerar la ubicación y la eliminación de los equipos. Es posible que se requieran controles especiales para la protección contra amenazas físicas y para salvaguardar los servicios de soporte tales como energía eléctrica e infraestructura de cableado

Sintetizando, esto es lo que busca este Dominio:
Se deben definir normas para prevenir e impedir accesos no autorizados, daños e interferencia a las sedes, instalaciones e información de la Organización.

Se deben aplicar controles para el manejo preventivo de factores ambientales que puedan causar daños en el correcto funcionamiento de los equipos de información que almacenan la información de la Organización.

Detallando lo que busca la Norma:
Todos los centros de almacenamiento de información de la Organización o instalaciones que estén involucradas con los activos de información deben cumplir con las normas de seguridad física y ambiental, para garantizar que la información manejada en éstas permanezca siempre protegida de accesos físicos por parte de personal no autorizado o por factores ambientales que no se puedan controlar.

La información manejada por funcionarios (internos y externos) de la Organización en sus instalaciones, durante las labores habituales de trabajo, debe estar protegida.

Se debe proporcionar una protección a los activos de información proporcional a los riesgos identificados.

Se debe evitar la pérdida, daño, robo o puesta en peligro de los activos y la interrupción de las actividades de la Organización.

Las normas sobre seguridad física deben contener los controles de acceso a personal no autorizado en las instalaciones y centros de procesamiento de información de la Organización, para garantizar la seguridad de los activos de información. Es importante involucrar a personal especializado en seguridad física y utilizar herramientas tecnológicas que ayuden en la implementación de las medidas de seguridad establecidas.

El propósito fundamental de este Dominio de las la ISO 27002 ó Anexo A de la ISO 27001 es lograr que tanto las instalaciones donde esta ubicada la Organización, y su infraestructura técnica esten tan protegidas como lo sugiera el análisis de riesgos que se haga a la misma. Si el análisis sugiere la instalación de un Data Center Tier 2, instalar este y no un data Center Tier 1; y así con cada uno de los riesgos que se identifiquen de seguridad física. Y aqui ya tocamos un punto supremamente sensible de un SGSI: el Análisis de riesgos, del cual estare hablando mas detalladamente en una próxima entrada.

martes, marzo 09, 2010

ISO 27001 e ISO 27002: Dominio 8 - Seguridad de los Recursos Humanos




Continuando con los Dominios de la ISO 27002 (Numeral 8) o Anexo A de la ISO 27001 (Anexo A8), hoy vamos a revisar la Seguridad del Personal. Que dicen la ISO 27001 e ISO 27002? Bien, incluyen tres objetivos de control:
8.1 Antes de la contratación laboral

Asegurar que los empleados, contratistas y usuarios de terceras partes entienden sus responsabilidades y sean aptos para las funciones para las cuales están considerados, y reducir el riesgo de robo, fraude o uso inadecuado de las instalaciones.

Las responsabilidades de la seguridad se deberían definir antes de la contratación laboral,
describiendo adecuadamente el trabajo y los términos y condiciones del mismo.

Todos los candidatos para el empleo, los contratistas y los usuarios de terceras partes se
deberían seleccionar adecuadamente, especialmente para trabajos sensibles.

Los empleados, contratistas y usuarios de terceras partes de los servicios de procesamiento
de información deberían firmar un acuerdo sobre sus funciones y responsabilidades de seguridad

8.2 Durante la vigencia del contrato laboral

Asegurar que todos los empleados, contratistas y usuarios de terceras partes estan conscientes de las amenazas y preocupaciones respecto a la seguridad de la información, sus responsabilidades y deberes, y que esten equipados para apoyar la política de seguridad de la organización en el transcurso de su trabajo normal, al igual que reducir el riesgo de error humano.


Es conveniente definir las responsabilidades de la dirección para garantizar que se aplica la seguridad durante todo el contrato laboral de una persona dentro de la organización.
Se debería brindar un nivel adecuado de concientización, educación y formación en los procedimientos de seguridad y el uso correcto de los servicios de procesamiento de información a todos los empleados, contratistas y usuarios de terceras partes para minimizar los posibles riesgos de seguridad.

Es conveniente establecer un proceso disciplinario formal para el manejo de las violaciones de seguridad.

8.3 Terminación o cambio de la contratación laboral

Asegurar que los empleados, los contratistas y los usuarios de terceras partes salen de la organización o cambian su contrato laboral de forma ordenada.

Se deberían establecer responsabilidades para asegurar la gestión de la salida de los empleados, contratistas o usuarios de terceras partes de la organización y que se completa la devolución de todo el equipo y la cancelación de todos los derechos de acceso.


Los cambios en las responsabilidades y las relaciones laborales dentro de la organización se deberían gestionar como la terminación de la respectiva responsabilidad o contrato laboral según esta sección y todas las contrataciones nuevas se deberían gestionar como se describe en el numeral 8.1

En pocas palabras, este es el propósito de la Norma:
La seguridad de los recursos humanos dentro de la organización, debe considerar como recurso humano al personal interno, temporal o partes externas en el aseguramiento de las responsabilidades que son asignadas a cada uno, asociadas con sus respectivos roles, para reducir el riesgo de robo, fraude o uso inadecuado de las instalaciones.

Todo el recurso humano que hace parte de la Organización debe estar consciente de las amenazas y vulnerabilidades relacionadas con la seguridad de la información y sus responsabilidades y deberes en el apoyo que deben brindar a la política de seguridad de la organización establecida para la reducción del riesgo de error humano.

Profundizando en los requisitos de la Norma:
1 Seguridad antes de la contratación
Se deben realizar en conjunto con el área de recursos humanos una valoración del proceso de verificación de antecedentes que se debe aplicar al personal que ingrese a la Organización, teniendo en cuenta el tipo y clasificación de la información a la que tendría acceso en sus respectivos cargos y responsabilidades. Se debe tener en cuenta que no todos los procesos de contratación en la organización deben ser manejados de igual forma, cada rol y sus responsabilidades debe tener un manejo diferente con relación a la verificación de antecedentes, procedencia, formación, conocimientos, etc.

2 Seguridad durante la contratación
Se deben asegurar en la contratación del personal de la Organización, acuerdos de confidencialidad de la información que se manejarán durante el tiempo que labore dentro de la organización y una vez finalizado el contrato.

Debe quedar documentado en acuerdos de confidencialidad, materiales de concientización, contratos de empleo entre el empleado y la organización la responsabilidad de los trabajadores relacionada con la protección de la información manejada por la Organización.

