Upload
dominh
View
215
Download
1
Embed Size (px)
Citation preview
Politicas públicas de seguridad de la información
Setiembre 2011
1
Ing. Santiago Paz
AGENDA
2
Agenda
• Contexto y Concepto
• Estrategia y marcos de referencia
• Desarrollo en Uruguay
• Contexto Regional
Gobierno
Ciudadanos
Gobierno ElectrónicoSector Privado
Seguridad de la Información
3
CONFIANZA
El Gobierno Electrónico necesita de Seguridad en las TIC
4
Estratégia de Cyberseguridad
1. Marco jurídico
2. Técnicas y procedimientos
3. Marco Institucional
4. Desarrollo de capacidades
5. Cooperación Institucional
4
Consejo Asesor en Seguridad Informática
• Se crea por ley (18.172)en al año 2007 para
asesorar en políticas y estrategias en
seguridad Informática
• Tiene representación de los órganos de
gobierno involucrados en seguridad:
� Ministerio del Interior
� Ministerio de Defensa
� Presidencia de la Republica
� Universidad de la Republica
� Empresa Nacional de Telecomunicaciones
• Genera ACEPTACION en las decisiones
estratégicas
5
Centro Nacional de Respuesta a Incidentes en Seguridad Informática (CERT-uy)
• Se crea por ley (18362) en el año 2008, regulado por el decreto 451/09
• Tiene como cometidos: -Centralizar y coordinar la respuesta a incidentes en seguridad informática en sistemas críticos del Estado
• Difundir mejores prácticas en Seguridad Informática
• Realizar actividades preventivas
6
Privacidad y Transparencia
• En 2008 se promulgaron las leyes de privacidad y transparencia (18.331 y 18.381)
• En ambos casos se crearon Unidades Reguladoras con Independencia Técnica
• En 2010 se dicto un informe favorable por la UE para la adecuación de Uruguay en privacidad
7
8
Ley de Firma Electrónica
• Ley 18.600:
� Firma Electrónica
� Firma Electrónica avanzada
• Infraestructura Nacional de Certificación Electrónica
� Unidad de Certificación
Electrónica
‒ Consejo Asesor
9
Marco Institucional
• CERTuy
• Unidad de Datos Personales
• Unidad de Acceso a la
Información Pública
• Unidad de Certificación
Electrónica
• Dirección de Seguridad de
la Información
9
AGESIC
Dirección de
Seguridad de la
Información
CERTuy
Normas y
Fiscalización en
TI
Gob. TI
UrcDP UAIP
UCEConsejo de
Seguridad
Gestión, Gobernabilidad
• Modelo de Madurez de Gobierno Electrónico (primera evaluación en 2009)
• Decreto de obligatoriedad de política de seguridad de la información (Dec. 452/09)
• Políticas y guías de referencia
10
11
Desarrollo de capacidades
• Gestión del Conocimiento
� Capacitación
� Becas
� Comunidades de práctica
• Fondos Concursables
• Consultorías de Seguridad
de la Información
11
Cronología en Seguridad de la Información
12
-> Ley de Protección de Datos Personales
-> Ley de Acceso a la Información Publica
-> Consejo Honorario de Seguridad Informática2007
-> Se crea el CERTuy2008
-> Políticas de Seguridad de la Información Obligatorias (dec 452/09)2009
-> Ley de Documento y Firma Electrónica (ley 18600)
2010 -> Se adquiere y comienza la instalación de la PKI Uruguay (INCE)
2011 -> Unidad de Certificación Electrónica-> Se implementa la PKI Uruguay
La Región
• Colombia: Conpes 3701
• Argentina: Programa Nacional de Infraestructuras Críticas de Información y Ciberseguridad
• USA: Ley Federal de Administración de Seguridad de la Información
• Estrategia Interamericana Integral de Seguridad Cibernética // Programa CICTE OEA
13
14
15
Desafíos
16
• Agregar valor desde la seguridad
• Usabilidad vs. Seguridad
• Cyberdelitos
• Alinear esfuerzos
Preguntas
17