RIA superó con éxito la auditoría principal del estándar de seguridad de la información de Estonia
La norma estonia de seguridad de la información fue preparada por orden de la Agencia Estatal de Sistemas de Información y debe ser seguida por todas las organizaciones que desempeñan tareas públicas. La propia RIA inició la implementación de E-ITS en la primavera de 2022, y las actividades tardaron aproximadamente un año y medio antes de la auditoría.
«De este modo se ha completado una etapa importante para elevar el nivel de seguridad de la información de la institución. En el caso de RIA, tomó mucho tiempo, por ejemplo, consolidar los activos administrados en diferentes entornos en un solo entorno y crear una estructura de datos. Sin embargo, ahora contamos con una solución técnica funcional que hace que la implementación de medidas de seguridad sea rastreable tanto a nivel de departamentos como de instituciones. En la siguiente etapa continuaremos con una mayor automatización de los procesos y una mayor facilidad de uso», afirmó el jefe del departamento de seguridad de la información. Martín Paas.
Jefe del Departamento Estatal de Medidas de Seguridad de la Información Lluvia Ojastu Según él, la primera implementación de la gestión de seguridad de la información según E-ITS puede llevar tiempo. «Es necesario aclarar cuáles son los procesos comerciales, servicios y activos de la institución, aquellos que deben protegerse. Los procesos comerciales pueden ser, por ejemplo, un servicio de atención médica general o la venta de combustible, servicios, por ejemplo, la emisión de un certificado o la gestión de un lugar de trabajo informático, y los activos pueden incluir datos de clientes además de un sistema informático o de caja registradora. Todavía tienes que descubrir por ti mismo por qué es necesario protegerlos, es decir, la necesidad de protección. En el curso de tales actividades, la organización tiene más claro qué y a quién brinda servicios, cuál es la conexión con los servicios de soporte internos y la cadena de suministro que afectan el servicio. El resultado es una herramienta de gestión útil para la organización, que garantiza al mismo tiempo la ciberseguridad de la institución, porque el ciberriesgo es también un riesgo empresarial. Si los sistemas de información no funcionan, las actividades principales de la organización se ven perturbadas», explicó Ojastu.
La implementación de E-ITS es una actividad continua, similar a garantizar la seguridad de la información, porque los procesos, activos y riesgos cibernéticos de la organización cambian. Además, el estándar de seguridad de la información se actualiza cada otoño. RIA planea alinear sus medidas de seguridad de la información con la nueva versión de E-ITS a más tardar a finales de 2024, y la próxima primavera la agencia se enfrentará a una nueva auditoría provisional.
RIA ha compartido su propia experiencia en el seguimiento e implementación de estándares de seguridad de la información con otros implementadores de E-ITS, de quienes recibió buenas ideas, así como con socios internacionales. En el futuro, el plan completo de implementación de medidas de seguridad de la información se presentará a todos aquellos que quieran aprender de la experiencia de la institución.
El estándar de seguridad de la información de Estonia está diseñado para garantizar la resistencia de las organizaciones importantes para la sociedad a las amenazas cibernéticas. El cumplimiento es obligatorio para aproximadamente 3500 organizaciones.