You are on page 1of 140

JORNADA DE TRABAJO Gestion, Calidad y Seguridad bajo entornos TICs

LIC EN ING. ESPEDITO PASSARELLO

LIC. ESPEDITO PASSARELLO

Objetivo: Realizar un diagnóstico - Plan de la Gestión de la Información en la Municipalidad de Maipú.

Desarrollo de temas: • PRIMERA PARTE – 9:30 hs. Conferencia sobre “Gestión de la Calidad y de la Información” • PARTICIPANTES: Comité de la Calidad, Auditores, Facilitadores, Grupos de Mejora, Informática en pleno, Rentas, Personal, Compras

LIC. ESPEDITO PASSARELLO

Presentaciones
SU NOMBRE AREA FUNCION PROCESO CRITICO /SERVICIOS EXPECTATIVAS SOBRE EL CURSO

LIC. ESPEDITO PASSARELLO

Antecedentes del instructor:
Lic. Espedito Passarello
• Lic. Ingeniería de Sistemas y Computación Científica (UBA-. Fac. Ingeniería y Ciencias Exactas). • Consultor de organismos Internacionales; OEA, BM. BID. UNESCO, AHCIET, CE. • Profesor Universitario. • Instructor ISO para America latina y el caribe. • Asesor de Corporaciones Internacionales y Empresas en Latinoamerica. • Miembro de Organizaciones Academicas y Profesionales. • Publicaciones (Libros y artículos -1970 a la fecha) • Coordinador Comites ISO de Seguridad y Calidad IT-(IRAM) • COPITEC – Matricula N 18.
LIC. ESPEDITO PASSARELLO

Organización de la Jornada
Horarios

Comida

Teléfonos y celulares

Servicios
LIC. ESPEDITO PASSARELLO

“Gestión de la Calidad y de la Información”

Consensuando visiones y experiencias en el marco de la SERIE ISO 9000 &IRAM ISO/IEC 17799:2000. Mejores Practicas reconocidas y aplicadas en el orden internacional. Resumen de la Catedra como Director del Curso de post-grado en Gestion, Auditoria y Normas TICs (IESE, ISO, IRAM).
LIC. ESPEDITO PASSARELLO

Gestion de seguridad de la informacion
Código Internacional de Mejores Práticas

Administración

Información

ISO 17799 BS 7799
Seguridad

LIC. ESPEDITO PASSARELLO

Código de prácticas
• ISO/IEC 17799:2000 "Information technology – Code of practice for information security management" JTC1/SC27/WG1 – Basado sobre la norma BS 7799-1:1999 – Preparado para ser utilizado como documento de referencia – Provee un conjunto integral de controles de seguridad – Basado sobre mejores prácticas de seguridad de la información – Consiste de 10 secciones de control, 36 objetivos de control y 127 controles – No puede ser usado para evaluación y registración
LIC. ESPEDITO PASSARELLO

¿Qué es Información y Seguridad de Información? 1) Información:
Definición de activos y sus Atributos. 2) Seguridad de la Información: Medidas y controles. 3)Objetivos,politicas y responsabilidades. Cumplimientos,requisitos y competencias.

la

LIC. ESPEDITO PASSARELLO

Información, Definición

" La información es un activo que, como todo activo importante de negocio, tiene valor para la organización y por consiguiente debe ser protegido adecuadamente "

ISO/IEC 17799:2000
LIC. ESPEDITO PASSARELLO

¿ Qué Información proteger ?
• Impresa o escrita en papel • Guardada en formato electrónico / magnético / óptico. • Almacenada en dispositivos electrónicos. • Transmitida por correo o utilizando medios electrónicos • Presentada en imágenes (videos, publicidad) • Expuesta en conversaciones, conocimiento de las personas: Ingeniería Social.

LIC. ESPEDITO PASSARELLO

Objetivo de la ISO 17799

Protección de la confidencialidad, integridad, y disponibilidad de información escrita, hablada o digitalizada

LIC. ESPEDITO PASSARELLO

¿Qué es Seguridad de la Información?
• ISO 17799:2000 define a la misma como la preservación de la:

Confidencialidad

Disponibilidad
Información Preservar su valor sustancial

Integridad
LIC. ESPEDITO PASSARELLO

¿Qué es Seguridad de la Información?
• ISO 17799:2000 define la seguridad de la información como la preservación de la: – Confidencialidad » Asegura que la información sea accesible sólo a aquellos autorizados a tener acceso – Integridad » Salvaguardar la exactitud, completitud de la información y los métodos de proceso - Disponibilidad » Asegura a los usuarios autorizados tengan acceso a la información cuando lo requieran
LIC. ESPEDITO PASSARELLO

ISO/IEC 17799:2000

Norma ISO 17799 Seguridad de la Información
1. Política de Seguridad 2. Organización de Seguridad 3. Clasificación y Control de Activos 4. Aspectos humanos de la seguridad 5. Seguridad Física y Ambiental 6. Gestión de Comunicaciones y Operaciones 7. Sistema de Control de Accesos 8. Desarrollo y Mantenimiento de Sistemas 9. Plan de Continuidad del Negocio 10.Cumplimiento
LIC. ESPEDITO PASSARELLO

Las 10 secciones de ISO 17799
Descripción de ISO 17799
Política de seguridad
Cumplimiento
Administración de la continuidad Desarrollo y mantenimiento
disponibilidad

Organización de la Seguridad
Clasificación y

integridad

Confidencialidad

control de los activos

Información
Seguridad del personal
Seguridad física y medioambiental

Control de accesos

Gestión de comunicaciones y operaciones

LIC. ESPEDITO PASSARELLO

Enfoque
• ISO 17799 define las mejores prácticas para la administración de la seguridad de información • Un sistema de gestión debe balancear la seguridad física, técnica, procedimental, y personal • Sin un Sistema de Gestión de Seguridad de Información formal, tal como el descripto en la ISO 17799, hay un riesgo grande de que existan brechas en la seguridad • La seguridad de información en un proceso de gestión, no un proceso tecnológico
LIC. ESPEDITO PASSARELLO

¿A quién va dirigida ISO 17799?
ISO 17799 puede ser utilizada por cualquier tipo de organización o de compañía, privada o pública. Si la organización utiliza sistemas internos o externos que poseen informaciones confidenciales, si depende de estos sistemas para el funcionamiento normal de sus operaciones o si simplemente desea probar su nivel de seguridad de la información conformándose a una norma reconocida. Principales areas de aplicacion;
Gobierno Bancos Servicios de salud Industrias de servicio privadas

LIC. ESPEDITO PASSARELLO

ISO 17799 es…
• Una guía de buenas prácticas que presenta una serie de Objetivos de control y controles asociados a ellos. Es la única norma que permite un enfoque total del problema de la seguridad de la información y su relación estrecha con la seguridad informática, abarcando todas las funcionalidades de una empresa. • Un modelo global que permite evaluar, implementar, mantener y administrar la seguridad de información. • Son recomendaciones sobre el uso de 127 controles aplicados en 10 áreas o dominios y 36 objetivos de control. • No es certificable, NO establece requisitos cuyo cumplimiento pudiere certificarse.

LIC. ESPEDITO PASSARELLO

¿Qué es Información y Seguridad de la Información? Resúmen • La seguridad de la información protege la información de una amplia gama de amenazas para asegurar la continuidad del negocio, reducir al mínimo el daño, y maximizar el rendimiento de la inversión y los niveles de servicios comprometidos con el cliente. • Cada organización tendrá un grupo diferente de requerimientos en términos de requisitos de control y de niveles de confidencialidad, integridad y disponibilidad.
LIC. ESPEDITO PASSARELLO

Consultas?

Passarel@mail.retina.ar

LIC. ESPEDITO PASSARELLO

Introduccion a la Gestion de la informacion.

Calidad sin seguridad? Seguridad sin calidad? Calidad y seguridad de la informacion. La informacion segura es el Insumo primordial de toda Gestion Institucional.