Anualmente se debe considerar la posibilidad de revisar en conjunto con los empleados los términos, acuerdos y condiciones expuestas en los contratos laborales, para garantizar el compromiso que adquirieron con relación a la seguridad de la información con la organización.

3 Seguridad en la finalización o cambio de empleo
Cuando los empleados finalizan sus contratos laborales con la organización o se retiran de ésta, se deben tener en cuenta varias actividades que se deben realizar para garantizar la gestión apropiada de activos de la organización que tenía a su cargo.
El propósito fundamental de este Dominio de las la ISO 27002 ó Anexo A de la ISO 27001 es proteger la información de la organización inclusive desde antes de darle acceso a la misma a un tercero, sea este empleado, contratista, proveedor, etc.; así como durante toda la duración del contrato y su finalización, buscando evitar que cualquier persona que haya tenido acceso a la información por motivos laborales pueda darle un uso inadecuado a la misma.

viernes, marzo 05, 2010

ISO 27001 e ISO 27002: Dominio 7 - Gestión de Activos



Continuando con los Dominios de la ISO 27002 o Anexo A de la ISO 27001, hoy vamos a revisar el numeral 7 titulado Gestión de Activos. Que dicen la ISO 27001 e ISO 27002? Bien, incluyen objetivos de control:

7.1. Responsabilidad por los Activos:
Lograr mantener la protección adecuada de los activos de la organización.

Todos los activos se deben incluir y deben tener un dueño designado.

Se deberían identificar los dueños para todos los activos y asignar la responsabilidad para el mantenimiento de los controles adecuados. La implementación de los controles específicos puede ser delegada por el dueño según el caso, pero él sigue siendo responsable de la protección adecuada de los activos.

7.2 Clasificación de la Información
Asegurar que la información recibe el nivel de protección adecuado.

La información se debería clasificar para indicar la necesidad, las prioridades y el grado esperado de protección al manejar la información.

La información tiene diferentes grados de sensibilidad e importancia. Algunos elementos pueden requerir un grado adicional de protección o manejo especial. Se recomienda utilizar un esquema de clasificación de la información para definir un conjunto apropiado de niveles de protección y comunicar la necesidad de medidas especiales de manejo.

Resumiendo, el propósito de este dominio es el siguiente:

Proveer las medidas de seguridad necesarias para proporcionar una protección adecuada a los activos de la Organización, así como controlar, generar responsabilidades, normas de uso y clasificación sobre los activos de información.


Detallando un poco más:

Responsabilidad por los activos
Según el Modelo Normativo de Seguridad de la Información todo activo de información, bajo la responsabilidad de la Organización, es decir información propia de la Organización o de entidades externas debe ser administrada y monitoreada.

Toda la información generada por la Organización debe estar disponible para funcionarios tanto externos como internos que requieran del acceso y consulta de ésta, siempre y cuando se manejen los controles de acceso y confidencialidad apropiados.

Se deben asignar responsabilidades en cuanto a la propiedad de los activos de información a usuarios encargados de mantener la integridad de la información. Es responsabilidad del administrador de la información asignar los respectivos controles de acceso a la información.


Clasificación de la información
Se debe realizar un análisis y valoración de la información manejada por la Organización para definir una clasificación apropiada, dependiendo de su valor, requisitos legales, sensibilidad e importancia.

Una clasificación apropiada de la información garantiza la confidencialidad, integridad y disponibilidad de la información para la Organización.

Aquí básicamente se busca definir en cuanto a seguridad de la información muy claramente quien es responsable por que, bajo que circunstancias, etc; asi como tener una clasificación de la información que se maneje para saber que controles se deben tener en cuanta para garantizar la confidencialidad, integridad y disponibilidad de la información en una Organización.

jueves, marzo 04, 2010

ISO 27001 e ISO 27002: Dominio 6 - Organización de la Seguridad

Continuando con los Dominios del SGSI regidos por la ISO 27002 o Anexo A de la ISO 27001, hoy vamos a revisar el numeral 6 titulado Organización de la Seguridad de la Información. Que dicen la ISO 27001 e ISO 27002? Bien, incluyen objetivos de control:


6.1 Organización Interna:
Se debe establecer una estructura de gestión para iniciar y controlar la implementación de la seguridad de la información dentro de la organización.

La dirección debería aprobar la política de seguridad de la información, asignar las funciones de seguridad, coordinar y revisar la implementación de la seguridad en toda la organización.

Si es necesario, se recomienda establecer una fuente de asesoría especializada sobre seguridad de la información y ponerla a disposición en la organización.
Es conveniente desarrollar contactos con grupos o especialistas externos en seguridad, incluyendo las autoridades pertinentes, para ir al campas de las tendencias industriales, monitorear normas y métodos de evaluación, así como proveer puntos adecuados de vínculo cuando se manejan incidentes de seguridad de la información. Se debería promover un enfoque multidisciplinario para la seguridad de la información.





6.2 Partes Externas:
Mantener la seguridad de la información y de los servicios de procesamiento de información de la organización a los cuales tienen acceso partes externas o que son procesados. comunicados o dirigidos por éstas.


La seguridad de la información y de los servicios de procesamiento de información no se deberían reducir introduciendo productos o servicios de partes externas.


Se debería controlar todo acceso a los servicios de procesamiento de información, así
como el procesamiento y comunicación de información por partes externas.

Cuando existe una necesidad del negocio de trabajar con partes externas que pueden requerir acceso a la información de la organización y a sus servicios de procesamiento de información, o de obtener o suministrar productos y servicios de o para una parte externa, se debería realizar una evaluación de riesgos para determinar las implicaciones para la seguridad y los requisitos de control. Los controles se deberían acordar y definir en un convenio con la parte externa.

Básicamente, el propósito que persigue este dominio es el siguiente:

Implantar los lineamientos para administrar y mantener la seguridad de la información en la organización, al igual que los términos de seguridad que deben ser aplicados al personal (interno y externo), que se vea involucrado directa o indirectamente con su información. Adicionalmente definir la estructura de Gestión de Seguridad y los roles y perfiles relacionados con ésta.
Ahora, entremos en detalles sobre este Dominio:


Organización Interna

Dentro de los roles definidos en el modelo normativo de seguridad de la información se encuentran definidas todas las funciones y labores relacionadas con seguridad de la información. Entre éstos podriamos encontrar:

  • El Comité de seguridad de la información es el responsable de revisar y aprobar la política de seguridad de la información.
  • El Comité de seguridad de la información es el encargado de la definición de las políticas, normas y procedimientos relacionados con la seguridad de la información e igualmente velarán por la implantación y cumplimiento de los mismos.
  • El Coordinador de Sistemas: es el responsable de asegurar el cumplimiento del esquema organizacional requerido para la labor de administración de seguridad de la información y de velar por la implantación de las medidas de administración de seguridad de la información. Igualmente es responsable de desarrollar las tareas necesarias para el mantenimiento de estas medidas.
  • Por medio de la ejecución de planes de comunicación, divulgación, entrenamiento y capacitación, se debe dar a conocer la cultura de seguridad de la información a todos los usuarios del SGSI.

