Upload
asider-asider
View
345
Download
1
Embed Size (px)
DESCRIPTION
Conferencia dictada por el Ing. Bernard Boily, MBA Presidente de Sedika Technologies; en el Colegio de Ingenieros del Peru. en Diciembre del 2013
Citation preview
Ing. Bernard Boily, MBA
Presidente
Sedika Technologies
La seguridad de la información en el
Gobierno de Canadá
Agenda
2
1.Contexto
2.Roles y responsabilidades
en seguridad de la
información
3.El estándar de seguridad de
la información del
Gobierno de Canadá
4.Presentación de procesos
clave
5.Preguntas
Resumen de Sedika Technologies
Distribuidor mayorista de las soluciones de sensibilización en
seguridad de la información de Terranova en América latina y
el Caribe
Distribuidor exclusivo de los cursos y certificaciones de PECB
sobre los sistemas de gestión ISO en América latina y el
Caribe
– Implementador Líder ISO 27001
– Auditor Líder ISO 27001
– Implementador Líder ISO 22301
– Auditor Líder ISO 22301
– Implementador Líder ISO 20000
– Auditor Líder ISO 20000
3
División de las responsabilidades
del gobierno
Gobierno federal – Defensa nacional
– El control de las fronteras
– Las relaciones exteriores
– Seguro de desempleo
– Sector bancario
– Impuesto federales
– Sistema postal
– La pesca
– Embarcaciones, ferrocarriles
– Telecomunicaciones
– Tierras y derechos de los aborígenes
– El derecho penal
Gobiernos de las diez provincias – La educación
– La salud
– Las carreteras
– Los municipios
– Derechos de propiedad y civiles
5
Gobierno de Canadá
Reina Isabel II
Gobernador General
Primer Ministro
Ministros
Departamentos
Agencias
Roles en seguridad de la
información
7
Departamentos
Treasury Board Secretaria (Secretaría
del Consejo del Tesoro)
CIO
Public Safety (Seguridad Pública)
CCIRC
RCMP (Policía Nacional)
National Defence
Fuerzas Armadas
Comunications Security
Establishment
Shared Services (Servicios
Compartidos)
Operaciones de Seguridad de TI
19 otros Departamentos
Consejo del Tesoro
El Consejo del Tesoro un Comité
ministerial encargado de los siguientes:
– Rendición de cuentas y ética
– Gestión financiera, de personal y
administrativa
– Contraloría
– Aprobación de los reglamentos
8
Secretaría del Consejo del Tesoro
El Secretaría del Consejo del Tesoro es la rama administrativa del Consejo del Tesoro
9
Departamentos
Treasury Board Secretaria (Secretaría
del Consejo del Tesoro)
CIO
Public Safety (Seguridad Pública)
CCIRC
RCMP (Policia Nacional)
National Defence
Fuerzas Armadas
Comunication Security
Establishment
Shared Services (Servicios
Compartidos)
Operaciones de Seguridad de TI
19 otros Departamentos
Se encarga de los siguientes: – Órgano de dirección del gobierno
– Supervisión de las operaciones del gobierno federal en su conjunto
– Director general y el empleador de la administración pública federal
– Contraloría del gobierno
– Supervisión de las funciones de gestión financiera de los departamentos y agencias
– Preparación de políticas, estándares, directrices, etc. que se aplica en todos los departamentos y agencias
Políticas, estándares de la
Secretaría del Consejo del Tesoro
Todas son disponibles en el Internet: http://www.tbs-sct.gc.ca/pol/index-eng.aspx?tree=a2z
10
72 políticas
74 directivas
51 estándares
51 orientaciones
Relación con la seguridad de la
información y la continuidad del negocio
11
7 políticas
•Política de seguridad del gobierno Política de auditoría interna
•Política de uso aceptable de la red Política de protección de la privacidad
•Política de acceso a la información Política de teletrabajo
•Política de gestión de la información
3 directivas
•Directiva de gestión de la seguridad de los departamentos
•Directiva de gestión de identidad
•Directiva de los roles y funciones de gestión de la información
4 estándares
•Estándar de seguridad operacional - Gestión de la seguridad de la tecnología de la información (MITS)
•Estándar de identidad y aseguramiento de los credenciales
•Estándar de seguridad operacional – Programa de planificación de la continuidad del negocio
•Estándar operacional sobre la Ley de Seguridad de la Información (información clasificada SECRET)
1 orientación
•Orientación sobre las brechas de privacidad
Seguridad Pública
El Departamento de Seguridad Pública se encarga de para la protección de los Canadienses y ayuda a mantener una sociedad pacífica y segura.
