How to use Redis with MuleSoft. A quick start presentation.
Modelo de Política
1. Política de Seguridad de la Información
para el Sector Público
Decisión Administrativa 669/2004
Marzo de 2005
2. Contenido
Seguridad de la Información
Decisión Administrativa
Iniciativa en la APN
Contenido
Comité de Seguridad
Responsable de Seguridad
Modelo de Política
Por qué utilizar un estándar internacional?
Por qué basarse en la norma ISO/IRAM 17799
Estructura
Implicancias legales
Presentación SIGEN
Conclusión
Próximos pasos
4. Seguridad de la Información
INFORMACION = ACTIVO
Ingeniería Social
Confidencialidad Man-in-the-middle
Integridad Phishing
Disponibilidad Defacement
Spoofing
más Backdoors
Escaneo de puertos
Autenticidad Catástrofe
Auditabilidad Trashing
Protección a la duplicación Código malicioso
No repudio Robo
Legalidad Fraude informático
Confiabilidad de la Eavesdropping
información Exploits
6. Decisión Administrativa – Iniciativa en la APN
Septiembre 2003
La ONTI convoca a distintos Organismos de la Administración
Pública para conocer sus opiniones sobre estrategias de seguridad.
Surge la necesidad de que los Organismos cuenten con una Política
de Seguridad escrita.
Se conforma un grupo de trabajo para la redacción de un Modelo
de Política de Seguridad.
Se acuerda basarse en la norma ISO/IRAM 17799
7. Decisión Administrativa – Iniciativa en la APN
Se redacta el Modelo y se somete a la consideración de los
Organismos Nacionales.
Se publica la página de Políticas de ArCERT
www.arcert.gov.ar/politica
Diciembre 2004
La Jefatura de Gabinete de Ministros aprueba la DA 669/2004.
Se comienza la difusión de la norma y el Modelo
8. Decisión Administrativa - Contenido
¿ Qué ?
• Dictar o adecuar la Política de Seguridad de la
Información.
• Conformar un Comité de Seguridad de la Información.
• Asignar las responsabilidades en materia de Seguridad
de la Información.
9. Decisión Administrativa - Contenido
¿ Quiénes ? Ley 24.156- Art. 8° - Inc. a) y c)
• Administración Nacional.
•La Administración Central.
•Los Organismos Descentralizados (incluidos los de la
Seguridad Social).
• Entes Públicos excluidos del punto anterior
•Cualquier Organización estatal no empresarial con
autarquía financiera, personería jurídica y
patrimonio propio, donde el Estado Nacional tenga
el control mayoritario del patrimonio o de la
formación de decisiones.
10. Decisión Administrativa - Contenido
¿ Cuándo ?
Dentro de los 180 días hábiles de aprobado el Modelo
de Política.
11. Decisión Administrativa - Contenido
¿ Cómo ?
En base al Modelo de Política de Seguridad a ser
aprobada por la Subsecretaría de la Gestión Pública
12. Decisión Administrativa – Comité de Seguridad
Las máximas autoridades de los Organismos
deberán conformar, en sus ámbitos, un
Comité de Seguridad de la Información
integrado por representantes de las
Direcciones Nacionales o Generales o
equivalentes del Organismo.
13. Decisión Administrativa – Comité de Seguridad
Objetivos Políticos
• Aprobar las principales iniciativas para
incrementar la seguridad de la
información.
• Proponer las responsabilidades
generales en materia de seguridad de la
información
• Garantizar que la seguridad sea parte
del proceso de planificación de la
información.
• Promover la difusión y apoyo a la
seguridad de la información dentro del
Organismo.
14. Decisión Administrativa – Comité de Seguridad
Objetivos Prácticos
• Revisar y proponer la Política de
Seguridad de la Información.
• Acordar y aprobar metodologías y
procesos específicos.
• Evaluar y coordinar la implementación
de controles específicos.
• Coordinar el proceso de administración
de la continuidad de la operatoria del
Organismo.
• Monitorear cambios significativos en los
riesgos.
• Tomar conocimiento y supervisar la
investigación y monitoreo de los
incidentes relativos a la seguridad
15. Decisión Administrativa – Comité de Seguridad
Coordinador del Comité de Seguridad
El Comité de Seguridad de la Información,
será coordinado por el Subsecretario o su
equivalente en cada área Ministerial o
Secretaría de la Presidencia de la Nación o
por el funcionario designado por las
máximas autoridades de cada organismo
descentralizado, que tenga a su cargo las
áreas de apoyo.
16. Decisión Administrativa – Comité de Seguridad
Responsabilidades sobre la Seguridad
Las máximas autoridades de los Organismos
deberán asignar las funciones relativas a la
seguridad de sus sistemas de información a
un funcionario de su planta dentro del plazo
de CIENTO OCHENTA (180) días hábiles de
aprobada la Política de Seguridad Modelo.
