EPMAPS fortalece la Gestión de Seguridad de la Información

Empresa Pública Metropolitana de Agua Potable y Saneamiento de Quito (EPMAPS), conocida como Agua de Quito, alinea su adopción de Seguridad de la Información con la misión y los objetivos estratégicos de garantizar el acceso, la disponibilidad y la calidad de los servicios de agua potable y saneamiento para los ciudadanos del Distrito Metropolitano.

Tannya Balladares, Oficial de Seguridad de la Información en EPMAPS-Q, destaca que las estrategias incluyen la optimización de procesos empresariales, la eficiencia laboral, la transformación digital para la mejora de la experiencia del cliente. Además, la empresa metropolitana prioriza la seguridad al integrar nuevas herramientas tecnológicas especializadas para minimizar riesgos de la información. Según Balladares, las políticas de seguridad de la organización exigen que todos los proyectos tecnológicos, desde su concepción, incorporen medidas de seguridad para gestionar adecuadamente la información.

Agua de Quito cuenta con una estructura de gobernanza de seguridad de la información liderada por la Gerencia General, el Comité de Seguridad y gestionada por el Departamento de Seguridad de la Información, que forma parte de la Gerencia de Planificación y Desarrollo. Tannya Balladares destaca la importancia de la retroalimentación con los departamentos de TI, con quienes sostiene reuniones estratégicas para analizar y fortalecer la seguridad.

La estrategia de seguridad se alinea con las normas ISO 27001, ISO 27005 y ISO 31000, que facilitan el análisis de riesgos en los procesos esenciales de la empresa y la determinación de controles de seguridad a implementar, priorizando según su importancia y criticidad. Según Balladares, este análisis lleva a priorizar acciones de control que pueden incluir políticas, medidas administrativas y tecnológicas. Además, se consideran otras normativas, regulaciones y leyes de cumplimiento obligatorio, como la LDPDP. Tannya también menciona cambios recientes dictados por el MINTEL, que en marzo de este año promulgó el Acuerdo 2024-003 que obliga a todas las entidades públicas, no solo a las del gobierno central, a implementar el Esquema Gubernamental de Seguridad de la Información (EGSI).

El Sistema de Gestión de la Información de la institución está en constante actualización, mantenimiento y revisiones periódicas. Tannya Balladares señala que cada año, planifican y ejecutan diversas acciones. Un proyecto en el que han trabajado es la clasificación de la información, que implica determinar el propietario del dato, así como las responsabilidades y funciones asociadas. Para la protección de la información han implementado herramientas de Prevención de Pérdida de Datos (DLP, por sus siglas en inglés), para el monitoreo y prevención de fuga de información.

Trabajar en la clasificación de la información ha sido una tarea con importantes desafíos, indica Balladares, por ejemplo, vencer el estigma que por ser entidad pública toda información que generamos puede ser de acceso general, trabajar la protección de información no sólo como una buena práctica sino como parte de la cultura de la organización, sensibilizar sobre el manejo, cuidado y protección de la información. “Luego de varias acciones como campañas direccionadas a los distintos públicos de la entidad, podemos decir que la empresa maneja una cultura de seguridad”.

Debido al tamaño de la empresa, el proyecto de clasificación de información se ha implementado gradualmente y en colaboración con cada área. Balladares detalla que utilizan políticas específicas y metodologías propias para clasificar la información. “Este proceso incluye trabajar directamente con las áreas, identificar sus procesos, y realizar un levantamiento detallado del tipo de información que manejan, cuánto tiempo la retienen y definir quién es el dueño del dato. Además, evaluar el impacto potencial en la empresa si la información es mal utilizada. Según estos análisis, se determina la sensibilidad de la información en diferentes rangos. Posteriormente, se crean matrices que cada gerencia de área valida y que son aprobadas mediante resoluciones trabajadas junto con la gerencia jurídica”.

Para Tannya Balladares, en el sistema de seguridad de la información, los roles establecidos son esenciales porque definen las responsabilidades asociados con la gestión de datos. Cada rol es responsable de empoderarse respecto a la información, protegerla y, de manera coordinada, llevar a cabo análisis, consultas y determinar la pertinencia en la entrega de información que gestiona.

Con la clasificación de la información se establecen niveles de restricción y los mecanismos de gestión de estos datos. Más allá de estos procedimientos, contar con herramientas que monitoreen la gestión de la información, DLP, permite el monitoreo y, a través de políticas y reglas configuradas, verificar actividades como intentos de transferencia de información sensible, a través de dispositivos USB. El sistema, dependiendo de su configuración, impide que personas no autorizadas muevan información. “El DLP permite el movimiento de información solo a quienes están autorizados. Todas las acciones son registradas, y cada vez que se mueve información de este tipo, se requiere que las personas ingresen justificaciones para dichos movimientos. Además, el sistema genera reportes detallados de las actividades”, indica la ejecutiva.

El trabajar en la clasificación de la información directamente con cada departamento para definir la sensibilidad de los datos y los procedimientos a seguir, ha tenido un impacto positivo, empoderado a los departamentos, permitiéndoles actuar de manera informada y segura. Menciona la ejecutiva de manera general, que anteriormente, se asumía erróneamente que el departamento de Tecnologías de la Información como custodio de bases de datos y sistemas, era el dueño de la información. Sin embargo, en realidad son los distintos departamentos quienes reciben los requerimientos y autorizan la gestión de sus datos.

Tannya Balladares señala algunas recomendaciones relacionadas con la clasificación de datos.

-Mantener contacto directo e involucrar a los colaboradores desde las etapas iniciales de los proyectos que involucran seguridad.

-Capacitaciones específicas para grupos objetivos y concientizar a los participantes como responsables activos de la gestión de la información.

-A pesar de que se pueden prever y establecer procesos para mitigar los incidentes de seguridad, estos siempre pueden ocurrir es importante estar preparados para actuar rápidamente.

-Considerar las necesidades específicas y la realidad operativa de cada departamento para que las acciones tomadas respondan a requerimientos.