SEGURIDAD DE LA INFORMACION

OFICINA NACIONAL DE GOBIERNO ELECTRONICO E INFORMATICA Ing. Max LazaroT.
1

Introducción
‡ El gobierno Peruano está experimentando una transformación radical en la manera de interactuar con los ciudadanos, la automatización basada en la red INTERNET es clave para proveer servicios del Estado. ‡ Estas tecnologías se han ampliado para apoyar la iniciativa de Gobierno Electrónico, la nueva manera de dirigir todos los procesos de servicios del Estado Peruano. ‡ Las comunicaciones electrónicas y las aplicaciones basadas en Web se están desplegando para ser la base de los servicios de las entidades públicas que trabajan para sí mismas, con diferentes entidades públicas y privadas, así como con los ciudadanos en general.
2

Introducción
‡ La modernización de las organizaciones públicas en el Gobierno Electrónico requiere un enfoque más agudo en seguridad de la información. ‡ Establecer seguridad es vital porque es la base de la confianza sobre la cual otras organizaciones e individuos decidirán si utilizan Gobierno Electrónico para la entrega del servicio.
3

Importancia de la seguridad
‡ Muchas organizaciones tienen políticas de seguridad, la mayoría de las mismas incluso entrenan a sus funcionarios y empleados, pero muy pocas implantan una ³cultura de conciencia en seguridad´ al nivel de una ³vecindad en guardia´ que fomenta la identificación y reporte de problemas de seguridad.
4

Acciones de la ONGEI 5 .

entre las cuales podemos resaltar las siguientes: ‡ ³Modificación de las normas y procedimientos técnicos sobre contenidos de las páginas web´. ‡ Directiva sobre "Normas para el uso del servicio de correo electrónico en las entidades de la administración pública´ 6 . ‡ ³Normas técnicas para el almacenamiento y respaldo de la información procesada por las entidades de la administración pública´.Acciones de la ONGEI ‡ El gobierno peruano ha emitido desde el año 2002 diferentes normas referidas a seguridad de la información.

7 . ± Consultorías y apoyo en recomendaciones técnicas.Apoyo en seguridad de la Información ‡ Actualmente la oficina Nacional de Gobierno Electrónico e Informática apoya a las entidades públicas en los siguientes principales servicios: ± Análisis de vulnerabilidades de los servidores Web de las Entidades Publicas. ± Presentaciones técnicas sobre seguridad. ± Boletines de Seguridad de la información ± Boletines de Alertas de Antivirus.

Análisis de Vulnerabilidades Servidores ONGEI Firewall Red Intena Estaciones de Trabajo Sistemas operativos Bases de Datos Aplicativos E-Mail Server Web Server 8 .

9 . ‡ El objetivo de dicha encuesta es obtener información del nivel de seguridad con la que cuentan actualmente las Entidades del Estado.Encuesta sobre Seguridad de la Información en las Entidades publicas ‡ Con RM-310-2004 la Oficina Nacional de Gobierno Electrónico e Informática emitió la primera encuesta nacional sobre seguridad de la información en las entidades publicas.

± El 82% no recibe capacitación en temas de seguridad. 10 .Algunos resultados de la Encuesta ‡ Dentro de los puntos más relevantes de la encuesta se ha podido observar que: ± El 63% no posee un responsable en temas de seguridad de la información. ± El 70% no tiene preparados procedimientos de respuesta a incidentes o anomalías que pudieran suceder. ± El 86% no cuenta con asesoramiento en temas de seguridad de la información. ± E 59% de instituciones no prepara a sus usuarios para reportar incidentes de seguridad.

Código de Buenas Prácticas para la Gestión de la Seguridad de la Información NTP-ISO/IEC 17799 2004 EDI 11 .

12 . Tecnología de la Información: Código de Buenas Prácticas para la Gestión de la Seguridad de la Información´ en entidades del Sistema Nacional de Informática estableciendo un plazo de 18 meses para su implementación.Emisión de la Norma Técnica Peruana sobre Seguridad de la Información ‡ Con fecha 23 de julio del 2004 la Presidencia del Consejo de Ministros a través de la Oficina Nacional de Gobierno Electrónico. dispone el uso obligatorio de la Norma Técnica Peruana ³NTP ± ISO/IEC 17799:2004 EDI.

se deja a estas dar una solución de seguridad de acuerdo a sus necesidades. 13 . la norma discute la necesidad de contar con cortafuegos. ‡ Así. ‡ Las recomendaciones de la norma técnica ISO 17799 son neutrales en cuanto a la tecnología.Marco de las recomendaciones ‡ La ISO 17799 es una compilación de recomendaciones para las prácticas exitosas de seguridad que toda organización puede aplicar independientemente de su tamaño o sector. pero no profundiza sobre los tipos de cortafuegos y cómo se utilizan. ‡ La norma técnica fue redactada para que fuera flexible y no induce a las organizaciones que la cumplan al pie de la letra.