12
Departamentos
Treasury Board Secretaria (Secretaría
del Consejo del Tesoro)
CIO
Public Safety (Seguridad Pública)
CCIRC
RCMP (Policia Nacional)
National Defence
Fuerzas Armadas
Comunication Security
Establishment
Shared Services (Servicios
Compartidos)
Operaciones de Seguridad de TI
19 otros Departamentos
Muy similar al departamento de Homeland Security de los EEUU y tiene acuerdos con este departamento
Encargado de la sensibilización de los Canadienses a la seguridad de la información en línea
Sitio web: www.getcybersafe.gc.ca
Se encarga de la promoción del mes de la seguridad cibertécnica (octubre)
Canadian Cyber Incident Response
Centre (CCIRC)
Centro Canadiense de
Respuestas a Incidentes
Cibernéticos
15
Departamentos
Treasury Board Secretaria (Secretaría
del Consejo del Tesoro)
CIO
Public Safety (Seguridad Pública)
CCIRC
RCMP (Policia Nacional)
National Defence
Fuerzas Armadas
Comunication Security
Establishment
Shared Services (Servicios
Compartidos)
Operaciones de Seguridad de TI
19 otros Departamentos
Esta unidad es responsable de supervisar las amenazas y coordinar la respuesta nacional a cualquier incidente de seguridad cibernética.
Su objetivo es la protección de la infraestructura crítica nacional contra incidentes cibernéticos, que incluye el Gobierno de Canadá.
Parte de FIRST (Forum of Incidente Response and Security Team), www.first.org, una organización internacional de respuestas a incidentes de seguridad.
Comunications Security
Establishment
Unidad de seguridad de
las comunicaciones
16
Departamentos
Treasury Board Secretaria (Secretaría
del Consejo del Tesoro)
CIO
Public Safety (Seguridad Pública)
CCIRC
RCMP (Policia Nacional)
National Defence
Fuerzas Armadas
Comunication Security
Establishment
Shared Services (Servicios
Compartidos)
Operaciones de Seguridad de TI
19 otros Departamentos
Roles principales (desde Septiembre 2001)
Adquisición de información e inteligencia extranjera (similar al NSA)
Especializada en criptografía
Asesoramiento, orientación y servicios para ayudar a garantizar la protección de la información electrónica y de las infraestructuras de información de importancia para el Gobierno de Canadá
Asistencia técnica y operativa a las agencias de seguridad federal (RCMP y otros) en el desempeño de sus funciones legales
Apoyo a la seguridad de la
información del CSE
Servicios de criptografía para proteger la información sensible
Orientación a la seguridad de la tecnología de la información de productos comerciales
Evaluación de productos de seguridad
Emisión de alertas, boletines, directivas sobre la seguridad de la tecnología de la información
17
Shared Services (Servicios
Compartidos)
Nuevo departemento creado en 2011 con más de 6,000 funcionarios
18
Departamentos
Treasury Board Secretaria (Secretaría
del Consejo del Tesoro)
CIO
Public Safety (Seguridad Pública)
CCIRC
RCMP (Policia Nacional)
National Defence
Fuerzas Armadas
Comunication Security
Establishment
Shared Services (Servicios
Compartidos)
Operaciones de Seguridad de TI
19 otros Departamentos
Historia
Tradicionalmente, cada departamento y agencia del Gobierno de Canadá ha establecido sus propios servicios y infraestructura de TI
Fragmentación grandísima que es muy costoso de mantener y administrar
Complexidad de la infraestructura
Más de 100 sistemas de correo electrónico diferentes, en gran medida incompatibles
Casi 500 centros de datos, con capacidad no en adecuación con la demanda
Cientos de redes de telecomunicaciones no coordinadas
Shared Services (Servicios
Compartidos)
Objetivos – Mejorar eficiencia
– Reducir costos
– Asegurar capacidad de mantener las capacidad de los diferentes departamentos
– Mejorar seguridad
Mediante – Migración de todos los sistemas de correo electrónico
a una sola plataforma
– Consolidación de 485 centros de datos en solamente siete
