Tic y Entorno Social 2005

JORNADA DE TRABAJO
Gestion, Calidad y Seguridad bajo entornos TICs
LIC EN ING. ESPEDITO PASSARELLO
LIC. ESPEDITO PASSARELLO

Objetivo: Realizar un diagnóstico - Plan de la Gestión de la
Información en la Municipalidad de Maipú.
Desarrollo de temas:
• PRIMERA PARTE
– 9:30 hs. Conferencia sobre “Gestión de la
Calidad y de la Información”
• PARTICIPANTES: Comité de la Calidad,
Auditores, Facilitadores, Grupos de Mejora,
Informática en pleno, Rentas, Personal, Compras

Presentaciones
 SU NOMBRE
 AREA
 FUNCION
 PROCESO CRITICO /SERVICIOS
 EXPECTATIVAS SOBRE EL CURSO

Antecedentes del instructor:
Lic. Espedito Passarello
• Lic. Ingeniería de Sistemas y Computación Científica (UBA-.

Fac. Ingeniería y Ciencias Exactas).
• Consultor de organismos Internacionales; OEA, BM. BID.
UNESCO, AHCIET, CE.
• Profesor Universitario.
• Instructor ISO para America latina y el caribe.
• Asesor de Corporaciones Internacionales y Empresas en
Latinoamerica.
• Miembro de Organizaciones Academicas y Profesionales.
• Publicaciones (Libros y artículos -1970 a la fecha)
• Coordinador Comites ISO de Seguridad y Calidad IT-(IRAM)
• COPITEC – Matricula N 18.

Organización de la Jornada
Horarios
Comida
Teléfonos y celulares
Servicios
“Gestión de la Calidad y de la
Información”
Consensuando visiones y experiencias en
el marco de la SERIE ISO 9000 &IRAM
ISO/IEC 17799:2000.
Mejores Practicas reconocidas y aplicadas en
el orden internacional.
Resumen de la Catedra como Director del
Curso de post-grado en Gestion, Auditoria y
Normas TICs (IESE, ISO, IRAM).
Gestion de seguridad de la informacion
Código Internacional de Mejores Práticas
Administración Información
ISO
BS17799
7799
Seguridad

Código de prácticas
• ISO/IEC 17799:2000 "Information technology – Code of

practice for information security management"
JTC1/SC27/WG1
– Basado sobre la norma BS 7799-1:1999
– Preparado para ser utilizado como documento de
referencia
– Provee un conjunto integral de controles de seguridad
– Basado sobre mejores prácticas de seguridad de la
información
– Consiste de 10 secciones de control, 36 objetivos de
control y 127 controles
– No puede ser usado para evaluación y registración

¿Qué es Información y Seguridad de la
Información?
1) Información:
Definición de activos y sus Atributos.
2) Seguridad de la Información:
Medidas y controles.
3)Objetivos,politicas y responsabilidades.
Cumplimientos,requisitos y competencias.

Información, Definición
" La información es un activo que, como todo activo

importante de negocio, tiene valor para la
organización
y por consiguiente debe ser protegido
adecuadamente "
ISO/IEC 17799:2000

¿ Qué Información proteger ?
• Impresa o escrita en papel
• Guardada en formato electrónico / magnético /
óptico.
• Almacenada en dispositivos electrónicos.
• Transmitida por correo o utilizando medios
electrónicos
• Presentada en imágenes (videos, publicidad)
• Expuesta en conversaciones, conocimiento de
las personas: Ingeniería Social.

Objetivo de la ISO 17799
Protección de la confidencialidad, integridad, y

disponibilidad de información escrita, hablada o
digitalizada

¿Qué es Seguridad de la Información?
• ISO 17799:2000 define a la misma como

la preservación de la:
Confidencialidad Disponibilidad
Información
Preservar su
valor
sustancial
Integridad
¿Qué es Seguridad de la Información?
• ISO 17799:2000 define la seguridad de la
información como la preservación de la:
– Confidencialidad
» Asegura que la información sea accesible
sólo a aquellos autorizados a tener acceso
– Integridad
» Salvaguardar la exactitud, completitud de la
información y los métodos de proceso
- Disponibilidad
» Asegura a los usuarios autorizados tengan
acceso a la información cuando lo requieran
LIC. ESPEDITO PASSARELLO ISO/IEC 17799:2000

Norma ISO 17799 Seguridad de la Información
1. Política de Seguridad
2. Organización de Seguridad
3. Clasificación y Control de Activos
4. Aspectos humanos de la seguridad
5. Seguridad Física y Ambiental
6. Gestión de Comunicaciones y Operaciones
7. Sistema de Control de Accesos
8. Desarrollo y Mantenimiento de Sistemas
9. Plan de Continuidad del Negocio
10.Cumplimiento
Las 10 secciones de ISO 17799
Descripción de ISO 17799
Política de
seguridad Organización de
Cumplimiento la Seguridad
Administración de Clasificación y
integridad Confidencialidad
la continuidad control de los activos
Información
Desarrollo y Seguridad
mantenimiento del personal
disponibilidad
Seguridad física
Control de accesos y medioambiental
Gestión de
comunicaciones
y operaciones
Enfoque
• ISO 17799 define las mejores prácticas para la

administración de la seguridad de información
• Un sistema de gestión debe balancear la
seguridad física, técnica, procedimental, y
personal
• Sin un Sistema de Gestión de Seguridad de
Información formal, tal como el descripto en la
ISO 17799, hay un riesgo grande de que existan
brechas en la seguridad
• La seguridad de información en un proceso de
gestión, no un proceso tecnológico
¿A quién va dirigida ISO 17799?
ISO 17799 puede ser utilizada por cualquier tipo de

organización o de compañía, privada o pública. Si la
organización utiliza sistemas internos o externos que
poseen informaciones confidenciales, si depende de
estos sistemas para el funcionamiento normal de sus
operaciones o si simplemente desea probar su nivel
de seguridad de la información conformándose a una
norma reconocida.
Principales areas de aplicacion;
Gobierno Bancos Servicios de Industrias

salud de servicio
privadas
ISO 17799 es…
• Una guía de buenas prácticas que presenta una
serie de Objetivos de control y controles asociados
a ellos. Es la única norma que permite un enfoque
total del problema de la seguridad de la
información y su relación estrecha con la
seguridad informática, abarcando todas las
funcionalidades de una empresa.
• Un modelo global que permite evaluar,
implementar, mantener y administrar la seguridad
de información.
• Son recomendaciones sobre el uso de 127
controles aplicados en 10 áreas o dominios y 36
objetivos de control.
• No es certificable, NO establece requisitos cuyo
cumplimiento pudiere certificarse.
¿Qué es Información y Seguridad de la Información?
Resúmen
• La seguridad de la información protege la

información de una amplia gama de amenazas
para asegurar la continuidad del negocio, reducir
al mínimo el daño, y maximizar el rendimiento de
la inversión y los niveles de servicios
comprometidos con el cliente.
• Cada organización tendrá un grupo diferente de
requerimientos en términos de requisitos de
control y de niveles de confidencialidad,
integridad y disponibilidad.

Consultas?
Passarel@mail.retina.ar

Introduccion a la Gestion de la informacion.
Calidad sin seguridad?

Seguridad sin calidad?
Calidad y seguridad de la informacion.
La informacion segura es el Insumo primordial
de toda Gestion Institucional.

