Professional Documents
Culture Documents
Desarrollo de temas:
• PRIMERA PARTE
– 9:30 hs. Conferencia sobre “Gestión de la
Calidad y de la Información”
• PARTICIPANTES: Comité de la Calidad,
Auditores, Facilitadores, Grupos de Mejora,
Informática en pleno, Rentas, Personal, Compras
Horarios
Comida
Teléfonos y celulares
Servicios
LIC. ESPEDITO PASSARELLO
“Gestión de la Calidad y de la
Información”
Consensuando visiones y experiencias en
el marco de la SERIE ISO 9000 &IRAM
ISO/IEC 17799:2000.
Mejores Practicas reconocidas y aplicadas en
el orden internacional.
Resumen de la Catedra como Director del
Curso de post-grado en Gestion, Auditoria y
Normas TICs (IESE, ISO, IRAM).
LIC. ESPEDITO PASSARELLO
Gestion de seguridad de la informacion
Administración Información
ISO
BS17799
7799
Seguridad
1) Información:
Definición de activos y sus Atributos.
2) Seguridad de la Información:
Medidas y controles.
3)Objetivos,politicas y responsabilidades.
Cumplimientos,requisitos y competencias.
ISO/IEC 17799:2000
Confidencialidad Disponibilidad
Información
Preservar su
valor
sustancial
Integridad
LIC. ESPEDITO PASSARELLO
¿Qué es Seguridad de la Información?
• ISO 17799:2000 define la seguridad de la
información como la preservación de la:
– Confidencialidad
» Asegura que la información sea accesible
sólo a aquellos autorizados a tener acceso
– Integridad
» Salvaguardar la exactitud, completitud de la
información y los métodos de proceso
- Disponibilidad
» Asegura a los usuarios autorizados tengan
acceso a la información cuando lo requieran
1. Política de Seguridad
2. Organización de Seguridad
3. Clasificación y Control de Activos
4. Aspectos humanos de la seguridad
5. Seguridad Física y Ambiental
6. Gestión de Comunicaciones y Operaciones
7. Sistema de Control de Accesos
8. Desarrollo y Mantenimiento de Sistemas
9. Plan de Continuidad del Negocio
10.Cumplimiento
LIC. ESPEDITO PASSARELLO
Las 10 secciones de ISO 17799
Descripción de ISO 17799
Política de
seguridad Organización de
Cumplimiento la Seguridad
Administración de Clasificación y
integridad Confidencialidad
la continuidad control de los activos
Información
Desarrollo y Seguridad
mantenimiento del personal
disponibilidad
Seguridad física
Control de accesos y medioambiental
Gestión de
comunicaciones
y operaciones
LIC. ESPEDITO PASSARELLO
Enfoque
Resúmen
Passarel@mail.retina.ar
• SGSI
– Es parte del sistema de gestión global, que
basado en los riesgos del negocio, para
establecer, implementar, operar, monitorear,
revisar, mantener y mejorar el sistema de
seguridad.
• Diseño e Implementación
– Es influenciado por los requerimientos, objetivos
y necesidades del negocio, los procesos
empleados y el tamaño y la estructura de la
organización.
– Es lógico pensar que estos y sus sistemas de
soporte cambien continuamente, lo que implica
afectan los requerimientos de seguridad.
LIC. ESPEDITO PASSARELLO
ISO 17799 Gestión de Información
Política de
Seguridad de
Información
Conformidad Organización de
la Seguridad
Planificación Clasificación y
de Continuidad Control de Activos
Desarrollo Seguridad
de Sistemas del Personal
Controles
Seguridad Física
de Acceso
Gestión de
Comunicaciones
LIC. ESPEDITO PASSARELLO
Punto de partida: Cumplimiento
Resúmen
• Medible
– Solamente un estándar internacional puede ser
evaluado por terceros
– Recomienda incorporar un proceso de escalas de
riesgos y de valoración de activos.
