Seguridad de la Información

Max Lazaro Taico

Oficina Nacional de Gobierno Electrónico e Informática
PCM
 Estrategia de Gobierno Electrónico
Cambio de paradigma

Comercio
Exterior

Internet
Ventanilla Unica de Servicios al Justicia
Ciudadano y la Empresa
Propiedad
Plataforma de
Servicios interoperabilidad
Empresariales del estado
Cabinas /
Telecentros Empleo

Salud /
Seguridad Social
Otros medios de
comunicación Servicios de
Pago

Servicios de
Ventanillas físicas Identificación
Introducción: Nuevos Escenarios
Introducción: Internet
Modalidades de delitos informáticos
FRAUDE, CLONACION DE TARJETAS Y HURTO DE FONDOS
Modalidades de delitos informáticos
AMENAZAS POR E-MAIL
Modalidades de delitos informáticos
EXTORSION
Modalidades de delitos informáticos
PORNOGRAFIA INFANTIL
Modalidades de delitos informáticos
CHANTAJE SEXUAL Y ECONOMICO
Modalidades de delitos informáticos
OPERACIONES FINANCIERAS COMERCIALES FRAUDULENTAS
POR INTERNET
Modalidades de delitos informáticos
ACCESO NO AUTORIZADO A BASE DE DATOS
Modalidades de delitos informáticos
INTRUSIONES (HACKING, CRACKING)
Acciones de la ONGEI
Acciones de la ONGEI
 El gobierno peruano ha emitido desde el año 2002
diferentes normas referidas a seguridad de la
información, entre las cuales podemos resaltar las
siguientes:

 “Modificación de las normas y procedimientos técnicos sobre

contenidos de las páginas web”.
 “Normas técnicas para el almacenamiento y respaldo de la
información procesada por las entidades de la administración
pública”.
 Directiva sobre "Normas para el uso del servicio de correo
electrónico en las entidades de la administración pública”
Apoyo en seguridad de la Información

 Actualmente la ONGEI apoya a las entidades

públicas en los siguientes principales servicios:
Análisis de vulnerabilidades de los servidores
Web de las Entidades Publicas.
Boletines de Seguridad de la información
Boletines de Alertas de Antivirus.
Presentaciones técnicas sobre seguridad.
Consultorías y apoyo en recomendaciones
técnicas.
 Análisis de Vulnerabilidades
ONGEI Red
Estaciones de Trabajo
Intena

Firewall

Servidores

Web E-Mail
Server Server
Análisis de Vulnerabilidades en números al 2009
Mes Alto Bajo Info
Enero 2 4 2
Febrero 14 20 5
Marzo 10 9 3
Abril 9 15 7
Mayo 5 14 7
Junio
Julio
Agosto
Septiembre
Octubre
Noviembre
Diciembre
Total 40 62 24

126
 Estadística General

Info; 24; 19%

Alto; 40; 32% Alto
Bajo
Info
Bajo; 62; 49%
Leyes y Reglamentos que regulan las
Tecnologِías de Información (TIC) en
Perú
I. Normatividad en General
1. La Constitución Política del Perú 1993
2. Ley 28237 - Código Procesal Constitucional
3. Normatividad Penal:
4. Ley 27309 – Ley que Incorpora los Delitos Informáticos dentro del Código Penal
a. Código Penal
b. Código Procesal Penal
5. Normas Tributarias:
a. Código Tributario
b. Decreto Supremo Nº 055-99-EF - Texto Único Ordenado de la Ley del Impuesto General
a las Ventas e Impuesto Selectivo al Consumo.
6. Normas Administrativas:
a. Ley 27444 - Ley de Procedimiento Administrativo General
b. Ley 27658 - Ley Marco de Modernización de la Gestión del Estado
7. Leyes que regulan a los Sistemas Administrativos
a. Ley 29158 – Ley Orgánica del Poder Ejecutivo
b. Decreto Legislativo - Ley de Contrataciones y Adquisiciones del Estado
8. Otras normas:
a. Ley 26497 – Ley Orgánica del Registro Nacional de Identificación y Estado Civil
b. Decreto Supremo Nº 015-98-PCM - Reglamento de Inscripciones del Registro Nacional de
Identificación y Estado Civil.
c. Decreto Legislativo Nº 822 - Ley de derechos de autor
d. Código de Consumidor
e. Decreto Legislativo1049 – Ley del Notariado.
 II. Normatividad Específica
1. Regulación sobre los órganos rectores en materia de Informática y Gobierno
Electrónico en el Perú

a. Ley de Organización y Funciones del Instituto Nacional de Estadística e Informática,