Sistemas de gestión. Definición
• Un sistema de gestión es un sistema para establecer

políticas y objetivos y para alcanzar dichos objetivos
• Los sistemas de gestión son utilizados por las
organizaciones para desarrollar sus políticas y para hacerlas
efectivas a través de sus objetivos, considerando:
– Estructura organizacional
– Procesos sistemáticos y recursos asociados
– Metodología para la medicion y evaluación
– Procesos de revisión para asegurar que los problemas
son corregidos y las oportunidades de mejora son
reconocidas e implementadas cuando se justifica
Lo que se monitorea se debe medir,

lo que se mide puede ser gestionado.
Sistema de gestión. Elementos
• Políticas (demostración del compromiso y principios

para la acción)
• Planeamiento (identificación de necesidades, recursos,
estructura, responsabilidades)
• Desarrollo, implementación y operación
(concientización y entrenamiento)
• Evaluación del desempeño (monitoreo y mediciones,
manejo de las no conformidades, auditorías)
• Mejoras (acciones preventivas y
correctivas, mejora contínua)
• Revisión gerencial

Sistema de gestión de seguridad de la información
• SGSI
– Es parte del sistema de gestión global, que
basado en los riesgos del negocio, para
establecer, implementar, operar, monitorear,
revisar, mantener y mejorar el sistema de
seguridad.
• Diseño e Implementación
– Es influenciado por los requerimientos, objetivos
y necesidades del negocio, los procesos
empleados y el tamaño y la estructura de la
organización.
– Es lógico pensar que estos y sus sistemas de
soporte cambien continuamente, lo que implica
afectan los requerimientos de seguridad.
ISO 17799 Gestión de Información
Política de
Seguridad de
Información
Conformidad Organización de
la Seguridad
Planificación Clasificación y
de Continuidad Control de Activos
Desarrollo Seguridad
de Sistemas del Personal
Controles
Seguridad Física
de Acceso
Gestión de
Comunicaciones
Punto de partida: Cumplimiento
• Los controles conforman los principios rectores que

permitan la implementación.
• Se basan en requisitos legales o como práctica de uso
frecuente.
• Los esenciales del punto de vista legal:
– Protección de datos y confidencialidad( 12.4).
– Protección de registros y documentación (12.1.3).
– Derechos de Propiedad Intelectual (12.1.2).
– Firma digital, Delitos Informaticos, anti-spam,..
– Las que se refieren al tipo de Organizacion (SIGEN,
AGN, ONTI, ANMAT, .)

¿Qué es Gestion de la Seguridad de la Información?
Resúmen
• La Gestion de la seguridad de la información, es un

subsistema que permite asegurar el logro de objetivos
de Proteccion de Activos de informacion de una amplia
gama de amenazas.
• Fundamentalmente, para prevenir la adulteracion de
registros, fraudes, abusos o estafas, con el fin de
preservar y dar cumplimiento a Disposiciones legales y
regulatorios.
• Del punto de vista operativo, asegurar la continuidad del
negocio, reducir al mínimo el daño, y maximizar el
rendimiento de la inversión y oportunidades de negocio.
PLAN DE TRABAJO PARA LA
ADECUACION DE LAS INSTITUCIONES.
PASOS PARA PRECISAR LA APLICABILIDAD.

-NECESIDADES Y PRIORIDADES.
-AFECTACION DE RECURSOS.
-PUESTA EN MARCHA.

Aplicabilidad de la norma ISO 17799
• De que forma se traducen especificaciones de

alto nivel a soluciones concretas de cada
empresa, que permitan la implementación.
• Trabajo de consultoría (interna/externa).
• Ejemplo:
– Dominio de control; Gestión comunicaciones. Objetivo
de control: proteger la integridad del software y de la
información.
– Control: Controles contra software maliciaoso.
– Normativa de uso de software; definir y publicitar

Nivel de cumplimiento de la norma
• Una tarea inicial de diagnostico y pre-auditoría

(análisis de brecha con la norma) permite precisar
el nivel actual de cumplimiento por niveles;
–Global,
–Por dominios,
–Por Objetivos de control
–Por controles.
• Se determina mínimo aceptable y el nivel objetivo
requerido (de referencia a las exigencias y
posibilidades) por la Institucion/empresa.

Plan de aplicabilidad
• A partir del mínimo nivel aceptable y el nivel

objetivo, podemos definirlo.
–Nivel mínimo aceptable; implantación de los
controles técnicos mas urgentes, a corto plazo.
–Nivel objetivo; se desarrolla dentro del Plan
Director de Seguridad Corporativo, en general
todos estos esfuerzos ademas cumplir
requisitos, puede en el caso de considerarse
oportuno ser el paso previo a la certificación.

Atributos: Medible, repetible, escalable
• Medible
– Solamente un estándar internacional puede ser
evaluado por terceros
– Recomienda incorporar un proceso de escalas de
riesgos y de valoración de activos.
» Evalúar las amenazas, vulnerabilidades,
impactos, tolerancia de riesgos, grado de
aseguramiento, probabilidad de la ocurrencia

• Repetible
–El nivel de formalización del sistema y el poseer
procesos estructurados ayudarán a hacer que el
sistema sea repetible
–La inversión en el compromiso de la dirección
superior y la educación de los empleados en el
tema de seguridad reducirá la probabilidad de las
amenazas

• Escalable
–La infraestructura (sistema de dirección y
procesos) puede ser desarrollada en forma
centralizada y luego descentralizada a otros
niveles.
–Si se desea, pueden ser agregados todos los
controles adicionales al SGSI

Consultas?

Complementariedad con otros estándares ISO
Código de buenas prácticas

para la gestión de la seguridad
de la información ISO 17799
Productos y sistemas
certificados ISO 15408 (CC)
Guías para la gestión

de la seguridad de la
TI ISO 13335 (GMITS)

Seguridad de la Informacion no es seguridad
informatica!
• CLARIFIQUEMOS PARA VISUALIZAR CORRECTAMENTE

LAS ACCIONES.
• Disponer de componentes TIC de proteccion
(antivirus, firewall, etc.).
• Certificaciones de personas (Cisco, Micorsoft, IBM,
etc.)
• Tercerizar aspectos TIC.
• Adquirir soluciones TIC (ERP, CRM,DW,DM,etc).
• Para esta capa existen una gran variedad de
normas y modelos(ISO, ITIL, ISACA, IEEE, ITU,
NIST, etc.)

ISO 17799 no es…
• Un estándar técnico
• Orientado a un producto o tecnología
• Una metodología de evaluación de equipamiento tal como
el Criterio Común/ISO 15408
– Pero puede requerir la utilización de una “Common
Criteria Equipment Assurance Level (EAL)”
• Relacionado con los "Generally Accepted System Security
Principles," or GASSP
– Pero puede incorporar los lineamientos de los GASSP
• Relacionado con las cinco partes de las "Guidelines for
the Management of IT Security," o GMITS/ISO TR 13335
– Pero puede implementar conceptos de las GMITS
Referencia: "Information Security Management: Understanding ISO 17799," Tom

Carlson, Lucent Technologies Worldwide Services
La norma ISO 17799, no es
• UNA NORMA TÉCNICA PARA:
– Análisis de vulnerabilidad,
– Test de intrusión,
– Provisión de componentes,
– Seguridad de productos y servicios,
– Hacking, criptografía,
– ETC.
.

Final de la primera parte.
Gracias por su atencion!

SEGUNDA PARTE:
Taller sobre Gestión de la Información.
Seguna

PARTICIPANTES: Secretario Gerente de Hacienda y
Administración: Ctdor. Elián Japaz, Contador General: Ctdor.
Francisco Di Prima, Jefe Dpto. Gral. de Administración y
Control: Alejandro Sabino, Jefe Dpto. Gral. de Rentas:
Ernesto Rodriguez, Jefe Dpto. Gral. de Personal: Héctor
Alfaro, Jefe de Despacho General: Ricardo Cirrincione, Jefe
Dpto. de Compras y Suministros, Jefe de Mesa de Entradas:
Horacio Lena, Jefe de Gestión Ambiental: Luis Lucero,
Directora de Salud: Dolores Alfonso, Grupo de Mejora de
Comunicación y de Indicadores, Personal de las áreas de:
Informática, Rentas, Personal, Compras, Planeamiento y
Gestión de la Calidad, Honorable Concejo Deliberante.

Objetivo
• Comprender los, alcances y sus ventajas

competitivas;
– Adquirir información que permitan evaluar
posibilidades de adecuación.
– Conocer las características principales de los
sistemas de gestión de calidad y seguridad de
la información.

Actores principales
• Todo personal cuya responsabilidad este

involucrada en el ciclo de gestión de la
información, en particular aquellos cuya relación
este en forma directa con los procesos críticos de
negocios;
– Funcionales, Auditores,Técnicos, Legales,...
• Empresas proveedoras de servicios y productos
relacionados con los aspectos TIC (Tecnologías
de la información, informática y comunicaciones).