– Creación de una única infraestructura de red de telecomunicaciones compartida
– Estandarización y consolidación de la adquisición de hardware y software de los dispositivos de tecnología
19
Operaciones de Seguridad de TI
Agrupación de los especialistas de operaciones de seguridad de TI en un solo grupo
20
Departamentos
Treasury Board Secretaria (Secretaría
del Consejo del Tesoro)
CIO
Public Safety (Seguridad Pública)
CCIRC
RCMP (Policia Nacional)
National Defence
Fuerzas Armadas
Comunication Security
Establishment
Shared Services (Servicios
Compartidos)
Operaciones de Seguridad de TI
19 otros Departamentos
Roles
Gestión de los firewalls
Gestión de los anti-virus
Gestión de los otros dispositivos de seguridad
Copias de seguridad
Gestión de los derechos de acceso
Gestión de los parches
Implementación e integración de herramientas y productos de seguridad
Monitoreo de seguridad 24-7 (en proceso)
Departamentos
19 otros
Departamentos
21
Departamentos
Treasury Board Secretaria (Secretaría
del Consejo del Tesoro)
CIO
Public Safety (Seguridad Pública)
CCIRC
RCMP (Policia Nacional)
National Defence
Fuerzas Armadas
Comunication Security
Establishment
Shared Services (Servicios
Compartidos)
Operaciones de Seguridad de TI
19 otros Departamentos
Deputy Minister
Oficial de seguridad
Coordinador de seguridad de TI
Equipo de seguridad (20 –
60 personas)
CIO Assistant Deputy
Ministers
Responsibilidades clave
Deputy Minister
– Establecimiento y aprobación del programa
de seguridad del departamento
DSO
– Gestión del programa de seguridad del
departamento
22
Responsabilidades clave del
Coordinador de seguridad de TI
Establecer y administrar un programa de seguridad informática del departamento
Revisar y recomendar la aprobación de las políticas de seguridad de TI del departamento
Trabajar en estrecha colaboración con los directores de prestación de servicios a fin de garantizan el cumplimiento de sus necesidades de seguridad de TI
Vigilar el cumplimiento del departamento con el Mananagement Information Technology Security Standard
Promover la seguridad de TI en el departamento
Establecer un proceso eficaz de gestionar los incidentes de seguridad de TI, y vigilar su cumplimiento
23
Responsabilidades clave del
Equipo de seguridad de TI
Generar políticas e implementar políticas de seguridad
Gestionar el programa de sensibilización a la seguridad de la información
Identificar y certificar nuevas tecnologías
Certificar nuevos sistemas
Soportar el desarrollo de aplicaciones seguras
Auditoría
24
Políticas y estándares clave
25
Política de seguridad del gobierno Política de gestión de la información
Estándar de seguridad operacional Gestión de la seguridad de la tecnología de la información (MITS)
Requiere que los departamentos y agencias tengan una estrategia de seguridad de TI
Requiere que los departamentos y agencias protejan la información durante todo su ciclo de vida
• Elaborado en 2004 (Antes de ISO 27001) • Sustituye el estándar de seguridad de la
tecnología de la información (1995) • Define los requisitos mínimos de los
departamentos y agencias
Principios del MIST
26
• Los departementos deben ver la seguridad de TI como una necesidad de negocio.
La prestación de servicios requiere la seguridad de TI
• Los departamentos deben ser conscientes de las crecientes amenazas de seguridad y vulnerabilidades y deben comprender cómo manejar sus programas de seguridad de TI para responder.
Las prácticas de seguridad de TI necesitan reflejar los
cambios del entorno
• Los departamentos tienen que reconocer que las decisiones de seguridad que toman pueden afectar a otras organizaciones.
El gobierno de Canadá es una entidad única.
• Los departamentos deben combinar personas, procesos y tecnologías y trabajar juntos de manera concertada para lograr un alto nivel de seguridad.