Relación con terceros
  • El contenido del modelo normativo de seguridad de la información debe involucrar al personal externo a la empresa o a un tercero de la organización, que este involucrado por medio de un contrato, alianza o convenio, con el fin de asegurar la integridad, confidencialidad y disponibilidad de la información de la Organización
  • Todos los funcionarios deben cumplir las leyes y regulaciones nacionales e internacionales respecto a derechos de autor y propiedad intelectual, comercio electrónico e intercambio electrónico de datos. Personal externo a la organización o un tercero que esté involucrado debe cumplir de igual forma con estas leyes y regulaciones definidas.
  • La Organización por medio de contratos comerciales o civiles, alianzas o convenios que tenga con el personal externo y que posea acceso a la información del proyecto deberá acatar el modelo normativo de seguridad de la información. Las excepciones que se presenten deben estar totalmente documentadas, justificadas y aprobadas, y el tercero, en ningún caso podrá hacer uso de estas excepciones para violar o infringir la seguridad de la información de la Organización.
  • El acceso a los activos de información está sujeto a validación por parte del personal encargado de la seguridad de la información en la Organización, para que no se otorgue acceso a la información confidencial sin la existencia de una autorización y compromiso explícitos, los cuales deben estar respaldados por un acuerdo escrito de confidencialidad y/o de no-revelación, total ni parcial de información.
Como pueden ver, la implementación de un SGSI busca "blindar" toda posibilidad de incidentes de seguridad ya sea con los trabajadores propios de la Organización, un proveedor o agentes externos a ella que por cualquier razón deban tener acceso a la información que posea. Aquí no hay eslabones sueltos, todo va muy bien encadenado con el propósito de garantizar la seguridad con cualquier persona o entidad que se involucre con una Organización que tenga adecuadamente implementado un SGSI.

martes, marzo 02, 2010

ISO 27001 e ISO 27002: Dominio 5 - Política de Seguridad


Hoy inicio con una serie de entradas con los Dominios del SGSI regidos por la ISO 27002 o Anexo A de la ISO 27001, hoy vamos a revisar el numeral 5 titulado Política de la Información. Que dicen la ISO 27001 e ISO 27002? Veamos:

La política de seguridad de información de una organización brindar apoyo y Orientación a la dirección con respecto a la seguridad de la información, de acuerdo con los requisitos del negocio y los reglamentos y las leyes pertinentes.


Las directivas deberían establecer una dirección clara de la política según los objetivos del negocio y demostrar apoyo y compromiso con la seguridad de la información a través de la emisión y el mantenimiento de la política de segundad de la información en toda la organización
Ahora, profundizando un poco mas:
  1. Debe estar documentada.
  2. Debe ser comunicada y conocida por todos y cada uno de los trabajadores que pertenezcan a la organización, así como también por sus proveedores.
  3. Debe ser revisada a intervalos planificados, o cuando ocurra algún cambio significativo que pueda afectar el enfoque de la organización para la gestión de la seguridad de la información. Importante: de estas revisiones, debe quedar registro.
  4. Debe ser aprobada por la Alta Dirección de la Organización.
  5. Debe declarar el compromiso de la dirección y establecer el enfoque de ésta para la gestión de la seguridad de la información.

Para finalizar, los dejo con un modelo de política de seguridad de información:

Compromiso De La Dirección

La Alta Dirección de ______________ provee evidencia de su compromiso con el desarrollo y la implementación del Sistema de Gestión de Seguridad de la Información (SGSI) así como la mejora continua de su efectividad mediante:

  • La autorización para que se implemente el SGSI en ________.
  • Estableciendo la política del SGSI
  • Estableciendo los objetivos del SGSI
  • Revisiones semestrales del SGSI
  • Asignando roles y responsabilidades en seguridad de la información.
  • Comunicando a la organización la importancia de lograr los objetivos de seguridad, de cumplir sus responsabilidades y de buscar el mejoramiento continúo en seguridad.
  • Proporcionar todos los recursos necesarios para una adecuada implementación del SGSI.
  • Asegurar que todo el personal a quien se asignó las responsabilidades definidas en el SGSI sea competente para realizar las tareas requeridas
La responsabilidad final con respecto a la seguridad de la información de la implementación del SGSI recae sobre la gerencia de __________, soportado por los responsables de cada área de servicio de ___________.

La definición de la política del SGSI para ___________, incluye los siguientes tópicos:

  1. Organización de la Seguridad, que busca establecer un modelo de gerenciamiento para controlar la implementación del sistema y la definición clara de funciones y responsabilidades.
  2. Gestión de activos, destinado a mantener una adecuada protección de los activos, con base en los niveles requeridos y tratamiento especial que se de acuerdo a su clasificación.
  3. Seguridad de los recursos humanos, orientado a reducir los riesgos en el manejo de información y el establecimiento de compromisos y mecanismos necesarios para fortalecer las debilidades en materia de seguridad a este respecto.
  4. Seguridad física y del entorno, destinado a impedir accesos no autorizados, daños o alteraciones en la infraestructura que compone a __________.
  5. Gestión de las comunicaciones y las operaciones, dirigido a mantener disponible y en correcto funcionamiento las instalaciones de ____________.
  6. Control de acceso, orientado a validar, verificar y proveer el acceso lógico a la información (aplicaciones, bases de datos y servicios en general) de forma adecuada.
  7. Desarrollo y mantenimiento de los sistemas de información, en donde se definirán las medidas necesarias para crear ambientes propios de desarrollo, implementación y mantenimiento de los sistemas de información y los controles de seguridad de cada uno.
  8. Gestión de la continuidad del negocio, orientado a minimizar el impacto causado por interrupciones en las actividades ejecutadas dentro del proyecto, protegiendo los procesos críticos de eventos significativos funestos que pudieran presentarse.
  9. Cumplimiento, destinado a impedir posibles infracciones o violaciones a las normas, reglamentos, contratos y requisitos de seguridad de información que se establezcan como parte de la implementación del SGSI de ___________.
Cualquier violación de la presente política podrá dar lugar a medidas disciplinarias, incluyendo despido.
Vale la pena aclarar que este es un modelo, y como tal puede ser modificado, mejorado, etc. a gusto de cada persona que implemente un SGSI.