Tendencias; Rentabilidad, Calidad,
Cumplimiento, Innovación tecnológica
• Sociedad del Conocimiento y de la informacion.
• Globalización (nacional, provincial y regional ).
• La infraestructura internet, millones de dispositivos
non-stop…y el crecimiento explosivo..
• Delimitación confusa en los b2b, c2b…
• La presion de los que producen las TICs, plazos de
lanzamiento e innovación de productos y servicios.
• La infraestuctura informatica (propietario/libre).
• HABEAS DATA, FIRMA DIGITAL, ..

1. La agenda
Consideraciones y los
preliminares. actores
(The issues)
“Las TIC’s no pueden lograr por si solas, que las gestiones sean diferentes o mejores” –
Naciones Unidas Gobierno Electrónico en la Encrucijada Agosto 2003

Tipificación de necesidades: La vision
Organizacional (la agenda)
• Negocios, Recursos, Arquitecturas, ..
• Como se hallan priorizados los temas de calidad y seguridad
en general y en paticular los aspectos TIC…
• Dispone de políticas, normas y procedimientos.
• Estan delegadas en responsables claramente definidos en
todo el ámbito de la organización y con terceros.
• Recibe auditorias periódicas; externas, internas.
• Qué normativas de cumplimiento deben cumplirse.
• En estos momentos esta en un proyecto de adecuación.
• Qué recursos y plazos estan manejando.
• De 1 a 10, Cómo ponderaria la calidad y seguridad de la
informacion.

Tipificación de necesidades: La vision
del actor (instalacion en la problemática)
• Que Responsabilidad directa tiene Ud en los
aspectos mencionados (Negocios, Cumplimiento,
IT, Físicos, Recursos humanos, otros específicos).
• Cual es el Grado.de relación con los niveles de
dirección y su escalabilidad
• Como se gestionan y documentan los incidentes.
• Quién es el responsable de gestionar los cambios,
a nuevos requisitos
• Cuál es, para Ud. el tema de MAYOR
IMPORTANCIA, en estos momentos.

Alcance situacional: La formulacion del modelo
posible....un compromiso de todos y para todos.
• Estrategicamente la Institucion, formula y decide

sus politicas y proyectos para el logro de objetivos
Sociales, bajo las restricciones economicas.
• Definir los Recursos e Instrumentos, necesarios y
posibles, para el desarrollo de Soluciones
(Servicios) que satisfagan requerimientos reales y
permitan el logro de Niveles de servicios
aceptables(day to day).
• Formular planes, pueden ser de relativa facilidad, la
forma de implementarlos, es lo que NOS hace
diferentes.
• La intangibilidad debe equilibrarse con etapas de
progresividad, maduracion, competencias,
formacion, gestion de cambios, culturas,
2 La visibilidad de la gestion,…y las TICs….

La Vision, Condicionante: desde el modelo de gestion
(Paradigmas).
-Sistema de Gestión para la Gobernabilidad

Institucional.
-La Rendición de Cuentas, la transparencia y la
accesibilidad ciudadana.
-Seguimiento detallado de:
-Politicas sociales, económicas y tributarias,
-Metas por proyectos sectoriales y regionales,
-Compatibilizacion de prioridades de los
diferentes servicios y procesos para la productividad
Administrativa.

La Vision, Estructurante: desde la herramienta.
Ejemplo Gobierno Electrónico.

– Bienestar de los ciudadanos
– Voluntad política para romper y dejar atrás la situación que
se quiere superar
– Ser un Objetivo de la sociedad comprendido, compartido y
apoyado por todos
– Contribuir a la justa distribución de la bienes y servicios
comunitarios.
– Contribuir a la Inversión eficiente de los recursos públicos
– Buscar la justa distribución de los beneficios que se
derivan de la inversión en TICS
– Ser Tecnológicamente óptimo
– Ser Sostenible, mejorable y sustentable.

Alcance Tactico(normativo): Legitimando el hacer,...a
traves de otros,...... con herramientas seguras ?,....
• Proveer una base consensuada para el desarrollo

de criterios comunes y su practica efectiva.
• La gestión de la calidad y de la seguridad de la
informacion, debe posibilitar “relaciones de
confianza con clientes internos y externos,
como así con otras organizaciones”.
• Recomendaciones de aplicabilidad a la realidad
de cada organización que permite a los
responsables iniciar, implementar o mantener los
modelos de gestion ( “e-government ” y otros) con
garantias de sustentabilidad y control sobre las
acciones e inversiones asociadas.
3. La relacion de lo intangible (visiones,
valores,). y lo tangible (hard, soft, net, ..)

El alcance operativo(Monitoreo): Delegando las
responsabilidades del negocio,..herramientas…
Proliferacion de Soluciones comerciales orientadas a

necesidades especificas. -- Aumento de la productividad
mediante TICs. Con la Agenda de Conectividad. Esta todo??
Recursos humanos, basicamente entrenados (orientados)
en operar equipamientos y software en forma NO inteligente.
Customizamos soluciones( adecuamos) o tenemos
“inteligencia: para precisar NUESTROS procesos y
servicios).
Capacidad de Gestion de Proyectos TICs, la asimetria del
conocimiento, en la relacion cliente/proveedor.
4. Relacion Insumo/Producto
• Sin un insumo:
– confiable,
– completo y
– oportuno (la informacion).
La Interfase: Gestion de la calidad y de la seguridad
de la informacion.
• No pueden obtenerse PRODUCTOS:

– cierto,
– Veraz,
– Contextualizado (resultados)

La inteligencia delegada,..debe ser controlada…
Internet
Estudio de casos y aplicabilidad
El concepto de "Gobierno Electrónico" se basa en la idea

de emplear medios informáticos para aumentar la
eficiencia de la gestion publica, permitir a los ciudadanos
una mejor y más intensa comunicación con sus
gobernantes a todo nivel y la prestación directa de
servicios y el sometimiento de toda clase de gestiones a
los despachos administrativos, obteniendo por la misma
vía la resolución correspondiente.

CONSIDERACIONES GENERALES
• Los Gobiernos están considerando el uso de la tecnología y a
Internet como la única oportunidad para transformarse y enfrentar
los desafíos que el Siglo XXI les propone para:
– Mejorar la satisfacción de los ciudadanos, de los responsables
de negocios, de los proveedores y de sus empleados
– Mejorar la Calidad de Vida
– Estimular la Economía
– Aumentar la eficiencia y la eficacia
– Brindar información y servicios a través de la interconexión
entre todos los niveles del Gobierno
– Proveer transparencia, tanto interna como externa

Consideraciones Generales
Contexto que impacta en los Gobiernos
• Explosivo crecimiento de la tecnología: elimina las barreras e
interconecta al mundo
• Administración del Conocimiento: maneja la Economía
• Mundo en creciente competencia: exige las mejores iniciativas
de los gobiernos
• Creciente demanda de percibir el valor de los Gobiernos por
parte de los ciudadanos
• Erosión de la confianza pública
• Globalización en la interacción gubernamental
• Surgimiento del “Ciudadano Digital”
Antecedentes
La evolución de los paradigmas

Gubernamentales en América Latina
Impacto positivo en el Gobierno y en la Sociedad
Fuerza
Sinergia e-Government Desarrollo
Recursos
Reformas
Económicas y
Políticas
“La Década Perdida”

Crisis Políticas, Económicas
y Sociales
Gobierno
Centralizado
1960-1970 1980-1990 1990-2000 El nuevo milenio

Metas en un ambiente de Gob. Electrónico
Mejorar la calidad de vida de los ciudadanos y terceros proveedores

de servicios a los gobiernos
• Mejorar la provisión de los servicios reduciendo la burocracia:
– 7x24 contacto y servicios
– Conectar ciudadanos a las fuentes
– Mejorar la calidad mientras se incrementa la velocidad y la
efectividad
– Simplificación de provisión de servicios a través de
departamentos, programas y localizaciones
• Reducir costos/Incrementar efectividad
• Fortalecer al personal y hacerlos partícipes de los resultados
• Estimular y facilitar desarrollo de la economía (social)
E-Government Metas - Conección
e-Government conecta los Gobiernos a…
e-Gobernabilidad
Ciudadanos
Empleados
Transparencia
Negocios
Confianza/aceptación
Proveedores
Consenso/apertura Mercados
Bienestar Público
E-Government Marco de acción
Servicios Básicos e-Soluciones

e-Soluciones para facilitar la
para facilitar el • Negocios e inversiones interacción de
flujo del • Transporte y servicios los gobiernos
comercio públicos
• Temas laborales &
Empleo
Legislación
• Ayuda Social
y Políticas
Información • Sociedad (servicio de Ejecutivos &
Ciudadanos registración)
y servicios Gerentes
• Educación
• Ciudad y País Estrategia
Planeamiento y Gerencia
• Paz y Seguridad
• Impuestos y Justicia
Bienes • Salud y Medio Tácticas
Ambiente
Fuerza de
Proveedores • Intercambio de Trabajo
información del Sector
Servicios Público Operaciones
(ejecución)

