SlideShare una empresa de Scribd logo

Modelo de Política

Descargar como PPT, PDF
Conferencias FIST
Conferencias FIST
Tecnología
1 de 40
Política de Seguridad de la Información para el Sector Público Decisión Administrativa 669/2004 Marzo de 2005
Contenido Seguridad de la Información Decisión Administrativa Iniciativa en la APN Contenido Comité de Seguridad Responsable de Seguridad Modelo de Política Por qué utilizar un estándar internacional? Por qué basarse en la norma ISO/IRAM 17799 Estructura Implicancias legales Presentación SIGEN Conclusión Próximos pasos
Seguridad de la Información
Seguridad de la Información INFORMACION = ACTIVO Ingeniería Social Confidencialidad Man-in-the-middle Integridad Phishing Disponibilidad Defacement Spoofing más Backdoors Escaneo de puertos Autenticidad Catástrofe Auditabilidad Trashing Protección a la duplicación Código malicioso No repudio Robo Legalidad Fraude informático Confiabilidad de la Eavesdropping información Exploits
Decisión Administrativa
Decisión Administrativa – Iniciativa en la APN Septiembre 2003 La ONTI convoca a distintos Organismos de la Administración Pública para conocer sus opiniones sobre estrategias de seguridad. Surge la necesidad de que los Organismos cuenten con una Política de Seguridad escrita. Se conforma un grupo de trabajo para la redacción de un Modelo de Política de Seguridad. Se acuerda basarse en la norma ISO/IRAM 17799
Decisión Administrativa – Iniciativa en la APN Se redacta el Modelo y se somete a la consideración de los Organismos Nacionales. Se publica la página de Políticas de ArCERT www.arcert.gov.ar/politica Diciembre 2004 La Jefatura de Gabinete de Ministros aprueba la DA 669/2004. Se comienza la difusión de la norma y el Modelo
Decisión Administrativa - Contenido ¿ Qué ? • Dictar o adecuar la Política de Seguridad de la Información. • Conformar un Comité de Seguridad de la Información. • Asignar las responsabilidades en materia de Seguridad de la Información.
Decisión Administrativa - Contenido ¿ Quiénes ? Ley 24.156- Art. 8° - Inc. a) y c) • Administración Nacional. •La Administración Central. •Los Organismos Descentralizados (incluidos los de la Seguridad Social). • Entes Públicos excluidos del punto anterior •Cualquier Organización estatal no empresarial con autarquía financiera, personería jurídica y patrimonio propio, donde el Estado Nacional tenga el control mayoritario del patrimonio o de la formación de decisiones.
Decisión Administrativa - Contenido ¿ Cuándo ? Dentro de los 180 días hábiles de aprobado el Modelo de Política.
Decisión Administrativa - Contenido ¿ Cómo ? En base al Modelo de Política de Seguridad a ser aprobada por la Subsecretaría de la Gestión Pública
Decisión Administrativa – Comité de Seguridad Las máximas autoridades de los Organismos deberán conformar, en sus ámbitos, un Comité de Seguridad de la Información integrado por representantes de las Direcciones Nacionales o Generales o equivalentes del Organismo.
Decisión Administrativa – Comité de Seguridad Objetivos Políticos • Aprobar las principales iniciativas para incrementar la seguridad de la información. • Proponer las responsabilidades generales en materia de seguridad de la información • Garantizar que la seguridad sea parte del proceso de planificación de la información. • Promover la difusión y apoyo a la seguridad de la información dentro del Organismo.
Decisión Administrativa – Comité de Seguridad Objetivos Prácticos • Revisar y proponer la Política de Seguridad de la Información. • Acordar y aprobar metodologías y procesos específicos. • Evaluar y coordinar la implementación de controles específicos. • Coordinar el proceso de administración de la continuidad de la operatoria del Organismo. • Monitorear cambios significativos en los riesgos. • Tomar conocimiento y supervisar la investigación y monitoreo de los incidentes relativos a la seguridad
Decisión Administrativa – Comité de Seguridad Coordinador del Comité de Seguridad El Comité de Seguridad de la Información, será coordinado por el Subsecretario o su equivalente en cada área Ministerial o Secretaría de la Presidencia de la Nación o por el funcionario designado por las máximas autoridades de cada organismo descentralizado, que tenga a su cargo las áreas de apoyo.
Decisión Administrativa – Comité de Seguridad Responsabilidades sobre la Seguridad Las máximas autoridades de los Organismos deberán asignar las funciones relativas a la seguridad de sus sistemas de información a un funcionario de su planta dentro del plazo de CIENTO OCHENTA (180) días hábiles de aprobada la Política de Seguridad Modelo.
El Modelo de Política
Modelo de Política – ¿ Por qué utilizar un estándar internacional ? A la hora de desarrollar una política o norma a ser implementada Mes 1 estandarizar los procesos y controles, es recomendable: para • Indagar sobre los diferentes estándares que ofrece el mercado. • Evaluar la entidad u organización emisora de los estándares en cuanto a su trayectoria, reconocimiento en el dictado de estándares, etc. • Investigar sobre las implementaciones efectuadas del estándar y sus resultados. • Analizar el contenido de los estándares con una visión técnica. • Determinar la aplicabilidad de los estándares al modelo de realidad propio. • Seleccionar el estándar que mejor cumple con las expectativas. • Alinearse al estándar seleccionado.
Modelo de Política – ¿ Por qué basarse en la norma ISO/IRAM 17799 ? Aumento de los niveles de seguridad en las Organizaciones Planificación de actividades Mejora continua Posicionamiento estratégico Cumplimiento de normativas y reglamentaciones Posicionamiento en un esquema comparativo en materia de seguridad con otras organizaciones Es por ello que el Modelo de Política de Seguridad de la Información se basa en la norma ISO/IRAM 17799. Esto NO implica que se requiera la certificación por parte de los Organismos en dicha norma.
Modelo de Política - Estructura 3 Capítulos de Introducción • Introducción • Términos y definiciones • Política de Seguridad de la información 9 Capítulos de Contenido de las distintas áreas • Organización de la Seguridad • Clasificación y Control de Activos • Seguridad del Personal • Seguridad Física y Ambiental • Gestión de Comunicaciones y Operaciones • Control de Accesos • Desarrollo y Mantenimiento de Sistemas • Administración de la Continuidad de las Actividades del Organismo • Cumplimiento
Implicancias legales Cumplimiento de requisitos legales, normativos y contractuales Derechos de Propiedad Intelectual (Ley 11.723) Protección de los registros del Organismo Ética en el Ejercicio de la Función Pública. Ley 25.188 Código de Ética de la Función Pública Código Penal Art. 255 Ley N° 24.624. Artículo 30 Decisión Administrativa 43/96 Protección de datos personales (Ley 25.326) – Habeas Data Uso de recursos Ley Marco de Regulación de Empleo Público Nacional (Ley 25.164) Convenio Colectivo de Trabajo General Ética en el Ejercicio de la Función Pública (Ley 25.188) Código de Ética de la Función Pública Uso de Firma Digital (Ley 25.506)
