Tic y Entorno Social 2005

8/14/2019 Tic y Entorno Social 2005

1/140


2/140

Objetivo:Realizar un diagnstico - Plan de la Gestin de laInformacin en la Municipalidad de Maip.

Desarrollo de temas: PRIMERA PARTE 9:30 hs. Conferencia sobre Gestin de la

Calidad y de la Informacin

LIC. ESPEDITO PASSARELLO

: om e a a a ,Auditores, Facilitadores, Grupos de Mejora,Informtica en pleno, Rentas, Personal, Compras


3/140

PresentacionesPresentacionesSU NOMBREAREAFUNCIONPROCESO CRITICO /SERVICIOS


EXPECTATIVAS SOBRE EL

CURSO


4/140

Antecedentes del instructor:Lic. Espedito Passarello

Lic. Ingeniera de Sistemas y Computacin Cientfica (UBA-.Fac. Ingeniera y Ciencias Exactas).

Consultor de organismos Internacionales; OEA, BM. BID.UNESCO, AHCIET, CE.

Profesor Universitario.

Instructor ISO para America latina y el caribe.


Asesor de Corporaciones Internacionales y Empresas enLatinoamerica.

Miembro de Organizaciones Academicas y Profesionales. Publicaciones (Libros y artculos -1970 a la fecha)

Coordinador Comites ISO de Seguridad y Calidad IT-(IRAM) COPITEC Matricula N 18.


5/140

Organizacin de la JornadaOrganizacin de la Jornada

HorariosHorarios

ComidaComida


Telfonos y celularesTelfonos y celulares

ServiciosServicios


6/140

Gestin de la Calidad y de laInformacinConsensuando visiones y experiencias enel marco de la SERIE ISO 9000 &IRAM


.Mejores Practicas reconocidas y aplicadas enel orden internacional.Resumen de la Catedra como Director delCurso de post-grado en Gestion, Auditoria yNormas TICs (IESE, ISO, IRAM).


7/140

Gestion de seguridad de la informacion

Administracin Informacin

Cdigo Internacional de Mejores Prticas


Seguridad

BS 7799

ISO 17799


8/140

Cdigo de prcticas

ISO/IEC 17799:2000 "Information technology Code of practice for information security management"JTC1/SC27/WG1 Basado sobre la norma BS 7799-1:1999 Preparado para ser utilizado como documento de

referencia


Provee un conjunto integral de controles de seguridad Basado sobre mejores prcticas de seguridad de la

informacin Consiste de 10 secciones de control, 36 objetivos de

control y 127 controles No puede ser usado para evaluacin y registracin


9/140


10/140

" La informacin es un activo que, como todo activoimportante de negocio, tiene valor para laorganizacin

Informacin, Definicin


adecuadamente "

ISO/IEC 17799:2000


11/140

Impresa o escrita en papel

Guardada en formato electrnico / magntico /ptico.

Almacenada en dispositivos electrnicos. Transmitida por correo o utilizando medios

Qu Informacin proteger ?


electrnicos Presentada en imgenes (videos, publicidad) Expuesta en conversaciones, conocimiento de

las personas: Ingeniera Social.


12/140

Objetivo de la ISO 17799

Proteccin de la confidencialidad, integridad, ydisponibilidad de informacin escrita, hablada o

di italizada



13/140

Qu es Seguridad de la Informacin?

ISO 17799:2000 define a la misma comola preservacin de la:


InformacinInformacinConfidencialidad

Integridad

spon a

Preservar suvalor

sustancial


14/140


15/140

1. Poltica de Seguridad2. Organizacin de Seguridad3. Clasificacin y Control de Activos4. Aspectos humanos de la seguridad

5. Se uridad Fsica Ambiental

Norma ISO 17799 Seguridad de la Informacin


6. Gestin de Comunicaciones y Operaciones7. Sistema de Control de Accesos8. Desarrollo y Mantenimiento de Sistemas9. Plan de Continuidad del Negocio10.Cumplimiento


16/140

Clasificacin y

Poltica deseguridad Organizacin dela Seguridad

Administracin de

Cumplimiento

Las 10 secciones de ISO 17799

Confidencialidadintegridad

Descripcin de ISO 17799


Control de accesos

Seguridaddel personal

Seguridad fsicay medioambientalGestin de

comunicacionesy operaciones

Desarrollo ymantenimiento

Informacin

disponibilidad


17/140

Enfoque

ISO 17799 define las mejores prcticas para laadministracin de la seguridad de informacin

Un sistema de gestin debe balancear laseguridad fsica, tcnica, procedimental, ypersonal


Sin un Sistema de Gestin de Seguridad deInformacin formal, tal como el descripto en laISO 17799, hay un riesgo grande de que existanbrechas en la seguridad

La seguridad de informacin en un proceso degestin, no un proceso tecnolgico


18/140

ISO 17799 puede ser utilizada por cualquier tipo deorganizacin o de compaa, privada o pblica. Si laorganizacin utiliza sistemas internos o externos queposeen informaciones confidenciales, si depende deestos sistemas para el funcionamiento normal de sus

A quin va dirigida ISO 17799?


de seguridad de la informacin conformndose a unanorma reconocida.Principales areas de aplicacion;

Gobierno Servicios desalud

Bancos Industriasde servicioprivadas


19/140

ISO 17799 es Una gua de buenas prcticas que presenta una

serie de Objetivos de control y controles asociadosa ellos. Es la nica norma que permite un enfoquetotal del problema de la seguridad de lainformacin y su relacin estrecha con laseguridad informtica, abarcando todas lasfuncionalidades de una empresa.


,implementar, mantener y administrar la seguridadde informacin.

Son recomendaciones sobre el uso de 127controles aplicados en 10 reas o dominios y 36objetivos de control.

No es certificable, NO establece requisitos cuyocumplimiento pudiere certificarse.


20/140

Resmen

La seguridad de la informacin protege lainformacin de una amplia gama de amenazaspara asegurar la continuidad del negocio, reducir

al mnimo el dao, maximizar el rendimiento de

Qu es Informacin y Seguridad de la Informacin?


la inversin y los niveles de servicioscomprometidos con el cliente.

Cada organizacin tendr un grupo diferente derequerimientos en trminos de requisitos decontrol y de niveles de confidencialidad,integridad y disponibilidad.


21/140

Consultas?


[email protected]


22/140

Calidad sin seguridad?Seguridad sin calidad?Calidad y seguridad de la informacion.

La informacion se ura es el Insumo rimordial

Introduccion a la Gestion de la informacion.


de toda Gestion Institucional.


23/140


24/140

Polticas (demostracin del compromiso y principiospara la accin) Planeamiento (identificacin de necesidades, recursos,estructura, responsabilidades)

Desarrollo, implementacin y operacin(concientizacin y entrenamiento)

Sistema de gestin. Elementos


,manejo de las no conformidades, auditoras) Mejoras (acciones preventivas y

correctivas, mejora contnua) Revisin gerencial

Si d i d id d d l i f i


25/140

SGSI

Es parte del sistema de gestin global, quebasado en los riesgos del negocio, paraestablecer, implementar, operar, monitorear,revisar, mantener y mejorar el sistema deseguridad.

