Unas ya estaban terminando, otras iban por la mitad y algunas otras aún no empezaban, pero lo cierto es que ahora todas las dependencias de gobierno deben ceñirse a los lineamientos recientemente establecidos en el Manual Administrativo de Aplicación Gerencial de Tecnologías de Información y Comunicaciones (MAAGTIC), el cual ha agregado el tema de Seguridad de la Información como un grupo de procesos de relevancia estratégica en la nueva versión, denominada MAAGTICSI.
Vigente a partir del 2 de enero de este año, la modificación responde a la importancia de establecer procesos uniformes, acciones y medidas coordinadas en materia de seguridad de la información, que permitan fortalecer el uso seguro de equipos y servicios, así como coordinar una respuesta oportuna ante situaciones de emergencia.
Uno de los principales objetivos de MAAGTICSI es que la alineación de todas las dependencias contribuya a la seguridad de la nación ante amenazas materializadas a través del uso de TIC. De acuerdo con Juan Antonio Segura, CEO de INNOVATI Consulting Group, la integración de la seguridad de la información (SI) dentro del esquema de gobernabilidad planteado en MAAGTIC responde básicamente a cuatro aspectos fundamentales: “Por un lado, dentro del Programa para la Seguridad Nacional hay un objetivo en donde se establece fortalecer estructuralmente el Sistema de Seguridad Nacional”, explicó.
“Por otro lado, la administración pública se orienta ahora a un tema de servicios, hacia una era digital, lo que lleva al gobierno a ofrecer servicios sustentados en TI, y esto prende nuevos riesgos y amenazas y el Gobierno Federal tiene que responder; el tercer punto es que el Ejecutivo Federal, en el seno del Consejo de Seguridad Nacional, acordó diversos lineamientos generales de SI que se incorporarían en el MAAGTIC. Finalmente, en la definición de procesos, acciones y medidas en materia de seguridad se contempló también incorporar la seguridad derivado de la participación del grupo técnico intersecretarial en materia de SI, y de ahí viene el nuevo nombre de MAAGTICSI.”
¿Borrón y cuenta nueva?
El MAAGTIC establece un marco rector de procesos fundamentado en las mejores prácticas; contiene las reglas, acciones y procesos que en materia de TIC deberán observar de manera obligatoria las dependencias y entidades de la Administración Pública Federal en México. Aunque el plazo establecido para el cumplimiento era noviembre de 2011, de acuerdo con Segura la gran mayoría de las organizaciones en lo que estaban trabajando era el diseño. “La parte de implementación aún no estaba muy aterrizado, sobre todo por el tema de la madurez de los procesos tecnológicos de las entidades gubernamentales; ahora, con la adición de SI, les va a llevar una reestructura”, opinó. “En algunas organizaciones hemos llegado a una fase de diseño de controles, pues la parte de vivir los procesos implica cierto tiempo, así como la evaluación post implementación y el monitoreo para la mejora continua”.
Sin embargo, aclaró, no se trata de empezar desde cero otra vez. “Para las organizaciones que ya habían avanzado en la implementación de MAAGTIC, el único proceso que sufre cambios en términos de alcance es el de administración de seguridad de los sistemas que antes estaba dentro de un grupo de procesos de operación de servicios en la parte de ejecución y entrega. En la nueva versión se eleva el tema de seguridad a un nivel de gobernabilidad, lo que implica que cada proceso sea observado dentro de la perspectiva de confidencialidad, integridad y disponibilidad de la información”, explicó.
Segura agregó que aquéllas dependencias que ya habían iniciado esfuerzos para la implementación de MAAGTIC solamente deberán adoptar los nuevos procesos. “Yo estimo que quienes ya tienen un nivel de madurez podrían cumplir con estos lineamientos en seis meses, pero quienes apenas estaban en un proceso inicial, sí les puede tomar como 12 meses cumplir con lo que se establece en MAAGTICSI.”
¿Qué implica la redefinición de los proyectos para ajustarse a las modificaciones del nuevo MAAGTICSI? De acuerdo con Segura, uno de los principales factores críticos de éxito es el presupuesto, pues se deben redefinir los escenarios de implementación. Otros factores que podrían afectar el proyecto incluyen los recursos humanos –pues ahora se requiere integrar profesionales sensibles al tema de riesgos y SI–, la extensión del alcance en los contratos de outsourcing, y el nivel de madurez de cada entidad gubernamental.
Retos y evolución del MAAGTICSI
Al preguntarle sobre los retos que enfrenta la administración pública con respecto a la implementación, Segura consideró la alineación de los procesos internos de cada dependencia, desde una perspectiva de riesgo informático de los diferentes activos; así como el tema de capacitación del personal, sobre todo si en la organización no tienen el mismo nivel de conocimientos. El directivo sugirió que las dependencias deberían dominar el tema de mejores prácticas antes de implementar MAAGTIC, “considerando marcos como COBIT, que es un modelo de Gobierno de TI; ITIL, que es un modelo orientado a la parte de servicios; ISO27000 para el tema de seguridad, y PMI para la oficina de proyectos. Creemos que con estos cuatro fundamentos se puede lograr más fácilmente la implementación de MAAGTICSI”, dijo.
Finalmente, Segura estimó que el modelo de seguridad debería evolucionar para incluir el gobierno de riesgos (Risk Governance), “para evaluar el riesgo de la información y de los activos como parte fundamental del modelo”, concluyó.