Conclusión
Conclusión ¿Qué implica la aprobación de la Decisión Administrativa?  El desarrollo de una Política de Seguridad en cada Organismo.  La asignación de responsabilidades en materia de seguridad dentro del Organismo.  La concientización respecto de la criticidad de la seguridad de la información.  La participación de todas las áreas sustantivas del organismo.  El aumento del nivel de seguridad en los Organismos.  El cumplimiento de normas y leyes vigentes.
Conclusión ¿Qué no implica la aprobación de la Decisión Administrativa?  La generación de erogaciones adicionales  La necesidad de incorporar personal adicional  El requisito de certificar la norma ISO/IRAM 17799
Próximos pasos
Próximos pasos Aprobación del Modelo de Política Se prevé la aprobación del Modelo de Política de Seguridad de la Información para la Administración Pública aproximadamente para el mes de Abril del corriente. A partir de dicha fecha de aprobación, comenzarán a registrarse los 180 días hábiles de plazo establecidos en la Decisión Administrativa para la redacción/adecuación de la Política de Seguridad de cada Organismo.
Próximos pasos Cursos de Capacitación y Asistencia Se ha planificado el dictado de cursos de capacitación en el desarrollo de una Política de Seguridad de la Información para el apoyo a los Organismos en el cumplimiento de la Decisión Administrativa.
Próximos pasos Publicación de Documentación adicional Se prevé publicar en el sitio de políticas, documentación adicional al Modelo, como ser modelos de procedimientos, los cuales podrán ser utilizados por los Organismos. Asimismo se buscará crear un espacio colaborativo en el cual cada Organismo pueda aportar documentación desarrollada para fines propios, de manera que otros puedan también aprovecharlo.
Presentación SIGEN
SITUACIÓN DE LA GESTIÓN Y ORGANIZACIÓN INFORMÁTICA EN EL SPN El 29% de los Organismos no ha asignado las funciones de desarrollo y procesamiento a responsables independientes Riesgos • Ausencia de control por oposición de intereses • Posiblidad de eludir los controles y validaciones incorporados en los sistemas
SITUACIÓN DE LA GESTIÓN Y ORGANIZACIÓN INFORMÁTICA EN EL SPN El 69% de los Organismos carece de procedimientos de control para el desarrollo y mantenimiento de sistemas Riesgos • Modificaciones no autorizadas sobre los Sistemas • Incorrecta administración de prioridades • Falta de aplicación de estándares de programación y documentación • Implementación de Sistemas no probados
SITUACIÓN DE LA GESTIÓN Y ORGANIZACIÓN INFORMÁTICA EN EL SPN El 69% de los Organismos carece de procedimientos aprobados para las tareas de administración de seguridad. Riesgos • Accesos no autorizados a la información o los recursos del Organismo • Inexactitud o falta de confiabilidad de los datos o Sistemas • Falta de disponibilidad de la información o recursos necesarios
SITUACIÓN DE LA GESTIÓN Y ORGANIZACIÓN INFORMÁTICA EN EL SPN El 74% de los Organismos carece de un plan para afrontar Contingencias. Riesgos • Interrupciones a la continuidad operativa del Organismo, con la consiguiente imagen negativa e incumplimiento de la misión asignada
SITUACIÓN DE LA GESTIÓN Y ORGANIZACIÓN INFORMÁTICA EN EL SPN El 59% de los Organismos carece de procedimientos documentados para la generación de back ups. Riesgos •Pérdidas de información •Falta de continuidad operativa del Organismo •Dependencia del personal que se encarga de la tarea
Preguntas más frecuentes
Preguntas más frecuentes ¿Cada Organismo debe aprobar una única Política de Seguridad, que abarque a todas sus dependencias? Cada Organismo puede: • Dictar una única Política de Seguridad de la Información que sea de cumplimiento obligatorio por todas las dependencias bajo su incumbencia o • Dictar una política de alto nivel, que contenga lineamientos generales para todo el Organismo (administración central y sus dependencias), sobre cuya base luego cada división dicte sus propias Políticas de Seguridad de la Información independientes (siempre alineadas a la política global del Organismo), o • Dictar una Política de Seguridad de la Información para el Organismo y para algunas de sus dependencias, y requerir al resto de ellas que redacten sus propias políticas (alineadas a la política global del Organismo) En todos los casos, las Políticas de Seguridad de la Información que se desarrollen deben adecuarse al Modelo que oportunamente se apruebe.
Preguntas más frecuentes ¿Cada Organismo debe aprobar una única Política de Seguridad, que abarque a todas sus dependencias? Administración Administración Administración Administración Administración Administración Central Central Central Central Central Central Sec. A Sec. A Sec. A Sec. A Sec. A Sec. A Sec. B Sec. B Sec. B Sec. B Sec. B Sec. B Sec. C Sec. C Sec. C Sec. C Sec. C Sec. C La elección de cualquiera de estas alternativas debe ser evaluada por cada Organismo, siempre cuidando que se cubra la totalidad de sus recursos de información
Preguntas más frecuentes ¿Si un Organismo decide que cada dependencia redacte su propia Política, cómo se conforma el Comité de Seguridad? El Comité de Seguridad está conformado por la máxima autoridad del Organismo, y representantes de cada Dirección. Desde un punto de vista práctico, los objetivos del Comité de Seguridad tienen una relación muy directa con los contenidos y las áreas involucradas en la redacción de la Política
Preguntas más frecuentes ¿Las responsabilidades de seguridad de la información recaen en el Responsable de Seguridad Informática? En el Modelo de Política intervienen una serie de “actores” cada uno de los cuales posee una serie de funciones y responsabilidades que deben explicitarse y asignarse de acuerdo a lo que plantea el Modelo y adaptándolo a la realidad de cada Organismo. Estos son: Máxima autoridad Máxima autoridad Propietario de la Propietario de la Responsable del Responsable del del Organismo del Organismo Información Información Área Legal Área Legal Responsable de Responsable de Responsable del Responsable del Comité de Seguridad Comité de Seguridad Unidad Organizativa Unidad Organizativa Área de RRHH Área de RRHH Coordinador del Coordinador del Responsable del Responsable del Responsable del Responsable del Comité de Seguridad Comité de Seguridad Área Informática Área Informática Área de Administración Área de Administración Responsable de Responsable de Unidad de Auditoría Unidad de Auditoría Todo el personal Todo el personal Seguridad Informática Seguridad Informática Interna Interna del Organismo del Organismo
¡¡¡ MUCHAS GRACIAS !!! Sugerencias y Preguntas