DECRETO LEGISLATIVO N° 604.
b. DECRETO SUPREMO Nº 043-2001-PCM, Aprueban el Reglamento de Organización y
Funciones del INEI.
c. DECRETO SUPREMO Nº 066-2003-PCM, Fusionan la Sub -Jefatura de Informática del
Instituto Nacional de Estadística e Informática - INEI y la Presidencia del Consejo de
Ministros, a través de su Secretaría de Gestión Pública.
d. DECRETO SUPREMO Nº 063-2007-PCM, Decreto Supremo que aprueba el Reglamento
de Organización y Funciones de la Presidencia del Consejo de Ministros.
 II. Normatividad Específica
2. Documentos sobre Políticas Públicas para el fomento de la Sociedad de
Información y Gobierno Electrónico en el Perú.

a. D.S. Nº 031-2006-PCM del 20 de junio del 2006, Plan de Desarrollo de la Sociedad de la

Información en el Perú – La Agenda Digital Peruana.

b. Resolución Ministerial Nº 274-2006-PCM, la Presidencia del Consejo de Ministros aprobó

la Estrategia Nacional de Gobierno Electrónico.

c. Decreto Supremo Nº 063-2007-PCM - Reglamento de Organización y Funciones de la

Presidencia del Consejo de Ministros – La Oficina Nacional de Gobierno Electrónico e
Informática (ONGEI) se encargada de dirigir como Ente Rector, el Sistema Nacional de
Informática, e implementa la Política Nacional de Gobierno Electrónico e Informática

a. RESOLUCION MINISTERIAL Nº 360-2009-PCM - Crean el Grupo de Trabajo

denominado Coordinadora de Respuestas a Emergencias en Redes Teleinformáticas de
la Administración Pública del Perú (Pe-CERT)

3. Norma Técnica Peruana

a. RESOLUCIÓN MINISTERIAL Nº 246-2007-PCM - NTP-ISO/IEC 17799:2007
 II. Normatividad Específica
4. Correo Electrónico

a. Ley 28493 – Ley que regula el uso del correo electrónico comercial no solicitado (SPAM).

b. DECRETO SUPREMO Nº 031-2005-MTC - Aprueban el Reglamento de la Ley Nº 28493

que regula el envío del correo electrónico comercial no solicitado (SPAM).

c. RESOLUCIÓN JEFATURAL N° 088-2003-INEI Aprueban Directiva sobre "Normas para

el uso del servicio de correo electrónico en las entidades de la Administración Pública“

d. DECRETO SUPREMO Nº 066-2001-PCM - Aprueban los "Lineamientos de Políticas

Generales para promover la masificación del acceso a Internet en el Perú“

e. Ley 27419 – Ley sobre Notificación por Correo Electrónico

 II. Normatividad Específica

5. Software en la Administración Pública

a. Ley 28612 – Ley que norma el uso, adquisición y adecuación de software en la

Administración Pública.

b. DECRETO SUPREMO 024-2006-PCM - Reglamento de la Ley N° 28612, Ley que norma

el uso, adquisición y adecuación del software en la Administración Pública

II. Normatividad Específica

6. Firmas y Certificados Digitales

a. Ley Nº 27269 – Ley de Firmas y Certificados Digitales, LEY Nº 27269

b. DECRETO SUPREMO Nº 052-2008-PCM, Reglamento de la Ley de Firmas y

Certificados Digitales
 II. Normatividad Específica
7. Portales

a. DECRETO SUPREMO Nº 060-2001-PCM – Crean el "Portal del Estado Peruano" como

Sistema Interactivo de Información a los Ciudadanos a través de Internet.