E-Government Estrategia - Lineas de Abordaje
Transformaciones Institucionales: Las llamadas transformaciones

institucionales apuntan a optimizar la gestión de las organizaciones estatales
teniendo en cuenta las características particulares de cada una. Los cambios
buscados están orientados a incrementar la productividad y mejorar la calidad
de los servicios prestados por el Sector Público. Liderados por los más altos
niveles de decisión de cada organización, involucran por igual a los empleados
públicos y a los ciudadanos.
Transformaciones Horizontales: Las llamadas transformaciones

horizontales son las que apuntan a producir cambios en sistemas que atraviesan
transversalmente a toda la Administración Nacional en sus modalidades de
gestión. Su importancia radica en que constituyen el apoyo y sostén
administrativo para todas las actividades de carácter sustantivo. Optimizar y
consolidar estos sistemas horizontales, en línea con el nuevo modelo de gestión,
redundará en una administración más eficaz y eficiente.
La despapelizacion gubernamental,,factura digital,…

La despapelizacion gubernamental,,factura digital,…

IMPLEMENTACIÓN
Administración Información
ISO 17799
Seguridad

Objetivos a cumplir
 Objetivos corporativos
 Objetivos corporativos de Seguridad.
 Objetivos de Seguridad de la Información.
 Objetivos de Seguridad Informática.
 EL cumplimiento de objetivos requiere la

formulación de políticas, planes y proyectos.
 Analisis y evaluacion de los riesgos asociados.

Definicion de los productos a implementar referidos a
Trámites y Servicios presenciales y on-line.
Producto 1: etapas para asegurar la confiabilidad de la

1 gestion de la informacion (iso 17799):
confiabilidad,disponibilidad e integridad
1.1.Consolidacion y verificacion de la informacion:
documental,
catastral,
registros,
expedientes,etc.
1.2.Conformacion de las bases
De datos.
Cruces
Actualizacion
Con
valorizacion
Censos y moratorias
Mapeo de procesos criticos
Procesos de
actualizacion de la
informacion
Grandes medianos
contribuyentes
Declaracion y pago Relacion

Electronico de con entidades
Impuestos financieras
PROCESOS DE FISCALIZACION E INSPECCION

Portal de Servicios : Articulando actores (The bridge)
SISTEMA UNIFICADO DE INFORMACIÓN DE TRÁMITES -

2 SUIT
Permite a los ciudadanos/contribuyentes resolver en un solo
punto sus necesidades de información con respecto a los
trámites relacionados con la Gestion Municipal.
Permite al Municipio, realizar análisis de requerimientos y
necesidades reales(sobre bases estadísticas).
Al unificar, normalizar y mantener actualizada toda la
información relacionada con el mismo origen
(ciudadanos/contribuyentes) y el estado de cada tipo de
trámites.

Portal de Servicios : Articulando actores (The
bridge)
Entidad
TRÁMITES Y SERVICIOS EN LÍNEA contribuyente es del
Orden
3  “Sistemas Provinci
Portal de Servicios alNacio
Especiales de nal
tributacion”
Centro de
 “Denuncias por Puntos de Atención y
Presunta Violación a Servicios Servicio al
las normas
Ciudadano
municipales” Puentes
Plataforma
Tecnológica de los Y corredores
Sistemas de
 "Registro de Obras- Base de de Datos Información TICs
Trámites en Línea
y Actos relacionados
-Inteligencia del Sistema (Núcleo
con los Registros-Optimización de Trámites
Transaccional)
y sus actualizaciones"
Sistema de
Sistema de Control y Pagos
Manejo de Documentos Electrónicos
y Contenido Entidades del
Estado de
LIC. ESPEDITO PASSARELLO Orden
Regional/Territorial
Intranet Municipal
Centro de CIUDADANIA
Atención
y Servicios al Portal del
Ciudadano contribuyente
Puntos de
Servicios
Comunitario
Sistemas
Arquitectura de Integrados
Integración e
Interoperabilidad
Servicios Informáticos Portales
Centro de Datos
Aplicaciones Sistemas de Información
Y Servicios
De Base Núcleo Transaccional de Servicios
Interfaces Estándar de Comunicación entre
Transporte Procesos y Sistemas de Información
Infraestructura de
Infraestructura de
de Almacenamiento y
Comunicaciones
Datos Servicios de Base (Centro
LIC. ESPEDITO PASSARELLO (Conectividad)
de Datos)
Intranet Municipal
• Permitir el intercambio seguro de información entre las
entidades, y garantizar a los ciudadanos/contribuyentes
el acceso a los servicios en Línea.
Componentes del Proyecto:

Red de Alta Velocidad.
Centro de Datos y Servicios de Base.
Plataforma de Interoperabilidad.
Centro de Contacto y atencion al Ciudadano.

Plan de trabajo: Actores y servicios en Línea
Coordinación
Interinstitucional –.
Responsables directivos y
Racionalizar de Areas operativas
Gestion de la seguridad:
•Activos de informacion.
Eliminar Automatizar •Atributos de Proteccion.
•Cumplimiento de leyes
•Firma Digital
•Habeas data.
•Calidad de datos.
•Bases de datos.
•Clave unica
•Pago Electrónico
Flujo de ingresos
Contribuyente
Portal
Otros sistemas Sistema Departamentos

relacionados con Integrado de
Entidades Gestión
Presupuesto entidades
y Pagos
Sistemas
Consolidacion de PAGO Sistema integral Centro de
contable Tesorerías de recaudacion Servicios
(Nal., Dep., Mun.) Entidades electrónica Compartidos
LIC. ESPEDITO PASSARELLO de Control
SSC
Flujo de egesos.
Gestión 1. Gestión:
Indicadores Catálogo de bienes y
servicios, Licitaciones,
Base de procesosInteligencia Compra directa, contratos
Datos informatica marco, pagos.
TICs 2. Interacción de entidades
contratantes, contratistas,
comunidad y órganos de
Flujo
control
Procesos
3. Selección objetiva
4. Divulgación procesos
contractuales
5. Transparencia, eficiencia y
LIC. ESPEDITO PASSARELLO Control posterior
Gestion de la informacion.
Calidad sin seguridad?

Seguridad sin calidad?
Calidad y seguridad de la informacion.
La informacion Insumo primordial de toda
Gestion Institucional.

Somos seguros?
• Muy seguros?
• Poco seguros?
• Relativamente seguros?
• Cual es nuestro estado en seguridad?
• Como planificar sin diagnósticos de base?
• Como mantener y mejorar la gestión de
seguridad?

¿Por donde empezar?
• El fundamento, que permita implementar

exitosamente una Gestión de la seguridad de la
información, reside en;
–Evaluar y Gestionar los riesgos,
–Evaluar Costos.
–Estrategias de Protección.
–Definir políticas de prevención y control del
fraudes y delitos informáticos.
–Es un proceso abierto; proveedores, clientes y
accionistas.

SEGURIDAD DE LA INFORMACION HABEAS DATA
ADECUACIÓN LEY N°25.326
Análisis de la brecha en seguridad
Definición y
documentación Evaluación del
de los procesos riesgo
correctos
Implantación
Adaptación de Políticas, Proc.

y Controles
Estado inicial de la Estado final de la

aplicación Mejora aplicación
Continua
CONCLUSIONES FINALES

Necesidades para adoptar y aplicar Plan
• Aumentar la eficacia de la seguridad de la información

• Diferenciarse en la Gestion, la transparencia y visibilidad de
acciones de gobierno.
• Satisfacer requerimientos de la sociedad y comunidad.
• Bajo estándar mundialmente reconocido
• Potenciales disminuciones de costos y esfuerzos
• Focaliza las responsabilidades del personal
• Se cubre tanto la organización, personal e instalaciones
• Refuerza los mandatos legales (por ej. Habeas Data, Firma
Digital, Reforma del Estado, Propiedad intelectual,etc.)