Recomendados

Iram iso17799 controles
Iram iso17799 controlesIram iso17799 controles
Iram iso17799 controlesMarcosPassarello2
 
Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Jorge Pariasca
 
Gestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativoGestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativoModernizacion y Gobierno Digital - Gobierno de Chile
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónHoracio Veramendi
 
Modulo I parte 7. La Responsabilidad Proactiva.
Modulo I parte 7. La Responsabilidad Proactiva.Modulo I parte 7. La Responsabilidad Proactiva.
Modulo I parte 7. La Responsabilidad Proactiva.ANTONIO GARCÍA HERRÁIZ
 
Presentacion da 669-04
Presentacion da 669-04Presentacion da 669-04
Presentacion da 669-04mayuteamo
 
Trabajo iso-17799
Trabajo iso-17799Trabajo iso-17799
Trabajo iso-17799Kevin Quiroz Flores
 
Gestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónGestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónROBERTH CHAVEZ
 

Recomendados

Iram iso17799 controles
Iram iso17799 controlesIram iso17799 controles
Iram iso17799 controlesMarcosPassarello2
 
Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Jorge Pariasca
 
Gestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativoGestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativoModernizacion y Gobierno Digital - Gobierno de Chile
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónHoracio Veramendi
 
Modulo I parte 7. La Responsabilidad Proactiva.
Modulo I parte 7. La Responsabilidad Proactiva.Modulo I parte 7. La Responsabilidad Proactiva.
Modulo I parte 7. La Responsabilidad Proactiva.ANTONIO GARCÍA HERRÁIZ
 
Presentacion da 669-04
Presentacion da 669-04Presentacion da 669-04
Presentacion da 669-04mayuteamo
 
Trabajo iso-17799
Trabajo iso-17799Trabajo iso-17799
Trabajo iso-17799Kevin Quiroz Flores
 
Gestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónGestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónROBERTH CHAVEZ
 
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...Manuel Mujica
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion jralbornoz
 
Iso 17799 (2)
Iso 17799 (2)Iso 17799 (2)
Iso 17799 (2)Yadi De La Cruz
 
Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Jonathan López Torres
 
Normas de Seguridad de la Información
Normas de Seguridad de la InformaciónNormas de Seguridad de la Información
Normas de Seguridad de la InformaciónJherdy Sotelo Marticorena
 
Guia de ti7
Guia de ti7Guia de ti7
Guia de ti7Mahonri Dimas
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la informaciónDavid Narváez
 
Unidad ii sesion 01 (politicas de seguridad)
Unidad ii sesion 01 (politicas de seguridad)Unidad ii sesion 01 (politicas de seguridad)
Unidad ii sesion 01 (politicas de seguridad)Jesus Vilchez
 
Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799Cuidando mi Automovil
 
Introduccion iso 17799
Introduccion iso 17799Introduccion iso 17799
Introduccion iso 17799Isaias Rubina Miranda
 
Norma nist
Norma nistNorma nist
Norma nistcristina
 
Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799Freddy Fernando Cajamarca Sarmiento
 
Nist
NistNist
NistYessica B. Leyva Avalos
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la informaciónAl Cougar
 
Políticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasPolíticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasCamilo Quintana
 
Politicas de seguridad
Politicas de seguridadPoliticas de seguridad
Politicas de seguridadLilian Ramirez
 
Proyecto para la definición de un sistema de gestión de la seguridad de la in...
Proyecto para la definición de un sistema de gestión de la seguridad de la in...Proyecto para la definición de un sistema de gestión de la seguridad de la in...
Proyecto para la definición de un sistema de gestión de la seguridad de la in...Cein
 
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...Cein
 
Estándares de seguridad informática
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informáticaManuel Mujica
 
Intituto tecnologico superior particular
Intituto tecnologico superior particularIntituto tecnologico superior particular
Intituto tecnologico superior particularxavier cruz
 
Structural Equation Modelling
Structural Equation ModellingStructural Equation Modelling
Structural Equation ModellingHoracio González Duhart
 
Structural equation-modeling-sem 20121
Structural equation-modeling-sem 20121Structural equation-modeling-sem 20121
Structural equation-modeling-sem 20121permadina
 

Más contenido relacionado

La actualidad más candente

SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...Manuel Mujica
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion jralbornoz
 
Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Jonathan López Torres
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la informaciónDavid Narváez
 
