Seguridad de la Informacin

Max Lazaro Taico

Oficina Nacional de Gobierno Electrnico e Informtica
PCM

Estrategia de Gobierno Electrnico

Cambio de paradigma

Internet

Cabinas /
Telecentros

Otros medios de
comunicacin

Ventanillas fsicas

Ventanilla Unica de Servicios al

Ciudadano y la Empresa

Comercio
Exterior
Justicia
Propiedad
Servicios
Empresariales
Empleo
Salud /
Seguridad Social

Servicios de
Pago
Servicios de
Identificacin

Plataforma de
interoperabilidad
del estado

Introduccin: Nuevos Escenarios

Introduccin: Internet

Modalidades de delitos informticos

FRAUDE, CLONACION DE TARJETAS Y HURTO DE FONDOS

Modalidades de delitos informticos

AMENAZAS POR E-MAIL

Modalidades de delitos informticos

EXTORSION

Modalidades de delitos informticos

PORNOGRAFIA INFANTIL

Modalidades de delitos informticos

CHANTAJE SEXUAL Y ECONOMICO

Modalidades de delitos informticos

OPERACIONES FINANCIERAS COMERCIALES FRAUDULENTAS
POR INTERNET

Modalidades de delitos informticos

ACCESO NO AUTORIZADO A BASE DE DATOS

Modalidades de delitos informticos

INTRUSIONES (HACKING, CRACKING)

Acciones de la ONGEI

Acciones de la ONGEI
El gobierno peruano ha emitido desde el ao 2002
diferentes normas referidas a seguridad de la
informacin, entre las cuales podemos resaltar las
siguientes:
Modificacin de las normas y procedimientos tcnicos sobre
contenidos de las pginas web.
Normas tcnicas para el almacenamiento y respaldo de la
informacin procesada por las entidades de la administracin
pblica.
Directiva sobre "Normas para el uso del servicio de correo
electrnico en las entidades de la administracin pblica

Apoyo en seguridad de la Informacin

Actualmente la ONGEI apoya a las entidades

pblicas en los siguientes principales servicios:
Anlisis de vulnerabilidades de los servidores
Web de las Entidades Publicas.
Boletines de Seguridad de la informacin
Boletines de Alertas de Antivirus.
Presentaciones tcnicas sobre seguridad.
Consultoras y apoyo en recomendaciones
tcnicas.

Anlisis de Vulnerabilidades
ONGEI

Estaciones de Trabajo

Red
Intena

Firewall

Servidores

Web
Server

E-Mail
Server

Anlisis de Vulnerabilidades en nmeros al 2009

Mes

Alto

Enero

Bajo

Info

Febrero

14

20

Marzo

10

Abril

15

Mayo

14

40

62

24

Junio
Julio
Agosto
Septiembre
Octubre
Noviembre
Diciembre
Total

126

Estadstica General

Info; 24; 19%

Alto; 40; 32%

Alto
Bajo

Bajo; 62; 49%

Info

Leyes y Reglamentos que regulan las

Tecnologas de Informacin (TIC) en
Per

I. Normatividad en General
1.
2.
3.
4.
5.

6.
7.
8.

La Constitucin Poltica del Per 1993

Ley 28237 - Cdigo Procesal Constitucional
Normatividad Penal:
Ley 27309 Ley que Incorpora los Delitos Informticos dentro del Cdigo Penal
a.
Cdigo Penal
b.
Cdigo Procesal Penal
Normas Tributarias:
a.
Cdigo Tributario
b.
Decreto Supremo N 055-99-EF - Texto nico Ordenado de la Ley del Impuesto General
a las Ventas e Impuesto Selectivo al Consumo.
Normas Administrativas:
a.
Ley 27444 - Ley de Procedimiento Administrativo General
b.
Ley 27658 - Ley Marco de Modernizacin de la Gestin del Estado
Leyes que regulan a los Sistemas Administrativos
a.
Ley 29158 Ley Orgnica del Poder Ejecutivo
b.
Decreto Legislativo - Ley de Contrataciones y Adquisiciones del Estado
Otras normas:
a. Ley 26497 Ley Orgnica del Registro Nacional de Identificacin y Estado Civil
b. Decreto Supremo N 015-98-PCM - Reglamento de Inscripciones del Registro Nacional de
Identificacin y Estado Civil.
c. Decreto Legislativo N 822 - Ley de derechos de autor
d. Cdigo de Consumidor
e. Decreto Legislativo1049 Ley del Notariado.