Beneficios esperados
• Reducir la cantidad de incidentes o contingencias,
por la defiencia o falta de políticas o
procedimientos, o su implementacion no efectiva.
• Oportunidad para identificar vulnerabilidades
• la Alta Gerencia se transforma en propietaria de la
gestion de la calidad y seguridad de información
• Provee privacidad.
• Mejora la conciencia sobre la calidad y seguridad
• Refuerza y combina recursos con otros Sistemas
de Gestión
• Permite la confiabilidad de los indicadores para la
medición de la Gestion General Institucional.
Factores críticos de éxito
• Políticas que aseguren los objetivos Intitucionales.
• Acercamiento a la implantación compatible con la cultura
organizacional.
• Compromiso de la dirección y apoyo visible
• Buena comprensión de los requerimientos de calidad y
seguridad, evaluación y administración del riesgo
• Comunicación eficaz a todos los gerentes y empleados.
• Aumento de la efectividad y productividad.
• Continuidad de negocio.
• Mejora continua a través de procesos de auditorías (revisión).
• Correcta planificación y gestión TICs.
ISO/IEC 17799:2000
Factores críticos de éxito (continuación)
• Distribución de las guías de políticas de la información y

estándares a todos los empleados y proveedores.
• Incremento de los niveles de confianza, clientes y
partners.
• Proveer entrenamiento y la educación apropiada
• Un sistema equilibrado y comprensible de las medidas
que se utilizan para evaluar el funcionamiento e
incorporar las sugerencias de la mejora
ISO/IEC 17799:2000
MUCHAS GRACIAS

Norma ISO 17799 Seguridad de la Información
1. Política de Seguridad
2. Organización de Seguridad
3. Clasificación y Control de Activos
4. Aspectos humanos de la seguridad
5. Seguridad Física y Ambiental
6. Gestión de Comunicaciones y Operaciones
7. Sistema de Control de Accesos
8. Desarrollo y Mantenimiento de Sistemas
9. Plan de Continuidad del Negocio
10.Cumplimiento
Estructura: Dominios de Control
Organizacional
1. Política de
seguridad
2. Seguridad de
la organización
3. Clasificación 7. Control de
y control de los accesos
activos
10.
Conformidad
4. Seguridad del 5. Seguridad física y

personal medioambiental
9. Gestión de la
6. Gestión de las continuidad de las
8. Desarrollo y operaciones de la
mantenimiento de telecomunicaciones y
los sistemas operaciones empresa
Operacional

Políticas, organización y responsables
Tres componentes a tener en cuenta
1) Amenazas, definen requerimientos:
Cualquier acción que compromete la seguridad de la
información perteneciente a la organización.
2) Controles de seguridad:
Principios rectores, reglas y criterios aplicado para su
diseño a fin de detectar, prevenir o recuperarse frente a un
ataque a la seguridad.
3) Gestión de la seguridad:
Es un servicio que mejora la seguridad de un sistema de
procesamiento de datos y de la información que transfiere
la organización. El servicio enfrenta los ataques a la
seguridad utilizando para poder hacerlo, uno o más
mecanismos de seguridad.
APLICABILIDAD
ADECUACIÓN LEY N°25.326
ETAPAS RELEVAMIENTO EVALUACIÓN DIAGNÓSTICO PLAN DE ACCIÓN
 CARÁCTER ENTREVISTAS A C/SECTOR  SEÑALAR MEDIDAS DE  TRABAJO CON

 VOLUMEN ADECUACIÓN USUARIOS
 PERMANENCIA  MANEJO  DOCUMENTACIÓN
INFORMACIÓN  PROVISIÓN CUESTIONARIO  RESTRICCIONES  PROG.ACT.DE LA INF.
 FLUJO INTERNO  TEMPORALIDAD  ACCESOS
 FORMATO  ACTUALIZACIÓN  REG.SOL.CAMBIOS EN
 USUARIOS ANÁLISIS DE RIESGO LAS BASES DE DATOS
 ORGANIGRAMA  DOCUMENTACIÓN
 ACCESO INFORMACIÓN ENTREVISTAS A C/SECTOR  RESPONSABLES  ADECUACIÓN DE
 INCORPORACIÓN FLUJOGRAMAS
RR.HH  ACCESOS  ORDENAMIENTO DE
ORGANIZACIÓN  ACCESO FÍSICO CUESTIONARIO ACCESOS
 VINC.C/PROVEEDORES  IDENTIFICACIÓN  REL.Y TRATAM. CON EL
 VINC.C/USUARIOS “REGISTRO” DE LAS
 CARÁCTER ANÁLISIS DE RIESGO  FLUJOGRAMAS SOC.BASES DE DATOS
 SISTEMA HARD Y SOFT  TRABAJO CON
 SEGURIDAD ACCESO ENTREVISTAS A C/SECTOR  SEGURIDAD SISTEMA USUARIOS
INFORMACIÓN  DOCUMENTACIÓN
 SOPORTE Y  ADECUACIÓN SIST.DE
TÉCNICAS LOCALIZACIÓN CUESTIONARIO  ACCESIBILIDAD SEGURIDAD
 CLAVES DE ACCESO  ORDENAMIENTO DE
 PROVEED.INTERNET  RESGUARDO DE TIPOS DE ACCESOS
 SEGURIDAD ENTORNO ANÁLISIS DE RIESGO ACTIVOS SENSIBLES  FIJACIÓN DE
 COMUNICACIÓN POLÍTICAS DE BACK-UP
 ORGANIGRAMA  TRABAJO CON
FUNCIONAL USUARIOS
 CONTRATOS INFORM. ENTREVISTAS A C/SECTOR  CONTRATOS  DOCUMENTACIÓN
 CONTRATOS C/PROV.  TRATAMIENTO DE LOS
 FUENTES DE RECLAMOS DE
JURÍDICOS INFORMACIÓN CUESTIONARIO  CONFIDENCIALIDAD USUARIOS
 CONTACTOS  ADMINISTRACIÓN DE
C/USUARIOS LAS FUENTES DE
 OBJETO ANÁLISIS DE RIESGO  DOCUMENTACIÓN CONTACTO.
 RECLAMOS DE
USUARIOS
T
E-Government:Estrategia - Transformaciones R
TRANSFORMACION HORIZONTAL A
N
S
Servicios Básicos F
• Negocios e inversiones O
R
• Transporte y servicios
M
públicos
A
• Temas laborales & Empleo C
Legislación
Ciudadanos
• Ayuda Social I
y Políticas
Información • Sociedad (servicio de Ejecutivos & O
y servicios registración) Gerentes N
Estrategia y
• Educación
Gerencia I
• Ciudad y País N
Planeamiento
S
• Paz y Seguridad T
Proveedores
Bienes • Impuestos y Justicia Tácticas I

• Salud y Medio Ambiente T
Fuerza de
U
• Intercambio de Operacione Trabajo
información del Sector C
Servicios s I
Público
(ejecución) O
N
LIC. ESPEDITO PASSARELLO A
L
E-Government
Estrategia
La transformación está enfocada sobre:
• Liderazgo
• Gente
• Procesos
• Tecnología

E-Government Estrategia
Evolución
TRANSFORMACIÓ
Creando nuevos N procesos para soportar
“la mejor clase” de servicios en línea
V
INTEGRACI
A
ÓN integran a las actividades del gobiern
Los Sitios “Web”
L
O electrónico dentro de los procesos existentes
R TRANSACCIÓ
Los Sitios “Web”N permiten
búsquedas, consultas y
reservan y compran servicios
INTERACCIÓN
Los Sitios “Web” permiten
búsqueda de información
ARTICULACIÓN basada en criterios únicos
Los Sitios “Web” proveen solamente
información
COMPLEJIDAD
E-Government Estrategia – Migración integral
Estableciendo una Estrategia para el e-Government

“Izquierda a Derecha” Ambiente
Ciudadano
Cómo Necesi-
estamos dades Ambiente
Solucio- Análisis & & Negocios
nes de la Cómo debe- Oportu-
brecha ríamos ser nidades
Ambiente
Gubernamental
Revisar Anticipar
Evaluar Visualizar
Migración Integral

E-Government Estrategia - Enfoque
• Educar: Desarrollar un “sentido de urgencia” y un “común entendimiento del Gobierno