LIC. ESPEDITO PASSARELLO

Sistemas de gestión. Definición
• Un sistema de gestión es un sistema para establecer políticas y objetivos y para alcanzar dichos objetivos • Los sistemas de gestión son utilizados por las organizaciones para desarrollar sus políticas y para hacerlas efectivas a través de sus objetivos, considerando: – Estructura organizacional – Procesos sistemáticos y recursos asociados – Metodología para la medicion y evaluación – Procesos de revisión para asegurar que los problemas son corregidos y las oportunidades de mejora son reconocidas e implementadas cuando se justifica Lo que se monitorea se debe medir, lo que se mide puede ser gestionado.
LIC. ESPEDITO PASSARELLO

Sistema de gestión. Elementos
• Políticas (demostración del compromiso y principios para la acción) • Planeamiento (identificación de necesidades, recursos, estructura, responsabilidades) • Desarrollo, implementación y operación (concientización y entrenamiento) • Evaluación del desempeño (monitoreo y mediciones, manejo de las no conformidades, auditorías) • Mejoras (acciones preventivas y correctivas, mejora contínua) • Revisión gerencial

LIC. ESPEDITO PASSARELLO

Sistema de gestión de seguridad de la información • SGSI – Es parte del sistema de gestión global, que basado en los riesgos del negocio, para establecer, implementar, operar, monitorear, revisar, mantener y mejorar el sistema de seguridad. • Diseño e Implementación – Es influenciado por los requerimientos, objetivos y necesidades del negocio, los procesos empleados y el tamaño y la estructura de la organización. – Es lógico pensar que estos y sus sistemas de soporte cambien continuamente, lo que implica afectan los requerimientos de seguridad.
LIC. ESPEDITO PASSARELLO

ISO 17799 Gestión de Información
Política de Seguridad de Información

Conformidad Planificación de Continuidad Desarrollo de Sistemas Controles de Acceso
LIC. ESPEDITO PASSARELLO

Organización de la Seguridad Clasificación y Control de Activos Seguridad del Personal Seguridad Física

Gestión de Comunicaciones

Punto de partida: Cumplimiento
• Los controles conforman los principios rectores que permitan la implementación. • Se basan en requisitos legales o como práctica de uso frecuente. • Los esenciales del punto de vista legal: – Protección de datos y confidencialidad( 12.4). – Protección de registros y documentación (12.1.3). – Derechos de Propiedad Intelectual (12.1.2). – Firma digital, Delitos Informaticos, anti-spam,.. – Las que se refieren al tipo de Organizacion (SIGEN, AGN, ONTI, ANMAT, .)

LIC. ESPEDITO PASSARELLO

¿Qué es Gestion de la Seguridad de la Información? Resúmen • La Gestion de la seguridad de la información, es un subsistema que permite asegurar el logro de objetivos de Proteccion de Activos de informacion de una amplia gama de amenazas. • Fundamentalmente, para prevenir la adulteracion de registros, fraudes, abusos o estafas, con el fin de preservar y dar cumplimiento a Disposiciones legales y regulatorios. • Del punto de vista operativo, asegurar la continuidad del negocio, reducir al mínimo el daño, y maximizar el rendimiento de la inversión y oportunidades de negocio.
LIC. ESPEDITO PASSARELLO

PLAN DE TRABAJO PARA LA ADECUACION DE LAS INSTITUCIONES.

PASOS PARA PRECISAR LA APLICABILIDAD. -NECESIDADES Y PRIORIDADES. -AFECTACION DE RECURSOS. -PUESTA EN MARCHA.
LIC. ESPEDITO PASSARELLO

Aplicabilidad de la norma ISO 17799
• De que forma se traducen especificaciones de alto nivel a soluciones concretas de cada empresa, que permitan la implementación. • Trabajo de consultoría (interna/externa). • Ejemplo:
– Dominio de control; Gestión comunicaciones. Objetivo de control: proteger la integridad del software y de la información. – Control: Controles contra software maliciaoso. – Normativa de uso de software; definir y publicitar

LIC. ESPEDITO PASSARELLO

Nivel de cumplimiento de la norma
• Una tarea inicial de diagnostico y pre-auditoría (análisis de brecha con la norma) permite precisar el nivel actual de cumplimiento por niveles; –Global, –Por dominios, –Por Objetivos de control –Por controles. • Se determina mínimo aceptable y el nivel objetivo requerido (de referencia a las exigencias y posibilidades) por la Institucion/empresa.
LIC. ESPEDITO PASSARELLO

Plan de aplicabilidad
• A partir del mínimo nivel aceptable y el nivel objetivo, podemos definirlo. –Nivel mínimo aceptable; implantación de los controles técnicos mas urgentes, a corto plazo. –Nivel objetivo; se desarrolla dentro del Plan Director de Seguridad Corporativo, en general todos estos esfuerzos ademas cumplir requisitos, puede en el caso de considerarse oportuno ser el paso previo a la certificación.

LIC. ESPEDITO PASSARELLO

Atributos: Medible, repetible, escalable
• Medible – Solamente un estándar internacional puede ser evaluado por terceros – Recomienda incorporar un proceso de escalas de riesgos y de valoración de activos. » Evalúar las amenazas, vulnerabilidades, impactos, tolerancia de riesgos, grado de aseguramiento, probabilidad de la ocurrencia

LIC. ESPEDITO PASSARELLO

Atributos: Medible, repetible, escalable
• Repetible –El nivel de formalización del sistema y el poseer procesos estructurados ayudarán a hacer que el sistema sea repetible –La inversión en el compromiso de la dirección superior y la educación de los empleados en el tema de seguridad reducirá la probabilidad de las amenazas

LIC. ESPEDITO PASSARELLO

Atributos: Medible, repetible, escalable
• Escalable –La infraestructura (sistema de dirección y procesos) puede ser desarrollada en forma centralizada y luego descentralizada a otros niveles. –Si se desea, pueden ser agregados todos los controles adicionales al SGSI

LIC. ESPEDITO PASSARELLO

Consultas?

Passarel@mail.retina.ar

LIC. ESPEDITO PASSARELLO

Complementariedad con otros estándares ISO
Código de buenas prácticas para la gestión de la seguridad de la información ISO 17799
Productos y sistemas certificados ISO 15408 (CC) Guías para la gestión de la seguridad de la TI ISO 13335 (GMITS)

LIC. ESPEDITO PASSARELLO

Seguridad de la Informacion no es seguridad informatica!
• CLARIFIQUEMOS PARA VISUALIZAR CORRECTAMENTE LAS ACCIONES. • Disponer de componentes TIC de proteccion

• • • •

(antivirus, firewall, etc.). Certificaciones de personas (Cisco, Micorsoft, IBM, etc.) Tercerizar aspectos TIC. Adquirir soluciones TIC (ERP, CRM,DW,DM,etc). Para esta capa existen una gran variedad de normas y modelos(ISO, ITIL, ISACA, IEEE, ITU, NIST, etc.)

LIC. ESPEDITO PASSARELLO

ISO 17799 no es…
• Un estándar técnico • Orientado a un producto o tecnología • Una metodología de evaluación de equipamiento tal como el Criterio Común/ISO 15408 – Pero puede requerir la utilización de una “Common Criteria Equipment Assurance Level (EAL)” • Relacionado con los "Generally Accepted System Security Principles," or GASSP – Pero puede incorporar los lineamientos de los GASSP • Relacionado con las cinco partes de las "Guidelines for the Management of IT Security," o GMITS/ISO TR 13335 – Pero puede implementar conceptos de las GMITS
Referencia: "Information Security Management: Understanding ISO 17799," Tom Carlson, Lucent Technologies Worldwide Services
LIC. ESPEDITO PASSARELLO

La norma ISO 17799, no es
• UNA NORMA TÉCNICA PARA: – Análisis de vulnerabilidad, – Test de intrusión, – Provisión de componentes, – Seguridad de productos y servicios, – Hacking, criptografía, – ETC. .
LIC. ESPEDITO PASSARELLO

Final de la primera parte. Gracias por su atencion!