II. Normatividad Especfica

1.

Regulacin sobre los rganos rectores en materia de Informtica y Gobierno

Electrnico en el Per
a.
b.
c.

d.

Ley de Organizacin y Funciones del Instituto Nacional de Estadstica e Informtica,

DECRETO LEGISLATIVO N 604.
DECRETO SUPREMO N 043-2001-PCM, Aprueban el Reglamento de Organizacin y
Funciones del INEI.
DECRETO SUPREMO N 066-2003-PCM, Fusionan la Sub -Jefatura de Informtica del
Instituto Nacional de Estadstica e Informtica - INEI y la Presidencia del Consejo de
Ministros, a travs de su Secretara de Gestin Pblica.
DECRETO SUPREMO N 063-2007-PCM, Decreto Supremo que aprueba el Reglamento
de Organizacin y Funciones de la Presidencia del Consejo de Ministros.

II. Normatividad Especfica

2.

3.

Documentos sobre Polticas Pblicas para el fomento de la Sociedad de

Informacin y Gobierno Electrnico en el Per.
a.

D.S. N 031-2006-PCM del 20 de junio del 2006, Plan de Desarrollo de la Sociedad de la

Informacin en el Per La Agenda Digital Peruana.

b.

Resolucin Ministerial N 274-2006-PCM, la Presidencia del Consejo de Ministros aprob

la Estrategia Nacional de Gobierno Electrnico.

c.

Decreto Supremo N 063-2007-PCM - Reglamento de Organizacin y Funciones de la

Presidencia del Consejo de Ministros La Oficina Nacional de Gobierno Electrnico e
Informtica (ONGEI) se encargada de dirigir como Ente Rector, el Sistema Nacional de
Informtica, e implementa la Poltica Nacional de Gobierno Electrnico e Informtica

a.

RESOLUCION MINISTERIAL N 360-2009-PCM - Crean el Grupo de Trabajo

denominado Coordinadora de Respuestas a Emergencias en Redes Teleinformticas de
la Administracin Pblica del Per (Pe-CERT)

Norma Tcnica Peruana

a.

RESOLUCIN MINISTERIAL N 246-2007-PCM - NTP-ISO/IEC 17799:2007

II. Normatividad Especfica

4.

Correo Electrnico
a.

Ley 28493 Ley que regula el uso del correo electrnico comercial no solicitado (SPAM).

b.

DECRETO SUPREMO N 031-2005-MTC - Aprueban el Reglamento de la Ley N 28493

que regula el envo del correo electrnico comercial no solicitado (SPAM).

c.

RESOLUCIN JEFATURAL N 088-2003-INEI Aprueban Directiva sobre "Normas para

el uso del servicio de correo electrnico en las entidades de la Administracin Pblica

d.

DECRETO SUPREMO N 066-2001-PCM - Aprueban los "Lineamientos de Polticas

Generales para promover la masificacin del acceso a Internet en el Per

e.

Ley 27419 Ley sobre Notificacin por Correo Electrnico

II. Normatividad Especfica

5.

Software en la Administracin Pblica

a.

Ley 28612 Ley que norma el uso, adquisicin y adecuacin de software en la

Administracin Pblica.

b.

DECRETO SUPREMO 024-2006-PCM - Reglamento de la Ley N 28612, Ley que norma

el uso, adquisicin y adecuacin del software en la Administracin Pblica

II. Normatividad Especfica

6.

Firmas y Certificados Digitales

a.

Ley N 27269 Ley de Firmas y Certificados Digitales, LEY N 27269

b.

DECRETO SUPREMO N 052-2008-PCM, Reglamento de la Ley de Firmas y

Certificados Digitales

II. Normatividad Especfica

7.

Portales
a.

DECRETO SUPREMO N 060-2001-PCM Crean el "Portal del Estado Peruano" como

Sistema Interactivo de Informacin a los Ciudadanos a travs de Internet.

b.