Sistema de gestin de seguridad de la informacin


Es influenciado por los requerimientos, objetivosy necesidades del negocio, los procesosempleados y el tamao y la estructura de laorganizacin.

Es lgico pensar que estos y sus sistemas desoporte cambien continuamente, lo que implicaafectan los requerimientos de seguridad.


26/140

ISO 17799 Gestin de Informacin

Clasificacin y

Poltica deSeguridad deInformacin Organizacin de

la Seguridad

Planificacin

de Continuidad

Conformidad


Controlesde Acceso

Seguridaddel Personal

Seguridad Fsica

Desarrollode Sistemas

Gestin deComunicaciones

P d id C li i


27/140

Punto de partida: Cumplimiento

Los controles conforman los principios rectores quepermitan la implementacin. Se basan en requisitos legales o como prctica de uso

frecuente. Los esenciales del punto de vista legal:


Proteccin de registros y documentacin (12.1.3). Derechos de Propiedad Intelectual (12.1.2). Firma digital, Delitos Informaticos, anti-spam,.. Las que se refieren al tipo de Organizacion (SIGEN,

AGN, ONTI, ANMAT, .)


28/140

Resmen

La Gestion de la seguridad de la informacin, es unsubsistema que permite asegurar el logro de objetivosde Proteccion de Activos de informacion de una amplia

ama de amenazas.

Qu es Gestion de la Seguridad de la Informacin?


Fundamentalmente, para prevenir la adulteracion de

registros, fraudes, abusos o estafas, con el fin depreservar y dar cumplimiento a Disposiciones legales yregulatorios.

Del punto de vista operativo, asegurar la continuidad delnegocio, reducir al mnimo el dao, y maximizar elrendimiento de la inversin y oportunidades de negocio.


29/140

PLAN DE TRABAJO PARA LAADECUACION DE LAS INSTITUCIONES.


PASOS PARA PRECISAR LA APLICABILIDAD.-NECESIDADES Y PRIORIDADES.-AFECTACION DE RECURSOS.-PUESTA EN MARCHA.

A li bilid d d l ISO 17799


30/140

Aplicabilidad de la norma ISO 17799

De que forma se traducen especificaciones dealto nivel a soluciones concretas de cadaempresa, que permitan la implementacin.

Trabajo de consultora (interna/externa). E em lo:


Dominio de control; Gestin comunicaciones. Objetivo

de control: proteger la integridad del software y de lainformacin.

Control: Controles contra software maliciaoso.

Normativa de uso de software; definir y publicitar

Ni l d li i t d l


31/140

Nivel de cumplimiento de la norma

Una tarea inicial de diagnostico y pre-auditora

(anlisis de brecha con la norma) permite precisar el nivel actual de cumplimiento por niveles; Global, Por dominios,


or e vos e con ro Por controles.

Se determina mnimo aceptable y el nivel objetivorequerido (de referencia a las exigencias yposibilidades) por la Institucion/empresa.

Plan de aplicabilidad


32/140

Plan de aplicabilidad

A partir del mnimo nivel aceptable y el nivelobjetivo, podemos definirlo. Nivel mnimo aceptable; implantacin de los

controles tcnicos mas urgentes, a corto plazo.


Director de Seguridad Corporativo, en generaltodos estos esfuerzos ademas cumplir requisitos, puede en el caso de considerarseoportuno ser el paso previo a la certificacin.


33/140

Atributos: Medible, repetible, escalable

Medible Solamente un estndar internacional puede ser

evaluado por terceros Recomienda incorporar un proceso de escalas de


. Evalar las amenazas, vulnerabilidades,

impactos, tolerancia de riesgos, grado deaseguramiento, probabilidad de la ocurrencia

Atributos: Medible repetible escalable


34/140


Repetible

El nivel de formalizacin del sistema y el poseer procesos estructurados ayudarn a hacer que elsistema sea repetible

La inversin en el compromiso de la direccin


tema de seguridad reducir la probabilidad de lasamenazas

Atributos: Medible repetible escalable


35/140


Escalable La infraestructura (sistema de direccin y

procesos) puede ser desarrollada en formacentralizada y luego descentralizada a otrosniveles.


se esea, pue en ser agrega os o os oscontroles adicionales al SGSI


36/140

Consultas?


[email protected]


37/140

Complementariedad con otros estndares ISO

Cdigo de buenas prcticaspara la gestin de la seguridadde la informacin ISO 17799

Productos y sistemascertificados ISO 15408 (CC)


Guas para la gestinde la seguridad de laTI ISO 13335 (GMITS)

Seguridad de la Informacion no es seguridad


38/140

Seguridad de la Informacion no es seguridadinformatica!

CLARIFIQUEMOS PARA VISUALIZAR CORRECTAMENTELAS ACCIONES. Disponer de componentes TIC de proteccion

(antivirus, firewall, etc.). Certificaciones de personas (Cisco, Micorsoft, IBM,


e c. Tercerizar aspectos TIC. Adquirir soluciones TIC (ERP, CRM,DW,DM,etc). Para esta capa existen una gran variedad de

normas y modelos(ISO, ITIL, ISACA, IEEE, ITU,NIST, etc.)


39/140

ISO 17799 no es Un estndar tcnico Orientado a un producto o tecnologa Una metodologa de evaluacin de equipamiento tal como

el Criterio Comn/ISO 15408 Pero puede requerir la utilizacin de una Common

Criteria Equipment Assurance Level (EAL)

"


Principles," or GASSP Pero puede incorporar los lineamientos de los GASSP

Relacionado con las cinco partes de las "Guidelines for the Management of IT Security," o GMITS/ISO TR 13335

Pero puede implementar conceptos de las GMITSReferencia: "Information Security Management: Understanding ISO 17799," TomCarlson, Lucent Technologies Worldwide Services


40/140

UNA NORMA TCNICA PARA:

Anlisis de vulnerabilidad, Test de intrusin,

La norma ISO 17799, no es


, Seguridad de productos y servicios, Hacking, criptografa, ETC.

.


41/140

Final de la primera parte.Gracias por su atencion!



42/140

SEGUNDA PARTE:Taller sobre Gestin de la Informacin.

Seguna



43/140

PARTICIPANTES: Secretario Gerente de Hacienda yAdministracin: Ctdor. Elin Japaz, Contador General: Ctdor.Francisco Di Prima, Jefe Dpto. Gral. de Administracin yControl: Alejandro Sabino, Jefe Dpto. Gral. de Rentas:Ernesto Rodriguez, Jefe Dpto. Gral. de Personal: Hctor


, ,Dpto. de Compras y Suministros, Jefe de Mesa de Entradas:Horacio Lena, Jefe de Gestin Ambiental: Luis Lucero,Directora de Salud: Dolores Alfonso, Grupo de Mejora deComunicacin y de Indicadores, Personal de las reas de:

Informtica, Rentas, Personal, Compras, Planeamiento yGestin de la Calidad, Honorable Concejo Deliberante.

Obj i


44/140

Objetivo

Comprender los, alcances y sus ventajascompetitivas; Adquirir informacin que permitan evaluar

posibilidades de adecuacin.


sistemas de gestin de calidad y seguridad dela informacin.

