2007 Conclusiones - Apertura y seguridad
Transcripción
2007 Conclusiones - Apertura y seguridad
CONCLUSIONES TEMA I - Confidencialidad Decimos que la información es confidencial cuando no puede ser revelada, ni debe estar a disposición, ni a la vista de individuos, entidades o procesos que no cuenten con la debida autorización para ello. 1.- ¿Qué riesgos corremos si la información gubernamental no es confidencial? Riesgos para los gobiernos • Se infringen leyes y normas respecto al honor, privacidad y seguridad personal de los ciudadanos. También se violan las garantías individuales. • Se propicia la pérdida de confianza –el descrédito– de las instituciones públicas por parte de la sociedad. • Se dificulta la imputación de responsabilidades por la “fuga” de información. • Se incentiva la corrupción de los servidores públicos. • Se propicia la discriminación. • Se puede vulnerar la seguridad nacional. • Se pueden afectar las transacciones comerciales. • Se vulnera la procuración e impartición de justicia. • Se propician conflictos públicos y/o políticos. Riesgos para la organización • Se distorsiona la misión de las dependencias. • Se vulnera la calidad de la provisión de trámites y servicios. • Se incentiva el burocratismo, la duplicidad de tareas y la ineficiencia de costos. • Se refuerza la creación de cotos de poder dentro de la administración pública. • No se definen los controles de acceso a la información. 2.- ¿Qué debemos hacer para que la información gubernamental que corresponda sea confidencial? • • • • • • Identificar la información que cada entidad considera como confidencial. Fijar los criterios para clasificar esta información. Identificar quiénes son los responsables (dueños, custodios) de la gestión de la información confidencial, y quiénes los usuarios. Realizar un análisis para identificar los riesgos que corren las instituciones, los funcionarios, los ciudadanos y las empresas, cuando la información que corresponda no sea confidencial. Diseñar una política para asegurar la información confidencial de cada dependencia. Crear un comité que diseñe y administre las políticas para preservar la información confidencial. Crear un manual por cada entidad referido a las políticas, procesos y procedimientos para el aseguramiento de la información confidencial. En el aspecto informático • Crear controles de acceso a la información confidencial. • Crear bitácoras de acceso a la información confidencial. • Crear los controles tecnológicos que cada entidad estime necesarios, según el resultado que arroje su análisis de riesgos. Para el personal • Elaborar convenios de confidencialidad entre cada entidad y los funcionarios que correspondan. • Difundir las políticas para asegurar la información confidencial entre todo el personal involucrado para su comprensión y aceptación. • Fomentar la cultura de la confidencialidad a partir de los altos mandos. • Capacitar a los servidores públicos en temas de ética y valores. Para las empresas y personas ajenas a la entidad gubernamental • Elaborar convenios de confidencialidad entre cada entidad, los proveedores y personas autorizadas para ver y/o manipular información confidencial. Presupuesto • Disponer del presupuesto necesario para implementar las políticas de aseguramiento de la información confidencial de cada dependencia. Leyes y normas • Emitir una ley que proteja los datos personales de las personas. • Reformar y adecuar las leyes. • Crear regulaciones para el establecimiento de mecanismos que aseguren la confidencialidad de la información que corresponda. Procesos • Crear un estándar que fije los procesos y procedimientos de trabajo según las políticas para el aseguramiento de la información confidencial. • Identificar los controles de accesos a la información confidencial. • Identificar y asignar las funciones y responsabilidades de los servidores públicos. • • • Auditar regularmente las medidas de seguridad. Aplicar sanciones a quienes incumplan las medidas de seguridad. Se recomienda certificar las medidas de seguridad con empresas especializadas. TEMA II - Integridad La integridad impide que la información sea adulterada o destruida. Deberá garantizarse que la información sea veraz y completa. 1.- ¿Qué riesgos corremos si la información gubernamental no es íntegra? • • • • • • • • • • • Es posible adulterar la información gubernamental. La información no cumple con los objetivos para la que fue creada. Propicia tomar decisiones equivocadas y/o arbitrarias. Falta de credibilidad y/o confianza en las instituciones. Se impide o viola el cumplimiento de las Leyes de Transparencia y otras. La información inconsistente y/o repetida genera dispendio e ineficiencia. Se propicia la corrupción. Se desinforma a la ciudadanía. Puede provocar daños al patrimonio de la Nación, a las personas y a las entidades públicas. Es un obstáculo para el desarrollo de proyectos. Se afecta a las personas en sus libertades y derechos. 