Ciberseguridad: Propósito y aspectos del Decreto 92/014. CERTuy

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Ciberseguridad: Propósito y aspectos del Decreto 92/014. CERTuy"

Héctor Morales Bustamante
hace 8 años
Vistas:

1 Ciberseguridad: Propósito y aspectos del Decreto 92/014 CERTuy

2 Qué es el CERTuy? Dónde está ubicado?

3 Misión Proteger los ac>vos de información crí>cos del Estado y promover el conocimiento en seguridad de la información de manera de prevenir y responder a incidentes de seguridad. Visión Ser un centro de respuesta a incidentes de seguridad informá>ca confiable y referente a nivel nacional e internacional

4 Comunidad Obje>vo Ac>vos Crí>cos Impacto significa>vo

5 Reac>vos Coordinación, respuesta y ges>ón de incidentes Proac>vos Detección de anomalías Bole>nes, anuncios y no>cias de seguridad Recomendaciones y buenas prác>cas Valor agregado Capacitación y entrenamiento

6 Correo Electrónico Si>o Web Redes Teléfono

7 Tipos de Incidentes % 2% 1% 7% Spam Phishing Indisponibilidad de sistemas Compromiso Informacion 11% 53% Defacement DOS 15% Iden>dad Digital comprome>da Vulnerbilidades alojadas

8 Decreto 92/014

9 Decreto 92/014 Objetivos Decreto 92/014 Alcance

10 Decreto 92/014 Servicios de correo electrónico Decreto Dominios gub.uy mil.uy Datacenter

11 Decreto 92/014 Cumplimiento Plazos Apoyo Fiscalización

12 Anexo I Lineamientos para la gestión y uso de nombres de dominio de Internet.

13 Lineamientos para la gestión y uso de nombres de dominio de Internet. Nomenclatura Subdominios Referenciación gub.uy/mil.uy Dominios Actualización/6

14 Lineamientos para la gestión y uso de nombres de dominio de Internet. Objetivos Uso adecuado de los nombres de dominio de la Administración Central o Facilitar el acceso a la información a los usuarios a través de la racionalización de los dominios. Actualización de la información de contacto de sus responsables o Contactarlos rápidamente en caso problemas Alcance: Todos los dominios de Internet utilizados por los organismos de Administración Central y sus dependencias.

los usuarios a través de la racionalización de los dominios.

15 Lineamientos para la gestión y uso de nombres de dominio de Internet. Uso obligatorio de.gub.uy o.mil.uy Organismos de Administración Central deberán utilizar nombres de dominio gub.uy o mil.uy [.. ] para todos los servicios vinculados con Internet, prohibiéndose la utilización de cualquier otro nombre de dominio [.. ] Art.1

uy Organismos de Administración Central deberán utilizar nombres de dominio gub.

16 Lineamientos para la gestión y uso de nombres de dominio de Internet. Nombres de dominio Sus iniciales: o Ministerio de Salud Pública: Su acrónimo: o Ministerio de Desarrollo Social:

17 Lineamientos para la gestión y uso de nombres de dominio de Internet. Nombres de dominio Nombre con el cual se conoce públicamente y se justifique que sea más representativo que su nombre, acrónimo o iniciales: o Presidencia: Para el caso de subdominios, se recomiendan los mismos lineamientos: o Unidad Ejecutora Tesorería General de la Nación, dependiente del MEF, el subdominio sería:

su nombre, acrónimo o iniciales: o Presidencia: www.presidencia.gub.

18 Lineamientos para la gestión y uso de nombres de dominio de Internet. Dominios y subdominios Dominios: Portales institucionales Subdominios: o Portales institucionales de Unidades Ejecutoras. o Aplicaciones. o Programas y Proyectos: Contiene información específica de un programa o proyecto. Ej.:

Portales institucionales de Unidades Ejecutoras. o Aplicaciones.

19 Lineamientos para la gestión y uso de nombres de dominio de Internet. Dominios y subdominios o Promocional: Contiene información destinada a la promoción de una campaña o tema específico. En general son temporales, son útiles mientras dura la campaña de comunicaciones de la que forma parte. Ej.: o Temático: Contiene información sobre un tema específico, no es temporal. Ej.:

20 Lineamientos para la gestión y uso de nombres de dominio de Internet. Funciones y competencias. Excepciones o Si el tipo de información o servicios que brinda el portal es muy específico, o por cuestiones relacionadas a la identidad o del plan de comunicaciones. Nivel de aprehensión ciudadana: o Si los ciudadanos ya conocen y usan un dominio en particular y se cuenta con un registro de acceso al sitio que lo justifique.

cuestiones relacionadas a la identidad o del plan de comunicaciones.

21 Lineamientos para la gestión y uso de nombres de dominio de Internet. Excepciones Capacidad de mantenimiento del sitio y disponibilidad de recursos: o El organismo dispone de capacidad de mantenimiento y recursos que deberá ser debidamente justificado en un informe de asignación de recursos para el mantenimiento operativo y evolutivo. Excepciones de otros canales: Se exceptúan los canales de comunicación que se justifiquen debidamente por su vínculo con la ciudadanía y su carácter público, como por ejemplo Facebook, Twitter, Youtube, etc.