DECRETO SUPREMO N 019-2007-PCM - se establece el uso de la Ventanilla nica

del Estado a travs del Portal de Servicios al Ciudadano y Empresas y se crea el
Sistema Integrado de Servicios Pblicos Virtuales

II. Normatividad Especfica

8.

Microformas Fedatarios Informticos

a.

b.

Decreto Legislativo 681 - (Microformas / Fedatarios Informticos) Dictan normas que

regulan el uso de tecnologas avanzadas en materia de archivo de documentos e
informacin tanto respecto a la elaborada en forma convencional cuanto la producida por
procedimientos informticos en computadoras.
Decreto Legislativo 827 (Microformas / Fedatarios Informticos) Amplan los alcances
del D. Legislativo N 681 a las entidades pblicas a fin de modernizar el sistema de
archivos oficiales

II. Normatividad Especfica

9. Participacin de Notarios en Constitucin de Empresas en Lnea:
a.

b.

c.

D.S. N 058-2007-PCM (Dictan disposiciones referidas a la participacin de los Notarios

en el servicio de constitucin de empresas a travs del Sistema Integrado de Servicios
Pblicos Virtuales de la Ventanilla nica del Estado)
R. N 159-2007-SUNAT (Establecen disposiciones para la inscripcin en el RUC y
entrega del Cdigo de Usuario y de la clave SOL a los sujetos constituidos a travs de la
Ventanilla nica del Estado)
R.M. N 137-2008-PCM (Establecen requisitos y condiciones para que notarios
participen en el servicio de constitucin de empresas a travs del Sistema Integrado de
Servicios Pblicos Virtuales (SISEV)).

Poltica de Seguridad para el Sector

Pblico

 Con fecha 23 de julio del 2004 la PCM a travs

de la ONGEI, dispone el uso obligatorio de la
Norma Tcnica Peruana NTP ISO/IEC
17799:2004 EDI. Tecnologa de la Informacin:
Cdigo de Buenas Prcticas para la Gestin de
la Seguridad de la Informacin en entidades del
Sistema Nacional de Informtica.
Se Actualiz el 25 de Agosto del 2007 con la
Norma Tcnica Peruana NTP ISO/IEC
17799:2007 EDI.

Marco de las recomendaciones

La NTP-ISO 17799 es una compilacin de
recomendaciones para las prcticas exitosas de
seguridad, que toda organizacin puede aplicar
independientemente de su tamao o sector.
La NTP fue redactada para que fuera flexible y no
induce a las organizaciones que la cumplan al pie de la
letra, se deja a estas dar una solucin de seguridad de
acuerdo a sus necesidades.
Las recomendaciones de la NTP-ISO 17799 son
neutrales en cuanto a la tecnologa. La norma discute
la necesidad de contar con Firewalls, pero no
profundiza sobre los tipos de Firewalls y cmo se
utilizan.

 En este sentido La Norma Tcnica Peruana

ISO 17799, se emite para ser considerada en
la implementacin de estrategias y planes de
seguridad de la informacin de las Entidades
Pblicas.
La NTP NO exige la certificacin, pero si la
consideracin y evaluacin de los principales
dominios de acuerdo a la realidad de cada
organizacin.

Cuales son los temas o dominios a

considerar dentro de un plan de
Seguridad?

Los 11 dominios de control de ISO 17799

1.

Poltica de seguridad:
Se necesita una poltica que refleje las expectativas de
la organizacin en materia de seguridad, a fin de
suministrar administracin con direccin y soporte. La
poltica tambin se puede utilizar como base para el
estudio y evaluacin en curso.

2.

Aspectos organizativos para la seguridad:

Sugiere disear una estructura de administracin
dentro la organizacin, que establezca la
responsabilidad de los grupos en ciertas reas de la
seguridad y un proceso para el manejo de respuesta a
incidentes.

3.

Clasificacin y Control de Activos:

Inventario de los recursos de informacin de la
organizacin y con base en este conocimiento, debe
asegurar que se brinde un nivel adecuado de proteccin.

4.

Seguridad de Recursos Humanos:

Necesidad de educar e informar a los empleados actuales
y potenciales sobre lo que se espera de ellos en materia
de seguridad y asuntos de confidencialidad. Implementa
un plan para reportar los incidentes.

5.