Marco Normativo (Normas y politicas) de un SGSI

Cuando se quiere implementar un SGSI, se debe estructurar un Modelo Normativo que incluya cada uno de los dominios de la ISO 27001 (Anexo 1) e ISO 27002 (Numerales 5 a 15), los cuales pueden ser incluidos por ejemplo, en el Manual de Seguridad que se desarrolle en la implementación del SGSI.

Este modelo normativo puede estructurarse documentando una política por cada dominio, y normas que complementen a la política y que aglomeren los objetivos de control que exista en la ISO 27002, teniendo así 10 Políticas, y aproximadamente 30 o mas Normas para cubrir completamente lo incluido en esta Norma. En realidad el número de Normas no es tan relevante como el contenido, así que es posible manejar este tema como brinde mayor comodidad a la persona que este implementando el SGSI. A continuación les muestro un modelo de marco normativo:
Organización del SGSI
1. Norma Organización Interna Seguridad Información
2. Norma Seguridad Información Relacion Terceras Partes
3. Norma Seguridad Información Acuerdos Confidencialidad
4. Norma Seguridad Información Acceso Terceros
5. Norma Seguridad Contratos con Terceros

Gestión de Activos
1. Norma de responsabilidad sobre los activos de información
2. Norma sobre clasificación de la información y responsabilidades sobre su manejo.

Recursos Humanos
1. Norma sobre requerimientos de seguridad de la información en el proceso de contratación.

Seguridad Física y Ambiental
1. Norma sobre áreas seguras.
2. Norma sobre seguridad de equipos informáticos y telecomunicaciones.
3. Norma Seguridad Trabajo Areas Seguras.

Comunicaciones y Operaciones
1. Norma sobre documentación de procedimientos operativos
2. Norma para la gestión de servicios tercerizados
3. Norma sobre planeación y aceptación de sistemas
4. Norma sobre protección contra virus, código malicioso y móvil
5. Norma sobre gestión de respaldo y recuperación
6. Norma sobre gestión de seguridad en redes
7. Norma para el manejo de medios de información
8. Norma sobre Intercambio de información
9. Norma sobre el servicio de comercio electrónico
10. Norma sobre monitoreo de actividades de seguridad de la información.

Control de Acceso
1. Requisitos del negocio para el control del acceso

2. Gestión del acceso de usuarios

3. Responsabilidades de los usuarios

4. Control de acceso a las redes

5. Control de acceso al sistema operativo

6. Control de acceso a las aplicaciones y a la información

7. Computación móvil y trabajo remoto



Desarrollo de Software
1. Norma para adquisición, desarrollo y mantenimiento de sistemas de información
2. Norma Instalación Software Ambiente Operativo
3. Norma Acceso Código Fuente
4. Norma Especificaciones Funcionales Seguridad Aplicaciones.

Gestión Incidentes
1. Norma para la gestión de incidentes de seguridad de la información.

Continuidad del Negocio
1. Norma Continuidad Negocio.

Cumplimiento
1. Norma de Cumplimiento con Requisitos Legales y Reglamentarios

Para finalizar, les comento que a partir de este modelo normativo, iniciare una serie de entradas sobre cada uno de los Dominios de la Norma en los que profundizare mas sobre que dicen las ISO 27001 y 27002 y como interpretarlo satisfactoriamente.