A i i l


45/140

Todo personal cuya responsabilidad esteinvolucrada en el ciclo de gestin de lainformacin, en particular aquellos cuya relacineste en forma directa con los procesos crticos denegocios;

Actores principales


Funcionales, Auditores,Tcnicos, Legales,... Empresas proveedoras de servicios y productos

relacionados con los aspectos TIC (Tecnologasde la informacin, informtica y comunicaciones).

Tendencias; Rentabilidad Calidad


46/140

Tendencias; Rentabilidad, Calidad,Cumplimiento, Innovacin tecnolgica

Sociedad del Conocimiento y de la informacion. Globalizacin (nacional, provincial y regional ). La infraestructura internet, millones de dispositivos

non-stopy el crecimiento explosivo..


, La presion de los que producen las TICs, plazos delanzamiento e innovacin de productos y servicios.

La infraestuctura informatica (propietario/libre).

HABEAS DATA, FIRMA DIGITAL, ..

d l ( h )

1 L g d l t


47/140

Consideraciones preliminares. (The issues)

Las TICs no pueden lograr por si solas, que las gestiones sean diferentes o mejores Naciones Unidas Gobierno Electrnico en la Encrucijada Agosto 2003

1. La agenda y los actores


Tipificacin de necesidades: La vision


48/140

Negocios, Recursos, Arquitecturas, ..

Como se hallan priorizados los temas de calidad y seguridaden general y en paticular los aspectos TIC Dispone de polticas, normas y procedimientos. Estan delegadas en responsables claramente definidos en

todo el mbito de la organizacin y con terceros.

Tipificacin de necesidades: La visionOrganizacional (la agenda)


, . Qu normativas de cumplimiento deben cumplirse. En estos momentos esta en un proyecto de adecuacin. Qu recursos y plazos estan manejando. De 1 a 10, Cmo ponderaria la calidad y seguridad de la

informacion.


49/140

Alcance situacional: La formulacion del modelo


50/140

Alcance situacional: La formulacion del modeloposible....un compromiso de todos y para todos.

Estrategicamente la Institucion, formula y decidesus politicas y proyectos para el logro de objetivosSociales, bajo las restricciones economicas.

Definir los Recursos e Instrumentos, necesarios yposibles, para el desarrollo de Soluciones(Servicios) que satisfagan requerimientos reales y


permitan el logro de Niveles de serviciosaceptables(day to day).

Formular planes, pueden ser de relativa facilidad, laforma de implementarlos, es lo que NOS hace

diferentes. La intangibilidad debe equilibrarse con etapas deprogresividad, maduracion, competencias,formacion, gestion de cambios, culturas,

2 La visibilidad de la gestion y las TICs


51/140

2 La visibilidad de la gestion,y las TICs.


La Vision, Condicionante: desde el modelo de gestion


52/140

La Vision, Condicionante: desde el modelo de gestion(Paradigmas).

-Sistema de Gestin para la GobernabilidadInstitucional.-La Rendicin de Cuentas, la transparencia y laaccesibilidad ciudadana.


-Politicas sociales, econmicas y tributarias,-Metas por proyectos sectoriales y regionales,-Compatibilizacion de prioridades de los

diferentes servicios y procesos para la productividadAdministrativa.

La Vision, Estructurante: desde la herramienta.


53/140

a V s o , st uctu a te: desde a e a e ta.

Ejemplo Gobierno Electrnico.

Bienestar de los ciudadanos Voluntad poltica para romper y dejar atrs la situacin quese quiere superar

Ser un Objetivo de la sociedad comprendido, compartido yapoyado por todos


comunitarios. Contribuir a la Inversin eficiente de los recursos pblicos Buscar la justa distribucin de los beneficios que se

derivan de la inversin en TICS

Ser Tecnolgicamente ptimo Ser Sostenible, mejorable y sustentable.

Alcance Tactico(normativo): Legitimando el hacer,...a


54/140

( ) g ,traves de otros,...... con herramientas seguras ?,....

Proveer una base consensuada para el desarrollode criterios comunes y su practica efectiva. La gestin de la calidad y de la seguridad de la

informacion, debe posibilitar relaciones deconfianza con clientes internos y externos,


. Recomendaciones de aplicabilidad a la realidadde cada organizacin que permite a losresponsables iniciar, implementar o mantener losmodelos de gestion ( e-government y otros) congarantias de sustentabilidad y control sobre lasacciones e inversiones asociadas.

3. La relacion de lo intangible (visiones,


55/140

g ( ,valores,). y lo tangible (hard, soft, net, ..)


El alcance operativo(Monitoreo): Delegando las


56/140

El alcance operativo(Monitoreo): Delegando lasresponsabilidades del negocio,..herramientas

Proliferacion de Soluciones comerciales orientadas anecesidades especificas. -- Aumento de la productividadmediante TICs. Con la Agenda de Conectividad. Esta todo??

Recursos humanos, basicamente entrenados (orientados)


.Customizamos soluciones( adecuamos) o tenemosinteligencia: para precisar NUESTROS procesos yservicios).

Capacidad de Gestion de Proyectos TICs, la asimetria delconocimiento, en la relacion cliente/proveedor.

4. Relacion Insumo/Producto


57/140

4. Relacion Insumo/Producto

Sin un insumo: confiable, completo y oportuno (la informacion).

La Interfase: Gestion de la calidad de la se uridad


de la informacion.

No pueden obtenerse PRODUCTOS: cierto, Veraz, Contextualizado (resultados)

La inteligencia delegada debe ser controlada


58/140

La inteligencia delegada,..debe ser controlada

LIC. ESPEDITO PASSARELLOInternet

Estudio de casos y aplicabilidad


59/140

El concepto de "Gobierno Electrnico" se basa en la idea

Estudio de casos y aplicabilidad


eficiencia de la gestion publica, permitir a los ciudadanosuna mejor y ms intensa comunicacin con susgobernantes a todo nivel y la prestacin directa deservicios y el sometimiento de toda clase de gestiones alos despachos administrativos, obteniendo por la mismava la resolucin correspondiente.

CONSIDERACIONES GENERALES


60/140

Los Gobiernos estn considerando el uso de la tecnologa y aInternet como la nica oportunidad para transformarse y enfrentar los desafos que el Siglo XXI les propone para: Mejorar la satisfaccin de los ciudadanos, de los responsables

de negocios, de los proveedores y de sus empleados Mejorar la Calidad de Vida

CONSIDERACIONES GENERALES


Estimular la Economa Aumentar la eficiencia y la eficacia Brindar informacin y servicios a travs de la interconexin

entre todos los niveles del Gobierno Proveer transparencia, tanto interna como externa

C id i G l


61/140

Contexto que impacta en los Gobiernos

Explosivo crecimiento de la tecnologa: elimina las barreras einterconecta al mundo Administracin del Conocimiento: maneja la Economa Mundo en creciente competencia: exige las mejores iniciativas