Seguridad fsica y del Entorno:

Responde a la necesidad de proteger las reas, el
equipo y los controles generales.

6.

Gestin de Comunicaciones y Operaciones: Los

objetivos de esta seccin son:

Asegurar el funcionamiento correcto y seguro de las

instalaciones de procesamiento de la informacin.
Minimizar el riesgo de falla de los sistemas.
Proteger la integridad del software y la informacin.
Conservar la integridad y disponibilidad del procesamiento y
la comunicacin de la informacin.
Garantizar la proteccin de la informacin en las redes y de
la infraestructura de soporte.
Evitar daos a los recursos de informacin e interrupciones
en las actividades de la institucin.
Evitar la prdida, modificacin o uso indebido de la
informacin que intercambian las organizaciones.

7. Control de accesos:
Establece la importancia de monitorear y
controlar el acceso a la red y los recursos de
aplicacin como proteccin contra los abusos
internos e intrusos externos.
8. Adquisicin, Desarrollo y Mantenimiento
de los sistemas:
Recuerda que en toda labor de la tecnologa
de la informacin, se debe implementar y
mantener la seguridad mediante el uso de
controles de seguridad en todas las etapas
del proceso.

9.

Gestin de Incidentes de la Seguridad de la

informacin
Asegurar que los eventos y debilidades en la
seguridad de la informacin sean comunicados de
manera que permitan una accin correctiva a tiempo.

10. Gestin de Continuidad del Negocio

Aconseja estar preparado para contrarrestar las
interrupciones en las actividades de la empresa y para
proteger los procesos importantes de la empresa en
caso de una falla grave o desastre.
11. Cumplimiento:
Evitar brechas de cualquier ley civil o criminal,
estatutos, obligaciones regulatorias o contractuales y
de cualquier requerimiento de seguridad.

Beneficios de la norma tcnica ISO 17799

Una organizacin que adopte la Norma

Tcnica Peruana ISO 17799 tiene mayores
ventajas frente a los que no la adopten:
Mayor seguridad en la organizacin.
Planeacin y manejo de la seguridad ms efectivos.
Alianzas comerciales y e-commerce ms seguras.
Mayor confianza en el cliente.
Auditoras de seguridad ms precisas y confiables.
Menor Responsabilidad civil

Implementando Seguridad
de la Informacin
Enfoque General

 La seguridad en Internet ha sido siempre

considerada como un problema de ingeniera,
y las organizaciones tratan de resolverlo
utilizando tecnologa.
Este enfoque es incorrecto: la tecnologa est
fallando y la situacin est empeorando.
Lo que realmente necesitamos son mejores
modelos de procesos, no mejor tecnologa.

ALCANCE DE LA SEGURIDAD

Personas

RH Dedicados
Entrenamiento
Seguridadpensamiento y
prioridad
Educacin de empleados

Procesos

Planeacin de seguridad
Prevencin
Deteccin
Reaccin

Tecnologa

Tecnologa de punta
Estandar, encripcin, proteccin
Funcionalides de producto
Herramientas de Seguridad y
productos

ANALISIS
DE
RIESGOS

Conceptos:

Que proteger?
Acceso a Informacin comprometida o
confidencial
Planes de negocio, nominas, contratos, listados passwords, informacin
de clientes.

Acceso a Informacin valiosa

Documentacin, desarrollos de I+D, histricos y archivos.

Acceso a Inversiones e infraestructura

Configuraciones, logs, backups, bbdd, webs, intranets, Acceso a
servidores, electrnica y hardware costoso.

Peligros contra la confidencialidad.

Accesos no autorizados a informacin confidencial
Accesos pblicos a informacin confidencial, por error,
mala configuracin o descuido.
Suplantacin de usuarios.
Acceso a servicios confidenciales (correo, bbdd,
servidores de acceso, etc).
Instalacin de caballos de troya.
Acceso fsico a material restringido.

Peligros contra la integridad

Modificacin indebida de datos (fallo de permisos)
Falta de integridad (borrado o modificacin) de datos.
Imposibilidad de identificar fuente de datos.
Fallo en la integridad de bases de dato (corrupcion).
Modificacin en archivos de sistema (configuraciones,
logs, etc)
Destruccin o corrupcin de backups.
Virus.
Acceso fsico a material restringido.