Unidad ii sesion 01 (politicas de seguridad)
Unidad ii sesion 01 (politicas de seguridad)Unidad ii sesion 01 (politicas de seguridad)
Unidad ii sesion 01 (politicas de seguridad)Jesus Vilchez
 
Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799Cuidando mi Automovil
 
Norma nist
Norma nistNorma nist
Norma nistcristina
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la informaciónAl Cougar
 
Políticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasPolíticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasCamilo Quintana
 
Politicas de seguridad
Politicas de seguridadPoliticas de seguridad
Politicas de seguridadLilian Ramirez
 
Proyecto para la definición de un sistema de gestión de la seguridad de la in...
Proyecto para la definición de un sistema de gestión de la seguridad de la in...Proyecto para la definición de un sistema de gestión de la seguridad de la in...
Proyecto para la definición de un sistema de gestión de la seguridad de la in...Cein
 
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...Cein
 
Estándares de seguridad informática
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informáticaManuel Mujica
 
Intituto tecnologico superior particular
Intituto tecnologico superior particularIntituto tecnologico superior particular
Intituto tecnologico superior particularxavier cruz
 

La actualidad más candente (20)

SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion
 
Iso 17799 (2)
Iso 17799 (2)Iso 17799 (2)
Iso 17799 (2)
 
Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información
 
Normas de Seguridad de la Información
Normas de Seguridad de la InformaciónNormas de Seguridad de la Información
Normas de Seguridad de la Información
 
Guia de ti7
Guia de ti7Guia de ti7
Guia de ti7
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la información
 
Unidad ii sesion 01 (politicas de seguridad)
Unidad ii sesion 01 (politicas de seguridad)Unidad ii sesion 01 (politicas de seguridad)
Unidad ii sesion 01 (politicas de seguridad)
 
Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799
 
Introduccion iso 17799
Introduccion iso 17799Introduccion iso 17799
Introduccion iso 17799
 
Norma nist
Norma nistNorma nist
Norma nist
 
Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799
 
Nist
NistNist
Nist
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la información
 
Políticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasPolíticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingencias
 
Politicas de seguridad
Politicas de seguridadPoliticas de seguridad
Politicas de seguridad
 
Proyecto para la definición de un sistema de gestión de la seguridad de la in...
Proyecto para la definición de un sistema de gestión de la seguridad de la in...Proyecto para la definición de un sistema de gestión de la seguridad de la in...
Proyecto para la definición de un sistema de gestión de la seguridad de la in...
 
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
 
Estándares de seguridad informática
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informática
 
Intituto tecnologico superior particular
Intituto tecnologico superior particularIntituto tecnologico superior particular
Intituto tecnologico superior particular
 

Destacado

Structural equation-modeling-sem 20121
Structural equation-modeling-sem 20121Structural equation-modeling-sem 20121
Structural equation-modeling-sem 20121permadina
 
R Spatial Analysis using SP
R Spatial Analysis using SPR Spatial Analysis using SP
R Spatial Analysis using SPtjagger
 
An Introduction to Mapping, GIS and Spatial Modelling in R (presentation)
An Introduction to Mapping, GIS and Spatial Modelling in R (presentation)An Introduction to Mapping, GIS and Spatial Modelling in R (presentation)
An Introduction to Mapping, GIS and Spatial Modelling in R (presentation)Rich Harris
 
Manual del comite de informatica
Manual del comite de informaticaManual del comite de informatica
Manual del comite de informaticaAnghelits Moyón
 
SEM (Structural Equational Model)
SEM (Structural Equational Model)SEM (Structural Equational Model)
SEM (Structural Equational Model)Chinchilla1984
 
Taller de Ecuaciones Estructurales
Taller de Ecuaciones Estructurales Taller de Ecuaciones Estructurales
Taller de Ecuaciones Estructurales Enrique Huerta
 
Introduction to spatial data analysis in r
Introduction to spatial data analysis in rIntroduction to spatial data analysis in r
Introduction to spatial data analysis in rRichard Wamalwa
 
An introduction to structural equation models in R using the Lavaan package
An introduction to structural equation models in R using the Lavaan packageAn introduction to structural equation models in R using the Lavaan package
An introduction to structural equation models in R using the Lavaan packageNoam Ross
 
Basics of Structural Equation Modeling
Basics of Structural Equation ModelingBasics of Structural Equation Modeling
Basics of Structural Equation Modelingsmackinnon
 
Structural equation modeling in amos
Structural equation modeling in amosStructural equation modeling in amos
Structural equation modeling in amosBalaji P
 
Spatial Analysis with R - the Good, the Bad, and the Pretty
Spatial Analysis with R - the Good, the Bad, and the PrettySpatial Analysis with R - the Good, the Bad, and the Pretty
Spatial Analysis with R - the Good, the Bad, and the PrettyNoam Ross
 
R programming language in spatial analysis
R programming language in spatial analysisR programming language in spatial analysis
R programming language in spatial analysisAbhiram Kanigolla
 
Cultura mexicána
Cultura mexicánaCultura mexicána
Cultura mexicánavoea96
 

Destacado (20)

Structural Equation Modelling
Structural Equation ModellingStructural Equation Modelling
Structural Equation Modelling
 
Structural equation-modeling-sem 20121
Structural equation-modeling-sem 20121Structural equation-modeling-sem 20121
Structural equation-modeling-sem 20121
 
R Spatial Analysis using SP
R Spatial Analysis using SPR Spatial Analysis using SP
R Spatial Analysis using SP
 
UseR! 2011 slide
UseR! 2011 slideUseR! 2011 slide
UseR! 2011 slide
 
Geospatial Data in R
Geospatial Data in RGeospatial Data in R
Geospatial Data in R
 
An Introduction to Mapping, GIS and Spatial Modelling in R (presentation)
An Introduction to Mapping, GIS and Spatial Modelling in R (presentation)An Introduction to Mapping, GIS and Spatial Modelling in R (presentation)
An Introduction to Mapping, GIS and Spatial Modelling in R (presentation)
 