18. Modelo de Política – ¿ Por qué utilizar un estándar
internacional ?
A la hora de desarrollar una política o norma a ser implementada
Mes 1 estandarizar los procesos y controles, es recomendable:
para
• Indagar sobre los diferentes estándares que ofrece el mercado.
• Evaluar la entidad u organización emisora de los estándares en
cuanto a su trayectoria, reconocimiento en el dictado de
estándares, etc.
• Investigar sobre las implementaciones efectuadas del estándar y
sus resultados.
• Analizar el contenido de los estándares con una visión técnica.
• Determinar la aplicabilidad de los estándares al modelo de
realidad propio.
• Seleccionar el estándar que mejor cumple con las expectativas.
• Alinearse al estándar seleccionado.
19. Modelo de Política – ¿ Por qué basarse en la norma
ISO/IRAM 17799 ?
Aumento de los niveles de seguridad en las Organizaciones
Planificación de actividades
Mejora continua
Posicionamiento estratégico
Cumplimiento de normativas y reglamentaciones
Posicionamiento en un esquema comparativo en materia de
seguridad con otras organizaciones
Es por ello que el Modelo de Política de Seguridad de la
Información se basa en la norma ISO/IRAM 17799.
Esto NO implica que se requiera la certificación por parte
de los Organismos en dicha norma.
20. Modelo de Política - Estructura
3 Capítulos de Introducción
• Introducción
• Términos y definiciones
• Política de Seguridad de la información
9 Capítulos de Contenido de las distintas áreas
• Organización de la Seguridad
• Clasificación y Control de Activos
• Seguridad del Personal
• Seguridad Física y Ambiental
• Gestión de Comunicaciones y Operaciones
• Control de Accesos
• Desarrollo y Mantenimiento de Sistemas
• Administración de la Continuidad de las Actividades del Organismo
• Cumplimiento
21. Implicancias legales
Cumplimiento de requisitos legales, normativos y contractuales
Derechos de Propiedad Intelectual (Ley 11.723)
Protección de los registros del Organismo
Ética en el Ejercicio de la Función Pública. Ley 25.188
Código de Ética de la Función Pública
Código Penal Art. 255
Ley N° 24.624. Artículo 30
Decisión Administrativa 43/96
Protección de datos personales (Ley 25.326) – Habeas Data
Uso de recursos
Ley Marco de Regulación de Empleo Público Nacional (Ley 25.164)
Convenio Colectivo de Trabajo General
Ética en el Ejercicio de la Función Pública (Ley 25.188)
Código de Ética de la Función Pública
Uso de Firma Digital (Ley 25.506)
23. Conclusión
¿Qué implica la aprobación de la Decisión Administrativa?
El desarrollo de una Política de Seguridad en
cada Organismo.
La asignación de responsabilidades en
materia de seguridad dentro del Organismo.
La concientización respecto de la criticidad
de la seguridad de la información.
La participación de todas las áreas
sustantivas del organismo.
El aumento del nivel de seguridad en los
Organismos.
El cumplimiento de normas y leyes vigentes.
24. Conclusión
¿Qué no implica la aprobación de la Decisión Administrativa?
La generación de erogaciones adicionales
La necesidad de incorporar personal
adicional
El requisito de certificar la norma
ISO/IRAM 17799
26. Próximos pasos
Aprobación del Modelo de Política
Se prevé la aprobación del Modelo de Política de Seguridad
de la Información para la Administración Pública
aproximadamente para el mes de Abril del corriente.
A partir de dicha fecha de aprobación, comenzarán a
registrarse los 180 días hábiles de plazo establecidos en la
Decisión Administrativa para la redacción/adecuación de la
Política de Seguridad de cada Organismo.
27. Próximos pasos
Cursos de Capacitación y Asistencia
Se ha planificado el dictado de cursos de capacitación en el
desarrollo de una Política de Seguridad de la Información para
el apoyo a los Organismos en el cumplimiento de la Decisión
Administrativa.
28. Próximos pasos
Publicación de Documentación adicional
Se prevé publicar en el sitio de políticas, documentación
adicional al Modelo, como ser modelos de procedimientos, los
cuales podrán ser utilizados por los Organismos.
Asimismo se buscará crear un espacio colaborativo en el cual
cada Organismo pueda aportar documentación desarrollada
para fines propios, de manera que otros puedan también
aprovecharlo.