Peligros contra la disponibilidad.

Caida de servicios externos. (DoS)
Agotamiento de recursos (ancho de banda, disco,
socket, etc). (DoS o mala config.)
Fallo de infraestructuras generales de red (routing,
switches, etc). (DoS, fallo, mala configuracin o
sabotaje)
Destruccin de configuraciones o servicios. (DoS o
Sabotaje)
Acceso fsico a infraestructura bsica. Sabotaje.

Costo
Econmico
A partir de este
entendimiento
se podr
gestionar la
seguridad.

Solo importa cuando

suceden los problemas de
seguridad.
Ajustar la ecuacin del
riesgo hasta que le
interese e importe a la alta
direccin.

Dimensiones de la Seguridad

Confidencialidad

Integridad

Disponibilidad

Dimensiones crticas de Secreto

la informacin
impuesto de acuerdo

Qu es Seguridad de la Informacin

Prevenir
Divulgacin no autorizada de
Activos de Informacin

Informacin
E

C
D

con polticas de seguridad

SINO: Fugas y filtraciones de
informacin; accesos no
autorizados; prdida de
confianza de los dems
(incumplimiento
de leyes
y
Autenticidad
de
compromisos)
quien hace uso de datos o
servicios

Trazabilidad del uso

E-commerce

de servicios (quin, cundo)

o datos (quien y que hace)

Informacin
(dimensiones)

Prevenir
Cambios no autorizados en
Activos de Informacin

No repudio
(Compromisos)

6
+5

Confiabilidad
Prevenir
(Inform.)
D 7x24x365
Destruccin no autorizada de
Activos de Informacin

Validez y Precisin de informacin y

Acceso en tiempo correcto y confiable a
sistemas.
SINO: Informacin manipulada, incompleta,datos y recursos.
corrupta y por lo tanto mal desempeo de SINO: Interrupcin de Servicios o Baja
Productividad
funciones

Identificar Activos
Identificar Amenazas
Determinar
Vulnerabilidades e

Impactos
Cuantificacin
Finan. y no Finan.
por tiempo de
interrupcin

Anlisis de Riesgos
Anlisis de Impacto
Anlisis de Necesidades

Evaluacin de
Riesgos

Visin Global del

Enfoque de Seguridad

Requerimientos para
Minimizar
Impacto

Interpretacin y Clasificacin de Riesgos

Identificacin y Estimacin de acciones para:
Actividades Preventivas
Actividades Correctivas
Actividades para la Reanudacin y Continuidad
del negocio

Elaboracin de
Planes

1-8
Plan de
Seguridad de
la
Informacin

ISO 17799

Identificacin y Seleccin de los Mejores

Mecanismos de Seguridad
Especificaciones de los Mecanismos de
seguridad a Implantar.
Planificacin del proceso de
Implantacin
Concientizacin del personal en la
Seguridad.

Plan de
Continuidad
Plan de
Contingencias Plan de Recuperacin de desastres del
Negocio
Plan de respuesta a incidentes

Respuestas inmediatas ante eventos que originen

prdida de datos o interrupcin de las operaciones.
Especificaciones del Plan de Accin a tomar de
acuerdo al tipo de evento: Grupos de Trabajo y
responsabilidades, definicin de Recursos, niveles de
Contingencia, escenarios de Contingencia. Activacin de
la Contingencia.

Revisin de la
Estrategia

10

Revisin del Plan

Actual

Mejora
Continua
Revisin de
Programas

Pruebas del Plan

Actual

Inventario de Procesos del Negocio.