viernes, febrero 26, 2010

Experiencia personal: dificultades en la implementación de un SGSI

Voy a comentar con Ustedes cuales fueron las dificultades que encontré en una de las implementaciones de un SGSI en las cuales participe, las cuales probablemente podrían Ustedes tener igualmente que enfrentar.
  1. Desconocimiento total sobre seguridad de información como tal: Siendo totalmente honestos, el tema de seguridad de la información es manejado solamente por las personas que estan íntimamente relacionadas con el tema, y en Colombia hay pocos segmentos que lo hacen: las empresas consultoras en SGSI, los consultores propiamente dichos, y algunas personas del sector financiero debido a la circular 052 que obliga a toda entidad financiera a implementar un SGSI. Aquí podríamos agregar unas pocas personas que trabajen en ICONTEC y a aquellas que conocen el tema de manera superficial por algún conocido, referencias, etc. Este es sin duda la dificultad mas grande e inclemente de todas: se firman contratos con fechas limite de implementación incoherentes (2 meses para que haya un plan de implementación) y de ahí en adelante todo se convierte en una carrera contra el tiempo y obvio, las malas decisiones.
  2. Al ser una Norma ISO, erróneamente se asocia de inmediato con calidad. Si ya existe un Coordinador de Calidad, que el asuma la responsabilidad de implementar el SGSI. Esto es valido siempre y cuando el Coordinador de Calidad domine temas como políticas de seguridad, análisis de riesgos, seguridad física, planes de continuidad, gestión de incidentes, y un larguísimo etcetera de actividades ligadas ala seguridad de la información. Si hablamos de un equipo ideal de SGSI, seria un Ingeniero de sistemas que maneja la parte netamente técnica y soporte la parte documental, y un Ingeniero Industrial que tenga experiencia en gestión de calidad. Si ya existe un SGC al que se pueda ir añadiendo la documentación del SGSI, perfecto, así con el tiempo se tendra un Sistema de Gestión Integrado que agrupe calidad y seguridad de la información en un solo ente.
  3. Al implementar un SGSI, se deben definir "Áreas Seguras", que son en síntesis zonas en las que se conserva la información confidencial de la Organización y a las que solo pueden acceder aquellas personas que esten autorizadas para ello. Esta "zonas seguras" son quizás la parte mas difícil de controlar por que los empleados quieren acceso a todos los lugares, algunos Jefes se sienten maltratados por que ya no pueden entrar a todas las oficinas, se genera un mal ambiente, etc. y es en esta parte donde empezamos a hablar del cambio cultural en la Organización.
  4. Gestión del Cambio: En toda organización, la resistencia mas grande que pueden presentar todos los empleados es al cambio, y al implementar un SGSI hay muchisimos cambios!!! Por ejemplo, de manera ideal todo empleado debe registrar SIEMPRE sus entradas o salidas de las instalaciones, solo puede ingresar a su puesto de trabajo en horarios permitidos, debe firmar una clausula de confidencialidad que lo responsabiliza por la información a la que tenga acceso, y todo esto solo se logra con una campaña de sensibilización muy fuerte y que se transversal a toda la empresa: desde el cargo mas alto hasta las personas que hacen el aseo, quienes también pueden tener contacto con información confidencial. Hay que involucrar a todo el personal en el SGSI, informarles que cualquier riesgo que involucre la confidencialidad, la integridad y la disponibilidad de la información en su poder no solo los puede afectar a ellos sino a toda la organización y dejar mucha gente sin empleo.
  5. Backups del Personal: En Proyectos críticos que conozco, inclusive hasta el gerente adolece de un adecuado backup que pueda tomar rápidamente su lugar en caso de una enfermedad, o mas drástico aun, una renuncia. Todo cargo que maneje o posea información relevante para la Organización debe primero que nada tener todas sus funciones y responsabilidades documentadas, y segundo pero no menos importante, contar con un backup para que la Organización siga prestando sus servicios de manera ininterrumpida. Por favor asegúrense a la hora de implementar un SGSI de que en su Empresa los cargos críticos tengan un adecuado backup, o como mínimo que haya una muy buena segregación de responsabilidades.
  6. Entregas de cargo: ya que estamos hablando de Gestión de Personal, este tema también es muy delicado: cuando hay rotaciones, renuncias o despidos, las entregas de cargo son muy deficientes, o inexistentes. Debe contarse con un formato que incluya cuales son las responsabilidades a cargo; que archivos, folders, y carpetas se reciben; usuarios y contraseñas (que deben ser cambiados tan pronto se reciba el cargo); que informes se entregan y en que fechas, que tareas hay pendientes, etc. logrando asi que el cambio de una persona sea lo menos traumatica para una Organización.
  7. Seguridad del personal: Un tema que causa escozor en la Alta Dirección, pues de inmediato se habla de costos, el Estudio de Seguridad para cada uno de los empleados que laboren en la organización. Este estudio es realizado por empresas dedicadas a este servicio, quienes hacen una visita domiciliaria, una entrevista al futuro empleado, contactan a los vecinos, a los Jefes anteriores y brinda un panorama completo del ambiente en el que se desenvuelve una persona, dando asi (en teoría) una base solida para que una empresa contrate sin preocupaciones (de nuevo, en teoría) al o los empleados que necesite para su correcto funcionamiento. Aquí vale la pena mencionar que en algunos casos, hay empresas que exigen además del estudio de seguridad, pruebas de polígrafo para ingresar, o en cualquier momento durante el tiempo de duración del contrato, cuya realización es completamente a discreción de la empresa, y obvio, la asistencia esta a discreción del trabajador
  8. Responsabilidad por un SGSI: Como mencione previamente en el Numeral 4), el SGSI no puede ser responsabilidad de una sola persona, pues si asi lo fuera ey exagerando un poco, estaríamos hablando prácticamente de una empresa unipersonal. Todos y cada uno de los empleados en una Organización deben ser informados por medio de una clausula de confidencialidad que deben firmar (puede ser parte del contrato de trabajo o un documento independiente) de cuales son sus responsabilidades con la información que manejen y cuales serian las consecuencias en caso de incumplirlas, debe haber una permanente campaña de sensibilización, los empleados deben reportar todos los incidentes de seguridad, la alta dirección debe estar enterada de los resultados de tales reportes, en fin, el tema es de todo el personal de la Organización, la seguridad de la información es responsabilidad de todos!!
  9. Documentación: todos los documentos que hagan parte del SGSI deben ser administrados por una sola persona, asi esta no los llegue a utilizar en sus labores diarias. He visto casos en los que por ejemplo el Grupo de Sistemas de una Organización tiene su "propia" versión de un documento que el administrador del SGSI desconoce por completo, lo cual se constituye en un riesgo de seguridad de la información y si llegase a ser detectado por una auditoría las consecuencias van a ser funestas. hay que asegurarse de que todo el personal participe en la documentación, pero también de que esten enterados de que todo documento oficial del SGSI debe salir de las manos del administrador del SGSI.
  10. Para terminar hablemos de dinero. No se puede hablar de dinero sin haber hecho previamente una adecuada evaluación de riesgos la cual nos indique a que amenazas esta expuesta la Organización, y allí si determinar cuales serian los controles a implementar sabiendo obviamente cuales costos van a representar. Este tema si va en un solo sentido: no se puede hablar primero de dinero y luego de controles.
Espero que les haya gustado esta entrada, y ojala en el futuro pueda compartir con Uds. mas experiencias semejantes y mejor aun, como solucionarlas.

miércoles, febrero 24, 2010

Publicada la ISO 27003: 2010 "Guia para la implementación de un Sistema de Gestion de Seguridad de la Informacion"

Acaba de ser publicada una de las normas mas importantes dentro de la familia 27000, y es la 27003, la cual se constituye en la "Guia oficial de implementación de un SGSI" en cualquier Organización.

La norma ISO 27003:2010 se centra en los aspectos críticos necesarios para el exitoso diseño e implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) de acuerdo con la norma ISO / IEC 27001:2005. Describe el proceso de delimitación de un SGSI, y el diseño y puesta en marcha de diferentes planes de implementación. Igualmente incluye el proceso para obtener la aprobación de la Gerencia para implementar un SGSI, define un alcance inicial del SGSI, y proporciona una guia de como hacer desde la planeación inicial hasta la implementación final de un proyecto de SGSI.