2.- ¿Qué debemos hacer para que la información gubernamental sea íntegra? • • • • • • • Identificar y priorizar las amenazas que pueden atentar contra la integridad de la información. Definir políticas y procedimientos para que la información sea íntegra. Fijar sanciones para los servidores públicos que violan dichas políticas y procedimientos. Involucrar a los altos mandos en el análisis de riesgos y en la formulación de políticas y procedimientos. Establecer controles organizacionales para garantizar la integridad de la información. Identificar a los responsables (custodios) de la integridad de la información. Establecer la vigencia en la información con el objeto de resguardar la integridad de la información durante un tiempo definido. Educación • Impulsar la cultura de valores en el manejo íntegro de la información. • Capacitar al personal. Recursos económicos • Proveer los recursos necesarios según el análisis de riesgos (amenazas) que se hizo, y de las políticas y procedimientos que se fijaron. Procesos • Establecer controles tecnológicos, humanos y organizacionales para garantizar la integridad de la información. • Establecer reglas y procedimientos que aseguren la integridad de la información. • Establecer sistemas de medición para probar la efectividad de las medidas adoptadas. • Proceder con auditorías y sanciones –si fueran necesarias– de forma rutinaria. • Someter a la organización a certificaciones basadas en estándares internacionales. Tecnología • Establecer plataformas seguras de interoperabilidad para que diferentes dependencias puedan compartir información. • Diseñar controles de acceso a la información y sus respectivas bitácoras. • Crear protocolos de captura. • Definir estándares de arquitectura de datos y su interacción. • Asegurar que la eficiencia cuando se transmita la información a otro sitio. Archivos • Es fundamental revalorar los archivos. • Profesionalizar la materia archivística • Involucrar a toda la institución en materia de archivos. • Estandarizar procesos para archivar información. • La información debe almacenarse en formatos que permitan su utilización. TEMA III - Disponibilidad Cuando hay disponibilidad, los individuos, entidades o procesos que así lo demandan pueden acceder y utilizar la información, siempre y cuando cuenten con la debida autorización. De esta forma, la información brinda el servicio para la que fue creada. 1.- ¿Qué riesgos corremos si la información gubernamental no está disponible? • • • • • Falta de transparencia. La información pierde la función para la que fue creada. No se está cumpliendo la Ley. El gobierno se encuentra impedido para proveer trámites y servicios a las personas físicas y morales. Servicios de mala calidad. Se inhibe la participación de la ciudadanía en los asuntos públicos. • • • No se cuenta con la materia prima para la toma de decisiones. Se propicia una mala imagen de las instituciones y se reduce la credibilidad. Se imposibilita la rendición de cuentas. Para la organización • Se pone en riesgo el cumplimiento de los objetivos de la organización. • Se generan procesos ineficientes. • Se inhibe la capacidad de acción. • Hay duplicidad de esfuerzos. • Aumentan los costos. 2.- ¿Qué debemos hacer para que la información gubernamental que corresponda esté disponible? • • • • • • • • • • • Identificar riesgos y amenazas que se corren cuando la información no se encuentra disponible. Identificar, analizar y clasificar niveles de disponibilidad de la información, de acuerdo con los niveles de servicio. Se debe contar con fuentes de información verificables. Generar plataformas de interoperabilidad para el intercambio de información. Velar por la preservación de los archivos. Establecer controles de acceso y sus respectivas bitácoras. Asegurar que la información disponible pueda estar en línea cuando sea requerida. Publicitar los medios y procedimientos de accesos a la información. Ampliar los sujetos obligados de hacer pública la información Establecer normas basadas en la materia archívistica. Aplicar estándares internacionales Conclusiones Generales • • • • • • • Voluntad política. Análisis de riesgos. Definición de prioridades. Asignación de recursos. Adoptar medidas de control organizacionales y tecnológicas. Crear conciencia en todos los niveles de la estructura de gobierno respecto al aseguramiento de la información Proceder conforme a estándares.