El día de ayer, Perú ha dado un importante paso en lo que a la seguridad de la información se refiere en el ámbito público, al establecer que 50 organismos e instituciones públicas deban implementar el plan de seguridad de la información indicado en la norma ISO 27002, Código de Buenas Prácticas para la Gestión de la Seguridad de la Información, perteneciente a la serie ISO 27000, antes de finalizado el año 2012. Es decir, los organismos disponen de prácticamente un año y medio para planificar, proyectar, e implementar este alineamiento, muy común en el sector privado de países de todo el mundo.
Esto se dio en el contexto de la modernización de la gestión del estado, en concordancia con la tendencia internacional, que ya había creado mediante resolución ministerial el grupo de trabajo permanente denominado “Coordinadora de Respuestas a Emergencias en Redes Teleinformáticas de la Administración Pública del Perú, Pe-CERT” en el ámbito de la Oficina Nacional de Gobierno Electrónico e Informática (ONGEI) de la Presidencia del Consejo de Ministros. Esto permite al gobierno de Perú, según sus propias palabras, establecer un marco de coordinación para afrontar los riesgos y amenazas a los que está expuesta la información que producen los diferentes organismos públicos utilizando tecnologías de la información, evitando la duplicidad de esfuerzos en el establecimiento de acciones.
Entre los organismos que se encuentran en la nómina de los 50 seleccionados, aparecen por ejemplo el congreso de la república, el poder judicial, el banco central, el consejo nacional de la magistratura, varios ministerios como el de trabajo, vivienda, energía, relaciones exteriores y justicia, y varios organismos de servicios públicos como el de agua potable y servicios postales. Cabe destacar que Perú tiene como política de estado el hecho de promover, facilitar e incorporar el uso de las nuevas tecnologías de la información y la comunicación con el fin de facilitar el acceso para su población independientemente de su ubicación geográfica.
Se conoce que en el año 2004 se impuso un período de 18 meses para implementar esto mismo en todas las entidades estatales, lo cual no ha podido ser cumplido en su momento, por lo que el plazo fue extendido en aquel entonces hasta mediados de 2006.
En esta ocasión, un plan mas realista propone como fecha límite el 31 de diciembre del año próximo, y motiva claramente a enfocar los esfuerzos en la mejora de los planes de seguridad en pos de la implementación de un SGSI, que podría llevar a Perú a estar emparejado con los más altos estándares internacionales, y elevar el nivel general de Latinoamérica en cuanto a aplicación de políticas de estado que promuevan mejoras en el campo de la seguridad.
Federico Pacheco
Education & Research Manager