Trabajando juntos para apoyar la seguridad de TI
• Las decisiones deben tomarse sobre la base de la gestión de riesgos que reconoce los impactos potenciales en el departamento , y al gobierno en su conjunto y de sensibilidad y criticidad de los activos que poseen
La toma de decisiones requiere una gestión continua del riesgo
Requisitos del MIST
Definición de roles en relación a la seguridad de la información
Desarrollo de políticas de seguridad de departamento
Lista de controles de seguridad – Seguridad en el desarrollo de sistemas
– Categorización e identificación de activos de información
– Gestión de vulnerabilidades
– Gestión de incidentes
– Continuidad del negocio
– Auditoría
– Sensibilización a la seguridad
– Controles de detección
– Identificación y autentificación
– Criptografía
– Antivirus,
– Etc.
27
Nivel de control requerido
Controles del MIST definen los controles
mínimos a cumplir
El proceso de gestión de riesgo determinará
los controles adicionales a implementar
– Marco para la gestión del riesgo
– Guía para la gestión integrada del riesgo http://www.tbs-sct.gc.ca/tbs-sct/rm-gr/guides/girm-ggir01-
eng.asp
– Guía de gestión de riesgo de seguridad de la
tecnología de la información
28
Comparación MITS y ISO 27001
29
Planificar
Fuente: PURCELL, Jim. Improving the Management of Information Security in Canadian Government Departments: Taking Lessons from the ISO/IEC 27001 Standard to Make Continuous, Incremental, and Enduring Improvements, SANS Institute, 2009, 69 p.
Procesos clave
33
Clasificación de los activos
Gestión de riesgos de seguridad de TI
Desarrollo de sistemas de información seguros
Sensibilización a la seguridad de la información
Clasificación de los activos de
información
3 categorías:
– Pública • Información no personal o no de interés nacional
• Publicado para uso público
– Protegida • Expuesta puede causar daños a una persona o a
una organización
– Clasificada • Expuesta puede causar daños al interés nacional
de Canadá
34
Información protegida
3 niveles
35
Daño limitado
Daño grave
Daño excepcionalmente grave
• Número de empleado, proveedor, cliente
• Firma • Fecha de nacimiento • Organigrama • Procedimiento interno
• Número de seguro social • Combinación de información
personal o Número de teléfono no listado o Fecha de nacimiento o Número de tarjeta de crédito o Dirección no listada
Gestión de información protegida y
clasificada
Existe reglas para
– Marcado y etiquetado
– Gestión de Registro
– Almacenamiento
– Control de las llaves
– Usuario de
computadora portátil
– Acondicionamiento y
envío
– Retirada temporal
– Reproducción
– Reclasificación
– Desclasificación
– Retención
– Destrucción
– Violación de seguridad
– Comunicación verbal y
de mensaje
37
http://ssi-iss.tpsgc-pwgsc.gc.ca/msi-ism/ch5/mnpltn-hndlng-eng.html
Gestión de riesgo de seguridad de
la tecnología de la información
Relacionado a la política de gestión de riesgo del gobierno
Information Security Guidance 33 emitido por el Comunications Security Establishment.
Documentos sin clasificación y muy reciente (noviembre del 2012) – http://www.cse-cst.gc.ca/its-sti/publications/itsg-csti/itsg33-overview-apercu-
eng.html
– http://www.cse-cst.gc.ca/documents/publications/itsg-csti/itsg33-ann1-eng.pdf
– http://www.cse-cst.gc.ca/documents/publications/itsg-csti/itsg33-ann3-eng.pdf
– http://www.cse-cst.gc.ca/documents/publications/itsg-csti/itsg33-ann4-1-eng.pdf
– http://www.cse-cst.gc.ca/documents/publications/itsg-csti/itsg33-ann4-2-eng.pdf
– http://www.cse-cst.gc.ca/documents/publications/itsg-csti/itsg33-ann4-3-eng.pdf
– http://www.cse-cst.gc.ca/documents/publications/itsg-csti/itsg33-ann5-eng.pdf
38
Actividades de gestión de riesgos de TI
de los departamentos
39
Fuente: Comunications Security Establishment Canada. I ITSG-33, Annex 1 – Departmental IT Security Risk Management Activities, Nov. 2012, 56 p.