» Evalúar las amenazas, vulnerabilidades,
impactos, tolerancia de riesgos, grado de
aseguramiento, probabilidad de la ocurrencia
• Repetible
–El nivel de formalización del sistema y el poseer
procesos estructurados ayudarán a hacer que el
sistema sea repetible
–La inversión en el compromiso de la dirección
superior y la educación de los empleados en el
tema de seguridad reducirá la probabilidad de las
amenazas
• Escalable
–La infraestructura (sistema de dirección y
procesos) puede ser desarrollada en forma
centralizada y luego descentralizada a otros
niveles.
–Si se desea, pueden ser agregados todos los
controles adicionales al SGSI
Passarel@mail.retina.ar
– Análisis de vulnerabilidad,
– Test de intrusión,
– Provisión de componentes,
– Seguridad de productos y servicios,
– Hacking, criptografía,
– ETC.
.
Seguna
“Las TIC’s no pueden lograr por si solas, que las gestiones sean diferentes o mejores” –
Naciones Unidas Gobierno Electrónico en la Encrucijada Agosto 2003
• Sin un insumo:
– confiable,
– completo y
– oportuno (la informacion).
La Interfase: Gestion de la calidad y de la seguridad
de la informacion.
Internet
LIC. ESPEDITO PASSARELLO
Estudio de casos y aplicabilidad
Fuerza
Recursos
Reformas
Económicas y
Políticas
e-Gobernabilidad
Ciudadanos
Empleados
Transparencia
Negocios
Confianza/aceptación
Proveedores
Consenso/apertura Mercados
Bienestar Público
LIC. ESPEDITO PASSARELLO
E-Government Marco de acción
Administración Información
ISO 17799
Seguridad
Objetivos corporativos
Cruces
Actualizacion
Con
valorizacion
Censos y moratorias
LIC. ESPEDITO PASSARELLO
Mapeo de procesos criticos
Procesos de
actualizacion de la
informacion
Grandes medianos
contribuyentes
Sistema de
Sistema de Control y Pagos
Manejo de Documentos Electrónicos
y Contenido Entidades del
Estado de
LIC. ESPEDITO PASSARELLO Orden
Regional/Territorial
Intranet Municipal
Centro de CIUDADANIA
Atención
y Servicios al Portal del
Ciudadano contribuyente
Puntos de
Servicios
Comunitario
Sistemas
Arquitectura de Integrados
Integración e
Interoperabilidad
Servicios Informáticos Portales
Centro de Datos
Aplicaciones Sistemas de Información
Y Servicios
De Base Núcleo Transaccional de Servicios
Interfaces Estándar de Comunicación entre
Transporte Procesos y Sistemas de Información
Infraestructura de
Infraestructura de
de Almacenamiento y
Comunicaciones
Datos Servicios de Base (Centro
LIC. ESPEDITO PASSARELLO (Conectividad)
de Datos)
Intranet Municipal
• Permitir el intercambio seguro de información entre las
entidades, y garantizar a los ciudadanos/contribuyentes
el acceso a los servicios en Línea.
Coordinación
Interinstitucional –.
Responsables directivos y
Racionalizar de Areas operativas
Gestion de la seguridad:
•Activos de informacion.
Eliminar Automatizar •Atributos de Proteccion.
•Cumplimiento de leyes
•Firma Digital
•Habeas data.
•Calidad de datos.
•Bases de datos.
•Clave unica
•Pago Electrónico
LIC. ESPEDITO PASSARELLO
Flujo de ingresos
Contribuyente
Portal
Presupuesto entidades
y Pagos
Sistemas
Consolidacion de PAGO Sistema integral Centro de
contable Tesorerías de recaudacion Servicios
(Nal., Dep., Mun.) Entidades electrónica Compartidos
LIC. ESPEDITO PASSARELLO de Control
SSC
Flujo de egesos.