22 Lineamientos para la gestión y uso de nombres de dominio de Internet. Enlazar dominios y subdominios Todos los dominios y subdominios del inciso deberán estar enlazados en el Portal Web del Inciso o de una manera que resulte claro y fácil de encontrar para el ciudadano.

23 Lineamientos para la gestión y uso de nombres de dominio de Internet. Actualización de información de contacto La información del contacto de responsables de dominios y subdominios deberá ser actualizada cada seis meses. 1ra actualización: entrega del plan de acción

24 Anexo II Lineamientos para la implementación y uso de servicios de correo electrónico seguro.

25 Lineamientos para la implementación y uso de centros de datos seguros. Objetivos mejorar los niveles de seguridad del envío, recepción y almacenamiento de los servicios de correos electrónicos.. garantizar un adecuado nivel de confidencialidad Alcance la totalidad de los servidores de correo electrónico implementados en dominios.gub.uy y.mil.uy...

26 Lineamientos para la implementación y uso de centros de datos seguros. Canal de comunicación entre MTA Correos Ins>tucionales obligatorios Canal de comunicación y seguridad. MUA Territorio Nacional Correo Electrónico Criptograaa Asimétrica

27 Lineamientos para la implementación y uso de centros de datos seguros. Servidor de correo deben alojarse dentro del territorio nacional Direcciones IP asignadas a Uruguay. Aplica la jurisdicción de la Republica Oriental del Uruguay. Alcanza a cualquier repositorio o medio en donde existan correos.

28 Lineamientos para la implementación y uso de centros de datos seguros. Canales de comunicación Garantizar la confidencialidad de los correos en transito. o Cifrado del canal de comunicación. (SSL v3, TLS 1.0 o superior).

29 Lineamientos para la implementación y uso de centros de datos seguros. Entre MTA de dominios gubernamentales Cifrado del canal de comunicación (SSL v3, TLS 1.0 o superior). Mandatorio. Denegación de comunicación sin cifrar.

30 Lineamientos para la implementación y uso de centros de datos seguros. Entre MTA gubernamentales y terceros Cifrado del canal de comunicación (SSL v3, TLS 1.0 o superior). Método preferido de comunicación.

31 Lineamientos para la implementación y uso de centros de datos seguros. Entre MUA y MTA gubernamental Mandatorio SSL v3, TLS 1.0 o superior Descarga y envío cifrado.

32 Lineamientos para la implementación y uso de centros de datos seguros. Seguridad en los MUA Webmail sobre HTTPS Territorio nacional Acceso desde Webmail gubernamentales Recomendación: cifrado a nivel de mensaje

33 Anexo III Lineamientos para la implementación y uso de centros de datos seguros.

34 Lineamientos para la implementación y uso de centros de datos seguros. Objetivo Gestionar la información y asegurar su disponibilidad, confiabilidad e integridad en Centros de Datos acordes. Agenda Digital Uruguaya 2011/2015 Consolidar las áreas de operación informática (Data Center) en la Administración Central, reduciendo a un tercio su numero.

35 Lineamientos para la implementación y uso de centros de datos seguros. Mecánica Control de acceso Electricidad Monitoreo Arquitectura Datacenter Soporte/SLA

36 Lineamientos para la implementación y uso de centros de datos seguros. Telecomunicaciones Los sistemas críticos de telecomunicaciones, cableados, routers, switches LAN y switches SAN deben ser redundantes.

37 Lineamientos para la implementación y uso de centros de datos seguros. Arquitectura y Estructura Sistema estructural (acero o hormigón). Protección contra principales eventos físicos. Control de acceso físico. Muros exteriores sin ventana. Seguridad perimetral. CCTV. Protección contra incendio.

38 Lineamientos para la implementación y uso de centros de datos seguros. Electricidad Generador de energía eléctrica con capacidad suficiente para abastecer todo el Centro de Datos. Sistemas de alimentación ininterrumpida redundantes. Unidades de distribución de energía redundantes. Circuitos eléctricos redundantes.

39 Lineamientos para la implementación y uso de centros de datos seguros. Mecánica Sistema de climatización o Redundante. o Temperatura y humedad constante. o Funcionamiento 7x24. o Alimentación por generador.

40 Lineamientos para la implementación y uso de centros de datos seguros. Control de Acceso y Protección del Centro de Datos Seguridad física o Acceso al centro de datos. o Acceso al equipamiento. o Protección contra incendios. o Desastres naturales. Seguridad lógica

41 Lineamientos para la implementación y uso de centros de datos seguros. Gestión de Monitoreo contar con un sistema de gestión y monitoreo centralizado

42 Lineamientos para la implementación y uso de centros de datos seguros. Disponibilidad y niveles de servicio acuerdos de niveles de servicio con los proveedores que den soporte a los componentes críticos del Centro de Datos. 7 días / 24 horas / 365 días/año

Documentos relacionados

DECRETO Nº 92/014. Montevideo, 7 de Abril de 2014

DECRETO Nº 92/014. Montevideo, 7 de Abril de 2014 DECRETO Nº 92/014 Ministerio del Interior Ministerio de Relaciones Exteriores Ministerio de Economía y Finanzas Ministerio de Defensa Nacional Ministerio de Educación y Cultura Ministerio de Transporte