LIC. ESPEDITO PASSARELLO

Taller sobre Gestión de la Información.
Seguna

SEGUNDA PARTE:

LIC. ESPEDITO PASSARELLO

PARTICIPANTES: Secretario Gerente de Hacienda y Administración: Ctdor. Elián Japaz, Contador General: Ctdor. Francisco Di Prima, Jefe Dpto. Gral. de Administración y Control: Alejandro Sabino, Jefe Dpto. Gral. de Rentas: Ernesto Rodriguez, Jefe Dpto. Gral. de Personal: Héctor Alfaro, Jefe de Despacho General: Ricardo Cirrincione, Jefe Dpto. de Compras y Suministros, Jefe de Mesa de Entradas: Horacio Lena, Jefe de Gestión Ambiental: Luis Lucero, Directora de Salud: Dolores Alfonso, Grupo de Mejora de Comunicación y de Indicadores, Personal de las áreas de: Informática, Rentas, Personal, Compras, Planeamiento y Gestión de la Calidad, Honorable Concejo Deliberante.
LIC. ESPEDITO PASSARELLO

Objetivo
• Comprender los, alcances y sus ventajas competitivas; – Adquirir información que permitan evaluar posibilidades de adecuación. – Conocer las características principales de los sistemas de gestión de calidad y seguridad de la información.

LIC. ESPEDITO PASSARELLO

Actores principales
• Todo personal cuya responsabilidad este involucrada en el ciclo de gestión de la información, en particular aquellos cuya relación este en forma directa con los procesos críticos de negocios; – Funcionales, Auditores,Técnicos, Legales,... • Empresas proveedoras de servicios y productos relacionados con los aspectos TIC (Tecnologías de la información, informática y comunicaciones).

LIC. ESPEDITO PASSARELLO

Tendencias; Rentabilidad, Calidad, Cumplimiento, Innovación tecnológica
• Sociedad del Conocimiento y de la informacion. • Globalización (nacional, provincial y regional ). • La infraestructura internet, millones de dispositivos non-stop…y el crecimiento explosivo.. • Delimitación confusa en los b2b, c2b… • La presion de los que producen las TICs, plazos de lanzamiento e innovación de productos y servicios. • La infraestuctura informatica (propietario/libre). • HABEAS DATA, FIRMA DIGITAL, ..
LIC. ESPEDITO PASSARELLO

1. La agenda y los actores Consideraciones preliminares. (The issues)
“Las TIC’s no pueden lograr por si solas,
que las gestiones sean diferentes o mejores” – Naciones Unidas Gobierno Electrónico en la Encrucijada Agosto 2003

LIC. ESPEDITO PASSARELLO

Tipificación de necesidades: La vision Organizacional (la agenda)
• Negocios, Recursos, Arquitecturas, .. • Como se hallan priorizados los temas de calidad y seguridad en general y en paticular los aspectos TIC… • Dispone de políticas, normas y procedimientos. • Estan delegadas en responsables claramente definidos en todo el ámbito de la organización y con terceros. • Recibe auditorias periódicas; externas, internas. • Qué normativas de cumplimiento deben cumplirse. • En estos momentos esta en un proyecto de adecuación. • Qué recursos y plazos estan manejando. • De 1 a 10, Cómo ponderaria la calidad y seguridad de la informacion.

LIC. ESPEDITO PASSARELLO

Tipificación de necesidades: La vision del actor (instalacion en la problemática)
• Que Responsabilidad directa tiene Ud en los aspectos mencionados (Negocios, Cumplimiento, IT, Físicos, Recursos humanos, otros específicos). • Cual es el Grado.de relación con los niveles de dirección y su escalabilidad • Como se gestionan y documentan los incidentes. • Quién es el responsable de gestionar los cambios, a nuevos requisitos • Cuál es, para Ud. el tema de MAYOR IMPORTANCIA, en estos momentos.

LIC. ESPEDITO PASSARELLO

Alcance situacional: La formulacion del modelo posible....un compromiso de todos y para todos. • Estrategicamente la Institucion, formula y decide sus politicas y proyectos para el logro de objetivos Sociales, bajo las restricciones economicas. • Definir los Recursos e Instrumentos, necesarios y posibles, para el desarrollo de Soluciones (Servicios) que satisfagan requerimientos reales y permitan el logro de Niveles de servicios aceptables(day to day). • Formular planes, pueden ser de relativa facilidad, la forma de implementarlos, es lo que NOS hace diferentes. • La intangibilidad debe equilibrarse con etapas de progresividad, maduracion, competencias, formacion, gestion de cambios, culturas, LIC. ESPEDITO PASSARELLO

2 La visibilidad de la gestion,…y las TICs….

LIC. ESPEDITO PASSARELLO

La Vision, Condicionante: desde el modelo de gestion (Paradigmas). -Sistema de Gestión para la Gobernabilidad Institucional. -La Rendición de Cuentas, la transparencia y la accesibilidad ciudadana. -Seguimiento detallado de: -Politicas sociales, económicas y tributarias, -Metas por proyectos sectoriales y regionales, -Compatibilizacion de prioridades de los diferentes servicios y procesos para la productividad Administrativa.
LIC. ESPEDITO PASSARELLO

La Vision, Estructurante: desde la herramienta.
Ejemplo Gobierno Electrónico. – Bienestar de los ciudadanos – Voluntad política para romper y dejar atrás la situación que se quiere superar – Ser un Objetivo de la sociedad comprendido, compartido y apoyado por todos – Contribuir a la justa distribución de la bienes y servicios comunitarios. – Contribuir a la Inversión eficiente de los recursos públicos – Buscar la justa distribución de los beneficios que se derivan de la inversión en TICS – Ser Tecnológicamente óptimo – Ser Sostenible, mejorable y sustentable.
LIC. ESPEDITO PASSARELLO

Alcance Tactico(normativo): Legitimando el hacer,...a traves de otros,...... con herramientas seguras ?,.... • Proveer una base consensuada para el desarrollo de criterios comunes y su practica efectiva. • La gestión de la calidad y de la seguridad de la informacion, debe posibilitar “relaciones de confianza con clientes internos y externos, como así con otras organizaciones”. • Recomendaciones de aplicabilidad a la realidad de cada organización que permite a los responsables iniciar, implementar o mantener los modelos de gestion ( “e-government ” y otros) con garantias de sustentabilidad y control sobre las acciones e inversiones asociadas.
LIC. ESPEDITO PASSARELLO

3. La relacion de lo intangible (visiones, valores,). y lo tangible (hard, soft, net, ..)

LIC. ESPEDITO PASSARELLO

El alcance operativo(Monitoreo): Delegando las responsabilidades del negocio,..herramientas…
Proliferacion de Soluciones comerciales orientadas a necesidades especificas. -- Aumento de la productividad mediante TICs. Con la Agenda de Conectividad. Esta todo?? Recursos humanos, basicamente entrenados (orientados) en operar equipamientos y software en forma NO inteligente. Customizamos soluciones( adecuamos) o tenemos “inteligencia: para precisar NUESTROS procesos y servicios). Capacidad de Gestion de Proyectos TICs, la asimetria del conocimiento, en la relacion cliente/proveedor.
LIC. ESPEDITO PASSARELLO

4. Relacion Insumo/Producto
• Sin un insumo: – confiable, – completo y – oportuno (la informacion).

La Interfase: Gestion de la calidad y de la seguridad de la informacion.

No pueden obtenerse PRODUCTOS: – cierto, – Veraz, – Contextualizado (resultados)

LIC. ESPEDITO PASSARELLO

La inteligencia delegada,..debe ser controlada…

LIC. ESPEDITO PASSARELLO

Internet

Estudio de casos y aplicabilidad

El concepto de "Gobierno Electrónico" se basa en la idea de emplear medios informáticos para aumentar la eficiencia de la gestion publica, permitir a los ciudadanos una mejor y más intensa comunicación con sus gobernantes a todo nivel y la prestación directa de servicios y el sometimiento de toda clase de gestiones a los despachos administrativos, obteniendo por la misma vía la resolución correspondiente.
LIC. ESPEDITO PASSARELLO

CONSIDERACIONES GENERALES
• Los Gobiernos están considerando el uso de la tecnología y a Internet como la única oportunidad para transformarse y enfrentar los desafíos que el Siglo XXI les propone para: – Mejorar la satisfacción de los ciudadanos, de los responsables de negocios, de los proveedores y de sus empleados – Mejorar la Calidad de Vida – Estimular la Economía – Aumentar la eficiencia y la eficacia – Brindar información y servicios a través de la interconexión entre todos los niveles del Gobierno – Proveer transparencia, tanto interna como externa
LIC. ESPEDITO PASSARELLO