b. DECRETO SUPREMO Nº 019-2007-PCM - se establece el uso de la Ventanilla Única

del Estado a través del Portal de Servicios al Ciudadano y Empresas y se crea el
Sistema Integrado de Servicios Públicos Virtuales
 II. Normatividad Específica
8. Microformas – Fedatarios Informáticos

a. Decreto Legislativo 681 - (Microformas / Fedatarios Informáticos) Dictan normas que

regulan el uso de tecnologías avanzadas en materia de archivo de documentos e
información tanto respecto a la elaborada en forma convencional cuanto la producida por
procedimientos informáticos en computadoras.
b. Decreto Legislativo 827 – (Microformas / Fedatarios Informáticos) Amplían los alcances
del D. Legislativo Nº 681 a las entidades públicas a fin de modernizar el sistema de
archivos oficiales
 II. Normatividad Específica
9. Participación de Notarios en Constitución de Empresas en Línea:

a. D.S. N° 058-2007-PCM (Dictan disposiciones referidas a la participación de los Notarios

en el servicio de constitución de empresas a través del Sistema Integrado de Servicios
Públicos Virtuales de la Ventanilla Única del Estado)
b. R. Nº 159-2007-SUNAT (Establecen disposiciones para la inscripción en el RUC y
entrega del Código de Usuario y de la clave SOL a los sujetos constituidos a través de la
Ventanilla Única del Estado)
c. R.M. N° 137-2008-PCM (Establecen requisitos y condiciones para que notarios
participen en el servicio de constitución de empresas a través del Sistema Integrado de
Servicios Públicos Virtuales (SISEV)).
Política de Seguridad para el Sector
Público
 Con fecha 23 de julio del 2004 la PCM a través
de la ONGEI, dispone el uso obligatorio de la
Norma Técnica Peruana ―NTP – ISO/IEC
17799:2004 EDI. Tecnología de la Información:
Código de Buenas Prácticas para la Gestión de
la Seguridad de la Información” en entidades del
Sistema Nacional de Informática.
 Se Actualizó el 25 de Agosto del 2007 con la
Norma Técnica Peruana ―NTP – ISO/IEC
17799:2007 EDI.
Marco de las recomendaciones
 La NTP-ISO 17799 es una compilación de
recomendaciones para las prácticas exitosas de
seguridad, que toda organización puede aplicar
independientemente de su tamaño o sector.
 La NTP fue redactada para que fuera flexible y no
induce a las organizaciones que la cumplan al pie de la
letra, se deja a estas dar una solución de seguridad de
acuerdo a sus necesidades.
 Las recomendaciones de la NTP-ISO 17799 son
neutrales en cuanto a la tecnología. La norma discute
la necesidad de contar con Firewalls, pero no
profundiza sobre los tipos de Firewalls y cómo se
utilizan.
 En este sentido La Norma Técnica Peruana
ISO – 17799, se emite para ser considerada en
la implementación de estrategias y planes de
seguridad de la información de las Entidades
Públicas.
 La NTP NO exige la certificación, pero si la
consideración y evaluación de los principales
dominios de acuerdo a la realidad de cada
organización.
Cuales son los temas o dominios a
considerar dentro de un plan de
Seguridad?
Los 11 dominios de control de ISO 17799

1. Política de seguridad:
Se necesita una política que refleje las expectativas de
la organización en materia de seguridad, a fin de
suministrar administración con dirección y soporte. La
política también se puede utilizar como base para el
estudio y evaluación en curso.

2. Aspectos organizativos para la seguridad:

Sugiere diseñar una estructura de administración
dentro la organización, que establezca la
responsabilidad de los grupos en ciertas áreas de la
seguridad y un proceso para el manejo de respuesta a
incidentes.
3. Clasificación y Control de Activos:
Inventario de los recursos de información de la
organización y con base en este conocimiento, debe
asegurar que se brinde un nivel adecuado de protección.
4. Seguridad de Recursos Humanos:
Necesidad de educar e informar a los empleados actuales
y potenciales sobre lo que se espera de ellos en materia
de seguridad y asuntos de confidencialidad. Implementa
un plan para reportar los incidentes.