El siguiente es el contenido de esta nueva norma:

  1. Alcance
  2. Referencias Normativas
  3. Terminos y Definiciones
  4. Estructura de esta Norma Internacional
  5. Obteniendo la aprobación de la alta dirección para iniciar un SGSI
  6. Definir el alcance del SGSI, limites y políticas
  7. Evaluación de los requerimientos de seguridad de la información
  8. Evaluación de Riesgos y Plan de tratamiento de riesgos
  9. Diseño del SGSI
  10. Anexo A: lista de chequeo para la implementación de un SGSI.
  11. Anexo B: Roles y responsabilidades en seguridad de la información
  12. Anexo C: Información sobre auditorías internas.
  13. Anexo D: Estructura de las políticas de seguridad.
  14. Anexo E: Monitoreo y seguimiento del SGSI.
(Los anexos son informativos)

Sin duda esta nueva norma se convierte en una compra obligatoria para neofitos o expertos en el tema, pues la implementación de un SGSI hasta ahora adolecia de una guia estandarizada para su correcta ejecución.

martes, febrero 23, 2010

Marco legal de Seguridad de la Información en Colombia

--> -->
Siempre que se desea implementar un Sistema de Gestión, toda organización debe obligatoriamente cumplir con todas las leyes, normas, decretos, etc que sean aplicables en el desarrollo de sus actividades. De manera general puedo mencionar el tema de seguridad social, cumplir con la Cámara de Comercio, permisos, licencias de construcción, etc, etc; pero en lo que se refiere específicamente a Seguridad de la Información, estas son las Leyes vigentes al día de hoy:

Derechos de Autor

Propiedad Industrial

Propiedad Intelectual

Comercio Electrónico y Firmas Digitales


Para finalizar, el 5 de Enero de 2009 se decreto la Ley 1273 de 2009, la cual añade dos nuevos capítulos al Código Penal Colombiano:
  1. Capitulo Primero: De los atentados contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos;
  2. Capitulo Segundo: De los atentados informáticos y otras infracciones.
Como se puede ver en el primer capitulo, esta Ley esta muy ligada a la ISO27000, lo cual coloca al País a la vanguardia en legislación de seguridad de la información, abriendo así la posibilidad de nuevas entradas con este tema.




ACTUALIZACIÓN AGOSTO 2013

LEY 603 DE 2000

Esta ley se refiere a la protección de los derechos de autor en Colombia. Recuerde: el software es un activo, además está protegido por el Derecho de Autor y la Ley 603 de 2000 obliga a las empresas a declarar si los problemas de software son o no legales. Ver esta ley.



LEY ESTATUTARIA 1266 DEL 31 DE DICIEMBRE DE 2008

Por la cual se dictan las disposiciones generales del Hábeas Data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones. Ver esta ley.

LEY 1273 DEL 5 DE ENERO DE 2009

Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado - denominado “de la protección de la información y de los datos”- y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones. Ver esta ley .

LEY 1341 DEL 30 DE JULIO DE 2009

Por la cual se definen los principios y conceptos sobre la sociedad de la información y la organización de las Tecnologías de la Información y las Comunicaciones -TIC-, se crea la Agencia Nacional del Espectro y se dictan otras disposiciones.


 LEY ESTATUTARIA 1581 DE 2012

Entró en vigencia la Ley 1581 del 17 de octubre 2012 de PROTECCIÓN DE DATOS PERSONALES, sancionada siguiendo los lineamientos establecidos por el Congreso de la República y la Sentencia C-748 de 2011 de la Corte Constitucional.

Como resultado de la sanción de la anunciada ley toda entidad pública o privada, cuenta con un plazo de seis meses para crear sus propias políticas internas de manejo de datos personales, establecer procedimientos adecuados para la atención de peticiones, quejas y reclamos, así como ajustar todos los procesos, contratos y autorizaciones a las disposiciones de la nueva norma.

Aspectos claves de la normatividad:

  1. Cualquier ciudadano tendrá la posibilidad de acceder a su información personal y solicitar la supresión o corrección de la misma frente a toda base de datos en que se encuentre registrado.
  2. Establece los principios que deben ser obligatoriamente observados por quienes hagan uso, de alguna manera realicen el tratamiento o mantengan una base de datos con información personal, cualquiera que sea su finalidad.
  3. Aclara la diferencia entre clases de datos personales construyendo las bases para la instauración de los diversos grados de protección que deben presentar si son públicos o privados, así como las finalidades permitidas para su utilización.
  4. Crea una especial protección a los datos de menores de edad.
  5. Establece los lineamientos para la cesión de datos entre entidades y los procesos de importación y exportación de información personal que se realicen en adelante.
  6. Define las obligaciones y responsabilidades que empresas de servicios tercerizados tales como Call y Contact Center, entidades de cobranza y, en general, todos aquellos que manejen datos personales por cuenta de un tercero, deben cumplir en adelante.
  7. Asigna la vigilancia y control de las bases de datos personales a la ya creada Superintendencia Delegada para la Protección de Datos Personales, de la Superintendencia de Industria y Comercio.
  8. Crea el Registro Nacional de Bases de Datos.
  9. Establece una serie de sanciones de carácter personal e institucional dirigidas a entidades y funcionarios responsables del cumplimiento de sus lineamientos.
DECRETO 1377 DE 2013


Protección de Datos, decreto por el cual se reglamenta parcialmente la Ley 1581 de 2012.

sábado, febrero 20, 2010

Certificaciones en Seguridad: CISSP, CISA, ABCP, GSEC, CISM, Auditor Lider, BCLS 2000 y PMI-RMP

El tema es sencillo: hablar de estas certificaciones, que significan sus siglas y donde podríamos inscribirnos para certificarnos como tal.

CISSP (Certified Information Systems Security Professional)
La certificación CISSP es la primera credencial acreditada ANSI ISO en el campo de la seguridad de la información, es objetiva e independiente, otorgada por (ISC)2 (www.isc2.org) y acredita el conocimiento, la especialización y la experiencia de los profesionales del sector tecnológico en Seguridad Informática, de la cual forman parte los más reconocidos expertos en seguridad de todo el mundo.

Estos son los campos de conocimiento certificados para un profesional CISSP, Common Body of Knowledge (CBK):
  • Sistema de Control de Acceso & Metodología
  • Seguridad en el Desarrollo de Sistemas y Aplicaciones
  • Plan de Continuidad del Negocio (BCP) & Plan de Recuperación Ante Desastres (DRP).
  • Criptografía
  • Leyes
  • Investigaciones y Ética
  • Seguridad de Operaciones
  • Seguridad Física
  • Arquitectura de Seguridad
  • Seguridad de Redes y Telecomunicaciones
Para obtener una certificación CISSP, se debe aprobar el examen administrado por (ISC)2 y tener mínimo cinco años de experiencia laboral en uno o más dominios del CBK. Como se puede apreciar de acuerdo al CBK esta certificación es un híbrido entre la parte técnica y la parte estratégica (Gestión de la Seguridad de la Información).

Actualmente en Colombia existen cerca de 30 profesionales certificados CISSP, los cuales laboran en empresas del estado, en bancos, Telcos y otros en empresas de consultoría.

Para mantener la certificación hay que demostrar entrenamiento continuo anualmente.