Consideraciones Generales Contexto que impacta en los Gobiernos
• Explosivo crecimiento de la tecnología: elimina las barreras e interconecta al mundo • Administración del Conocimiento: maneja la Economía • Mundo en creciente competencia: exige las mejores iniciativas de los gobiernos • Creciente demanda de percibir el valor de los Gobiernos por parte de los ciudadanos • Erosión de la confianza pública • Globalización en la interacción gubernamental • Surgimiento del “Ciudadano Digital”
LIC. ESPEDITO PASSARELLO

Antecedentes
La evolución de los paradigmas Gubernamentales en América Latina
Impacto positivo en el Gobierno y en la Sociedad Fuerza Sinergia e-Government Desarrollo Recursos Reformas Económicas y Políticas “La Década Perdida” Crisis Políticas, Económicas y Sociales Gobierno Centralizado 1980-1990 1990-2000 El nuevo milenio

1960-1970 LIC. ESPEDITO PASSARELLO

Metas en un ambiente de Gob. Electrónico
Mejorar la calidad de vida de los ciudadanos y terceros proveedores de servicios a los gobiernos • Mejorar la provisión de los servicios reduciendo la burocracia: – 7x24 contacto y servicios – Conectar ciudadanos a las fuentes – Mejorar la calidad mientras se incrementa la velocidad y la efectividad – Simplificación de provisión de servicios a través de departamentos, programas y localizaciones • Reducir costos/Incrementar efectividad • Fortalecer al personal y hacerlos partícipes de los resultados • Estimular y facilitar desarrollo de la economía (social)
LIC. ESPEDITO PASSARELLO

E-Government

Metas - Conección

e-Government conecta los Gobiernos a…

Ciudadanos

e-Gobernabilidad Empleados

Proveedores

Transparencia Negocios Confianza/aceptación Consenso/apertura Bienestar Público

Mercados

LIC. ESPEDITO PASSARELLO

E-Government

Marco de acción

e-Soluciones para facilitar el flujo del comercio

Ciudadanos

Información y servicios

Bienes Proveedores Servicios LIC. ESPEDITO PASSARELLO

Servicios Básicos • Negocios e inversiones • Transporte y servicios públicos • Temas laborales & Empleo • Ayuda Social • Sociedad (servicio de registración) • Educación • Ciudad y País Planeamiento • Paz y Seguridad • Impuestos y Justicia • Salud y Medio Ambiente • Intercambio de información del Sector Público

e-Soluciones para facilitar la interacción de los gobiernos

Legislación y Políticas

Ejecutivos & Gerentes

Estrategia y Gerencia

Tácticas Fuerza de Trabajo Operaciones (ejecución)

E-Government

Estrategia - Lineas de Abordaje

Transformaciones Institucionales: Las llamadas transformaciones institucionales apuntan a optimizar la gestión de las organizaciones estatales teniendo en cuenta las características particulares de cada una. Los cambios buscados están orientados a incrementar la productividad y mejorar la calidad de los servicios prestados por el Sector Público. Liderados por los más altos niveles de decisión de cada organización, involucran por igual a los empleados públicos y a los ciudadanos. Transformaciones Horizontales: Las llamadas transformaciones horizontales son las que apuntan a producir cambios en sistemas que atraviesan transversalmente a toda la Administración Nacional en sus modalidades de gestión. Su importancia radica en que constituyen el apoyo y sostén administrativo para todas las actividades de carácter sustantivo. Optimizar y consolidar estos sistemas horizontales, en línea con el nuevo modelo de gestión, redundará en una administración más eficaz y eficiente.
LIC. ESPEDITO PASSARELLO

La despapelizacion gubernamental,,factura digital,…

LIC. ESPEDITO PASSARELLO

La despapelizacion gubernamental,,factura digital,…

LIC. ESPEDITO PASSARELLO

IMPLEMENTACIÓN

Administración

Información

ISO 17799
Seguridad

LIC. ESPEDITO PASSARELLO

Objetivos a cumplir
 Objetivos corporativos  Objetivos corporativos de Seguridad.  Objetivos de Seguridad de la Información.  Objetivos de Seguridad Informática.  EL cumplimiento de objetivos requiere la formulación de políticas, planes y proyectos.  Analisis y evaluacion de los riesgos asociados.
LIC. ESPEDITO PASSARELLO

Definicion de los productos a implementar referidos a Trámites y Servicios presenciales y on-line. Producto 1: etapas para asegurar la confiabilidad de la 1 gestion de la informacion (iso 17799): confiabilidad,disponibilidad e integridad 1.1.Consolidacion y verificacion de la informacion: documental, catastral, registros, expedientes,etc. 1.2.Conformacion de las bases De datos. Cruces Con Censos y moratorias
LIC. ESPEDITO PASSARELLO

Actualizacion valorizacion

Mapeo de procesos criticos

Procesos de actualizacion de la informacion Grandes medianos contribuyentes Declaracion y pago Electronico de Impuestos Relacion con entidades financieras

PROCESOS DE FISCALIZACION E INSPECCION
LIC. ESPEDITO PASSARELLO

Portal de Servicios : Articulando actores (The bridge) 2 SISTEMA UNIFICADO DE INFORMACIÓN DE TRÁMITES SUIT Permite a los ciudadanos/contribuyentes resolver en un solo punto sus necesidades de información con respecto a los trámites relacionados con la Gestion Municipal. Permite al Municipio, realizar análisis de requerimientos y necesidades reales(sobre bases estadísticas). Al unificar, normalizar y mantener actualizada toda la información relacionada con el mismo origen (ciudadanos/contribuyentes) y el estado de cada tipo de trámites.

LIC. ESPEDITO PASSARELLO

Portal de Servicios : Articulando actores (The bridge)
TRÁMITES Y SERVICIOS EN LÍNEA 3  “Sistemas Especiales de tributacion”  “Denuncias por Presunta Violación a las normas municipales” Portal de Servicios contribuyente Entidad es del Orden Provinci alNacio nal

Centro de Atención y Servicio al Ciudadano Puentes Plataforma Y Sistemas de corredores Tecnológica de los  "Registro de Obras Base de de Datos Información TICs Trámites en Línea y Actos relacionados -Inteligencia del Sistema (Núcleo con los Registros -Optimización de Trámites Transaccional) y sus actualizaciones" Puntos de Servicios Sistema de Pagos Electrónicos Entidades del Estado de Orden Regional/Territorial

Sistema de Control y Manejo de Documentos y Contenido
LIC. ESPEDITO PASSARELLO

Intranet Municipal
Centro de Atención y Servicios al Ciudadano Puntos de Servicios Comunitario Arquitectura de Integración e Interoperabilidad Centro de Datos Y Servicios De Base Transporte de Datos Sistemas Integrados CIUDADANIA Portal del contribuyente

Servicios Informáticos Aplicaciones

Portales Sistemas de Información

LIC. ESPEDITO PASSARELLO

Núcleo Transaccional de Servicios Interfaces Estándar de Comunicación entre Procesos y Sistemas de Información Infraestructura de Infraestructura de Almacenamiento y Comunicaciones Servicios de Base (Centro (Conectividad) de Datos)

Intranet Municipal
• Permitir el intercambio seguro de información entre las entidades, y garantizar a los ciudadanos/contribuyentes el acceso a los servicios en Línea.

Componentes del Proyecto: Red de Alta Velocidad. Centro de Datos y Servicios de Base. Plataforma de Interoperabilidad. Centro de Contacto y atencion al Ciudadano.

LIC. ESPEDITO PASSARELLO

Plan de trabajo: Actores y servicios en Línea
Coordinación Interinstitucional –. Responsables directivos y de Areas operativas Gestion de la seguridad: •Activos de informacion. •Atributos de Proteccion. •Cumplimiento de leyes •Firma Digital •Habeas data. •Calidad de datos. •Bases de datos. •Clave unica •Pago Electrónico

Racionalizar

Eliminar Automatizar

LIC. ESPEDITO PASSARELLO

Flujo de ingresos
Contribuyente

Portal

Otros sistemas relacionados con Entidades Presupuesto y Pagos

Sistema Integrado de Gestión

Departamentos

entidades

Sistemas Consolidacion de PAGO Sistema integral Centro de contable Tesorerías de recaudacion Servicios Entidades electrónica (Nal., Dep., Mun.) Compartidos de Control LIC. ESPEDITO PASSARELLO SSC

Flujo de egesos.
1. Gestión: Catálogo de bienes y servicios, Licitaciones, Compra directa, contratos Base de procesosInteligencia marco, pagos. informatica Datos TICs 2. Interacción de entidades contratantes, contratistas, comunidad y órganos de Flujo control Procesos 3. Selección objetiva 4. Divulgación procesos contractuales 5. Transparencia, eficiencia y Control posterior LIC. ESPEDITO PASSARELLO Gestión Indicadores

Gestion de la informacion.