Consideraciones Generales


e os go ernos Creciente demanda de percibir el valor de los Gobiernos por

parte de los ciudadanos Erosin de la confianza pblica

Globalizacin en la interaccin gubernamental Surgimiento del Ciudadano Digital

Antecedentes


62/140

La evolucin de los paradigmas

Gubernamentales en Amrica Latina

o y e n

l a S o c

i e d a

d

Sinergia e-Government

Fuerza

Desarrollo

Antecedentes


ReformasEconmicas y

Polticas

La Dcada PerdidaCrisis Polticas, Econmicas

y Sociales

I m p a c

t o p

o s

i t i v o e n e

l G o

b i e r n

GobiernoCentralizado

1980-19901960-1970 1990-2000 El nuevo milenio

ecursos

Metas en un ambiente de Gob. Electrnico


63/140

Mejorar la calidad de vida de los ciudadanos y terceros proveedoresde servicios a los gobiernos

Mejorar la provisin de los servicios reduciendo la burocracia: 7x24 contacto y servicios Conectar ciudadanos a las fuentes


efectividad Simplificacin de provisin de servicios a travs de

departamentos, programas y localizaciones Reducir costos/Incrementar efectividad Fortalecer al personal y hacerlos partcipes de los resultados Estimular y facilitar desarrollo de la economa (social)

E-Government Metas - Coneccin


64/140

EmpleadosCiudadanose-Gobernabilidad

e-Government conecta los Gobiernos a


Proveedores Mercados

Transparencia

NegociosConfianza/aceptacinConsenso/aperturaBienestar Pblico

E-Government Marco de accin


65/140

Ejecutivos &

e-Soluciones para facilitar el flujo del

comercio

e-Soluciones para facilitar lainteraccin delos gobiernos

Servicios Bsicos

Negocios e inversiones Transporte y servicios

pblicos Temas laborales &

Empleo Ayuda Social Sociedad (servicio deInformacin

Legislaciny Polticas


Proveedores

Gerentes

Fuerza deTrabajo

reg s rac n Educacin Ciudad y Pas

Planeamiento Paz y Seguridad Impuestos y Justicia Salud y Medio

Ambiente Intercambio deinformacin del Sector Pblico

y servicios

Bienes

Servicios

Estrategiay Gerencia

Tcticas

Operaciones(ejecucin)

E-Government Estrategia - Lineas de Abordaje


66/140

E Government g j

Transformaciones Institucionales: Las llamadas transformacioninstitucionales apuntan a optimizar la gestin de las organizaciones estteniendo en cuenta las caractersticas particulares de cada una. Los cam buscados estn orientados a incrementar la productividad y mejorar la cde los servicios prestados por el Sector Pblico. Liderados por los msniveles de decisin de cada organizacin, involucran por igual a los emp pblicos y a los ciudadanos.


Transformaciones Horizontales: Las llamadas transformacionhorizontales son las que apuntan a producir cambios en sistemas que atratransversalmente a toda la Administracin Nacional en sus modalidadgestin. Su importancia radica en que constituyen el apoyo y sadministrativo para todas las actividades de carcter sustantivo. Optimconsolidar estos sistemas horizontales, en lnea con el nuevo modelo de gredundar en una administracin ms eficaz y eficiente.

La despapelizacion gubernamental factura digital


67/140

La despapelizacion gubernamental,,factura digital,


La despapelizacion gubernamental factura digital


68/140

La despapelizacion gubernamental,,factura digital,


IMPLEMENTACIN


69/140

IMPLEMENTACIN

Administracin Informacin


Seguridad

ISO 17799


70/140

Definicion de los productos a implementar referidos aT i S i i i l li


71/140

Trmites y Servicios presenciales y on-line.

Producto 1: etapas para asegurar la confiabilidad de lagestion de la informacion (iso 17799):confiabilidad,disponibilidad e integridad1

1.1.Consolidacion y verificacion de la informacion:documental,catastral,


,expedientes,etc.1.2.Conformacion de las basesDe datos.

CrucesConCensos y moratorias

Actualizacionvalorizacion

Mapeo de procesos criticos


72/140

Procesos deactualizacion de la

informacionGrandes medianos

contribuyentes


Declaracion y pagoElectronico de

Impuestos

Relacioncon entidades

financieras

PROCESOS DE FISCALIZACION E INSPECCION

Portal de Servicios : Articulando actores (The bridge)


73/140

Portal de Servicios : Articulando actores (The bridge)

SISTEMA UNIFICADO DE INFORMACIN DE TRMITES

SUITPermite a los ciudadanos/contribuyentes resolver en un solopunto sus necesidades de informacin con respecto a lostrmites relacionados con la Gestion Municipal.Permite al Municipio, realizar anlisis de requerimientos y

2


neces a es rea es so re ases es a s cas .Al unificar, normalizar y mantener actualizada toda lainformacin relacionada con el mismo origen(ciudadanos/contribuyentes) y el estado de cada tipo detrmites.

Portal de Servicios : Articulando actores (Thebridge)


74/140

bridge)Entidades delOrden

ProvincialNacional

Portal de Servicios

contribuyente

Puntos deServicios

Centro deAtencin yServicio al

TRMITES Y SERVICIOS EN LNEA

SistemasEspeciales detributacion

Denuncias por Presunta Violacin alas normas

3


PlataformaTecnolgica de losTrmites en Lnea

(NcleoTransaccional)

PuentesY corredoresTICs

Sistema de Control yManejo de Documentos

y Contenido

- Base de de Datos-Inteligencia del Sistema

-Optimizacin de Trmites

Sistemas deInformacin

Sistema dePagosElectrnicos

Entidades delEstado de

OrdenRegional/Territorial

municipales

"Registro de Obrasy Actos relacionadoscon los Registrosy sus actualizaciones"

Intranet Municipal


75/140

Portal delcontribuyente

Intranet Municipal

Centro deAtencin

y Servicios alCiudadano

Puntos deServicios

Comunitario

CIUDADANIA


IntegradosArquitectura deIntegracin e

Interoperabilidad

Centro de Datos Y Servicios

De BaseTransporte

deDatos

Infraestructura deAlmacenamiento y

Servicios de Base (Centrode Datos)

Infraestructura deComunicaciones(Conectividad)

Interfaces Estndar de Comunicacin entreProcesos y Sistemas de Informacin

Ncleo Transaccional de Servicios

Servicios InformticosAplicaciones Sistemas de Informacin

Portales

Intranet MunicipalIntranet Municipal


76/140

Intranet MunicipalIntranet Municipal

Permitir el intercambio seguro de informacin entre las

entidades, y garantizar a los ciudadanos/contribuyentesel acceso a los servicios en Lnea.

Componentes del Proyecto:


Red de Alta Velocidad.Centro de Datos y Servicios de Base.Plataforma de Interoperabilidad.Centro de Contacto y atencion al Ciudadano.

Plan de trabajo: Actores y servicios en LneaPlan de trabajo: Actores y servicios en Lnea


77/140

Racionalizar Racionalizar

CoordinacinInterinstitucional .Responsables directivos yde Areas operativas

Gestion de la seguridad:Activos de informacion.


.Cumplimiento de leyesFirma DigitalHabeas data.

Calidad de datos.

Bases de datos.Clave unicaPago Electrnico

Flujo de ingresos


78/140

Contribuyente

Portal


SistemaIntegrado de

Gestin

Entidadesde Control

Presupuestoy Pagos

Consolidacioncontable

Otros sistemasrelacionados con

Entidades

Sistemasde PAGO

Tesoreras(Nal., Dep., Mun.)