Electrónico” (e-Government)
• Definir una Visión del Gobierno Electrónico a “largo plazo”
• Definir una estrategia de implementación, de las soluciones para el Gobierno Electrónico,
en forma flexible y escalonada
• Seleccionar un “grupo limitado de proyectos piloto con alto impacto”
• Ejecutar con control: “prioridades claras”, “decisiones oportunas”, resoluciones rápidas”,
“eliminar barreras”, “ejecución rápida” y “flujo de procesos ordenado y depurado”
• Definir resultados y ajustes mensurables
• Establecer ciclos cortos de implantación

etc.
(60-90 días) 1 2 3 4 5
Pilot e-Solution 1
e-Solution 2 Pilot
e-Solution 3 Pilot
E-Government Beneficios
• Mejorar los servicios y la satisfacción de los ciudadanos

• Más recursos disponibles para facilitar el desarrollo de la
economía
• Productividad: Procesos ordenados que resulten en una
administración oportuna y efectiva
• Sinergia de cooperación eliminando fronteras departamentales
• Incremento de la precisión
• Reducción de costos operativos por reducción de tareas
administrativas
• Agilidad y flexibilidad
• Mayor satisfacción en los empleados
E
- IMPACTO DE LAS NORMAS ISO (T.I.) EN LOS PROCESOS
G
O ISO/IEC 17799 ISO/IEC 17799
ISO/IEC 14516 ISO/IEC 17799
V ISO/IEC 14598-15504 ISO/IEC 14598-15504 ISO/IEC 17799
ISO/IEC 14888 ISO/IEC 14888
E
R
N
M Portales Intercambio Servicios Operación Intranet
E Públicos Público Compartidos
N
Empleados Programas Administración Liderazgo

T •Información
Ciudadanos
•Elecciones
•Mensajes •Objetivos
•Asistencia Data
Warehouse •Legislación
•Votación/Opinión Virtual •Opiniones
•Turismo •Recursos
•Participación Modelos de
Programas •Resultados
•Comercio
•Educación •Educación
Negocios
•Defensa •Planeamiento
Atención Clientes
Negocios
•Seguridad •Gerenciamiento
•Permisos/Licencias •etc •Adminis. Pytos.
•Impuestos •Cash Mgt
•Servicio Públicos Infraestructura
Común •Órdenes Trabajo
dede
•Otros Servicios •Software Stand.

•Asesores
Terceros
•Sistemas Adm.
RRHH
Proveedores Terceros
•Producción •Regulaciones
Adm.
•Facturación/Pagos •Adm. •Publicaciones
Documentos •Compulsa
•Abastecimiento •Workflow •Adjudicación
•Administración •Sistemas de
Seguridad •Cumplimiento
• Adm. Licitaciones •Call Centers
•e-Compras •Recursos Tec.
•Servicios •Órdenes Trabajo
Inf. •Adm. Contratos
•Distribución
•Compromisos
•Litigios Fuentes deDatos
ISO/IEC 14516 Guía para el uso y gestión de confianza
•Servicios para servicios deExternas
Públicos terceras partes •Programación
•Puestaen Marcha
ISO/IEC 14888 Firma digital •Facturación/Cbza.
ISO/IEC 17799 Código de practicas para la gestión de seguridad de la información.
ISO/IEC 14598 Evaluación de productos de Software
ISO/IEC 15504 Evaluación de procesos de software (ISO SPICE)
Decisión Administrativa N. 669/04. Ambito nacional
¿ Qué ?
• Dictar o adecuar la Política de Seguridad de la Información.
• Conformar un Comité de Seguridad de la Información.
• Asignar las responsabilidades en materia de Seguridad de la Información.
¿ Cuándo ?
Dentro de los 180 días hábiles de aprobado el Modelo de Política.
¿ Cómo ?
En base al Modelo de Política aprobado.

Decisión Administrativa N. 669/04
¿ Quiénes ? Ley 24.156- Art. 8° - Inc. a) y c)
• Administración Nacional.
• La Administración Central.
• Los Organismos Descentralizados (incluidos los de la Seguridad Social).
• Entes Públicos excluidos del punto anterior

• Cualquier Organización estatal no empresarial con autarquía financiera,
personería jurídica y patrimonio propio, donde el Estado Nacional tenga el
control mayoritario del patrimonio o de la formación de decisiones.

Objetivos
Con el desarrollo e implementación de una

Política de Seguridad de la Información en
cada organismo se persiguen los siguientes
Políticas de objetivos principales:
Seguridad de la
• Establecer un marco normativo (pautas
Información claramente definidas) para gestionar la
seguridad de la información
• Asegurar la confidencialidad, integridad y
disponibilidad de la información
• Elevar los niveles de seguridad.
• Asignar responsabilidades
Planeamiento
Se convoca a distintos areas de la Administración para conocer sus opiniones
sobre las necesidades que permian formular las estrategias de seguridad.
Documentacion, necesidad de que el Organismos cuenten con una Política de

Seguridad escrita, comunicada y con procesos de revision.
Organización:Conformacion delgrupo de trabajo para la redacción del Modelo de

Política de Seguridad y del grupo encargado de la revision perioodica.
Enfoque general: Tomar como base la norma ISO/IRAM 17799

Aprobacion: Se redacta el Modelo y se somete a la consideración de los diferentes
niveles involucrados. .
Publicacion formal, comunicación y capacitacion en todos los niveles y

atendiendo a diferentes competencias y resposnabilidades
Puesta en aplicación
Mejora continua del modelo de gestion de la seguridad de la infomacion

Firma Digital
• Infraestructura de Firma Digital (Ley 25.506)
Comisión Asesora en funcionamiento

Versión preliminar de normas en proceso de aprobación
Infraestructura técnica en desarrollo:
Implementación de la Autoridad Certificante Raiz (ACRA)
Instalación de máxima seguridad
Procedimientos operativos y de seguridad en elaboración
• Uso de la Firma Digital en el Estado
Autoridad Certificante en funcionamiento (25 ARs)

Asistencia en desarrollo de aplicaciones (contrataciones, uso interno SGP,
asistencia a Provincias y otros Poderes)
• Integración regional e internacional

MERCOSUR, Unión Europea, países de la región

SEGURIDAD DE LA INFORMACIÓN
APLICABILIDAD A LOS REQUERIMIENTOS DE LA LEY

25326( HABEAS DATA)
El Hábeas Data es el derecho que posee todo ciudadano
de exigir jurídicamente la exhibición de sus datos y/o la
eliminación de aquellos que considere innecesarios o
discriminatorios.
Protege la integridad moral de las personas, frente a
informaciones referidas a su personalidad, tales como: su
afiliación política, gremial, religiosa, su historia laboral,
sus antecedentes crediticios, policiales e informaciones
similares que constan en registros o bases de datos.

HABEAS DATA
Este tipo de información es conocida como “información

sensible”. Se denomina así a la información cuyo contenido se
refiere a cuestiones privadas y cuyo conocimiento general puede
ser generador de perjuicio o discriminación.
La finalidad del hábeas data es impedir que en bancos o registros
de datos se recopile información que está referida a aspectos de
su personalidad directamente vinculados con su intimidad, que no
pueden encontrarse a disposición del público o entes privados.
HABEAS DATA
Es una garantía constitucional, con objetivos muy precisos, que

busca que el accionante sepa:
Por qué motivos legales, el poseedor de la información llegó a ser
tenedor de la misma.
Desde cuándo tiene la información.
Qué uso ha dado a esa información y qué hará con ella en el futuro.
Conocer a qué personas naturales o jurídicas, el poseedor de la
información le hizo llegar dicha información. Por qué motivo, con qué
propósito y la fecha en la que circuló la información.
Qué tecnología usa para almacenar la información.
Qué seguridades ofrece el tenedor de la información
para garantizar que la misma no sea usada
indebidamente.
HABEAS DATA
COMISIÓN DE LAS COMUNIDADES EUROPEAS
Bruselas, 6.6.2001 COM(2001)298 final
COMUNICACIÓN DE LA COMISIÓN AL CONSEJO, AL PARLAMENTO
EUROPEO, AL COMITÉ ECONÓMICO Y SOCIAL Y AL COMITÉ DE
LAS REGIONES
Seguridad de las redes y de la información:
Propuesta para un enfoque político europeo
• Los Estados miembros deberán fomentar el uso de mejores
prácticas basadas en medidas existentes como ISO/IEC 17799
(código de prácticas para la gestión de la seguridad de la
información www.iso.ch).
ORDEN INT/1751/2002, DE 20 DE JUNIO DE 2002, POR LA QUE SE REGULAN LOS FICHEROS
INFORMÁTICOS DE LA DIRECCIÓN GENERAL DE LA POLICÍA QUE CONTIENEN DATOS DE
CARÁCTER PERSONAL, ADECUÁNDOLOS A LAS PREVISIONES ESTABLECIDAS EN LA LEY
ORGÁNICA 15/1999, DE 13 DICIEMBRE, DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL
Nombre del fichero: "ADDNIFIL"