Calidad sin seguridad? Seguridad sin calidad? Calidad y seguridad de la informacion. La informacion Insumo primordial de toda Gestion Institucional.

LIC. ESPEDITO PASSARELLO

Somos seguros?
• • • • • • Muy seguros? Poco seguros? Relativamente seguros? Cual es nuestro estado en seguridad? Como planificar sin diagnósticos de base? Como mantener y mejorar la gestión de seguridad?

LIC. ESPEDITO PASSARELLO

¿Por donde empezar? • El fundamento, que permita implementar exitosamente una Gestión de la seguridad de la información, reside en; –Evaluar y Gestionar los riesgos, –Evaluar Costos. –Estrategias de Protección. –Definir políticas de prevención y control del fraudes y delitos informáticos. –Es un proceso abierto; proveedores, clientes y accionistas.
LIC. ESPEDITO PASSARELLO

SEGURIDAD DE LA INFORMACION HABEAS DATA ADECUACIÓN LEY N°25.326 Análisis de la brecha en seguridad Definición y documentación Evaluación del de los procesos riesgo correctos Implantación
Adaptación de Políticas, Proc. y Controles

Estado inicial de la aplicación

Mejora Continua

Estado final de la aplicación

CONCLUSIONES FINALES

LIC. ESPEDITO PASSARELLO

Necesidades para adoptar y aplicar Plan
• Aumentar la eficacia de la seguridad de la información • Diferenciarse en la Gestion, la transparencia y visibilidad de acciones de gobierno. • Satisfacer requerimientos de la sociedad y comunidad. • Bajo estándar mundialmente reconocido • Potenciales disminuciones de costos y esfuerzos • Focaliza las responsabilidades del personal • Se cubre tanto la organización, personal e instalaciones • Refuerza los mandatos legales (por ej. Habeas Data, Firma Digital, Reforma del Estado, Propiedad intelectual,etc.)

LIC. ESPEDITO PASSARELLO

Beneficios esperados
• Reducir la cantidad de incidentes o contingencias, por la defiencia o falta de políticas o procedimientos, o su implementacion no efectiva. • Oportunidad para identificar vulnerabilidades • la Alta Gerencia se transforma en propietaria de la gestion de la calidad y seguridad de información • Provee privacidad. • Mejora la conciencia sobre la calidad y seguridad • Refuerza y combina recursos con otros Sistemas de Gestión • Permite la confiabilidad de los indicadores para la medición de la Gestion General Institucional. LIC. ESPEDITO PASSARELLO

Factores críticos de éxito
• Políticas que aseguren los objetivos Intitucionales. • Acercamiento a la implantación compatible con la cultura organizacional. • Compromiso de la dirección y apoyo visible • Buena comprensión de los requerimientos de calidad y seguridad, evaluación y administración del riesgo • Comunicación eficaz a todos los gerentes y empleados. • Aumento de la efectividad y productividad. • Continuidad de negocio. • Mejora continua a través de procesos de auditorías (revisión). • Correcta planificación y gestión TICs.

ISO/IEC 17799:2000
LIC. ESPEDITO PASSARELLO

Factores críticos de éxito (continuación)
• Distribución de las guías de políticas de la información y estándares a todos los empleados y proveedores. • Incremento de los niveles de confianza, clientes y partners. • Proveer entrenamiento y la educación apropiada • Un sistema equilibrado y comprensible de las medidas que se utilizan para evaluar el funcionamiento e incorporar las sugerencias de la mejora

ISO/IEC 17799:2000
LIC. ESPEDITO PASSARELLO

MUCHAS GRACIAS

Passarel@mail.retina.ar

LIC. ESPEDITO PASSARELLO

Norma ISO 17799 Seguridad de la Información
1. Política de Seguridad 2. Organización de Seguridad 3. Clasificación y Control de Activos 4. Aspectos humanos de la seguridad 5. Seguridad Física y Ambiental 6. Gestión de Comunicaciones y Operaciones 7. Sistema de Control de Accesos 8. Desarrollo y Mantenimiento de Sistemas 9. Plan de Continuidad del Negocio 10.Cumplimiento
LIC. ESPEDITO PASSARELLO

Estructura: Dominios de Control
Organizacional

1. Política de
seguridad 2. Seguridad de la organización 3. Clasificación y control de los activos 7. Control de accesos

10. Conformidad 4. Seguridad del personal 5. Seguridad física y medioambiental 9. Gestión de la continuidad de las operaciones de la empresa

8. Desarrollo y mantenimiento de los sistemas

6. Gestión de las telecomunicaciones y operaciones

Operacional LIC. ESPEDITO PASSARELLO

Políticas, organización y responsables
Tres componentes a tener en cuenta 1) Amenazas, definen requerimientos: Cualquier acción que compromete la seguridad de la información perteneciente a la organización. 2) Controles de seguridad: Principios rectores, reglas y criterios aplicado para su diseño a fin de detectar, prevenir o recuperarse frente a un ataque a la seguridad. 3) Gestión de la seguridad: Es un servicio que mejora la seguridad de un sistema de procesamiento de datos y de la información que transfiere la organización. El servicio enfrenta los ataques a la seguridad utilizando para poder hacerlo, uno o más mecanismos de seguridad.
LIC. ESPEDITO PASSARELLO

APLICABILIDAD
ADECUACIÓN LEY N°25.326
ETAPAS
                           

RELEVAMIENTO
CARÁCTER VOLUMEN PERMANENCIA PROVISIÓN FLUJO INTERNO FORMATO USUARIOS ORGANIGRAMA ACCESO INFORMACIÓN INCORPORACIÓN RR.HH ACCESO FÍSICO VINC.C/PROVEEDORES VINC.C/USUARIOS CARÁCTER SISTEMA HARD Y SOFT SEGURIDAD ACCESO INFORMACIÓN SOPORTE Y LOCALIZACIÓN CLAVES DE ACCESO PROVEED.INTERNET SEGURIDAD ENTORNO COMUNICACIÓN ORGANIGRAMA FUNCIONAL CONTRATOS INFORM. CONTRATOS C/PROV. FUENTES DE INFORMACIÓN CONTACTOS C/USUARIOS OBJETO RECLAMOS DE USUARIOS

EVALUACIÓN
ENTREVISTAS A C/SECTOR  CUESTIONARIO ANÁLISIS DE RIESGO    

DIAGNÓSTICO
SEÑALAR MEDIDAS DE  ADECUACIÓN MANEJO  RESTRICCIONES  TEMPORALIDAD  ACTUALIZACIÓN     

PLAN DE ACCIÓN
TRABAJO CON USUARIOS DOCUMENTACIÓN PROG.ACT.DE LA INF. ACCESOS REG.SOL.CAMBIOS EN LAS BASES DE DATOS DOCUMENTACIÓN ADECUACIÓN DE FLUJOGRAMAS ORDENAMIENTO DE ACCESOS REL.Y TRATAM. CON EL “REGISTRO” DE LAS SOC.BASES DE DATOS TRABAJO CON USUARIOS DOCUMENTACIÓN ADECUACIÓN SIST.DE SEGURIDAD ORDENAMIENTO DE TIPOS DE ACCESOS FIJACIÓN DE POLÍTICAS DE BACK-UP TRABAJO CON USUARIOS DOCUMENTACIÓN TRATAMIENTO DE LOS RECLAMOS DE USUARIOS ADMINISTRACIÓN DE LAS FUENTES DE CONTACTO.