ISACA CISM (Certified Information Security Manager®)
Esta es una certificación expedida por ISACA (www.isaca.org) y es un programa de certificación desarrollado para gerentes de la seguridad de la información o personas que tengan responsabilidades asociadas con la administración de la seguridad de la
información en una organización.

Es una certificación orientada a los profesionales que realicen tareas de Administración, diseño, revisión y/o evaluación de un sistema de seguridad empresarial.

Esta certificación pretende demostrar que el profesional posee los conocimientos y experiencia necesaria en la administración de sistemas de seguridad de la información y consultoría, por lo cual exige que se tenga como mínimo 3 años de experiencia en administración de seguridad de la información y 2 años en otras actividades de seguridad. El examen se basa en las mejores prácticas desarrolladas por y para administradores de la seguridad de la información.

El examen mide y evalúa las siguientes áreas de conocimiento:
  • Information Security Governance (21%)
  • Risk Management (21%)
  • Information Security Program(me) Management (21%)
  • Information Security Management (24%)
  • Response Management (13%)
Para mantener la certificación hay que demostrar entrenamiento continuo anualmente.


CISA (Certified Information Systems Auditor)
Es uno de los programa de certificación de más trayectoria y reconocimiento a nivel mundial, desde 1978 el programa representado por ISACA® (Information Systems Audit and Control Association® - www.isaca.org), ha sido mundialmente aceptado como
un estándar de reconocimiento para los profesionales en auditoría de sistemas, control y seguridad.

Las áreas de conocimiento que se certifican mediante CISA son:
  • Management, Planning, and Organization of IS (11%)
  • Technical Infrastructure and Operational Practices (13%)
  • Protection of Information Assets (25%)
  • Disaster Recovery and Business Continuity (10%)
  • Business Application System Development, Acquisition, Implementation, and maintenance (16%)
  • Business Process Evaluation and Risk Management (15%)
  • The IS Audit Process (10%)
Para obtener la certificación el profesional debe aprobar un riguroso examen que evalúa las áreas de conocimiento anteriormente expuestas, además se debe demostrar un mínimo de 5 años de experiencia profesional en auditoría de sistemas de información, control o experiencia en seguridad de la información.

Poseer la designación CISA demuestra el nivel de competencia y constituye la pauta para medir la preparación, los conocimientos y experiencia en auditoría, control, aseguramiento y seguridad de SI.


ABCP (Associate Business Continuity Professional)
ABCP es una certificación que reconoce el conocimiento que posee el profesional en planeación de continuidad del negocio y en desarrollo de estrategias de recuperación ante desastres y creación de un completo programa de continuidad para una compañía. Esta certificación hace parte de un grupo de certificaciones en la cual ABCP es la certificación de entrada que exige unos niveles mínimos de experiencia en este campo.

Sin embargo a nivel de Colombia son aun pocos los profesionales los que tienen esta certificación.


Lead Auditor BS7799-2 ó ISO 27001
Esta es una certificación ofrecida por el Instituto Británico de Estándares BSI quien es el ente que a nivel internacional a publicado normas tan importantes como BS 17799 y BS 7799-2.

El profesional acreditado con esta certificación se somete a un curso y a un examen riguroso en donde se mide el nivel de competencia en cuanto al conocimiento de cómo se verifica el nivel de cumplimiento de una organización con respecto a la implementación de su SGSI (Sistema de Gestión de la Seguridad de la Información)
y como auditarlo.

Este tipo de acreditación es la que poseen los profesionales que lideran un grupo de auditoría de una entidad certificadora nacional o internacional (Por ejemplo ICONTEC, BSI), este profesional también puede laborar como consultor o auditor interno en una organización.


BCLS 2000

Este curso esta diseñado para profesionales responsables de las funciones de administración de planes de recuperación de desastres o planes de continuidad del negocio. Beneficia a los planificadores y coordinadores de recuperación de desastres, gerentes de operaciones, gerentes de comunicaciones, gerentes de informática, administradores de riesgo y miembros de equipos de recuperación de desastres y planes de Contingencias.

“El DRII es una organización líder en el establecimiento de estándares internacionales para la “Administración de continuidad de negocios”. Fue fundada en 1988 y ha contribuido decisivamente en el desarrollo de una base de conocimientos y estándares profesionales para el desarrollo de planes estructurados de recuperación de desastres y continuidad de los negocios. Los cursos y certificaciones del DRII son reconocidos internacionalmente como el estándar mundial”


PMI - RMP

La presión para completar un proyecto con cronogramas muy apretados en tiempo y la necesidad de constante innovación para mantenerse al frente de la competencia son algunas de las razones por las que se hacen necesarios dentro de los equipos de los proyectos los profesionales en la administración de riesgos. El PMI reconoce la importancia y capacidades especiales que se requieren para ser un profesional en administración del riesgo. La certificación PMI-RMP reconocerá el conocimiento, habilidades y experiencia en esta área.

Los Directores de proyecto interesados en obtener esta certificación deben visitar PMI.org para obtener más información y descargar la solicitud de aplicación.

Para ser candidato a presentar el examen de PMI-RMP, deben de contar con carrera profesional o un equivalente global, 3 a 5 años de experiencia laboral profesional, con 3,000 horas de experiencia en administración de riesgos, junto con 30 horas de educación formal en administración de riesgos.


Importancia de una Certificación
  • “La marca de la excelencia de un programa de certificación profesional está en el valor y reconocimiento que se concede al individuo que la obtiene.” “ISACA –CISA”
  • “Demostrar el conocimiento para trabajar en seguridad de la información,confirmando el cumplimiento de lo desarrollado en su profesión” ISC2 – CISSP.
  • “Es la forma en la cual un profesional se diagnostica y se evalúa a sí mismo para determinar su grado actual de competencia y experiencia en una o más áreas de conocimiento” Fabián Cárdenas – NewNet S.A”

viernes, febrero 19, 2010

ESET presenta su informe sobre seguridad informática en Latinoamérica



La empresa desarrolladora de ESET NOD32 Antivirus y ESET Smart Security publica su informe ESET Security Report, con el objetivo de ofrecer información de análisis y estadística sobre el panorama de seguridad en las empresas de América Latina.
ESET, proveedor global de soluciones antimalware de última generación, anuncia el lanzamiento de la tercera edición de ESET Security Report , un informe regional y periódico que informa sobre cuáles son las principales preocupaciones en materia de seguridad informática para los diferentes integrantes de las empresas del mercado latino.