Gestión 1. Gestión:
Indicadores Catálogo de bienes y
servicios, Licitaciones,
Base de procesosInteligencia Compra directa, contratos
Datos informatica marco, pagos.
TICs 2. Interacción de entidades
contratantes, contratistas,
comunidad y órganos de
Flujo
control
Procesos
3. Selección objetiva
4. Divulgación procesos
contractuales
5. Transparencia, eficiencia y
LIC. ESPEDITO PASSARELLO Control posterior
Gestion de la informacion.
• Muy seguros?
• Poco seguros?
• Relativamente seguros?
• Cual es nuestro estado en seguridad?
• Como planificar sin diagnósticos de base?
• Como mantener y mejorar la gestión de
seguridad?
ISO/IEC 17799:2000
LIC. ESPEDITO PASSARELLO
Factores críticos de éxito (continuación)
ISO/IEC 17799:2000
LIC. ESPEDITO PASSARELLO
MUCHAS GRACIAS
Passarel@mail.retina.ar
1. Política de Seguridad
2. Organización de Seguridad
3. Clasificación y Control de Activos
4. Aspectos humanos de la seguridad
5. Seguridad Física y Ambiental
6. Gestión de Comunicaciones y Operaciones
7. Sistema de Control de Accesos
8. Desarrollo y Mantenimiento de Sistemas
9. Plan de Continuidad del Negocio
10.Cumplimiento
LIC. ESPEDITO PASSARELLO
Estructura: Dominios de Control
Organizacional
1. Política de
seguridad
2. Seguridad de
la organización
3. Clasificación 7. Control de
y control de los accesos
activos
10.
Conformidad
• Ayuda Social I
y Políticas
Información • Sociedad (servicio de Ejecutivos & O
y servicios registración) Gerentes N
Estrategia y
• Educación
Gerencia I
• Ciudad y País N
Planeamiento
S
• Paz y Seguridad T
Proveedores
• Liderazgo
• Gente
• Procesos
• Tecnología
Evolución
TRANSFORMACIÓ
Creando nuevos N procesos para soportar
“la mejor clase” de servicios en línea
V
INTEGRACI
A
ÓN integran a las actividades del gobiern
Los Sitios “Web”
L
O electrónico dentro de los procesos existentes
R TRANSACCIÓ
Los Sitios “Web”N permiten
búsquedas, consultas y
reservan y compran servicios
INTERACCIÓN
Los Sitios “Web” permiten
búsqueda de información
ARTICULACIÓN basada en criterios únicos
Los Sitios “Web” proveen solamente
información
COMPLEJIDAD
LIC. ESPEDITO PASSARELLO
E-Government Estrategia – Migración integral
Cómo Necesi-
estamos dades Ambiente
Solucio- Análisis & & Negocios
nes de la Cómo debe- Oportu-
brecha ríamos ser nidades
Ambiente
Gubernamental
Revisar Anticipar
Evaluar Visualizar
Migración Integral
e-Solution 2 Pilot
e-Solution 3 Pilot
LIC. ESPEDITO PASSARELLO
E-Government Beneficios
•Defensa •Planeamiento
Atención Clientes
Negocios
•Seguridad •Gerenciamiento
•Permisos/Licencias •etc •Adminis. Pytos.
•Impuestos •Cash Mgt
•Servicio Públicos Infraestructura
Común •Órdenes Trabajo
dede
•Sistemas Adm.
RRHH
Proveedores Terceros
•Producción •Regulaciones
Adm.
•Facturación/Pagos •Adm. •Publicaciones
Documentos •Compulsa
•Abastecimiento •Workflow •Adjudicación
•Administración •Sistemas de
Seguridad •Cumplimiento
• Adm. Licitaciones •Call Centers
•e-Compras •Recursos Tec.
•Servicios •Órdenes Trabajo
Inf. •Adm. Contratos
•Distribución
•Compromisos
•Litigios Fuentes deDatos
ISO/IEC 14516 Guía para el uso y gestión de confianza
•Servicios para servicios deExternas
Públicos terceras partes •Programación
•Puestaen Marcha
ISO/IEC 14888 Firma digital •Facturación/Cbza.