se emite para ser considerada en la implementacion de los planes de seguridad de la informacion de las Entidades Públicas.‡ En este sentido La Norma Técnica Peruana ISO ± 17799. ‡ La Norma Técnica Peruana no exige la certificación. en cada una de las Entidades Publicas. 14 . pero si la consideración y evaluación de los principales dominios al momento de elaborar los planes de seguridad de la información.

que establezca la responsabilidad de los grupos en ciertas áreas de la seguridad y un proceso para el manejo de respuesta a incidentes. Organización de la seguridad: Sugiere diseñar una estructura de administración dentro la organización. a fin de suministrar administración con dirección y soporte. La política también se puede utilizar como base para el estudio y evaluación en curso. 2. Política de seguridad: Se necesita una política que refleje las expectativas de la organización en materia de seguridad.Las diez áreas de control de ISO 17799: 1. 15 .

Seguridad física y ambiental: Responde a la necesidad de proteger las áreas. Se debe implementar un plan para reportar los incidentes. el equipo y los controles generales. Seguridad del personal: Establece la necesidad de educar e informar a los empleados actuales y potenciales sobre lo que se espera de ellos en materia de seguridad y asuntos de confidencialidad. Control y clasificación de los recursos de información: Necesita un inventario de los recursos de información de la organización y con base en este conocimiento. También determina cómo incide el papel que desempeñan los empleados en materia de seguridad en el funcionamiento general de la compañía. debe asegurar que se brinde un nivel adecuado de protección. 5.3. 16 . 4.

Evitar la pérdida. Proteger la integridad del software y la información.6. 17 . Conservar la integridad y disponibilidad del procesamiento y la comunicación de la información. Evitar daños a los recursos de información e interrupciones en las actividades de la compañía. Minimizar el riesgo de falla de los sistemas. modificación o uso indebido de la información que intercambian las organizaciones. Garantizar la protección de la información en las redes y de la infraestructura de soporte. ± ± ± ± ± ± ± Manejo de las comunicaciones y las operaciones: Los objetivos de esta sección son: Asegurar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información.

Control de acceso: Establece la importancia de monitorear y controlar el acceso a la red y los recursos de aplicación como protección contra los abusos internos e intrusos externos. 8.7. se debe implementar y mantener la seguridad mediante el uso de controles de seguridad en todas las etapas del proceso. Desarrollo y mantenimiento de los sistemas: Recuerda que en toda labor de la tecnología de la información. 18 .

la Ley de Responsabilidad y Transferibilidad del Seguro Médico (HIPAA por su sigla en Inglés) y la Ley Gramm-LeachBilley (GLBA por su sigla en inglés). al cumplimiento y consideraciones técnicas que se deben hacer en relación con el proceso de auditoría del sistema a fin de garantizar que las 19 empresas obtengan el máximo beneficio.9. Esta sección también requiere una revisión a las políticas de seguridad. como la Directiva de la Unión Europea que concierne la Privacidad. Cumplimiento: Imparte instrucciones a las organizaciones para que verifiquen si el cumplimiento con la norma técnica ISO 17799 concuerda con otros requisitos jurídicos. . 10. Manejo de la continuidad de la empresa: Aconseja estar preparado para contrarrestar las interrupciones en las actividades de la empresa y para proteger los procesos importantes de la empresa en caso de una falla grave o desastre.

Menor Responsabilidad civil 20 . Mayor confianza en el cliente. Planeación y manejo de la seguridad más efectivos. Auditorías de seguridad más precisas y confiables. Alianzas comerciales y e-commerce más seguras.Beneficios de la norma técnica ISO 17799 ‡ Una organización que adopte la Norma Técnica Peruana ISO 17799 tiene mayores ventajas frente a los que no la adopten: ± ± ± ± ± ± Mayor seguridad en la organización.

Implementando Seguridad de la Información Enfoque General 21 .

la tecnología está fallando y la situación está empeorando. ‡ Este enfoque es incorrecto.‡ La seguridad en Internet ha sido siempre considerada como un problema de ingeniería. ‡ Lo que realmente necesitamos son mejores modelos de procesos. 22 . no mejor tecnología. y las organizaciones tratan de resolverlo utilizando tecnología.

23 . o reforzando las ya existentes. y la única forma de que la Dirección tome las medidas adecuadas es cambiando sus políticas de seguridad. ‡ Esto se puede conseguir introduciendo nuevas normativas.‡ La seguridad es un proceso de gestión de riesgo.

Integridad Confianza en la información del negocio y clientes.Confidencialidad Salvaguardar la información de clientes y del negocio. 24 . Disponibilidad Acceso a los recursos por clientes y empleados.

