La administración electrónica consiste en la utilización de las TIC en las organizaciones para mejorar la información y los servicios ofrecidos a los ciudadanos, orientar la eficacia y la eficiencia de la gestión publica e incrementar sustantivamente la transparencia del sector público y la participación de los ciudadanos.
Esta presentación muestra las recomendaciones de seguridad de la información en el ámbito de la administración electrónica, de acuerdo al Modelo de Gestión Documental de la Red de Transparencia y Acceso a la Información.
esta presentación forma parte de una serie de charlas realizada en el Archivo General de la Nación de México.
1. Modelo de Gestión Documental
Seguridad de la Información
12/11/2015 Dirección General de Tecnologías de la Información / INAI 1
Hiriam Eduardo Pérez Vidal
2. 12/11/2015 Dirección General de Tecnologías de la Información / INAI 2
Contexto
8. Servicios
de Archivo
3. Administración
Electrónica
6. Control
de
Acceso
7. Control
Físico y
Conservación
1. Política
de
Gestión
2. Gobierno
Abierto y
Transparencia
5. Valoración
5. Control
intelectual y
de
representació
n
Modelo de
Gestión
Documental
4. Control
Intelectual y
Representación
G03/D01/G. INTEROPERABILIDAD
G03/D02/G. SEGURIDAD DE LA INFORMACIÓN
G03/D03/G. ADMINISTRACIÓN DE LOS
DOCUMENTOS ELECTRÓNICOS
La administración electrónica consiste en la utilización de las TIC en
las organizaciones para mejorar la información y los servicios
ofrecidos a los ciudadanos, orientar la eficacia y la eficiencia de la
gestión publica e incrementar sustantivamente la transparencia
del sector público y la participación de los ciudadanos.
Recomendaciones de seguridad de la información en el ámbito de la
administración electrónica
3. 12/11/2015 Dirección General de Tecnologías de la Información / INAI 3
1. Política de seguridad
Confidencialidad
Integridad
Disponibilidad Autenticidad
Conservación
Trazabilidad
Carácteristicas fundamentales
Política
Seguridad Alta dirección
• Definición, objetivos y alcance
• Compromiso directivo
• Marco de referencia, objetivos de control
y evaluación de riegos
• Principios, estándares y requerimientos
de seguridad
• Responsabilidades
Aprobación
4. 12/11/2015 Dirección General de Tecnologías de la Información / INAI 4
2. Organización
Compromiso del
equipo directivo
Recursos Planes de concientización
Coordinación Asignación de roles
Auditorías externas periódicas
Identificación
Tratamiento
de riesgos
5. 12/11/2015 Dirección General de Tecnologías de la Información / INAI 5
3. Responsabilidades de la seguridad
Roles y responsabilidades
TI es el custodio tecnológico no el responsable del contenido de la información durante su ciclo de vida
Áreas sustantivas -> dueñas del proceso y los datos
Personal activo Personal saliente
Cancelar cuentas y permisos
Devolver activos - > documentos de archivo
Capacitación procedimientos de seguridad
6. 12/11/2015 Dirección General de Tecnologías de la Información / INAI 6
4. Seguridad física y ambiental
Seguridad perimetral Ingreso físico Control de acceso seguro
Amenazas internas y externas Áreas de acceso
7. 12/11/2015 Dirección General de Tecnologías de la Información / INAI 7
5. Marco normativo
Requisitos legales
Propiedad intelectual
Datos Personales
Cumplimientos de estándares de seguridad
Auditoría de sistemas
Logs -> Quién, que, cuando
8. 12/11/2015 Dirección General de Tecnologías de la Información / INAI 8
6. Activos
Inventario de activos
Responsable
Uso - > niveles de acceso
9. 12/11/2015 Dirección General de Tecnologías de la Información / INAI 9
7. Seguridad de la Infraestructura
Outsourcing
Procedimientos y responsabilidades (site, administración, configuración)
Sistemas y servidores Mecanismos respaldos Monitoreo
Correo (spam, troyanos, phishing)
10. 12/11/2015 Dirección General de Tecnologías de la Información / INAI 10
8. Control de acceso a los sistemas
Seguridad de la información
Los datos almacenados en los sistemas, tanto en su naturaleza como en
contenido serán tratados de forma confidencial por el proveedor por lo que
no podrán ser utilizados para fines distintos del contrato aplicable. Los
datos no podrán ser transferidos a terceros para su tratamiento.
En cuanto al uso de claves de acceso (usuarios, contraseñas, certificado
FIEL en su caso):
• Será responsabilidad de sus propietarios el buen uso y resguardo de
las mismas, respetando las disposiciones normativas de reserva y
confidencialidad de la información.