ISO/IEC 17799 Código de practicas para la gestión de seguridad de la información.
ISO/IEC 14598 Evaluación de productos de Software
LIC. ESPEDITO PASSARELLO
ISO/IEC 15504 Evaluación de procesos de software (ISO SPICE)
Decisión Administrativa N. 669/04. Ambito nacional
¿ Qué ?
• Dictar o adecuar la Política de Seguridad de la Información.
¿ Cuándo ?
Dentro de los 180 días hábiles de aprobado el Modelo de Política.
¿ Cómo ?
En base al Modelo de Política aprobado.
• Administración Nacional.
• La Administración Central.
• Los Organismos Descentralizados (incluidos los de la Seguridad Social).
Puesta en aplicación
EMPRESAS Y
ORGANISMOS PÚBLICOS
OBLIGACIÓN
DE
ADECUACIÓN
RESPONSABILIDAD RESPONSABILIDAD
PATRIMONIAL PENAL
RESPONSABILIDAD EN
CASCADA
SOLIDARIA E ILIMITADA
SEGURIDAD DE LA INFORMACION HABEAS DATA
RIESGO INSTITUCIONAL
DIRECCIÓN GENERAL
ADECUACIÓN
CONTROL Y MINIMIZACIÓN
DEL RIESGO
ISO 17799 Implementación
Política de
Seguridad de
la Información
Revisión
Gerencial
Organización
de la Seguridad
Acciones
Correctivas
Clasificación
de Activos
Control del
Proceso
Aplicación
Proceso de Controles
Operativo
ISO/IEC 17799:2000
ISO/IEC 17799:2000
LIC. ESPEDITO PASSARELLO
Primer desafío¡
El primer paso:
Diagnostico global de activos de informacion.
En su Institucion estan definidos todos los
activos de INFORMACIÓN caracterizados por
sus atributos.
Segundo paso:
Mapeo de dichos activos de informacion sobre
los procesos criticos que se refieren a la
continuidad operativa y el cumplimiento
(leyes, decretos, disposiciones, etc.)
Fallas de Hard,
DEPENDENCIA TIC Y Daño intencional
Soft
VULNERABILIDADES
o instalación
RIESGOS ASOCIADOS
PERDIDAS ESTIMADAS
LIC. ESPEDITO PASSARELLO
Ejemplos de amenazas a la información
• Empleados
• Baja conciencia de la importancia en cuestiones
de seguridad
• Crecimiento en redes y computación distribuida
• Crecimiento en complejidad y falta de eficiencia
en las herramientas de detección de intrusos y
virus
• Correo electrónico
• Fuego, inundación, terremotos
Violación de contraseñas
Intercepción y modificación de e-mails
Virus
Violación de la privacidad de los empleados
Incumplimiento de leyes y regulaciones
Ingeniería social
empleados deshonestos
aprovechan
Amenazas Vulnerabilidades
indican Riesgos
Controles Activos
•Confidencialidad
*Financiero
*Cliente
•Integridad *Regulatorio
*Contractual
•Disponibilidad *Franquicia
•Evaluación de Procesos
Evaluar
Políticas
Organización
Gestionar Procesos Diseñar
Tecnología (hardware,
software y redes)
Implementar
Apertura
Apertura Detección
Detección --Regular
Regular Conclusion
Relevamiento de Plan
Plande
de
Relevamiento deeventos
eventos Accion
--TD
TD &
Coleccion
Coleccion yyPruebas
Pruebas Accion --Desvio
Desvio Recommend.
R
i
e
s
g
o
N
s
IO
it
ck
or
ud
O
IC
at
tta
A
IN
ul
/a
eg
d
au
R
Oportunidad
Fr
LIC. ESPEDITO PASSARELLO
Principales riesgos y el impacto en los negocios