5. Seguridad física y del Entorno:

Responde a la necesidad de proteger las áreas, el
equipo y los controles generales.
6. Gestión de Comunicaciones y Operaciones: Los
objetivos de esta sección son:
 Asegurar el funcionamiento correcto y seguro de las
instalaciones de procesamiento de la información.
 Minimizar el riesgo de falla de los sistemas.
 Proteger la integridad del software y la información.
 Conservar la integridad y disponibilidad del procesamiento y
la comunicación de la información.
 Garantizar la protección de la información en las redes y de
la infraestructura de soporte.
 Evitar daños a los recursos de información e interrupciones
en las actividades de la institución.
 Evitar la pérdida, modificación o uso indebido de la
información que intercambian las organizaciones.
7. Control de accesos:
Establece la importancia de monitorear y
controlar el acceso a la red y los recursos de
aplicación como protección contra los abusos
internos e intrusos externos.
8. Adquisición, Desarrollo y Mantenimiento
de los sistemas:
Recuerda que en toda labor de la tecnología
de la información, se debe implementar y
mantener la seguridad mediante el uso de
controles de seguridad en todas las etapas
del proceso.
9. Gestión de Incidentes de la Seguridad de la
información
Asegurar que los eventos y debilidades en la
seguridad de la información sean comunicados de
manera que permitan una acción correctiva a tiempo.
10. Gestión de Continuidad del Negocio
Aconseja estar preparado para contrarrestar las
interrupciones en las actividades de la empresa y para
proteger los procesos importantes de la empresa en
caso de una falla grave o desastre.
11. Cumplimiento:
Evitar brechas de cualquier ley civil o criminal,
estatutos, obligaciones regulatorias o contractuales y
de cualquier requerimiento de seguridad.
Beneficios de la norma técnica ISO 17799

 Una organización que adopte la Norma

Técnica Peruana ISO 17799 tiene mayores
ventajas frente a los que no la adopten:
Mayor seguridad en la organización.
Planeación y manejo de la seguridad más efectivos.
Alianzas comerciales y e-commerce más seguras.
Mayor confianza en el cliente.
Auditorías de seguridad más precisas y confiables.
Menor Responsabilidad civil
Implementando Seguridad
de la Información
Enfoque General
 La seguridad en Internet ha sido siempre
considerada como un problema de ingeniería,
y las organizaciones tratan de resolverlo
utilizando tecnología.

 Este enfoque es incorrecto: la tecnología está

fallando y la situación está empeorando.
 Lo que realmente necesitamos son mejores
modelos de procesos, no mejor tecnología.
ALCANCE DE LA SEGURIDAD

 RH Dedicados
 Entrenamiento
Personas  Seguridad—pensamiento y
prioridad
 Educación de empleados

 Planeación de seguridad
 Prevención
Procesos  Detección
 Reacción

 Tecnología de punta
 Estandar, encripción, protección
Tecnología  Funcionalides de producto
 Herramientas de Seguridad y
productos
ANALISIS
DE
RIESGOS
Conceptos:
¿Que proteger?

Acceso a Información comprometida o

confidencial
 Planes de negocio, nominas, contratos, listados passwords, información
de clientes.

Acceso a Información valiosa

 Documentación, desarrollos de I+D, históricos y archivos.

Acceso a Inversiones e infraestructura

 Configuraciones, logs, backups, bbdd, webs, intranets, Acceso a
servidores, electrónica y hardware costoso.
Peligros contra la confidencialidad.
 Accesos no autorizados a información confidencial
 Accesos públicos a información confidencial, por error,
mala configuración o descuido.
 Suplantación de usuarios.
 Acceso a servicios confidenciales (correo, bbdd,
servidores de acceso, etc).
 Instalación de caballos de troya.
 Acceso físico a material restringido.
Peligros contra la integridad

 Modificación indebida de datos (fallo de permisos)

 Falta de integridad (borrado o modificación) de datos.
 Imposibilidad de identificar fuente de datos.
 Fallo en la integridad de bases de dato (corrupcion).
 Modificación en archivos de sistema (configuraciones,
logs, etc)
 Destrucción o corrupción de backups.
 Virus.
 Acceso físico a material restringido.
Peligros contra la disponibilidad.