Manual del comite de informatica
Manual del comite de informaticaManual del comite de informatica
Manual del comite de informatica
 
Ecuaciones Estructurales
Ecuaciones EstructuralesEcuaciones Estructurales
Ecuaciones Estructurales
 
SEM (Structural Equational Model)
SEM (Structural Equational Model)SEM (Structural Equational Model)
SEM (Structural Equational Model)
 
Taller de Ecuaciones Estructurales
Taller de Ecuaciones Estructurales Taller de Ecuaciones Estructurales
Taller de Ecuaciones Estructurales
 
Structural Equation Modelling (SEM) Part 3
Structural Equation Modelling (SEM) Part 3Structural Equation Modelling (SEM) Part 3
Structural Equation Modelling (SEM) Part 3
 
Introduction to spatial data analysis in r
Introduction to spatial data analysis in rIntroduction to spatial data analysis in r
Introduction to spatial data analysis in r
 
An introduction to structural equation models in R using the Lavaan package
An introduction to structural equation models in R using the Lavaan packageAn introduction to structural equation models in R using the Lavaan package
An introduction to structural equation models in R using the Lavaan package
 
Basics of Structural Equation Modeling
Basics of Structural Equation ModelingBasics of Structural Equation Modeling
Basics of Structural Equation Modeling
 
Structural Equation Modelling (SEM) Part 2
Structural Equation Modelling (SEM) Part 2Structural Equation Modelling (SEM) Part 2
Structural Equation Modelling (SEM) Part 2
 
Structural equation modeling in amos
Structural equation modeling in amosStructural equation modeling in amos
Structural equation modeling in amos
 
Spatial Analysis with R - the Good, the Bad, and the Pretty
Spatial Analysis with R - the Good, the Bad, and the PrettySpatial Analysis with R - the Good, the Bad, and the Pretty
Spatial Analysis with R - the Good, the Bad, and the Pretty
 
R programming language in spatial analysis
R programming language in spatial analysisR programming language in spatial analysis
R programming language in spatial analysis
 
Capitulo viii
Capitulo viiiCapitulo viii
Capitulo viii
 
Cultura mexicána
Cultura mexicánaCultura mexicána
Cultura mexicána
 

Similar a Modelo de Política

Estandares ISO 27001 (3)
Estandares ISO 27001 (3)Estandares ISO 27001 (3)
Estandares ISO 27001 (3)dcordova923
 
Seg Inf Sem02
Seg Inf Sem02Seg Inf Sem02
Seg Inf Sem02lizardods
 
Ensayo normas juan enrique
Ensayo normas juan enriqueEnsayo normas juan enrique
Ensayo normas juan enriqueJUAN ENRIQUE
 
Politicas y medidas de seguridad
Politicas y medidas de seguridadPoliticas y medidas de seguridad
Politicas y medidas de seguridadCarolina Cols
 
Generando Politicas
Generando Politicas Generando Politicas
Generando Politicas jgalud
 
Formación en Seguridad IT
Formación en Seguridad ITFormación en Seguridad IT
Formación en Seguridad ITRamiro Cid
 
Ensayo unidad4
Ensayo unidad4Ensayo unidad4
Ensayo unidad4mCarmen32
 
Unidad 4: Gestión de la seguridad.
Unidad 4: Gestión de la seguridad.Unidad 4: Gestión de la seguridad.
Unidad 4: Gestión de la seguridad.dsiticansilleria
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1paokatherine
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1paokatherine
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1paokatherine
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informaticaebonhoure
 
Políticas de seguridad
Políticas de seguridadPolíticas de seguridad
Políticas de seguridaddiana_16852
 
Políticas de seguridad
Políticas de seguridadPolíticas de seguridad
Políticas de seguridadrogger0123
 
Políticas de seguridad
Políticas de seguridadPolíticas de seguridad
Políticas de seguridaddiana_16852
 
Políticas generales de_seguridad
Políticas generales de_seguridadPolíticas generales de_seguridad
Políticas generales de_seguridadLuis Martinez
 

Similar a Modelo de Política (20)

Estandares ISO 27001 (3)
Estandares ISO 27001 (3)Estandares ISO 27001 (3)
Estandares ISO 27001 (3)
 
Seg Inf Sem02
Seg Inf Sem02Seg Inf Sem02
Seg Inf Sem02
 
Ensayo normas juan enrique
Ensayo normas juan enriqueEnsayo normas juan enrique
Ensayo normas juan enrique
 
Politicas y medidas de seguridad
Politicas y medidas de seguridadPoliticas y medidas de seguridad
Politicas y medidas de seguridad
 
Generando Politicas
Generando Politicas Generando Politicas
Generando Politicas
 
Formación en Seguridad IT
Formación en Seguridad ITFormación en Seguridad IT
Formación en Seguridad IT
 
Ensayo unidad4
Ensayo unidad4Ensayo unidad4
Ensayo unidad4
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Unidad 4: Gestión de la seguridad.
Unidad 4: Gestión de la seguridad.Unidad 4: Gestión de la seguridad.
Unidad 4: Gestión de la seguridad.
 
Gestion de la seguridad
Gestion de la seguridadGestion de la seguridad
Gestion de la seguridad
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
 
NORMAS ISO
NORMAS ISO NORMAS ISO
NORMAS ISO
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
seguridad ISO
seguridad ISOseguridad ISO
seguridad ISO
 
Políticas de seguridad
Políticas de seguridadPolíticas de seguridad
Políticas de seguridad
 
Políticas de seguridad
Políticas de seguridadPolíticas de seguridad
Políticas de seguridad
 
Políticas de seguridad
Políticas de seguridadPolíticas de seguridad
Políticas de seguridad
 
Políticas generales de_seguridad
Políticas generales de_seguridadPolíticas generales de_seguridad
Políticas generales de_seguridad
 

Más de Conferencias FIST

Seguridad en Entornos Web Open Source
Seguridad en Entornos Web Open SourceSeguridad en Entornos Web Open Source
Seguridad en Entornos Web Open SourceConferencias FIST
 