Departamentos

entidades

Sistema integralde recaudacion

electrnica

Centro deServicios

CompartidosSSC

Flujo de egesos.Flujo de egesos.


79/140

j gj g

1. Gestin:Catlogo de bienes y

servicios, Licitaciones,Compra directa, contratosmarco, pagos.

InteligenciaInteligenciainformaticainformatica

GestinGestinIndicadoresIndicadores

Base deBase deDatosDatos

procesosprocesosTICsTICs


.contratantes, contratistas,comunidad y rganos decontrol

3. Seleccin objetiva

4. Divulgacin procesoscontractuales5. Transparencia, eficiencia y

Control posterior

FlujoFlujoProcesosProcesos

Gestion de la informacion.


80/140

Calidad sin seguridad?Seguridad sin calidad?Calidad y seguridad de la informacion.La informacion Insumo rimordial de toda


Gestion Institucional.

Somos seguros?


81/140

Muy seguros? Poco seguros? Relativamente seguros? Cual es nuestro estado en seguridad?


Como planificar sin diagnsticos de base? Como mantener y mejorar la gestin de

seguridad?

Por donde empezar?


82/140

p

El fundamento, que permita implementar exitosamente una Gestin de la seguridad de lainformacin, reside en; Evaluar y Gestionar los riesgos, Evaluar Costos.


s ra eg as e ro ecc n. Definir polticas de prevencin y control del

fraudes y delitos informticos. Es un proceso abierto; proveedores, clientes y

accionistas.

SEGURIDAD DE LA INFORMACION SEGURIDAD DE LA INFORMACION HABEAS DATA HABEAS DATA


83/140

Anlisis de la brecha en seguridad

Definicin ydocumentacinde los procesos

correctos

Evaluacin delriesgo

Implantacin

ADECUACIN LEY N 25.326

Estado inicial de laaplicacin

Estado final de laaplicacinMejora

Continua

Adaptacin de Polticas, Proc.y Controles


84/140

CONCLUSIONES FINALES


Necesidades para adoptar y aplicar Plan


85/140

p p y p

Aumentar la eficacia de la seguridad de la informacin Diferenciarse en la Gestion, la transparencia y visibilidad de

acciones de gobierno. Satisfacer requerimientos de la sociedad y comunidad. Bajo estndar mundialmente reconocido


Potenciales disminuciones de costos y esfuerzos Focaliza las responsabilidades del personal Se cubre tanto la organizacin, personal e instalaciones Refuerza los mandatos legales (por ej. Habeas Data, Firma

Digital, Reforma del Estado, Propiedad intelectual,etc.)

Beneficios esperados


86/140

p

Reducir la cantidad de incidentes o contingencias,por la defiencia o falta de polticas oprocedimientos, o su implementacion no efectiva.

Oportunidad para identificar vulnerabilidades la Alta Gerencia se transforma en propietaria de la


Provee privacidad. Mejora la conciencia sobre la calidad y seguridad Refuerza y combina recursos con otros Sistemas

de Gestin Permite la confiabilidad de los indicadores para la

medicin de la Gestion General Institucional.

Factores crticos de xito


87/140

Polticas que aseguren los objetivos Intitucionales. Acercamiento a la implantacin compatible con la cultura

organizacional. Compromiso de la direccin y apoyo visible Buena comprensin de los requerimientos de calidad y

seguridad, evaluacin y administracin del riesgo Comunicacin eficaz a todos los gerentes y empleados.


Aumento de la efectividad y productividad. Continuidad de negocio. Mejora continua a travs de procesos de auditoras (revisin). Correcta planificacin y gestin TICs.

ISO/IEC 17799:2000

Factores crticos de xito (continuacin)


88/140

Distribucin de las guas de polticas de la informacin yestndares a todos los empleados y proveedores.

Incremento de los niveles de confianza, clientes ypartners.

Proveer entrenamiento y la educacin apropiada


Un sistema equilibrado y comprensible de las medidasque se utilizan para evaluar el funcionamiento eincorporar las sugerencias de la mejora

ISO/IEC 17799:2000


89/140

MUCHAS GRACIAS


[email protected]


90/140

Estructura: Dominios de Control


91/140

1. Poltica deseguridad

2. Seguridad dela organizacin

Organizacional


3. Clasificaciny control de los

activos7. Control deaccesos

4. Seguridad delpersonal

5. Seguridad fsica ymedioambiental

8. Desarrollo ymantenimiento delos sistemas

6. Gestin de lastelecomunicaciones yoperaciones

9. Gestin de lacontinuidad de lasoperaciones de laempresa

10.Conformidad

Operacional

Polticas, organizacin y responsables


92/140

Tres componentes a tener en cuenta1) Amenazas, definen requerimientos :Cualquier accin que compromete la seguridad de lainformacin perteneciente a la organizacin.2) Controles de seguridad:Principios rectores, reglas y criterios aplicado para su


seo a n e e ec ar, preven r o recuperarse ren e a unataque a la seguridad.3) Gestin de la seguridad:Es un servicio que mejora la seguridad de un sistema deprocesamiento de datos y de la informacin que transfierela organizacin. El servicio enfrenta los ataques a laseguridad utilizando para poder hacerlo, uno o msmecanismos de seguridad.

ADECUACI N LEY N25.326

APLICABILIDAD APLICABILIDAD


93/140

ETAPAS RELEVAMIENTO EVALUACIN DIAGNSTICO PLAN DE ACCIN

INFORMACIN

CARCTERVOLUMENPERMANENCIAPROVISINFLUJO INTERNOFORMATOUSUARIOS

ENTREVISTAS A C/SECTOR

CUESTIONARIO

ANLISIS DE RIESGO

SEALAR MEDIDAS DEADECUACINMANEJO

RESTRICCIONESTEMPORALIDADACTUALIZACIN

TRABAJO CONUSUARIOSDOCUMENTACIN

PROG.ACT.DE LA INF.ACCESOSREG.SOL.CAMBIOS ENLAS BASES DE DATOS

ORGANIZACIN

ORGANIGRAMAACCESO INFORMACININCORPORACINRR.HHACCESO FSICOVINC.C/PROVEEDORES


CUESTIONARIO

RESPONSABLES

ACCESOS

IDENTIFICACIN

DOCUMENTACINADECUACIN DEFLUJOGRAMASORDENAMIENTO DEACCESOSREL.Y TRATAM. CON ELREGISTRO DE LAS.