 Caida de servicios externos. (DoS)

 Agotamiento de recursos (ancho de banda, disco,
socket, etc). (DoS o mala config.)
 Fallo de infraestructuras generales de red (routing,
switches, etc). (DoS, fallo, mala configuración o
sabotaje)
 Destrucción de configuraciones o servicios. (DoS o
Sabotaje)
 Acceso físico a infraestructura básica. Sabotaje.
Costo
Económico
• Solo importa cuando
suceden los problemas de
A partir de este seguridad.
entendimiento
se podrá • Ajustar la ecuación del
gestionar la riesgo hasta que le
seguridad. interese e importe a la alta
dirección.
 Dimensiones de la Seguridad

Confidencialidad Disponibilidad

Integridad
 Dimensiones críticas de• Secreto
la información
impuesto de acuerdo
Qué es Seguridad de la Información
con políticas de seguridad
Prevenir
Divulgación no autorizada de
• SINO: Fugas y filtraciones de
Información Activos de Información información; accesos no
autorizados; pérdida de
confianza de los demás
E (incumplimiento
Autenticidadde leyes y
C compromisos)
de
quien hace uso de datos o
D servicios

T E-commerce Trazabilidad del uso

de servicios (quién, cuándo)
o datos (quien y que hace)
Prevenir Información
Cambios no autorizados en
Activos de Información
(dimensiones) No repudio
(Compromisos)
Confiabilidad
6 (Inform.)
D 7x24x365
Prevenir
I +5 Destrucción no autorizada de
= Activos de Información

• Validez y Precisión de información y

sistemas. • Acceso en tiempo correcto y confiable a
•SINO: Información manipulada, incompleta,datos y recursos.
corrupta y por lo tanto mal desempeño de • SINO: Interrupción de Servicios o Baja
funciones Productividad
Identificar Activos
Identificar Amenazas
Determinar Análisis de Riesgos
Evaluación de
Visión Global del
Vulnerabilidades e Análisis de Impacto
Impactos Análisis de Necesidades
Riesgos
Enfoque de Seguridad
Cuantificación Requerimientos para
Finan. y no Finan. Minimizar Interpretación y Clasificación de Riesgos
Identificación y Estimación de acciones para:
por tiempo de Impacto
Elaboración de Actividades Preventivas
interrupción
Planes Actividades Correctivas
Actividades para la Reanudación y Continuidad
del negocio

1-8
Plan de
ISO 17799 9
Plan de
Seguridad de Plan de respuesta a incidentes
Continuidad
Plan de
la Contingencias Plan de Recuperación de desastres del
Información Negocio

Identificación y Selección de los Mejores

Respuestas inmediatas ante eventos que originen Inventario de Procesos del Negocio.
Mecanismos de Seguridad
pérdida de datos o interrupción de las operaciones. Identificación de Procesos Críticos
Especificaciones de los Mecanismos de
Especificaciones del Plan de Acción a tomar de Especificaciones de los mecanismos de
seguridad a Implantar.
acuerdo al tipo de evento: Grupos de Trabajo y Acción a seguir para la continuidad
Planificación del proceso de
responsabilidades, definición de Recursos, niveles de Plan de Recuperación de los estados de
Implantación
Contingencia, escenarios de Contingencia. Activación de Seguridad
Concientización del personal en la
la Contingencia.
Seguridad.