ALCANCE DE LA SEGURIDAD Personas  RH Dedicados  Entrenamiento  Seguridad²pensamiento y Seguridad² prioridad  Educación de empleados     Planeación de seguridad Prevención Detección Reacción Procesos Tecnología     Tecnología de punta Estandar. encripción. protección Funcionalides de producto Herramientas de Seguridad y productos 25 .

Enfoque integral de la seguridad ‡ La seguridad debe tenerse en cuenta en: ± Todas las etapas de un proyecto ‡ Diseño ‡ Desarrollo ‡ Implementación ± Todas las capas ‡ Red ‡ Servidores ‡ Aplicación ´La seguridad es tan buena como el eslabón más débilµ 26 .

ANALISIS DE RIESGOS 27 .

Análisis de Riesgos ‡ ¿Que proteger? ± Acceso a Información comprometida o confidencial ‡ Planes de negocio. webs. intranets. listados passwords. electrónica y hardware costoso. ± Acceso a Información valiosa ‡ Documentación. bbdd. históricos y archivos. ± Acceso a Inversiones e infraestructura ‡ Configuraciones. logs. información de clientes. nominas. Acceso a servidores. contratos. 28 . backups. desarrollos de I+D.

± Acceso físico a material restringido. 29 . bbdd. servidores de acceso.Análisis de Riesgos ‡ Peligros contra la confidencialidad. mala configuración o descuido. ± Suplantación de usuarios. ± Instalación de caballos de troya. ± Acceso a servicios confidenciales (correo. por error. ± Accesos no autorizados a información confidencial ± Accesos públicos a información confidencial. etc).

Análisis de Riesgos ‡ Peligros contra la integridad ± ± ± ± ± Modificación indebida de datos (fallo de permisos) Falta de integridad (borrado o modificación) de datos. Imposibilidad de identificar fuente de datos. Fallo en la integridad de bases de dato (corrupcion). Modificación en archivos de sistema (configuraciones. ± Virus. 30 . ± Acceso físico a material restringido. etc) ± Destrucción o corrupción de backups. logs.

etc). etc). (DoS. (DoS o mala config. Sabotaje. ± Caida de servicios externos. switches.Análisis de Riesgos ‡ Peligros contra la disponibilidad. socket. mala configuración o sabotaje) ± Destrucción de configuraciones o servicios.) ± Fallo de infraestructuras generales de red (routing. (DoS o Sabotaje) ± Acceso físico a infraestructura básica. disco. 31 . fallo. (DoS) ± Agotamiento de recursos (ancho de banda.

La Seguridad es un Proceso Continuo ALERTAR PROTEGER CONTROL PROACTIVO ADMINISTRAR RESPONDER 32 .

Costo Económico ‡ Solo importa cuando suceden los problemas de seguridad. 33 . ‡ Ajustar la ecuación del riesgo hasta que le interese e importe a la alta dirección. ‡ A partir de ese entendimiento se podrá gestionar la seguridad.

Aplicación de la NTP-ISO/IEC 17799 Publicar una política Establecer un marco de trabajo Identificar riesgos Implementar la política Plan de continuidad de negocio EDUCACIÓN 34 .

el análisis de riesgos (Brecha) Plan Implementación de los controles de seguridad Implementación Gradual y Priorizada 35 .Entregables de la NTP-ISO/IEC 17799 Política de Seguridad Instituciona l Análisis de riesgos NTP-ISO/IEC 17799 vs.

Estrategia Nacional de Seguridad de la Información 36 .

‡ Minimizar el daño y el tiempo de recuperación si ocurriese algún tipo de incidente negativo en la infraestructura de los sistemas de información y comunicaciones de los organismos públicos del Estado Peruano. 37 . ante posibles ataques cibernéticos o incidentes negativos que puedan producirse. ‡ Reducir las vulnerabilidades de los sistemas de información y comunicaciones de los organismos públicos del Estado Peruano.Objetivos ‡ Prevenir los incidentes negativos de seguridad de la información en la infraestructura de los sistemas de información y comunicaciones de los organismos públicos del Estado Peruano.

Programa de reducción de riesgos y vulnerabilidades.Líneas Estratégicas 1. PeCERT 2. 5. Creación de una unidad de respuesta a incidentes. Mejoramiento de la seguridad de la información en las instituciones públicas. 3. Establecimiento de cooperación internacional en seguridad de la información. 38 . 4. Capacitación y entrenamiento.

FRASE CELEBRE 39 .

pero te conozcas a ti mismo. Pero si a un tiempo ignoras todo del enemigo y de ti mismo."Conoce al enemigo y conócete a ti mismo y. El Arte de la Guerra 40 . Cuando no conozcas al enemigo. no correrás jamás el más mínimo peligro. es seguro que estás en peligro en cada batalla" Sun Tzu. las probabilidades de victoria o de derrota son iguales. en cien batallas.

MUCHAS GRACIAS 41 .

Sign up to vote on this title
UsefulNot useful