Las Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática ForenseLas Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática ForenseConferencias FIST
 
Evolución y situación actual de la seguridad en redes WiFi
Evolución y situación actual de la seguridad en redes WiFiEvolución y situación actual de la seguridad en redes WiFi
Evolución y situación actual de la seguridad en redes WiFiConferencias FIST
 
El Information Security Forum
El Information Security ForumEl Information Security Forum
El Information Security ForumConferencias FIST
 
Inseguridad en Redes Wireless
Inseguridad en Redes WirelessInseguridad en Redes Wireless
Inseguridad en Redes WirelessConferencias FIST
 
Mas allá de la Concienciación
Mas allá de la ConcienciaciónMas allá de la Concienciación
Mas allá de la ConcienciaciónConferencias FIST
 
Riesgo y Vulnerabilidades en el Desarrollo
Riesgo y Vulnerabilidades en el DesarrolloRiesgo y Vulnerabilidades en el Desarrollo
Riesgo y Vulnerabilidades en el DesarrolloConferencias FIST
 
Demostracion Hacking Honeypot y Análisis Forense
Demostracion Hacking Honeypot y Análisis ForenseDemostracion Hacking Honeypot y Análisis Forense
Demostracion Hacking Honeypot y Análisis ForenseConferencias FIST
 

Más de Conferencias FIST (20)

Seguridad en Open Solaris
Seguridad en Open SolarisSeguridad en Open Solaris
Seguridad en Open Solaris
 
Seguridad en Entornos Web Open Source
Seguridad en Entornos Web Open SourceSeguridad en Entornos Web Open Source
Seguridad en Entornos Web Open Source
 
Spanish Honeynet Project
Spanish Honeynet ProjectSpanish Honeynet Project
Spanish Honeynet Project
 
Seguridad en Windows Mobile
Seguridad en Windows MobileSeguridad en Windows Mobile
Seguridad en Windows Mobile
 
SAP Security
SAP SecuritySAP Security
SAP Security
 
Que es Seguridad
Que es SeguridadQue es Seguridad
Que es Seguridad
 
Network Access Protection
Network Access ProtectionNetwork Access Protection
Network Access Protection
 
Las Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática ForenseLas Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática Forense
 
Evolución y situación actual de la seguridad en redes WiFi
Evolución y situación actual de la seguridad en redes WiFiEvolución y situación actual de la seguridad en redes WiFi
Evolución y situación actual de la seguridad en redes WiFi
 
El Information Security Forum
El Information Security ForumEl Information Security Forum
El Information Security Forum
 
Criptografia Cuántica
Criptografia CuánticaCriptografia Cuántica
Criptografia Cuántica
 
Inseguridad en Redes Wireless
Inseguridad en Redes WirelessInseguridad en Redes Wireless
Inseguridad en Redes Wireless
 
Mas allá de la Concienciación
Mas allá de la ConcienciaciónMas allá de la Concienciación
Mas allá de la Concienciación
 
Security Metrics
Security MetricsSecurity Metrics
Security Metrics
 
PKI Interoperability
PKI InteroperabilityPKI Interoperability
PKI Interoperability
 
Wifislax 3.1
Wifislax 3.1Wifislax 3.1
Wifislax 3.1
 
Network Forensics
Network ForensicsNetwork Forensics
Network Forensics
 
Riesgo y Vulnerabilidades en el Desarrollo
Riesgo y Vulnerabilidades en el DesarrolloRiesgo y Vulnerabilidades en el Desarrollo
Riesgo y Vulnerabilidades en el Desarrollo
 
Demostracion Hacking Honeypot y Análisis Forense
Demostracion Hacking Honeypot y Análisis ForenseDemostracion Hacking Honeypot y Análisis Forense
Demostracion Hacking Honeypot y Análisis Forense
 
Security Maturity Model
Security Maturity ModelSecurity Maturity Model
Security Maturity Model
 

Último

redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativanicho110
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estossgonzalezp1
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...JohnRamos830530
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21mariacbr99
 
Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosJhonJairoRodriguezCe
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxAlan779941
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxFederico Castellari
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanamcerpam
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxJorgeParada26
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIhmpuellon
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.FlorenciaCattelani
 

Último (11)

redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos Basicos
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptx
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXI
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 