INFORMACIÓN

ENTREVISTAS A C/SECTOR  CUESTIONARIO ANÁLISIS DE RIESGO   

RESPONSABLES ACCESOS IDENTIFICACIÓN FLUJOGRAMAS

ORGANIZACIÓN

ENTREVISTAS A C/SECTOR  CUESTIONARIO ANÁLISIS DE RIESGO  

 SEGURIDAD SISTEMA ACCESIBILIDAD RESGUARDO DE ACTIVOS SENSIBLES     

TÉCNICAS

ENTREVISTAS A C/SECTOR  CUESTIONARIO ANÁLISIS DE RIESGO  

CONTRATOS CONFIDENCIALIDAD

  

JURÍDICOS

DOCUMENTACIÓN

E-Government:Estrategia - Transformaciones
TRANSFORMACION HORIZONTAL Servicios Básicos • Negocios e inversiones • Transporte y servicios públicos • Temas laborales & Empleo • Ayuda Social • Sociedad (servicio de registración) • Educación • Ciudad y País Planeamiento • Paz y Seguridad • Impuestos y Justicia • Salud y Medio Ambiente • Intercambio de información del Sector Público

Información y servicios

Legislación y Políticas Estrategia y Gerencia

Ejecutivos & Gerentes

T R A N S F O R M A C I O N I N S T I T U C I O N A L

Ciudadanos Ciudadanos Proveedores

Bienes

Tácticas Operacione s (ejecución) Fuerza de Trabajo

Servicios

LIC. ESPEDITO PASSARELLO

E-Government Estrategia La transformación está enfocada sobre: • • • • Liderazgo Gente Procesos Tecnología

LIC. ESPEDITO PASSARELLO

E-Government
Evolución

Estrategia

TRANSFORMACIÓ N Creando nuevos procesos para soportar “la mejor clase” de servicios en línea V A L O R

INTEGRACI ÓN Los Sitios “Web” integran a las actividades del gobiern electrónico dentro de los procesos existentes TRANSACCIÓ N Los Sitios “Web” permiten búsquedas, consultas y reservan y compran servicios INTERACCIÓN Los Sitios “Web” permiten búsqueda de información ARTICULACIÓN basada en criterios únicos Los Sitios “Web” proveen solamente información COMPLEJIDAD

LIC. ESPEDITO PASSARELLO

E-Government

Estrategia – Migración integral

Estableciendo una Estrategia para el e-Government “Izquierda a Derecha” Ambiente
Cómo estamos & Cómo deberíamos ser Necesidades & Oportunidades

Ciudadano

Soluciones

Análisis de la brecha

Ambiente Negocios Ambiente Gubernamental

Evaluar

Revisar

Anticipar

Visualizar

Migración Integral

LIC. ESPEDITO PASSARELLO

E-Government
• • • • • • •

Estrategia - Enfoque

Educar: Desarrollar un “sentido de urgencia” y un “común entendimiento del Gobierno Electrónico” (e-Government) Definir una Visión del Gobierno Electrónico a “largo plazo” Definir una estrategia de implementación, de las soluciones para el Gobierno Electrónico, en forma flexible y escalonada Seleccionar un “grupo limitado de proyectos piloto con alto impacto” Ejecutar con control: “prioridades claras”, “decisiones oportunas”, resoluciones rápidas”, “eliminar barreras”, “ejecución rápida” y “flujo de procesos ordenado y depurado” Definir resultados y ajustes mensurables Establecer ciclos cortos de implantación (60-90 días)

1 Pilot

2

3 4 e-Solution 1

5

etc.

e-Solution 2 Pilot LIC. ESPEDITO PASSARELLO e-Solution 3 Pilot

E-Government

Beneficios

• Mejorar los servicios y la satisfacción de los ciudadanos • Más recursos disponibles para facilitar el desarrollo de la economía • Productividad: Procesos ordenados que resulten en una administración oportuna y efectiva • Sinergia de cooperación eliminando fronteras departamentales • Incremento de la precisión • Reducción de costos operativos por reducción de tareas administrativas • Agilidad y flexibilidad • Mayor satisfacción en los empleados
LIC. ESPEDITO PASSARELLO

Terceros de Negocios Proveedores Terceros de Negocios

•Permisos /Licencias •Impuestos •Servicio Públicos •Otros Servicios •Asesores •Producción •Facturación /Pagos

Atención Clientes

•Información •Mensajes •Asistencia •Votación /Opinión •Turismo •Participación •Comercio •Educación

Data Warehouse Virtual Modelos de Programas •Educación •Defensa •Seguridad •etc Infraestructura Común •Software Stand. Adm. •Sistemas RRHH •Adm. Documentos •Workflow de •Sistemas Seguridad •Call Centers Tec. •Recursos Inf.

•Elecciones •Objetivos •Legislación •Opiniones •Recursos •Resultados •Planeamiento •Gerenciamiento •Adminis Pytos. . •Cash Mgt •Órdenes Trabajo •Regulaciones •Publicaciones •Compulsa •Adjudicación •Cumplimiento •Órdenes Trabajo •Adm. Contratos •Compromisos •Programación •Puestaen Marcha

ISO/IEC ISO/IEC ISO/IEC ISO/IEC ISO/IEC

•Abastecimiento •Administración • Adm. Licitaciones •e-Compras •Servicios •Distribución •Litigios Fuentes deDatos 14516 Guía para el uso y gestión de confianza para servicios de terceras partes •Servicios Públicos Externas •Facturación /Cbza . 14888 Firma digital 17799 Código de practicas para la gestión de seguridad de la información. 14598 Evaluación de productos de Software LIC. ESPEDITO PASSARELLO 15504 Evaluación de procesos de software (ISO SPICE)

Adm. Empleados Programas Administración Liderazgo

Ciudadanos

E G O V E R N M E N T

IMPACTO DE LAS NORMAS ISO (T.I.) EN LOS PROCESOS ISO/IEC 14516 ISO/IEC 14888 ISO/IEC 17799 ISO/IEC 14888 ISO/IEC 17799 ISO/IEC 14598-15504 ISO/IEC 17799 ISO/IEC 14598-15504

ISO/IEC 17799

Portales Públicos

Intercambio Público

Servicios Compartidos

Operación

Intranet

Decisión Administrativa N. 669/04. Ambito nacional

¿ Qué ?
• Dictar o adecuar la Política de Seguridad de la Información. • Conformar un Comité de Seguridad de la Información. • Asignar las responsabilidades en materia de Seguridad de la Información.

¿ Cuándo ?
Dentro de los 180 días hábiles de aprobado el Modelo de Política.

¿ Cómo ?
En base al Modelo de Política aprobado.
LIC. ESPEDITO PASSARELLO

Decisión Administrativa N. 669/04

¿ Quiénes ? Ley 24.156- Art. 8° - Inc. a)

y c)

• Administración Nacional. • La Administración Central. • Los Organismos Descentralizados (incluidos los de la Seguridad Social). • Entes Públicos excluidos del punto anterior • Cualquier Organización estatal no empresarial con autarquía financiera, personería jurídica y patrimonio propio, donde el Estado Nacional tenga el control mayoritario del patrimonio o de la formación de decisiones.

LIC. ESPEDITO PASSARELLO

Objetivos

Políticas de Seguridad de la Información

Con el desarrollo e implementación de una Política de Seguridad de la Información en cada organismo se persiguen los siguientes objetivos principales: • Establecer un marco normativo (pautas claramente definidas) para gestionar la seguridad de la información • Asegurar la confidencialidad, integridad y disponibilidad de la información • Elevar los niveles de seguridad. • Asignar responsabilidades

LIC. ESPEDITO PASSARELLO

Planeamiento Se convoca a distintos areas de la Administración para conocer sus opiniones sobre las necesidades que permian formular las estrategias de seguridad.

Documentacion, necesidad de que el Organismos cuenten con una Política de Seguridad escrita, comunicada y con procesos de revision.

Organización:Conformacion delgrupo de trabajo para la redacción del Modelo de Política de Seguridad y del grupo encargado de la revision perioodica.

Enfoque general: Tomar como base la norma ISO/IRAM 17799

LIC. ESPEDITO PASSARELLO

Aprobacion: Se redacta el Modelo y se somete a la consideración de los diferentes niveles involucrados. .