Definición de los requisitos de seguridad de
TI et de los controles de TI
Definir el alcance de las actividades de gestión de riesgos de seguridad de TI
Identificar las necesidades de negocios para la Seguridad
Clasificar la seguridad de las actividades de negocio de los departamentos
Definir la metodología de evaluación de los riesgos y amenazas
Hacer la evaluación de los riesgos y amenazas de TI del departamento
Especificar los objetivos de control de seguridad
Desarrollar los perfiles de control de seguridad
40
Controles de seguridad de TI
41
Fuente: Communications Security Establishment Canada. ITSG-33, Annex 3 – Security Control Catalogue, Nov. 2012, 150 p.
• Lista de 153 controles de seguridad
• Basado en U.S. NIST Special Publication 800-53 rev. 3
• Controles no obligatorios e implementados de acuerdo a la evaluación de los riesgos y amenazas de TI
• Recomendaciones de selección según el perfil de riesgo y la clasificación de la información
Proceso de desarrollo de sistemas de
información seguros
Definido en el Information Security Guidance 33, Anexo 2 emitido por el Comunications Security Establishment.
Documentos sin clasificación y muy reciente (noviembre del 2012) – http://www.cse-cst.gc.ca/documents/publications/itsg-csti/itsg33-ann2-eng.pdf
42
Desarrollo de sistemas - Iniciación
43
Fuente: Communications Security Establishment Canada. ITSG-33, Annex 2 – Information System Security Risk Management Activities, Nov. 2012, 104 p.
Sensibilización a la seguridad de la
información
Requisitos del MITS desde 2004
Parte integral de los controles del “Security Control Catalogue” del Canadian Security Establisment
Control preventivo percibido como un elemento esencial del desarrollo de una cultura de seguridad
“Mayor protección de la información es tener usuarios finales bien educados”
Programa continuo con personal dedicado 100% a este esfuerzo en los departamentos
46
Puntos clave del programa de
sensibilización
Audiencia – Usuarios finales
– Gerentes
– Personal técnico de TI
– Desarrolladores de aplicaciones y sistemas
Objetivos – Mayor conciencia de los problemas y las prácticas de
seguridad de la información
– Mejora de los hábitos de seguridad de la información
– Reducción del perfil de riesgo corporativo
– Cumplimiento con los políticas y estándares del gobierno
47
Elementos del programa
Sitio web dedicado a la seguridad de la información
Plan de comunicación
Cursos en línea
Cursos presenciales (anteriormente)
Herramientas de comunicaciones – Posters, Boletines, Videos
Desarrollo de reportes
Desarrollo de métricas
48
Cursos en línea
Curso basado en los requisitos de la política de seguridad del gobierno y del MITS
Curso dedicado al gobierno federal
Curso personalizado en cada departamento y agencia
– Riesgos son diferentes
– Requisitos son diferentes
– Vocabulario es diferente
50
Contenido del curso en línea
Seguridad de la gestión de la información
• Gestión de información sensible
• Ley de acceso a la información y privacidad
• La clasificación de la información
• Marcado y etiquetado
Seguridad del personal
• Investigación de seguridad del personal
• La seguridad en la contratación
51
Seguridad de tecnología de la información
• Conceptos principales de seguridad de la información
• Gestión de riesgos y amenazas
• El uso de Internet
• El correo electrónico
• Las contraseñas
• Los códigos maliciosos
• Los medios portátiles
• Trabajo móvil seguro
• La ingeniería social
Seguridad física
• El control de accesos
• Almacenamiento
• Transporte y transmisión de información sensible
• Destrucción de información o activos sensible
• Los usuarios móviles
• Investigación de incidentes de seguridad
¿Por qué tanto esfuerzo?
Mantener la relación de la confianza entre los Canadienses y el Gobierno de Canadá
Asegurar que los Canadienses perciben que la protección de sus informaciones se toman muy en serio
Dar la confianza a los Canadienses que sus datos personales son bien protegidas
Aumentar el nivel de seguridad de la información en relación al incremento de los datos de los ciudadanos.
52
Observaciones finales – factores
clave de éxito
Definir con claridad el “estado final” que se desea lograr en 5 a 10 años
Hacer el análisis de brechas para llegar a este estado final
Asegurar que los estrategias, programas y planes son coherentes con la consecución de este estado final
Identificar un responsable que garantice la integración de los diferentes planes y estrategias
Se necesita un jefe, de lo contrario puede haber piezas que faltan
53