30. SITUACIÓN DE LA GESTIÓN Y ORGANIZACIÓN INFORMÁTICA EN EL SPN
El 29% de los Organismos no ha asignado las funciones
de desarrollo y procesamiento a responsables
independientes
Riesgos
• Ausencia de control por
oposición de intereses
• Posiblidad de eludir los
controles y validaciones
incorporados en los sistemas
31. SITUACIÓN DE LA GESTIÓN Y ORGANIZACIÓN INFORMÁTICA EN EL SPN
El 69% de los Organismos carece de procedimientos de
control para el desarrollo y mantenimiento de
sistemas
Riesgos
• Modificaciones no autorizadas
sobre los Sistemas
• Incorrecta administración de
prioridades
• Falta de aplicación de estándares
de programación y documentación
• Implementación de Sistemas no
probados
32. SITUACIÓN DE LA GESTIÓN Y ORGANIZACIÓN INFORMÁTICA EN EL SPN
El 69% de los Organismos carece de procedimientos
aprobados para las tareas de administración de
seguridad.
Riesgos
• Accesos no autorizados a la
información o los recursos del
Organismo
• Inexactitud o falta de confiabilidad
de los datos o Sistemas
• Falta de disponibilidad de la
información o recursos necesarios
33. SITUACIÓN DE LA GESTIÓN Y ORGANIZACIÓN INFORMÁTICA EN EL SPN
El 74% de los Organismos carece de un plan para
afrontar Contingencias.
Riesgos
• Interrupciones a la
continuidad operativa del
Organismo, con la
consiguiente imagen negativa
e incumplimiento de la
misión asignada
34. SITUACIÓN DE LA GESTIÓN Y ORGANIZACIÓN INFORMÁTICA EN EL SPN
El 59% de los Organismos carece de procedimientos
documentados para la generación de back ups.
Riesgos
•Pérdidas de información
•Falta de continuidad
operativa del Organismo
•Dependencia del
personal que se encarga
de la tarea
36. Preguntas más frecuentes
¿Cada Organismo debe aprobar una única Política de Seguridad,
que abarque a todas sus dependencias?
Cada Organismo puede:
• Dictar una única Política de Seguridad de la Información que sea de
cumplimiento obligatorio por todas las dependencias bajo su incumbencia o
• Dictar una política de alto nivel, que contenga lineamientos generales para
todo el Organismo (administración central y sus dependencias), sobre cuya
base luego cada división dicte sus propias Políticas de Seguridad de la
Información independientes (siempre alineadas a la política global del
Organismo), o
• Dictar una Política de Seguridad de la Información para el Organismo y para
algunas de sus dependencias, y requerir al resto de ellas que redacten sus
propias políticas (alineadas a la política global del Organismo)
En todos los casos, las Políticas de Seguridad de la Información que se
desarrollen deben adecuarse al Modelo que oportunamente se apruebe.
37. Preguntas más frecuentes
¿Cada Organismo debe aprobar una única Política de Seguridad,
que abarque a todas sus dependencias?
Administración
Administración Administración
Administración Administración
Administración
Central
Central Central
Central Central
Central
Sec. A
Sec. A Sec. A
Sec. A Sec. A
Sec. A
Sec. B
Sec. B Sec. B
Sec. B Sec. B
Sec. B
Sec. C
Sec. C Sec. C
Sec. C Sec. C
Sec. C
La elección de cualquiera de estas alternativas debe ser evaluada por cada
Organismo, siempre cuidando que se cubra la totalidad de sus
recursos de información
38. Preguntas más frecuentes
¿Si un Organismo decide que cada dependencia redacte su propia
Política, cómo se conforma el Comité de Seguridad?
El Comité de Seguridad está conformado por la máxima autoridad del
Organismo, y representantes de cada Dirección.
Desde un punto de vista práctico, los objetivos del Comité de Seguridad
tienen una relación muy directa con los contenidos y las áreas involucradas
en la redacción de la Política
39. Preguntas más frecuentes
¿Las responsabilidades de seguridad de la información recaen en
el Responsable de Seguridad Informática?
En el Modelo de Política intervienen una serie de “actores” cada uno de los
cuales posee una serie de funciones y responsabilidades que deben
explicitarse y asignarse de acuerdo a lo que plantea el Modelo y adaptándolo
a la realidad de cada Organismo. Estos son:
Máxima autoridad
Máxima autoridad Propietario de la
Propietario de la Responsable del
Responsable del
del Organismo
del Organismo Información
Información Área Legal
Área Legal
Responsable de
Responsable de Responsable del
Responsable del
Comité de Seguridad
Comité de Seguridad Unidad Organizativa
Unidad Organizativa Área de RRHH
Área de RRHH
Coordinador del
Coordinador del Responsable del
Responsable del Responsable del
Responsable del
Comité de Seguridad
Comité de Seguridad Área Informática
Área Informática Área de Administración
Área de Administración
Responsable de
Responsable de Unidad de Auditoría
Unidad de Auditoría Todo el personal
Todo el personal
Seguridad Informática
Seguridad Informática Interna
Interna del Organismo
del Organismo