Publicacion formal, comunicación y capacitacion en todos los niveles y atendiendo a diferentes competencias y resposnabilidades

Puesta en aplicación

Mejora continua del modelo de gestion de la seguridad de la infomacion

LIC. ESPEDITO PASSARELLO

Firma Digital
• Infraestructura de Firma Digital (Ley 25.506) Comisión Asesora en funcionamiento Versión preliminar de normas en proceso de aprobación Infraestructura técnica en desarrollo: Implementación de la Autoridad Certificante Raiz (ACRA) Instalación de máxima seguridad Procedimientos operativos y de seguridad en elaboración • Uso de la Firma Digital en el Estado Autoridad Certificante en funcionamiento (25 ARs) Asistencia en desarrollo de aplicaciones (contrataciones, uso interno SGP, asistencia a Provincias y otros Poderes) • Integración regional e internacional MERCOSUR, Unión Europea, países de la región
LIC. ESPEDITO PASSARELLO

SEGURIDAD DE LA INFORMACIÓN

APLICABILIDAD A LOS REQUERIMIENTOS DE LA LEY 25326( HABEAS DATA)

El Hábeas Data es el derecho que posee todo ciudadano de exigir jurídicamente la exhibición de sus datos y/o la eliminación de aquellos que considere innecesarios o discriminatorios. Protege la integridad moral de las personas, frente a informaciones referidas a su personalidad, tales como: su afiliación política, gremial, religiosa, su historia laboral, sus antecedentes crediticios, policiales e informaciones similares que constan en registros o bases de datos.
LIC. ESPEDITO PASSARELLO

HABEAS DATA

Este tipo de información es conocida como “información sensible”. Se denomina así a la información cuyo contenido se refiere a cuestiones privadas y cuyo conocimiento general puede ser generador de perjuicio o discriminación. La finalidad del hábeas data es impedir que en bancos o registros de datos se recopile información que está referida a aspectos de su personalidad directamente vinculados con su intimidad, que no pueden encontrarse a disposición del público o entes privados.

HABEAS DATA

Es una garantía constitucional, con objetivos muy precisos, que busca que el accionante sepa:
Por qué motivos legales, el poseedor de la información llegó a ser tenedor de la misma. Desde cuándo tiene la información. Qué uso ha dado a esa información y qué hará con ella en el futuro. Conocer a qué personas naturales o jurídicas, el poseedor de la información le hizo llegar dicha información. Por qué motivo, con qué propósito y la fecha en la que circuló la información. Qué tecnología usa para almacenar la información.

Qué seguridades ofrece el tenedor de la información para garantizar que la misma no sea usada indebidamente.

HABEAS DATA
COMISIÓN DE LAS COMUNIDADES EUROPEAS Bruselas, 6.6.2001 COM(2001)298 final COMUNICACIÓN DE LA COMISIÓN AL CONSEJO, AL PARLAMENTO EUROPEO, AL COMITÉ ECONÓMICO Y SOCIAL Y AL COMITÉ DE LAS REGIONES Seguridad de las redes y de la información: Propuesta para un enfoque político europeo • Los Estados miembros deberán fomentar el uso de mejores prácticas basadas en medidas existentes como ISO/IEC 17799 (código de prácticas para la gestión de la seguridad de la información www.iso.ch).

ORDEN INT/1751/2002, DE 20 DE JUNIO DE 2002, POR LA QUE SE REGULAN LOS FICHEROS INFORMÁTICOS DE LA DIRECCIÓN GENERAL DE LA POLICÍA QUE CONTIENEN DATOS DE CARÁCTER PERSONAL, ADECUÁNDOLOS A LAS PREVISIONES ESTABLECIDAS EN LA LEY ORGÁNICA 15/1999, DE 13 DICIEMBRE, DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Nombre del fichero: "ADDNIFIL" Finalidad del fichero: Gestión del documento nacional de identidad. Usos previstos: Control administrativo e investigación policial. Personas o colectivos sobre los que se pretenden obtener datos de carácter personal o que resulten obligados a suministrarlos: Ciudadanos españoles solicitantes del documento nacional de identidad. Procedimiento de recogida de datos de carácter personal: A partir de las solicitudes de expedición o renovación del documento nacional de identidad. Estructura básica del fichero y la descripción de los tipos de datos de carácter personal incluidos en el mismo: Filiación: Apellidos, nombre, fecha y lugar de nacimiento, nombre de los padres, sexo. Personales: Número del documento nacional de identidad, domicilio, teléfono, fotografía, firma y huellas. Cesiones de datos que se prevean y transferencias a países terceros, en su caso: A otras Fuerzas y Cuerpos de Seguridad, a los órganos jurisdiccionales y al Ministerio Fiscal, en virtud de lo establecido en los artículos 3 y 45 de la Ley Orgánica 2/1986, y artículo 11.2.a) d) y e) y 21.1 de la Ley Orgánica 15/1999, ya organismos internacionales y países extranjeros en los términos establecidos en los Acuerdos y Tratados suscritos por España (Interpol, Europol, Sistema Información Schengen, Unión Europea y convenios bilaterales) y a la Administración Tributario de acuerdo con los artículos 111 y 112 de la Ley General Tributario. Órgano responsable del fichero: Comisaría General de Extranjería y Documentación, calle General Pardiñas, 90, 28071 Madrid. Órgano ante el que pueden ejercitarse los derechos de acceso, rectificación o cancelación, cuando proceda: Unidad de Coordinación y Apoyo Técnico de la Comisaría General de Extranjería y Documentación, calle General Pardiñas, 90, 28071 Madrid. Medidas de seguridad, con indicación del nivel básico, medio o alto exigible: Alto.

SEGURIDAD DE LA INFORMACION
EMPRESAS Y ORGANISMOS PÚBLICOS

HABEAS DATA

OBLIGACIÓN DE ADECUACIÓN RESPONSABILIDAD PATRIMONIAL RESPONSABILIDAD PENAL

RESPONSABILIDAD EN CASCADA SOLIDARIA E ILIMITADA

SEGURIDAD DE LA INFORMACION HABEAS DATA
RIESGO INSTITUCIONAL

DIRECCIÓN GENERAL

ADECUACIÓN

CONTROL Y MINIMIZACIÓN DEL RIESGO

ISO 17799 Implementación
Política de Seguridad de la Información Organización de la Seguridad

Revisión Gerencial Acciones Correctivas

Clasificación de Activos

Control del Proceso Proceso Operativo
LIC. ESPEDITO PASSARELLO

Aplicación de Controles

Como lograrlo ?
Mediante la construccion de un grupo de objetivos de control y controles apropiados, en una jerarquia de: - Políticas - Practicas - Procesos - Procedimientos
Se requiere establecer controles para asegurar el cumplimiento de los objetivos específicos de seguridad de la organización

ISO/IEC 17799:2000
LIC. ESPEDITO PASSARELLO

La seguridad NO se adquiere, como un producto, es un proceso de construccion dinamico,…..
Mediante la formulación de acciones, traducidas en políticas; ‘‘ conjunto de medidas preventivas, de detección y corrección destinadas a proteger la integridad, confidencialidad y disponibilidad de TODOS los recursos de información.’’ La Seguridad debe permitir compartir los Sistemas de Información, en forma interna, e incluso con terceros, pero garantizando su protección. Primer regla: Es de y para todos. Segunda regla: Debe adecuarse a las necesidades, nivel de maduración y recursos de cada empresa
LIC. ESPEDITO PASSARELLO

Establecer requerimientos de seguridad
• Evaluación de riesgos de la organización. - Identificar las amenazas a los activos, la vulnerabilidad y la probabilidad de ocurrencia y el impacto potencial. • Requerimientos legales, estatutarios, regulaciones y contractuales. - Estos requerimientos deben ser definidos por la organización, negociado con los socios, contratistas y proveedores de servicio. • El sistema de principios, objetivos y requerimientos para el procesamiento de la información desarrollado por la organización para sostener sus operaciones.

ISO/IEC 17799:2000
LIC. ESPEDITO PASSARELLO

Primer desafío¡

El primer paso: Diagnostico global de activos de informacion. En su Institucion estan definidos todos los activos de INFORMACIÓN caracterizados por sus atributos. Segundo paso: Mapeo de dichos activos de informacion sobre los procesos criticos que se refieren a la continuidad operativa y el cumplimiento (leyes, decretos, disposiciones, etc.)
LIC. ESPEDITO PASSARELLO

Segundo desafio!
Conocer la sensibilidad y/o criticidad de los activos de informacion, que se desean proteger; su estacionalidad y temporalidad • Primer paso: Definicion de instancias de la gestion de activos.
-Inventario, -Clasificación, -Etiquetado.

