El hecho de que siempre se insiste en que los usuarios de las TIC en cualquier sistema informático, tienen que conocer el plan de seguridad informática (PSI) de la entidad donde laboran, no es un capricho de especialistas y directivos. Los argumentos a esta afirmación se expresan son básicamente en dos cuestiones:
El PSI expresa las posiciones de la entidad en torno al uso de las TIC amparadas en la legislación vigente en el país.
Las políticas, medidas y procedimientos del PSI son la expresión de las buenas prácticas en el uso de las TIC.
Al fundamentar el primero de estos aspectos, la primera cuestión que sale a la luz es que en Cuba el PSI, por ley es una obligación de todas las entidades con personalidad jurídica (decreto ley 360/19, artículos 17 al 20). De este articulado mencionado, se deriva la estructura de dicho plan, que se establece por el organismo rector del estado para estas cuestiones, que es el Ministerio de Comunicaciones en su resolución 129/2019, en especial su anexo.
El PSI es el resultado de una política de prevención de la entidad para prevenir, minimizar o transferir el impacto de los posibles incidentes que puedan ocurrir y que están expresados en el análisis de riesgos que se realiza en todas las entidades para elaborar el PSI.
La gestión de los riesgos se realiza a partir de un estudio profundo de las características de la entidad para de esta manera establecer políticas, medidas y procedimientos, que son la manera en que se realizan las acciones para la prevención o reducción del impacto de los incidentes y expresan en qué, cómo, cuándo, dónde y por quien se debe realizar las acción.
Cuando se analiza la metodología para la gestión de la seguridad informática (resolución 129/19) salta a la luz que su estructura es coincidente en mucho aspectos con la de los estándares ISO de la serie 27000, en especial la 27001 y 27002, por ello se puede afirmar, que está construida para crear el PSI desde las buenas prácticas a tener en cuenta para un manejo seguro de las TIC y de la información, como resultado de la creación humana que es irrepetible y preciado. Con esta afirmación, el análisis se adentra en el segundo aspecto.
Para ser más explícito, se presentan como ejemplo, algunos acápites de la norma ISO 27002 que agrupan sus controles para contraponerlos a los que establece la estructura de la metodología antes mencionada.
Comparación en la organización de las Norma ISO 27002 y la Estreuctura de del PSI según Res. 129/2019.
Para una mejor comprensión se han numerado los acápites de las norma y se hecho coincidir su número con el elemento correspondiente en la metodología.
Norma ISO 27002.
1. Seguridad ligada a los recursos humanos.
2. Gestión de activos
3. Control de accesos
4. Seguridad física y ambiental.
5. Seguridad en la operativa.
6. Seguridad en telecomunicaciones.
7. Gestión de incidentes.
Estructura del PSI según Res. 129/19.
2. Clasificación y control de los bienes.
1. Del personal.
4. Seguridad física y ambiental.
5. Seguridad en operaciones.
3. Identificación, autenticación y control de accesos.
Respaldo de información (incluido en 5)
6. Seguridad en redes.
7. Gestión de incidentes de seguridad.
De esta manera se muestra la intención de que el PSI exprese las buenas prácticas para el manejo seguro de las TIC desde su propia concepción en la norma jurídica en nuestro país.