CARCTERANLISIS DE RIESGO

FLUJOGRAMAS

SOC.BASES DE DATOS

TCNICAS

SISTEMA HARD Y SOFTSEGURIDAD ACCESOINFORMACINSOPORTE YLOCALIZACINCLAVES DE ACCESOPROVEED.INTERNETSEGURIDAD ENTORNOCOMUNICACIN


CUESTIONARIO

ANLISIS DE RIESGO

SEGURIDAD SISTEMA

ACCESIBILIDAD

RESGUARDO DEACTIVOS SENSIBLES

TRABAJO CONUSUARIOSDOCUMENTACINADECUACIN SIST.DESEGURIDADORDENAMIENTO DETIPOS DE ACCESOSFIJACIN DEPOLTICAS DE BACK-UP

JURDICOS

ORGANIGRAMAFUNCIONALCONTRATOS INFORM.CONTRATOS C/PROV.FUENTES DEINFORMACINCONTACTOSC/USUARIOSOBJETORECLAMOS DEUSUARIOS


CUESTIONARIO

ANLISIS DE RIESGO

CONTRATOS

CONFIDENCIALIDAD

DOCUMENTACIN

TRABAJO CONUSUARIOSDOCUMENTACINTRATAMIENTO DE LOSRECLAMOS DEUSUARIOSADMINISTRACIN DELAS FUENTES DECONTACTO.

TR ATRANSFORMACION HORIZONTAL

E-Government:Estrategia - Transformaciones


94/140

Ejecutivos &Gerentes

Servicios Bsicos Negocios e inversiones Transporte y serviciospblicos

Temas laborales & Empleo Ayuda Social Sociedad (servicio dere istracin

Informacinservicios

Legislaciny Polticas

C i u d a d

NSFO

R MACION

TRANSFORMACION HORIZONTAL


P r ov e e

d or e s

Fuerza deTrabajo

Educacin Ciudad y PasPlaneamiento

Paz y Seguridad Impuestos y Justicia Salud y Medio Ambiente

Intercambio deinformacin del Sector Pblico

Bienes

Servicios

Estrategia yGerencia

Tcticas

Operaciones

(ejecucin)

n o s I

NSTIT

UCIONAL

E-GovernmentEstrategia


95/140

La transformacin est enfocada sobre :

Liderazgo Gente Procesos

g


Tecnologa

E-Government Estrategia


96/140

Evolucin

INTEGRACINLos Sitios Web integran a las actividades del gobier

electrnico dentro de los procesos existentes

TRANSFORMACINCreando nuevos procesos para soporta

la mejor clase de servicios en lneaVALO


INTERACCINLos Sitios Web permitenbsqueda de informacinbasada en criterios nicos

TRANSACCINLos Sitios Web permitenbsquedas, consultas yreservan y compran servicios

ARTICULACINLos Sitios Web proveen solamenteinformacin

R

COMPLEJIDAD

E-Government Estrategia Migracin integral


97/140

AmbienteCiudadano

Necesi- dades

&Oportu- nidades

Cmoestamos

&Cmo debe- ramos ser

Anlisisde la

brecha

AmbienteNegocios

Estableciendo una Estrategia para el e-Government Izquierda a Derecha

Solucio- nes


AmbienteGubernamenta

Evaluar Revisar Anticipar

Visualizar

Migracin Integral

E-Government Estrategia - Enfoque


98/140

Educar: Desarrollar un sentido de urgencia y un comn entendimiento del GobiernoElectrnico (e-Government)

Definir una Visin del Gobierno Electrnico a largo plazo Definir una estrategia de implementacin, de las soluciones para el Gobierno Electrnico,

en forma flexible y escalonada

Seleccionar un grupo limitado de proyectos piloto con alto impacto


, , ,eliminar barreras, ejecucin rpida y flujo de procesos ordenado y depurado

Definir resultados y ajustes mensurables

Establecer ciclos cortos de implantacin(60-90 das) 1 2 3 4 5 etc.

e-Solution 1e-Solution 2

e-Solution 3

PilotPilot

Pilot

E-Government Beneficios


99/140

Mejorar los servicios y la satisfaccin de los ciudadanos

Ms recursos disponibles para facilitar el desarrollo de laeconoma

Productividad: Procesos ordenados que resulten en unaadministracin oportuna y efectiva


Sinergia de cooperacin eliminando fronteras departamentales Incremento de la precisin

Reduccin de costos operativos por reduccin de tareasadministrativas

Agilidad y flexibilidad

Mayor satisfaccin en los empleados

E-GOV

ISO/IEC 17799ISO/IEC 14516

IMPACTO DE LAS NORMAS ISO (T.I.) EN LOS PROCESOS

ISO/IEC 17799ISO/IEC 17799


100/140

VER NME

NT

PortalesPblicos

IntercambioPblico

L i d e r a z g o

L i d e r a z g o

ServiciosCompartidos

Operacin

i s t r a c

i n

i s t r a c

i n

InformacinMensajesAsistenciaVotacin/OpininTurismoParticipacinComercioEducacin

EleccionesObjetivosLegislacinOpinionesRecursosResultados

EleccionesObjetivosLegislacinOpinionesRecursosResultados

Planeamiento

ModelosdeProgramasEducacinDefensa

Se uridad

DataWarehouse

Virtual

t e s

Intranet

o s

C i u d a

d a n o s

C i u d a

d a n o s

c i o s

c i o s

ISO/IEC 14598-15504ISO/IEC 14516ISO/IEC 14888 ISO/IEC 14598-15504 ISO/IEC 17799ISO/IEC 17799ISO/IEC 14888


A d m i n

A d m i n

E m p l e a

d o s

E m p l e a

d o s

Adminis. Pytos.Cash Mgtrdenes Trabajo

rdenes TrabajoAdm. ContratosCompromisosProgramacinPuestaen Marcha

RegulacionesPublicacionesCompulsaAdjudicacinCumplimiento

A d m .

P r o g r a m a s

A d m .

P r o g r a m a s

AbastecimientoAdministracin Adm. Licitacionese-Compras

ServiciosDistribucinLitigiosServicios PblicosFacturacin/Cbza.

Permisos/LicenciasImpuestosServicio PblicosOtros ServiciosAsesoresProduccinFacturacin/Pagos

etc

Fuentes de DatosExternas

InfraestructuraComn

Software Stand.SistemasAdm.

RRHHAdm.

DocumentosWorkflow

SistemasdeSeguridad

Call CentersRecursosTec.

Inf.

A t e n c

i n

C l i e n

T e r c e r o s

d e

N e g o c

i

P r o v e e d o r e s

P r o v e e d o r e s

T e r c e r o s

d e

N e g o

T e r c e r o s

d e

N e g o

ISO/IEC 14516 Gua para el uso y gestin de confianza para servicios de terceras partesISO/IEC 14888 Firma digitalISO/IEC 17799 Cdigo de practicas para la gestin de seguridad de la informacin.ISO/IEC 14598 Evaluacin de productos de SoftwareISO/IEC 15504 Evaluacin de procesos de software (ISO SPICE)

Decisin Administrativa N. 669/04. Ambito nacional


101/140

Qu ? Dictar o adecuar la Poltica de Seguridad de la Informacin. Conformar un Comit de Seguridad de la Informacin.

Asignar las responsabilidades en materia de Seguridad de la Informacin.


Cundo ?Dentro de los 180 das hbiles de aprobado el Modelo de Poltica.

Cmo ?En base al Modelo de Poltica aprobado.


102/140


103/140

Polticas de

Objetivos

Con el desarrollo e implementacin de unaPoltica de Seguridad de la Informacin encada organismo se persiguen los siguientesobjetivos principales:


Informacin Establecer un marco normativo (pautasclaramente definidas) para gestionar laseguridad de la informacin

Asegurar la confidencialidad, integridad ydisponibilidad de la informacin

Elevar los niveles de seguridad. Asignar responsabilidades


104/140

Planeamiento

Se convoca a distintos areas de la Administracin para conocer sus opinionessobre las necesidades que permian formular las estrategias de seguridad.