Finalidad del fichero: Gestión del documento nacional de identidad.
Usos previstos: Control administrativo e investigación policial.
Personas o colectivos sobre los que se pretenden obtener datos de carácter personal o que resulten obligados a
suministrarlos: Ciudadanos españoles solicitantes del documento nacional de identidad.
Procedimiento de recogida de datos de carácter personal: A partir de las solicitudes de expedición o renovación del
documento nacional de identidad.
Estructura básica del fichero y la descripción de los tipos de datos de carácter personal incluidos en el mismo:
Filiación: Apellidos, nombre, fecha y lugar de nacimiento, nombre de los padres, sexo.
Personales: Número del documento nacional de identidad, domicilio, teléfono, fotografía, firma y huellas.
Cesiones de datos que se prevean y transferencias a países terceros, en su caso: A otras Fuerzas y Cuerpos de
Seguridad, a los órganos jurisdiccionales y al Ministerio Fiscal, en virtud de lo establecido en los artículos 3 y 45 de
la Ley Orgánica 2/1986, y artículo 11.2.a) d) y e) y 21.1 de la Ley Orgánica 15/1999, ya organismos internacionales y
países extranjeros en los términos establecidos en los Acuerdos y Tratados suscritos por España (Interpol, Europol,
Sistema Información Schengen, Unión Europea y convenios bilaterales) y a la Administración Tributario de acuerdo
con los artículos 111 y 112 de la Ley General Tributario.
Órgano responsable del fichero: Comisaría General de Extranjería y Documentación, calle General Pardiñas, 90,
28071 Madrid.
Órgano ante el que pueden ejercitarse los derechos de acceso, rectificación o cancelación, cuando proceda: Unidad de
Coordinación y Apoyo Técnico de la Comisaría General de Extranjería y Documentación, calle General Pardiñas, 90,
28071 Madrid.
Medidas de seguridad, con indicación del nivel básico, medio o alto exigible: Alto.
EMPRESAS Y
ORGANISMOS PÚBLICOS
OBLIGACIÓN
DE
ADECUACIÓN
RESPONSABILIDAD RESPONSABILIDAD
PATRIMONIAL PENAL
RESPONSABILIDAD EN
CASCADA
SOLIDARIA E ILIMITADA
RIESGO INSTITUCIONAL
DIRECCIÓN GENERAL
ADECUACIÓN
CONTROL Y MINIMIZACIÓN
DEL RIESGO
ISO 17799 Implementación
Política de
Seguridad de
la Información
Revisión
Gerencial
Organización
de la Seguridad
Acciones
Correctivas
Clasificación
de Activos
Control del
Proceso
Aplicación
Proceso de Controles
Operativo

Como lograrlo ?
Mediante la construccion de un grupo de objetivos de

control y controles apropiados, en una jerarquia de:
- Políticas
- Practicas
- Procesos
- Procedimientos
Se requiere establecer controles para asegurar el cumplimiento de los
objetivos específicos de seguridad de la organización
ISO/IEC 17799:2000

La seguridad NO se adquiere, como un producto, es un
proceso de construccion dinamico,…..
Mediante la formulación de acciones, traducidas en
políticas; ‘‘ conjunto de medidas preventivas, de
detección y corrección destinadas a proteger la
integridad, confidencialidad y disponibilidad de TODOS
los recursos de información.’’
La Seguridad debe permitir compartir los Sistemas de
Información, en forma interna, e incluso con terceros,
pero garantizando su protección.
Primer regla: Es de y para todos.
Segunda regla: Debe adecuarse a las necesidades, nivel
de maduración y recursos de cada empresa
Establecer requerimientos de seguridad
• Evaluación de riesgos de la organización.

- Identificar las amenazas a los activos, la vulnerabilidad y la
probabilidad de ocurrencia y el impacto potencial.
• Requerimientos legales, estatutarios, regulaciones y contractuales.

- Estos requerimientos deben ser definidos por la organización,
negociado con los socios, contratistas y proveedores de servicio.
• El sistema de principios, objetivos y requerimientos para el

procesamiento de la información desarrollado por la organización
para sostener sus operaciones.
ISO/IEC 17799:2000
Primer desafío¡
El primer paso:
Diagnostico global de activos de informacion.
En su Institucion estan definidos todos los
activos de INFORMACIÓN caracterizados por
sus atributos.
Segundo paso:
Mapeo de dichos activos de informacion sobre
los procesos criticos que se refieren a la
continuidad operativa y el cumplimiento
(leyes, decretos, disposiciones, etc.)

Segundo desafio!
Conocer la sensibilidad y/o criticidad de los activos

de informacion, que se desean proteger;
su estacionalidad y temporalidad
• Primer paso: Definicion de instancias de la
gestion de activos.
-Inventario,
-Clasificación,
-Etiquetado.
• Segundo Paso: Analisis y evaluacion de riesgos

de los activos.

Seguridad de la información
AMENAZAS
Actos de la Fraudes
naturaleza
Fallas de Hard,
DEPENDENCIA TIC Y Daño intencional
Soft
VULNERABILIDADES
o instalación
Errores y omisiones Invasión a la privacidad

CONSECUENCIAS
RIESGOS ASOCIADOS
PERDIDAS ESTIMADAS
Ejemplos de amenazas a la información
• Empleados
• Baja conciencia de la importancia en cuestiones
de seguridad
• Crecimiento en redes y computación distribuida
• Crecimiento en complejidad y falta de eficiencia
en las herramientas de detección de intrusos y
virus
• Correo electrónico
• Fuego, inundación, terremotos

Algunos casos que actúan de disparadores
• Hacker obtiene datos de miles de tarjetas de crédito

• Yahoo!, doblegado por los hackers
• Intrusos asaltaron sitio del FBI
• La Casa Blanca extravió correo electrónico
• Hackers acceden a la red de Microsoft
• Suplantan identidad del presidente brasileño
• Hackers atacan a la defensa de EE.UU.
• Estafas a bancos, venta de padrones de ciudadanos,
clientes.
Fuente de riesgos
Casual Hackers: “Script Kiddies” using freely

available hacking tools to probe and harass.
Sophisticated Hacker: Specialists with indepth

knowledge using or developing underground tools.
tools
Disgrountled employee: Employee with detailed

knowledge of Target systems, technologies and
security procedures intent on revenge, or fraud.
Organized Groups: Political activist, terrorist,

government agencies, organized crime, competitors
and foreign governments with greater resources.
Principales riesgos Captura de PC desde el exterior
Mails “anónimos” con información crítica o con agresiones Robo de información

Spamming Violación de e-mails Destrucción de equipamiento
Violación de contraseñas
Intercepción y modificación de e-mails
Virus
Violación de la privacidad de los empleados
Incumplimiento de leyes y regulaciones
Ingeniería social
empleados deshonestos
Fraudes informáticos Programas “bomba”

Propiedad de la Información
Interrupción de los servicios Destrucción de soportes documentales
Acceso clandestino a redes Robo o extravío de notebooks
Acceso indebido a documentos impresos
Indisponibilidad de información clave

Software ilegal
Intercepción de comunicaciones
Falsificación de información para
terceros
Agujeros de seguridad de redes conectadas
Consecuencias
• Robo: dinero, información empresarial relevante,

propiedad intelectual, recursos, etc.
• Pérdida de productividad; Corrupción de datos,
horas extraordinarias, fallas de equipos,..
• Pérdidas indirectas; Daños de imagen, pérdida de
“confianza”,..
• Exposición legal; incumplimiento de contrato, de
compromisos de confidencialidad, ilegalidad de
actividades a través de los sistemas

Respuestas...Necesarias pero NO suficientes.
En mi... implementamos un firewall.