Los resultados del ESET Security Report están basados en las encuestas realizadas en diferentes países de Latinoamérica a lo largo del 2009. En esta oportunidad fueron realizadas más de 947 encuestas a gerentes de empresas y profesionales del área TI y de la seguridad de la información, durante los eventos en los que participó ESET: Segurinfo en Argentina y Chile, Technology Day en Costa Rica, Honduras, Guatemala, República Dominicana, El Salvador y Nicaragua e Infosecurity Perú. El ESET Security Report constituye una herramienta de análisis que nos permite disponer de un mayor conocimiento sobre el estado de la seguridad informática en las distintas empresas de la región. De esta manera, contamos con datos actualizados que reflejan cuál es la situación real para poder brindar el apoyo necesario y adecuado con el fin de solucionar las problemáticas actuales de las empresas y de sus ejecutivos”, comenta Ignacio Sbampato, Vicepresidente de ESET Latinoamérica. (Tristemente, pareciera que en el 2009 no hubo ni un solo evento de seguridad en Colombia, o peor aun en Brasil)

Con el principal objetivo de dar a conocer cuáles son los problemas y desafíos así como también el alcance de las soluciones y la inversión y costos involucrados en su implementación, ESET Latinoamérica advierte una serie de preocupaciones que abarca al conjunto de los entrevistados.

Entre las temáticas analizadas y reflejadas en ESET Security Report, se destacan las siguientes:


Los niveles de preocupación según la amenaza a la seguridad de la empresa


Identificada por el 58,08 % de los entrevistados, la amenaza más relevante es la pérdida de datos. Este resultado es un claro indicador del grado de madurez alcanzado por parte de las empresas que comprendieron que los datos e información que poseen constituyen un valor de suma importancia para la organización.


En línea directa con esta preocupación, los ataques de malware y las vulnerabilidades del software ocupan el segundo y tercer lugar respectivamente, con el 57,13% y el 51,32%.
Estas tres amenazas también se han ubicado como las más relevantes en los informes presentados anteriormente por ESET para Argentina y para Centroamérica.

Asignación del presupuesto a seguridad informática


En cuanto al presupuesto, los resultados totales indican que más de la mitad de los encuestados - 57,86 % - afirmaron que menos del 5% del presupuesto para IT es utilizado para seguridad, siendo tan sólo un 15,95% de las personas las que manifestaron que en sus empresas asignan más del 10% del presupuesto a la seguridad de la información.


Entre los países que más invierten su presupuesto a seguridad informática se encuentra Argentina con un 35 % mientras que Perú y Nicaragua, son los países que arrojaron el porcentaje más bajo de inversión en materia de seguridad, el 7,5%.


La importancia en la concientización del personal


Se nota una clara discrepancia en las respuestas respecto a la educación en seguridad que los usuarios reciben en la empresa. A pesar de que la mayoría de los encuestados – 53,55% - manifestó que la concientización del personal es fundamental, sólo el 37,94% de los encuestados realiza periódicamente actividades con el objetivo de capacitar al personal en materia de seguridad de la información y protección contra amenazas.


Entre los países que más realizan capacitaciones periódicas se encuentran Chile con el 50% y El Salvador con el 51,06 %.
El análisis de los resultados de la opinión de los distintos profesionales demuestra que en materia de seguridad aún resta mucho trabajo por hacer. Sin embargo, a medida que se consiga madurez en el campo, será posible mejorar la gestión de la seguridad en las compañías. En ESET creemos que la concientización de toda la organización es fundamental para avanzar en ese camino. Esta tarea es la que, desde hace años, ESET viene realizando en países latinoamericanos a través de sus recursos de capacitación y educación”, concluye Cristian Borghello, Director de Educación de ESET Latinoamérica.

Descarga del Informe (Hay que diligenciar un formulario, y luego abrir un email con el link para descargarlo)

jueves, febrero 18, 2010

Estudio: Colombia lider de Gobierno Electronico en America latina y el Caribe ( ONU )


Ocupa el primer lugar entre 33 países de la región, según el ranking de las Naciones Unidas. La Organización de las Naciones Unidas le ha dado una excelente noticia a Colombia, al revelar esta semana un nuevo reporte mundial de Gobierno Electrónico. Colombia se ubicó como el país más avanzado en América Latina y el Caribe. Pasó del puesto 7 al 1 en la región y del 52 al 31 en el mundo, mejorando en 21 posiciones frente a la medición anterior.

La Ministra de Tecnologías de la Información y las Comunicaciones, María del Rosario Guerra, destacó la importancia de este resultado. “Es el mejor lugar que hemos ocupado desde que la ONU creó el reporte hace siete años y la primera vez en que somos el líder de la región. Nos habíamos propuesto ser los primeros, para lo cual debíamos superar a países como México, Brasil y Chile”, afirmó: “Este es un gran logro para el país y, en especial, para todas las entidades públicas que han realizado grandes esfuerzos” manifestó la funcionaria, cuya cartera coordina la implementación de la Estrategia de Gobierno en línea, con el fin de hacer cada vez más fácil la relación de los colombianos con el Estado, mediante el aprovechamiento de las tecnologías.

En los últimos dos años, explicó la Ministra Guerra, se han dado pasos importantes, con unos lineamientos claros y plazos concretos sobre cómo debe avanzar la administración pública en materia de Gobierno en línea. “Tenemos más de 700 trámites y servicios totalmente en línea, a los que se puede acceder a través de www.gobiernoenlinea.gov.co, pero sabemos que todavía nos falta camino por recorrer”, señaló.

De acuerdo con el ranking, Chile (34) se ubica en el segundo puesto de América Latina y el Caribe, seguido por Uruguay (36) y Barbados (40). Otros países que se encontraban en mejor lugar que Colombia y cayeron posiciones son México (56), Argentina (48) y Brasil (61).

El liderazgo mundial de Gobierno Electrónico, entre 192 países evaluados, pasó de Suecia a Corea del Sur, seguido de Estados Unidos, Canadá, Reino Unido e Irlanda del Norte, Países Bajos, Noruega, Dinamarca, Australia, España y Francia. El país que mayores avances presentó es Palaos (+80, del 183 al 103) mientras que Suráfrica es el que más posiciones perdió (-36, del 61 al 97).

Otro ranking que revela este reporte es el de Participación Electrónica. De acuerdo con los datos publicados, Colombia también obtiene la primera posición en América Latina y el Caribe, seguido por México y Chile. En la medición anterior Colombia ocupaba el 4º lugar, después de México, Brasil y
Argentina.