Modelo de Política

  • 1. Política de Seguridad de la Información para el Sector Público Decisión Administrativa 669/2004 Marzo de 2005
  • 2. Contenido Seguridad de la Información Decisión Administrativa Iniciativa en la APN Contenido Comité de Seguridad Responsable de Seguridad Modelo de Política Por qué utilizar un estándar internacional? Por qué basarse en la norma ISO/IRAM 17799 Estructura Implicancias legales Presentación SIGEN Conclusión Próximos pasos
  • 3. Seguridad de la Información
  • 4. Seguridad de la Información INFORMACION = ACTIVO Ingeniería Social Confidencialidad Man-in-the-middle Integridad Phishing Disponibilidad Defacement Spoofing más Backdoors Escaneo de puertos Autenticidad Catástrofe Auditabilidad Trashing Protección a la duplicación Código malicioso No repudio Robo Legalidad Fraude informático Confiabilidad de la Eavesdropping información Exploits
  • 6. Decisión Administrativa – Iniciativa en la APN Septiembre 2003 La ONTI convoca a distintos Organismos de la Administración Pública para conocer sus opiniones sobre estrategias de seguridad. Surge la necesidad de que los Organismos cuenten con una Política de Seguridad escrita. Se conforma un grupo de trabajo para la redacción de un Modelo de Política de Seguridad. Se acuerda basarse en la norma ISO/IRAM 17799
  • 7. Decisión Administrativa – Iniciativa en la APN Se redacta el Modelo y se somete a la consideración de los Organismos Nacionales. Se publica la página de Políticas de ArCERT www.arcert.gov.ar/politica Diciembre 2004 La Jefatura de Gabinete de Ministros aprueba la DA 669/2004. Se comienza la difusión de la norma y el Modelo
  • 8. Decisión Administrativa - Contenido ¿ Qué ? • Dictar o adecuar la Política de Seguridad de la Información. • Conformar un Comité de Seguridad de la Información. • Asignar las responsabilidades en materia de Seguridad de la Información.
  • 9. Decisión Administrativa - Contenido ¿ Quiénes ? Ley 24.156- Art. 8° - Inc. a) y c) • Administración Nacional. •La Administración Central. •Los Organismos Descentralizados (incluidos los de la Seguridad Social). • Entes Públicos excluidos del punto anterior •Cualquier Organización estatal no empresarial con autarquía financiera, personería jurídica y patrimonio propio, donde el Estado Nacional tenga el control mayoritario del patrimonio o de la formación de decisiones.
  • 10. Decisión Administrativa - Contenido ¿ Cuándo ? Dentro de los 180 días hábiles de aprobado el Modelo de Política.
  • 11. Decisión Administrativa - Contenido ¿ Cómo ? En base al Modelo de Política de Seguridad a ser aprobada por la Subsecretaría de la Gestión Pública
  • 12. Decisión Administrativa – Comité de Seguridad Las máximas autoridades de los Organismos deberán conformar, en sus ámbitos, un Comité de Seguridad de la Información integrado por representantes de las Direcciones Nacionales o Generales o equivalentes del Organismo.
  • 13. Decisión Administrativa – Comité de Seguridad Objetivos Políticos • Aprobar las principales iniciativas para incrementar la seguridad de la información. • Proponer las responsabilidades generales en materia de seguridad de la información • Garantizar que la seguridad sea parte del proceso de planificación de la información. • Promover la difusión y apoyo a la seguridad de la información dentro del Organismo.
  • 14. Decisión Administrativa – Comité de Seguridad Objetivos Prácticos • Revisar y proponer la Política de Seguridad de la Información. • Acordar y aprobar metodologías y procesos específicos. • Evaluar y coordinar la implementación de controles específicos. • Coordinar el proceso de administración de la continuidad de la operatoria del Organismo. • Monitorear cambios significativos en los riesgos. • Tomar conocimiento y supervisar la investigación y monitoreo de los incidentes relativos a la seguridad
  • 15. Decisión Administrativa – Comité de Seguridad Coordinador del Comité de Seguridad El Comité de Seguridad de la Información, será coordinado por el Subsecretario o su equivalente en cada área Ministerial o Secretaría de la Presidencia de la Nación o por el funcionario designado por las máximas autoridades de cada organismo descentralizado, que tenga a su cargo las áreas de apoyo.
  • 16. Decisión Administrativa – Comité de Seguridad Responsabilidades sobre la Seguridad Las máximas autoridades de los Organismos deberán asignar las funciones relativas a la seguridad de sus sistemas de información a un funcionario de su planta dentro del plazo de CIENTO OCHENTA (180) días hábiles de aprobada la Política de Seguridad Modelo.
  • 17. El Modelo de Política
  • 18. Modelo de Política – ¿ Por qué utilizar un estándar internacional ? A la hora de desarrollar una política o norma a ser implementada Mes 1 estandarizar los procesos y controles, es recomendable: para • Indagar sobre los diferentes estándares que ofrece el mercado. • Evaluar la entidad u organización emisora de los estándares en cuanto a su trayectoria, reconocimiento en el dictado de estándares, etc. • Investigar sobre las implementaciones efectuadas del estándar y sus resultados. • Analizar el contenido de los estándares con una visión técnica. • Determinar la aplicabilidad de los estándares al modelo de realidad propio. • Seleccionar el estándar que mejor cumple con las expectativas. • Alinearse al estándar seleccionado.
  • 19. Modelo de Política – ¿ Por qué basarse en la norma ISO/IRAM 17799 ? Aumento de los niveles de seguridad en las Organizaciones Planificación de actividades Mejora continua Posicionamiento estratégico Cumplimiento de normativas y reglamentaciones Posicionamiento en un esquema comparativo en materia de seguridad con otras organizaciones Es por ello que el Modelo de Política de Seguridad de la Información se basa en la norma ISO/IRAM 17799. Esto NO implica que se requiera la certificación por parte de los Organismos en dicha norma.
  • 20. Modelo de Política - Estructura 3 Capítulos de Introducción • Introducción • Términos y definiciones • Política de Seguridad de la información 9 Capítulos de Contenido de las distintas áreas • Organización de la Seguridad • Clasificación y Control de Activos • Seguridad del Personal • Seguridad Física y Ambiental • Gestión de Comunicaciones y Operaciones • Control de Accesos • Desarrollo y Mantenimiento de Sistemas • Administración de la Continuidad de las Actividades del Organismo • Cumplimiento
  • 21. Implicancias legales Cumplimiento de requisitos legales, normativos y contractuales Derechos de Propiedad Intelectual (Ley 11.723) Protección de los registros del Organismo Ética en el Ejercicio de la Función Pública. Ley 25.188 Código de Ética de la Función Pública Código Penal Art. 255 Ley N° 24.624. Artículo 30 Decisión Administrativa 43/96 Protección de datos personales (Ley 25.326) – Habeas Data Uso de recursos Ley Marco de Regulación de Empleo Público Nacional (Ley 25.164) Convenio Colectivo de Trabajo General Ética en el Ejercicio de la Función Pública (Ley 25.188) Código de Ética de la Función Pública Uso de Firma Digital (Ley 25.506)