Documentacion, necesidad de que el Organismos cuenten con una Poltica deSeguridad escrita, comunicada y con procesos de revision.


Organizacin:Conformacion delgrupo de trabajo para la redaccin del Modelo dePoltica de Seguridad y del grupo encargado de la revision perioodica.

Enfoque general: Tomar como base la norma ISO/IRAM 17799


105/140

Publicacion formal, comunicacin y capacitacion en todos los niveles yatendiendo a diferentes competencias y resposnabilidades

Aprobacion: Se redacta el Modelo y se somete a la consideracin de los diferentesniveles involucrados. .


Mejora continua del modelo de gestion de la seguridad de la infomacion

Puesta en aplicacin

Firma Digital


106/140

Infraestructura de Firma Digital (Ley 25.506)

Comisin Asesora en funcionamientoVersin preliminar de normas en proceso de aprobacinInfraestructura tcnica en desarrollo:

Implementacin de la Autoridad Certificante Raiz (ACRA)Instalacin de mxima seguridadProcedimientos operativos y de seguridad en elaboracin


Uso de la Firma Digital en el Estado

Autoridad Certificante en funcionamiento (25 ARs)Asistencia en desarrollo de aplicaciones (contrataciones, uso interno SGP,

asistencia a Provincias y otros Poderes)

Integracin regional e internacionalMERCOSUR, Unin Europea, pases de la regin

SEGURIDAD DE LA INFORMACIN


107/140

APLICABILIDAD A LOS REQUERIMIENTOS DE LA LEY

25326(HABEAS DATA)

El Hbeas Data es el derecho que posee todo ciudadanode exigir jurdicamente la exhibicin de sus datos y/o laeliminacin de aquellos que considere innecesarios o


.Protege la integridad moral de las personas, frente ainformaciones referidas a su personalidad, tales como: suafiliacin poltica, gremial, religiosa, su historia laboral,sus antecedentes crediticios, policiales e informacionessimilares que constan en registros o bases de datos.

HABEAS DATA


108/140

Este tipo de informacin es conocida como informacinsensible. Se denomina as a la informacin cuyo contenido srefiere a cuestiones privadas y cuyo conocimiento general pu

.La finalidad delhbeas data es impedir que en bancos o registrode datos se recopile informacin que est referida a aspectos su personalidad directamente vinculados con su intimidad, qu pueden encontrarse a disposicin del pblico o entes privado

HABEAS DATA


109/140

Es una garanta constitucional, con objetivos muy precisos, q

busca que el accionante sepa:Por qu motivos legales, el poseedor de la informacin lleg a ser tenedor de la misma.

Desde cundo tiene la informacin.Qu uso ha dado a esa informacin y qu har con ella en el futuro

Conocer a qu personas naturales o jurdicas, el poseedor de lainformacin le hizo llegar dicha informacin. Por qu motivo, con q propsito y la fecha en la que circul la informacin.

Qu tecnologa usa para almacenar la informacin.Qu seguridades ofrece el tenedor de la informacin

para garantizar que la misma no sea usadaindebidamente.

HABEAS DATA HABEAS DATA


110/140

COMISIN DE LAS COMUNIDADES EUROPEASBruselas, 6.6.2001 COM(2001)298 final

COMUNICACIN DE LA COMISIN AL CONSEJO, AL PARLAMEEUROPEO, AL COMIT ECONMICO Y SOCIAL Y AL COMIT D

LAS REGIONESSeguridad de las redes y de la informacin:

ropues a para un en oque po co europeo Los Estados miembros debern fomentar el uso de mejoresprcticas basadas en medidas existentes como ISO/IEC 17799(cdigo de prcticas para la gestin de la seguridad de lainformacin www.iso.ch).


111/140


112/140

SEGURIDAD DE LA INFORMACION SEGURIDAD DE LA INFORMACION HABEAS DATA HABEAS DATA


113/140

RIESGO INSTITUCIONAL

DIRECCIN GENERAL

ADECUACIN

CONTROL Y MINIMIZACINDEL RIESGO

ISO 17799 Implementacin


114/140

Organizacinde la Seguridad

Poltica deSeguridad dela Informacin

Acciones

RevisinGerencial


Clasificacinde Activos

Aplicacinde ControlesProceso

Operativo

Control delProceso

Correctivas

Como lograrlo ?


115/140

Mediante la construccion de un grupo de objetivos decontrol y controles apropiados, en una jerarquia de:- Polticas- Practicas


- Procesos- ProcedimientosSe requiere establecer controles para asegurar el cumplimiento de los

objetivos especficos de seguridad de la organizacin

ISO/IEC 17799:2000

La seguridad NO se adquiere, como un producto, es unproceso de construccion dinamico,..


116/140

Mediante la formulacin de acciones, traducidas en

polticas ; conjunto de medidas preventivas, dedeteccin y correccin destinadas a proteger laintegridad, confidencialidad y disponibilidad de TODOSlos recursos de informacin.


La Seguridad debe permitir compartir los Sistemas deInformacin, en forma interna, e incluso con terceros,pero garantizando su proteccin.

Primer regla: Es de y para todos.

Segunda regla: Debe adecuarse a las necesidades, nivelde maduracin y recursos de cada empresa

Establecer requerimientos de seguridad


117/140

Evaluacin de riesgos de la organizacin.

- Identificar las amenazas a los activos, la vulnerabilidad y laprobabilidad de ocurrencia y el impacto potencial.

Requerimientos legales, estatutarios, regulaciones y contractuales.- Estos requerimientos deben ser definidos por la organizacin,


negoc a o con os soc os, con ra s as y provee ores e serv c o.

El sistema de principios, objetivos y requerimientos para elprocesamiento de la informacin desarrollado por la organizacinpara sostener sus operaciones.

ISO/IEC 17799:2000

Primer desafo


118/140

El primer paso:Diagnostico global de activos de informacion.En su Institucion estan definidos todos losactivos de INFORMACIN caracterizados por sus atributos.


Segundo paso:Mapeo de dichos activos de informacion sobrelos procesos criticos que se refieren a lacontinuidad operativa y el cumplimiento(leyes, decretos, disposiciones, etc.)

Segundo desafio!


119/140

Conocer la sensibilidad y/o criticidad de los activosde informacion, que se desean proteger;su estacionalidad y temporalidad

Primer paso : Definicion de instancias de lagestion de activos.


-Inventario,-Clasificacin,-Etiquetado.

Segundo Paso : Analisis y evaluacion de riesgosde los activos.