• Las claves de acceso son personales e intransferibles.
• El único certificado electrónico válido, es el que pertenece al usuario a
registrar en el sistema y que sea emitido por el SAT, archivo con
terminación .cer.
• La DGTI desconoce las contraseñas de los usuarios del sistema, ya
que estas se almacenan de forma cifrada en la base de datos.
VPN – acceso seguro y cifrado
Certificados
11. 12/11/2015 Dirección General de Tecnologías de la Información / INAI 11
9. Seguridad de sistemas de información
• Requisitos de seguridad que afectan a los sistemas
• Correcto tratamiento de las aplicaciones -> datos
• Controles criptográficos -> https
• Seguridad en los sistemas de archivos (FileSystem)
• Seguridad procesos de desarrollo y soporte a los aplicativos
• Identificar vulnerabilidades
• Indexado de buscadores (ggogle, bing, otros)
https://www.owasp.org
12. 12/11/2015 Dirección General de Tecnologías de la Información / INAI 12
10. Registro de incidencias
• Eventos de seguridad. Que ocurrió
• Gestión de incidentes. Como se atendió
Conocimiento
13. 12/11/2015 Dirección General de Tecnologías de la Información / INAI 13
11. Continuidad del negocio
• Continuidad del negocio y evaluación del riesgo. Que pasa si se interrumpe el servicio
• Planes de continuidad. Que hacemos inmediatamente
• Marco referencial de los planes. Ejecutamos subplanes y en qué orden
• Pruebas, mantenimiento y reevaluación de los planes
Menor interrupción
Implica
Mas inversion
14. 12/11/2015 Dirección General de Tecnologías de la Información / INAI 14
Niveles de madurez
Inicial
• Política de seguridad de la
información
• Equipo organizacional de
seguridad
• Seguridad física y ambiental de
los activos
• Marco normativo
Intermedio
• Gestionar activos
• Seguridad de la infraestructura
• Control de acceso a sistemas
• Integridad
Avanzado
• Registro de incidencias
• Plan de la continuidad
15. 12/11/2015 Dirección General de Tecnologías de la Información / INAI 15
Ejemplos
Desarrollo
Análisis
Diseño
Construcción
Pruebas unitarias
Calidad
Funcional
Integración
Regresión
Liberación y
Entrega
Transición y
habilitación de la operación
PQA
Calidad Código
SW Productivo
Administración de Proyectos
Administración de la Configuración
Servicios de
soporte
Administración de Cambios
Análisis
de vulnerabilidades
Seguridad
Ciclo de vida del SW
La política de seguridad debe garantizar las siguientes características fundamentales de la información:
Confidencialidad. Seguridad de prevención frente a la disposición, la comunicación y la divulgación de información a terceros no autorizados 7
Integridad. Seguridad de prevención ante la transformación o la modificación no autorizada durante su tratamiento o el almacenamiento de la información, con la exigencia de una rápida observación de alteraciones
Disponibilidad. Seguridad de facilitar el acceso a la información por parte de quien esté autorizado y seguridad de prevención contra denegaciones a accesos autorizados
Autenticidad. Seguridad frente a la identidad del productor o emisor de la información
Conservación. Seguridad frente al deterioro de la información, mediante medidas
preventivas y de preservación durante todo el ciclo de vida de los documentos
Trazabilidad. Seguridad frente al conocimiento de operaciones, consultas o
modificaciones de la información.
Los contenidos del documento de política de seguridad pueden ser:
Definición, objetivos y alcanceCompromiso directivoMarco referencial, con objetivos de control y evaluación del riesgo Principios, estándares y requerimientos de la seguridadDefinición de responsabilidades
Criterios:
Equivalencia de los documentos electrónicos con los documentos en papel.Validez de los documentos electrónicos, en igual medida que el papel.Conservación y gestión de los datos, con garantía de su integridad, su autenticidad, su
mantenimiento y su conservación sin alteraciones indebidas. Con la posibilidad de cambiar su formato y su soporte.
Características:
Autenticidad. Un documento será auténtico si se puede comprobar que es lo que afirma ser, que ha sido creado por la persona que se afirma y que ha sido creado cuando se afirma.
Fiabilidad. Un documento será fiable cuando su contenido se considera una representación completa de las actividades y las operaciones de los que da testimonio y se pueda recurrir a él con posterioridad.
Integridad. Un documento será íntegro cuando sea completo e inalterado.Disponibilidad. Un documento será disponible cuando sea factible su localización, su recuperación, su presentación y su interpretación.