... contratamos una persona para el área.
... en la última auditoría de sistemas no me
sacaron observaciones importantes.
... ya escribí las políticas.
... hice un penetration testing y ya arreglamos
todo.

Evaluación de riesgos
aprovechan
Amenazas Vulnerabilidades
protegen incrementan incrementan exponen

contra
indican Riesgos
Controles Activos
cubiertos por incrementan tienen
Requerimientos Valor de los activos y

de seguridad Potenciales impactos
Impacto sobre la Organización

Evaluar condicionantes: Premisas.
 No existe la “verdad absoluta” en Seguridad de la

Información y por ende en seguridad Informática.
 No es posible eliminar todos los riesgos. Incertidumbre
 Existiran vulnerabilidades potenciales y gestionables.
 La Dirección DEBE estar convencida de que la
Seguridad TIC, hace al OBJETIVO del negocio.
 Cada vez los riesgos y el impacto TIC en los negocios
son mayores.
 Las competencias son la base de todo sistema de
seguridad: el factor humano
 No se puede dejar de hacer algo en este tema.
¿Qué es el riesgo ?
La posibilidad que algo que ocurre impacte en los

objetivos
Una medida de incertidumbre con dos elementos:
◊ La probabilidad de ocurrencia de un evento.
◊ La consecuencia que esto ocurra
El riesgo debe ser “propiedad” de los Gerentes.

Los riesgos específicos debieran ser asignados a
Gerentes específicos.

Riesgos: Cual es el alcance que debo definir para
asegurar mi informacion y como gestionarlos
Componentes del Riesgo
•Confidencialidad
*Financiero
*Cliente
•Integridad *Regulatorio
*Contractual
•Disponibilidad *Franquicia
•Continuidad del Negocio
•Evaluación de Procesos

Evaluación de riesgos; definiciones
• Que es lo que se desea proteger, porque? De

quien? y cual es su valor?
• Evaluación de;
– amenazas,
–impactos y
–Vulnerabilidades,
relativos a la;
información y a las instalaciones para su
procesamiento, y a la probabilidad de que
ocurran.

Compliance con: ISO 17799, normas del negocio y Ley 25326
(Proteccion de datos)
Modelo de Gestión del Riesgo
Evaluar
Políticas
Organización
Gestionar Procesos Diseñar
Tecnología (hardware,
software y redes)
Implementar

Vulnerabilidades
Constituyen las debilidades que

presenta la organización frente a
la amenazas (Internas /Externas).

Vulnerability Assesment
Vulnerabilidad vs. Riesgo

Analisis
Analisis de
de Vulnerabilidades
Vulnerabilidades
Apertura
Apertura Detección
Detección --Regular
Regular Conclusion
Relevamiento de Plan
Plande
de
Relevamiento deeventos
eventos Accion
--TD
TD &
Coleccion
Coleccion yyPruebas
Pruebas Accion --Desvio
Desvio Recommend.

Principales vulnerabilidades
• Control inadecuado de acceso a routers.
• Puntos de accesos remotos sin debida proteccion.
• Cuentas de usuarios con privilegios excesivos.
• Aplicaciones.
• Falta de politicas de seguridad.
• Excesivos mecanismos de control de acceso.
• Falta de formación.
• Fuga de información por snmp, smtp, netbios, dns
• Capacidades inadecuadas o inexistentes de logging, monitoreo y
reacción ante incidentes.
• Deficiente administración de los acceso.
• Mantener servicios activos en forma inadecuada.
• Estructuras inadecuadas (perimetral) ...

Vulnerabilidad vs. Riesgo
R
i
e
s
g
o
N
s
IO
it
ck
or
ud
O
IC
at
tta
A
IN
ul
/a
eg
d
au
R
Oportunidad
Fr
Principales riesgos y el impacto en los negocios
En estos tipos de problemas es difícil:
• Darse cuenta que pasan, hasta que pasan.
• Poder cuantificarlos económicamente, por

ejemplo
¿cuánto le cuesta al negocio 4 horas sin
sistemas?
• Poder vincular directamente sus efectos sobre

los resultados de la Institucion.
Principales riesgos y el impacto en los negocios
Se puede estar preparado para que ocurran lo menos

posible:
• sin grandes inversiones en software
• sin mucha estructura de personal
Tan solo:
• ordenando la Seguridad y Gestionarla.
• parametrizando la seguridad delegada en los sistemas
• utilizando herramientas licenciadas y/o libres en la web

Gestión de riesgos, revisión
• De seguridad y controles implementados:

–Reflejar los cambios en los requerimientos y
prioridades de la empresa.
–Considerar nuevas amenazas y vulnerabilidades.
–Corroborrar que los controles sean eficaces y
apropiados.
• Con diferentes niveles de profundidad, según ;
–Resultados anteriores
–Niveles variables de riesgos dispuesto a aceptar
• Con prioridad;
–Riesgos de alto nivel, medio y bajo.
–Riesgos específicos.

Tic y Entorno Social 2005

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Tic y Entorno Social 2005

Uploaded by

Copyright:

Available Formats

JORNADA DE TRABAJO

Gestion, Calidad y Seguridad bajo entornos TICs

LIC EN ING. ESPEDITO PASSARELLO

LIC. ESPEDITO PASSARELLO

LIC. ESPEDITO PASSARELLO

LIC. ESPEDITO PASSARELLO

• Lic. Ingeniería de Sistemas y Computación Científica (UBA-.

LIC. ESPEDITO PASSARELLO

Código Internacional de Mejores Práticas

LIC. ESPEDITO PASSARELLO

• ISO/IEC 17799:2000 "Information technology – Code of

LIC. ESPEDITO PASSARELLO

LIC. ESPEDITO PASSARELLO

" La información es un activo que, como todo activo

LIC. ESPEDITO PASSARELLO

LIC. ESPEDITO PASSARELLO

Protección de la confidencialidad, integridad, y

LIC. ESPEDITO PASSARELLO

• ISO 17799:2000 define a la misma como

LIC. ESPEDITO PASSARELLO ISO/IEC 17799:2000

• ISO 17799 define las mejores prácticas para la

ISO 17799 puede ser utilizada por cualquier tipo de

Gobierno Bancos Servicios de Industrias

• La seguridad de la información protege la

LIC. ESPEDITO PASSARELLO

LIC. ESPEDITO PASSARELLO

Calidad sin seguridad?

LIC. ESPEDITO PASSARELLO

• Un sistema de gestión es un sistema para establecer

Lo que se monitorea se debe medir,

• Políticas (demostración del compromiso y principios

LIC. ESPEDITO PASSARELLO

• Los controles conforman los principios rectores que

LIC. ESPEDITO PASSARELLO

• La Gestion de la seguridad de la información, es un

PASOS PARA PRECISAR LA APLICABILIDAD.

LIC. ESPEDITO PASSARELLO

• De que forma se traducen especificaciones de

LIC. ESPEDITO PASSARELLO

• Una tarea inicial de diagnostico y pre-auditoría

LIC. ESPEDITO PASSARELLO

• A partir del mínimo nivel aceptable y el nivel

LIC. ESPEDITO PASSARELLO

LIC. ESPEDITO PASSARELLO

LIC. ESPEDITO PASSARELLO

LIC. ESPEDITO PASSARELLO

LIC. ESPEDITO PASSARELLO

Código de buenas prácticas

Guías para la gestión

LIC. ESPEDITO PASSARELLO

• CLARIFIQUEMOS PARA VISUALIZAR CORRECTAMENTE

LIC. ESPEDITO PASSARELLO

Referencia: "Information Security Management: Understanding ISO 17799," Tom

• UNA NORMA TÉCNICA PARA:

LIC. ESPEDITO PASSARELLO

LIC. ESPEDITO PASSARELLO

LIC. ESPEDITO PASSARELLO

LIC. ESPEDITO PASSARELLO

• Comprender los, alcances y sus ventajas

LIC. ESPEDITO PASSARELLO

• Todo personal cuya responsabilidad este

LIC. ESPEDITO PASSARELLO

LIC. ESPEDITO PASSARELLO

LIC. ESPEDITO PASSARELLO