Seguridad de la informacin


120/140

DEPENDENCIA TIC YDEPENDENCIA TIC Y

Actos de lanaturaleza

Fallas de Hard,

Fraudes

Dao intencional

AMENAZASAMENAZAS


VULNERABILIDADESVULNERABILIDADESo instalacin

Errores y omisiones

Invasin a la privacidadCONSECUENCIASCONSECUENCIAS

RIESGOS ASOCIADOSPERDIDAS ESTIMADAS

Ejemplos de amenazas a la informacin


121/140

Empleados

Baja conciencia de la importancia en cuestionesde seguridad Crecimiento en redes y computacin distribuida Crecimiento en complejidad y falta de eficiencia


en as erram en as e e ecc n e n rusos yvirus Correo electrnico Fuego, inundacin, terremotos

Algunos casos que actan de disparadores


122/140

Hacker obtiene datos de miles de tarjetas de crdito Yahoo!, doblegado por los hackers Intrusos asaltaron sitio del FBI La Casa Blanca extravi correo electrnico


Hackers acceden a la red de Microsoft Suplantan identidad del presidente brasileo Hackers atacan a la defensa de EE.UU.

Estafas a bancos, venta de padrones de ciudadanos,clientes.

Fuente de riesgos


123/140

Casual Hackers: Script Kiddies using freelyCasual Hackers: Script Kiddies using freelyavailable hacking tools to probe and harass.available hacking tools to probe and harass.Sophisticated Hacker:Sophisticated Hacker: Specialists with indepthSpecialists with indepthknowledge using or developing underground toolsknowledge using or developing underground tools.


Organized Groups: Political activist, terrorist,Organized Groups: Political activist, terrorist,government agencies, organized crime, competitorsgovernment agencies, organized crime, competitorsand foreign governments with greater resources.and foreign governments with greater resources.

Disgrountled employee: Employee with detailedDisgrountled employee: Employee with detailedknowledge of Target systems, technologies andknowledge of Target systems, technologies andsecurity procedures intent on revenge, or fraud.security procedures intent on revenge, or fraud.

Captura de PC desde el exterior Principales riesgos


124/140

Violacin de e-mailsViolacin de contraseas Intercepcin y modificacin de e-mailsVirus

Incumplimiento de leyes y regulacionesempleados deshonestos

Robo de informacinDestruccin de equipamiento

Spamming

Violacin de la privacidad de los empleados

Ingeniera social

Mails annimos con informacin crtica o con agresiones


Interrupcin de los servicios

Robo o extravo de notebooks

Destruccin de soportes documentales

Acceso clandestino a redes

Intercepcin de comunicaciones

Acceso indebido a documentos impresos Software ilegal

Agujeros de seguridad de redes conectadas

Falsificacin de informacin paraterceros

Indisponibilidad de informacin clave

Propiedad de la Informacin

Consecuencias


125/140

Robo: dinero, informacin empresarial relevante,

propiedad intelectual, recursos, etc. Prdida de productividad; Corrupcin de datos,horas extraordinarias, fallas de equipos,..

Prdidas indirectas; Daos de imagen, prdida de


confianza,..

Exposicin legal; incumplimiento de contrato, decompromisos de confidencialidad, ilegalidad deactividades a travs de los sistemas

Respuestas...Necesarias pero NO suficientes.


126/140

En mi... implementamos un firewall.

... contratamos una persona para el rea.

... en la ltima auditora de sistemas no mesacaron observaciones importantes.


... .

... hice un penetration testing y ya arreglamostodo.

Evaluacin de riesgos


127/140

Amenazas Vulnerabilidades

exponenincrementan incrementanprotegencontra

aprovechan


ActivosRiesgosRiesgos

Controles

Requerimientosde seguridad

Valor de los activos yPotenciales impactos

tienenincrementancubiertos por

indican

Impacto sobre la Organizacin


128/140

Qu es el riesgo ?


129/140

La posibilidad que algo que ocurre impacte en losobjetivosUna medida de incertidumbre con dos elementos:

La probabilidad de ocurrencia de un evento.


La consecuencia que esto ocurra

El riesgo debe ser propiedad de los Gerentes.

Los riesgos especficos debieran ser asignados a

Gerentes especficos.

Riesgos: Cual es el alcance que debo definir paraasegurar mi informacion y como gestionarlos


130/140

Componentes del Riesgo

Confidencialidad

Integridad

*Financiero*Cliente*Re ulatorio


Disponibilidad

Continuidad del Negocio

Evaluacin de Procesos

*Contractual*Franquicia

Evaluacin de riesgos; definiciones


131/140

Que es lo que se desea proteger, porque? Dequien? y cual es su valor?

Evaluacin de; amenazas, impactos y


Vulnerabilidades,relativos a la;

informacin y a las instalaciones para suprocesamiento, y a la probabilidad de queocurran.

Compliance con: ISO 17799, normas del negocio y Ley 25326(Proteccion de datos)


132/140

Modelo de Gestin del Riesgo

Polticas

Evaluar


rgan zac nProcesosTecnologa (hardware,software y redes)

Disear

Implementar

Gestionar

Vulnerabilidades


133/140

Constituyen las debilidades quepresenta la organizacin frente ala amenazas (Internas /Externas).


Vulnerability Assesment


134/140


Vulnerabilidad vs. Riesgo


135/140

Analisis de Vulnerabilidades Analisis Analisis dede VulnerabilidadesVulnerabilidades


AperturaRelevamientoColeccion

per uraRelevamientoColeccion

Deteccinde eventosy Pruebas

e ecc nde eventosy Pruebas

Plan deAccion

Plan deAccion

- Regular - TD- Desvio

- Regular - TD- Desvio

Conclusion&

Recommend.

Principales vulnerabilidades


136/140

Control inadecuado de acceso a routers. Puntos de accesos remotos sin debida proteccion. Cuentas de usuarios con privilegios excesivos. Aplicaciones. Falta de politicas de seguridad. Excesivos mecanismos de control de acceso.


a a e ormac n. Fuga de informacin por snmp, smtp, netbios, dns Capacidades inadecuadas o inexistentes de logging, monitoreo y

reaccin ante incidentes. Deficiente administracin de los acceso. Mantener servicios activos en forma inadecuada. Estructuras inadecuadas (perimetral) ...

Vulnerabilidad vs. Riesgo


137/140

R

iesgo


I N I C

I O C O

N A u

d i t

R e g u

l a t o r

y

F r a u

d / a t t a

c k s

Oportunidad

Principales riesgos y el impacto en los negocios


138/140

En estos tipos de problemas es difcil:

Darse cuenta que pasan, hasta que pasan.

Poder cuantificarlos econmicamente, por


eempocunto le cuesta al negocio 4 horas sinsistemas?

Poder vincular directamente sus efectos sobrelos resultados de la Institucion.

Principales riesgos y el impacto en los negocios


139/140

Se puede estar preparado para que ocurran lo menos

posible: sin grandes inversiones en software sin mucha estructura de personal


Tan solo: ordenando la Seguridad y Gestionarla. parametrizando la seguridad delegada en los sistemas utilizando herramientas licenciadas y/o libres en la web

Gestin de riesgos, revisin De seguridad y controles implementados:


140/140

De seguridad y controles implementados: Reflejar los cambios en los requerimientos y

prioridades de la empresa. Considerar nuevas amenazas y vulnerabilidades. Corroborrar que los controles sean eficaces y

apropiados.

Con diferentes niveles de profundidad, segn ; Resultados anteriores Niveles variables de riesgos dispuesto a aceptar

Con prioridad;Riesgos de alto nivel medio y bajo

Documents

Tic y Entorno Social 2005