Revisión de la Revisión del Plan

Estrategia 10 Actual

Mejora
Continua
Revisión de
Pruebas del Plan
Programas
Actual
Los 11 Dominios de la NTP ISO 17799 - 2007
Política de
Cumplimiento seguridad Organización de
Gestión de la Seguridad
la continuidad
Gestiòn de
integridad Confidencialidad
Gestión de Activos
incidentes Información
Seguridad
Desarrollo y
del personal
mantenimiento
disponibilidad

Seguridad física
Control de accesos y medioambiental
Gestión de
comunicaciones
y operaciones
 Los 11 Dominios de ISO 17799 - 2007)
Organizacional

1. Politique de
1. Política de
sécurité
seguridad

2.Seguridad
2. Sécurité de
de la
l’organisation
organización

3. Classification et Contrôlede
7. Control des
3. Clasificación
contrôle des y accès
control de los accesos
actifs
activos
10. Conformité

10. Continuidad 11. Cumplimiento

4. Sécurité
Seguridaddudel
personnel
personal 5. Sécurité
Seguridadphysique
física y et
environnementale
medioambiental

8. Desarrollo y 9. Gestión de
mantenimiento de los 6. Gestión de las
sistemas Incidentes
8. Développement 6.telecomunicaciones
Gestion des y 9. Gestion de la
et maintenance operaciones
communications et opérations continuité

Operacional
 Gestión de la Seguridad de la Información
SGSI (ISO 27001)
FASE II FASE I
1) Identificar opciones
1) Definir Política y
para Gestionar los
Alcance
Riesgos
2) Identificar Riesgos
2) Seleccionar e
para gestionarlos
implementar Cont.
3) Analizar las Brechas
3) Determinar
4) Plan de
Organización de
Implementacion
Seguridad;
4) Comités de Seg.
5) Preparar e
implementar Plan FASE III
de Continuidad
1) Entrenamiento al 1) Monitorear y Revisar
Personal SGSI
2) Declaración de 2) Verificar controles
Aplicabilidad implementados
3) Cumplimientos
legales y técnicos

* PDCA en ingles
 Estrategia para implementar el SGSI en los procesos
u Organización
ENTREGABLES DEL
PRODUCTO:
1. Documento de Política
de Seguridad de la
ENTREGABLES DEL Información
PROYECTO: Patrocinador 2. Documento de
1. Acta de Constitución identificación de los
2. Declaración del riesgos.
Alcance 3. Informe de la
2. Plan de Gestión Gerente del Identificación y
3. Plan de G. Cambios Proyecto evaluación el
tratamiento de los
4. Plan de G. Comunic
riesgos.
5. Plan de G. Riesgos 4. Análisis de Brechas.
Equipo del
Proyecto 5. Procedimientos para
actualizar el manual de
Seguridad

Stakeholders VALOR AGREGADO:

Herramientas para la
Implementación y Gestión
 Entregables de la NTP-ISO/IEC 17799
( Documentos )

Análisis de
Riesgos Plan
Política de Vs. Implementació
Análisis de
Seguridad n de los
riesgos NTP-ISO/IEC
Institucional controles de
17799 seguridad
(Brecha)

Implementación Gradual y Priorizada

Importancia de la seguridad

 Muchas organizaciones tienen políticas de

seguridad, la mayoría de las mismas incluso
entrenan a sus funcionarios y empleados,

 pero muy pocas implantan una ―cultura de

conciencia en seguridad‖ que fomenta la
identificación y reporte de problemas de
seguridad.
 La Seguridad Informática es Fácil: “Con el 20% de
esfuerzo se puede lograr el 80% de resultados”

Actividades sencillas pero constantes son las que

evitan la mayoría de los problemas.
Se debe de trabajar en crear MECANISMOS de
seguridad que usan las TECNICAS de seguridad
adecuadas según lo que se quiera proteger.
 Todo intento por formalizar cualquier tarea o
aspecto relacionado con la seguridad debe
tratar como mínimo de responder a tres
preguntas:
Qué: objetivo, requisito o regulación que se quiere
satisfacer o cumplir (lo que hay que lograr).
Quién: responsable de la tarea o encargado de que
se cumpla (el encargado de hacerlo posible).
Cómo: descripción de las actividades que darán
con la consecución del objetivo o requisito (lo que
haya que hacer para conseguirlo).
NO OLVIDAR ….. La Seguridad es un Proceso Continuo

ALERTAR PROTEGER

CONTROL
PROACTIVO

ADMINISTRAR RESPONDER
www.ongei.gob.pe

mlazaro@pcm.gob.pe

Muchas gracias……..