Identificacin de Procesos Crticos
Especificaciones de los mecanismos de
Accin a seguir para la continuidad
Plan de Recuperacin de los estados de
Seguridad

Los 11 Dominios de la NTP ISO 17799 - 2007

Cumplimiento

Poltica de
seguridad

Gestin de

Organizacin de
la Seguridad

la continuidad

Gestin de
incidentes

Confidencialidad

integridad

Activos

Informacin
Seguridad

Desarrollo y
mantenimiento

Gestin de

del personal
disponibilidad

Control de accesos
Gestin de
comunicaciones
y operaciones

Seguridad fsica
y medioambiental

Los 11 Dominios de ISO 17799 - 2007)

Organizacional

1. Politique de
1. Poltica de
scurit
seguridad
2.Seguridad
Scurit de
2.
de la
lorganisation
organizacin
3. Classification et
3. Clasificacin
y
contrle
des
control
de
los
actifs
activos

Contrlede
des
7. Control
accs
accesos

10. Conformit
10. Continuidad
4. Scurit
dudel
personnel
Seguridad
personal
8. Desarrollo y
mantenimiento de los
sistemas
8. Dveloppement
et maintenance

Operacional

11. Cumplimiento
5. Scurit
physique
Seguridad
fsica y et
environnementale
medioambiental

9. Gestin de
6. Gestin de las
Incidentes
6.telecomunicaciones
Gestion des
9. Gestion de la
y
operaciones
communications
et oprations
continuit

Gestin de la Seguridad de la Informacin

SGSI (ISO 27001)
FASE I

FASE II
1)

2)
3)

4)
5)

1)
2)

Identificar opciones
para Gestionar los
Riesgos
Seleccionar e
implementar Cont.
Determinar
Organizacin de
Seguridad;
Comits de Seg.
Preparar e
implementar Plan
de Continuidad
Entrenamiento al
Personal
Declaracin de
Aplicabilidad

1)
2)
3)
4)

FASE III
1)
2)
3)

* PDCA en ingles

Definir Poltica y
Alcance
Identificar Riesgos
para gestionarlos
Analizar las Brechas
Plan de
Implementacion

Monitorear y Revisar
SGSI
Verificar controles
implementados
Cumplimientos
legales y tcnicos

Estrategia para implementar el SGSI en los procesos

u Organizacin

ENTREGABLES DEL
PROYECTO:
1. Acta de Constitucin
2. Declaracin del
Alcance
2. Plan de Gestin
3. Plan de G. Cambios
4. Plan de G. Comunic
5. Plan de G. Riesgos

Patrocinador

Gerente del
Proyecto
Equipo del
Proyecto

Stakeholders

ENTREGABLES DEL
PRODUCTO:
1. Documento de Poltica
de Seguridad de la
Informacin
2. Documento de
identificacin de los
riesgos.
3. Informe de la
Identificacin y
evaluacin el
tratamiento de los
riesgos.
4. Anlisis de Brechas.
5. Procedimientos para
actualizar el manual de
Seguridad
VALOR AGREGADO:
Herramientas para la
Implementacin y Gestin

Entregables de la NTP-ISO/IEC 17799

( Documentos )

Anlisis de
Riesgos
Poltica de
Seguridad
Institucional

Anlisis de
riesgos

Vs.
NTP-ISO/IEC
17799
(Brecha)

Implementacin Gradual y Priorizada

Plan
Implementaci
n de los
controles de
seguridad

Importancia de la seguridad
Muchas organizaciones tienen polticas de
seguridad, la mayora de las mismas incluso
entrenan a sus funcionarios y empleados,
pero muy pocas implantan una cultura de
conciencia en seguridad que fomenta la
identificacin y reporte de problemas de
seguridad.

 La Seguridad Informtica es Fcil: Con el 20% de

esfuerzo se puede lograr el 80% de resultados
Actividades sencillas pero constantes son las que
evitan la mayora de los problemas.
Se debe de trabajar en crear MECANISMOS de
seguridad que usan las TECNICAS de seguridad
adecuadas segn lo que se quiera proteger.

 Todo intento por formalizar cualquier tarea o

aspecto relacionado con la seguridad debe
tratar como mnimo de responder a tres
preguntas:
Qu: objetivo, requisito o regulacin que se quiere
satisfacer o cumplir (lo que hay que lograr).
Quin: responsable de la tarea o encargado de que
se cumpla (el encargado de hacerlo posible).
Cmo: descripcin de las actividades que darn
con la consecucin del objetivo o requisito (lo que
haya que hacer para conseguirlo).

NO OLVIDAR .. La Seguridad es un Proceso Continuo

ALERTAR

PROTEGER

CONTROL
PROACTIVO

ADMINISTRAR

RESPONDER

www.ongei.gob.pe

mlazaro@pcm.gob.pe
Muchas gracias..