• Segundo Paso: Analisis y evaluacion de riesgos de los activos.
LIC. ESPEDITO PASSARELLO

Seguridad de la información
AMENAZAS Actos de la naturaleza Fraudes

Fallas de Hard, Soft o instalación

DEPENDENCIA TIC Y VULNERABILIDADES

Daño intencional

Errores y omisiones CONSECUENCIAS RIESGOS ASOCIADOS
LIC. ESPEDITO PASSARELLO

Invasión a la privacidad

PERDIDAS ESTIMADAS

Ejemplos de amenazas a la información
• Empleados • Baja conciencia de la importancia en cuestiones de seguridad • Crecimiento en redes y computación distribuida • Crecimiento en complejidad y falta de eficiencia en las herramientas de detección de intrusos y virus • Correo electrónico • Fuego, inundación, terremotos

LIC. ESPEDITO PASSARELLO

Algunos casos que actúan de disparadores
• Hacker obtiene datos de miles de tarjetas de crédito • Yahoo!, doblegado por los hackers • Intrusos asaltaron sitio del FBI • La Casa Blanca extravió correo electrónico • Hackers acceden a la red de Microsoft • Suplantan identidad del presidente brasileño • Hackers atacan a la defensa de EE.UU. • Estafas a bancos, venta de padrones de ciudadanos, clientes.
LIC. ESPEDITO PASSARELLO

Fuente de riesgos
Casual Hackers: “Script Kiddies” using freely available hacking tools to probe and harass. Sophisticated Hacker: Specialists with indepth knowledge using or developing underground tools tools. Disgrountled employee: Employee with detailed knowledge of Target systems, technologies and security procedures intent on revenge, or fraud. Organized Groups: Political activist, terrorist, government agencies, organized crime, competitors and foreign governments with greater resources.
LIC. ESPEDITO PASSARELLO

Principales riesgos

Captura de PC desde el exterior
Robo de información
Destrucción de equipamiento

Mails “anónimos” con información crítica o con agresiones

Spamming

Violación de e-mails
Incumplimiento de leyes y regulaciones

Violación de contraseñas

Intercepción y modificación de e-mails
Violación de la privacidad de los empleados
empleados deshonestos

Virus

Fraudes informáticos

Ingeniería social

Programas “bomba” Propiedad de la Información

Interrupción de los servicios

Destrucción de soportes documentales
Robo o extravío de notebooks

Acceso clandestino a redes
Acceso indebido a documentos impresos
Indisponibilidad de información clave

Software ilegal

Intercepción de comunicaciones Falsificación de información para terceros
LIC. ESPEDITO PASSARELLO

Agujeros de seguridad de redes conectadas

Consecuencias
• Robo: dinero, información empresarial relevante, propiedad intelectual, recursos, etc. • Pérdida de productividad; Corrupción de datos, horas extraordinarias, fallas de equipos,.. • Pérdidas indirectas; Daños de imagen, pérdida de “confianza”,.. • Exposición legal; incumplimiento de contrato, de compromisos de confidencialidad, ilegalidad de actividades a través de los sistemas

LIC. ESPEDITO PASSARELLO

Respuestas...Necesarias pero NO suficientes.
En mi... implementamos un firewall.

... contratamos una persona para el área. ... en la última auditoría de sistemas no me sacaron observaciones importantes. ... ya escribí las políticas. ... hice un penetration testing y ya arreglamos todo.

LIC. ESPEDITO PASSARELLO

Evaluación de riesgos
aprovechan Amenazas Vulnerabilidades

protegen contra

incrementan

incrementan

exponen

Controles cubiertos por

indican

Riesgos

Activos

incrementan

tienen

Requerimientos de seguridad

Valor de los activos y Potenciales impactos

Impacto sobre la Organización
LIC. ESPEDITO PASSARELLO

Evaluar condicionantes: Premisas.
 No existe la “verdad absoluta” en Seguridad de la Información y por ende en seguridad Informática.  No es posible eliminar todos los riesgos. Incertidumbre  Existiran vulnerabilidades potenciales y gestionables.  La Dirección DEBE estar convencida de que la Seguridad TIC, hace al OBJETIVO del negocio.  Cada vez los riesgos y el impacto TIC en los negocios son mayores.  Las competencias son la base de todo sistema de seguridad: el factor humano  No se puede dejar de hacer algo en este tema.
LIC. ESPEDITO PASSARELLO

¿Qué es el riesgo ?

La posibilidad que algo que ocurre impacte en los
objetivos

Una medida de incertidumbre con dos elementos:
◊ La probabilidad de ocurrencia de un evento. ◊ La consecuencia que esto ocurra

El riesgo debe ser “propiedad” de los Gerentes. Los riesgos específicos debieran ser asignados a
Gerentes específicos.

LIC. ESPEDITO PASSARELLO

Riesgos: Cual es el alcance que debo definir para asegurar mi informacion y como gestionarlos Componentes del Riesgo
•Confidencialidad •Integridad •Disponibilidad •Continuidad del Negocio •Evaluación de Procesos
LIC. ESPEDITO PASSARELLO

*Financiero

*Cliente *Regulatorio *Contractual *Franquicia

Evaluación de riesgos; definiciones
• Que es lo que se desea proteger, porque? De quien? y cual es su valor? • Evaluación de; – amenazas, –impactos y –Vulnerabilidades, relativos a la; información y a las instalaciones para su procesamiento, y a la probabilidad de que ocurran.
LIC. ESPEDITO PASSARELLO

Compliance con: ISO 17799, normas del negocio y Ley 25326 (Proteccion de datos) Modelo de Gestión del Riesgo Evaluar
Políticas Organización Gestionar Procesos Tecnología (hardware, software y redes)

Diseñar

Implementar

LIC. ESPEDITO PASSARELLO

Vulnerabilidades

Constituyen las debilidades que presenta la organización frente a la amenazas (Internas /Externas).

LIC. ESPEDITO PASSARELLO

Vulnerability Assesment

Vulnerabilidad vs. Riesgo

LIC. ESPEDITO PASSARELLO

Analisis de Vulnerabilidades Analisis de Vulnerabilidades

Apertura Apertura Relevamiento Relevamiento Coleccion Coleccion

Detección Detección de eventos de eventos y Pruebas y Pruebas

Plan de Plan de Accion Accion

--Regular Regular --TD TD --Desvio Desvio

Conclusion & Recommend.

LIC. ESPEDITO PASSARELLO

Principales vulnerabilidades
• • • • • • • • • Control inadecuado de acceso a routers. Puntos de accesos remotos sin debida proteccion. Cuentas de usuarios con privilegios excesivos. Aplicaciones. Falta de politicas de seguridad. Excesivos mecanismos de control de acceso. Falta de formación. Fuga de información por snmp, smtp, netbios, dns Capacidades inadecuadas o inexistentes de logging, monitoreo y reacción ante incidentes. • Deficiente administración de los acceso. • Mantener servicios activos en forma inadecuada. • Estructuras inadecuadas (perimetral) ...
LIC. ESPEDITO PASSARELLO

Vulnerabilidad vs. Riesgo
R i e s g o
at or y R eg ul /a tta ck s IN IC IO N

A ud

C O

it

Oportunidad

LIC. ESPEDITO PASSARELLO

Fr au d

Principales riesgos y el impacto en los negocios
En estos tipos de problemas es difícil: • Darse cuenta que pasan, hasta que pasan. • Poder cuantificarlos económicamente, por ejemplo ¿cuánto le cuesta al negocio 4 horas sin sistemas? • Poder vincular directamente sus efectos sobre los resultados de la Institucion.
LIC. ESPEDITO PASSARELLO

Principales riesgos y el impacto en los negocios
Se puede estar preparado para que ocurran lo menos posible: • sin grandes inversiones en software • sin mucha estructura de personal Tan solo: • ordenando la Seguridad y Gestionarla. • parametrizando la seguridad delegada en los sistemas • utilizando herramientas licenciadas y/o libres en la web

LIC. ESPEDITO PASSARELLO

Gestión de riesgos, revisión
• De seguridad y controles implementados: –Reflejar los cambios en los requerimientos y prioridades de la empresa. –Considerar nuevas amenazas y vulnerabilidades. –Corroborrar que los controles sean eficaces y apropiados. • Con diferentes niveles de profundidad, según ; –Resultados anteriores –Niveles variables de riesgos dispuesto a aceptar • Con prioridad; –Riesgos de alto nivel, medio y bajo. –Riesgos específicos.
LIC. ESPEDITO PASSARELLO