  • 23. Conclusión ¿Qué implica la aprobación de la Decisión Administrativa?  El desarrollo de una Política de Seguridad en cada Organismo.  La asignación de responsabilidades en materia de seguridad dentro del Organismo.  La concientización respecto de la criticidad de la seguridad de la información.  La participación de todas las áreas sustantivas del organismo.  El aumento del nivel de seguridad en los Organismos.  El cumplimiento de normas y leyes vigentes.
  • 24. Conclusión ¿Qué no implica la aprobación de la Decisión Administrativa?  La generación de erogaciones adicionales  La necesidad de incorporar personal adicional  El requisito de certificar la norma ISO/IRAM 17799
  • 26. Próximos pasos Aprobación del Modelo de Política Se prevé la aprobación del Modelo de Política de Seguridad de la Información para la Administración Pública aproximadamente para el mes de Abril del corriente. A partir de dicha fecha de aprobación, comenzarán a registrarse los 180 días hábiles de plazo establecidos en la Decisión Administrativa para la redacción/adecuación de la Política de Seguridad de cada Organismo.
  • 27. Próximos pasos Cursos de Capacitación y Asistencia Se ha planificado el dictado de cursos de capacitación en el desarrollo de una Política de Seguridad de la Información para el apoyo a los Organismos en el cumplimiento de la Decisión Administrativa.
  • 28. Próximos pasos Publicación de Documentación adicional Se prevé publicar en el sitio de políticas, documentación adicional al Modelo, como ser modelos de procedimientos, los cuales podrán ser utilizados por los Organismos. Asimismo se buscará crear un espacio colaborativo en el cual cada Organismo pueda aportar documentación desarrollada para fines propios, de manera que otros puedan también aprovecharlo.
  • 30. SITUACIÓN DE LA GESTIÓN Y ORGANIZACIÓN INFORMÁTICA EN EL SPN El 29% de los Organismos no ha asignado las funciones de desarrollo y procesamiento a responsables independientes Riesgos • Ausencia de control por oposición de intereses • Posiblidad de eludir los controles y validaciones incorporados en los sistemas
  • 31. SITUACIÓN DE LA GESTIÓN Y ORGANIZACIÓN INFORMÁTICA EN EL SPN El 69% de los Organismos carece de procedimientos de control para el desarrollo y mantenimiento de sistemas Riesgos • Modificaciones no autorizadas sobre los Sistemas • Incorrecta administración de prioridades • Falta de aplicación de estándares de programación y documentación • Implementación de Sistemas no probados
  • 32. SITUACIÓN DE LA GESTIÓN Y ORGANIZACIÓN INFORMÁTICA EN EL SPN El 69% de los Organismos carece de procedimientos aprobados para las tareas de administración de seguridad. Riesgos • Accesos no autorizados a la información o los recursos del Organismo • Inexactitud o falta de confiabilidad de los datos o Sistemas • Falta de disponibilidad de la información o recursos necesarios
  • 33. SITUACIÓN DE LA GESTIÓN Y ORGANIZACIÓN INFORMÁTICA EN EL SPN El 74% de los Organismos carece de un plan para afrontar Contingencias. Riesgos • Interrupciones a la continuidad operativa del Organismo, con la consiguiente imagen negativa e incumplimiento de la misión asignada
  • 34. SITUACIÓN DE LA GESTIÓN Y ORGANIZACIÓN INFORMÁTICA EN EL SPN El 59% de los Organismos carece de procedimientos documentados para la generación de back ups. Riesgos •Pérdidas de información •Falta de continuidad operativa del Organismo •Dependencia del personal que se encarga de la tarea
  • 36. Preguntas más frecuentes ¿Cada Organismo debe aprobar una única Política de Seguridad, que abarque a todas sus dependencias? Cada Organismo puede: • Dictar una única Política de Seguridad de la Información que sea de cumplimiento obligatorio por todas las dependencias bajo su incumbencia o • Dictar una política de alto nivel, que contenga lineamientos generales para todo el Organismo (administración central y sus dependencias), sobre cuya base luego cada división dicte sus propias Políticas de Seguridad de la Información independientes (siempre alineadas a la política global del Organismo), o • Dictar una Política de Seguridad de la Información para el Organismo y para algunas de sus dependencias, y requerir al resto de ellas que redacten sus propias políticas (alineadas a la política global del Organismo) En todos los casos, las Políticas de Seguridad de la Información que se desarrollen deben adecuarse al Modelo que oportunamente se apruebe.
  • 37. Preguntas más frecuentes ¿Cada Organismo debe aprobar una única Política de Seguridad, que abarque a todas sus dependencias? Administración Administración Administración Administración Administración Administración Central Central Central Central Central Central Sec. A Sec. A Sec. A Sec. A Sec. A Sec. A Sec. B Sec. B Sec. B Sec. B Sec. B Sec. B Sec. C Sec. C Sec. C Sec. C Sec. C Sec. C La elección de cualquiera de estas alternativas debe ser evaluada por cada Organismo, siempre cuidando que se cubra la totalidad de sus recursos de información
  • 38. Preguntas más frecuentes ¿Si un Organismo decide que cada dependencia redacte su propia Política, cómo se conforma el Comité de Seguridad? El Comité de Seguridad está conformado por la máxima autoridad del Organismo, y representantes de cada Dirección. Desde un punto de vista práctico, los objetivos del Comité de Seguridad tienen una relación muy directa con los contenidos y las áreas involucradas en la redacción de la Política
  • 39. Preguntas más frecuentes ¿Las responsabilidades de seguridad de la información recaen en el Responsable de Seguridad Informática? En el Modelo de Política intervienen una serie de “actores” cada uno de los cuales posee una serie de funciones y responsabilidades que deben explicitarse y asignarse de acuerdo a lo que plantea el Modelo y adaptándolo a la realidad de cada Organismo. Estos son: Máxima autoridad Máxima autoridad Propietario de la Propietario de la Responsable del Responsable del del Organismo del Organismo Información Información Área Legal Área Legal Responsable de Responsable de Responsable del Responsable del Comité de Seguridad Comité de Seguridad Unidad Organizativa Unidad Organizativa Área de RRHH Área de RRHH Coordinador del Coordinador del Responsable del Responsable del Responsable del Responsable del Comité de Seguridad Comité de Seguridad Área Informática Área Informática Área de Administración Área de Administración Responsable de Responsable de Unidad de Auditoría Unidad de Auditoría Todo el personal Todo el personal Seguridad Informática Seguridad Informática Interna Interna del Organismo del Organismo
  • 40. ¡¡¡ MUCHAS GRACIAS !!! Sugerencias y Preguntas