Seguridad de la Información. Max Lazaro Taico Oficina Nacional de Gobierno Electrónico e Informática PCM

Transcripción

1 Seguridad de la Información Max Lazaro Taico Oficina Nacional de Gobierno Electrónico e Informática PCM

2 Ventanilla Unica de Servicios al Ciudadano y la Empresa Estrategia de Gobierno Electrónico Cambio de paradigma Comercio Exterior Internet Cabinas / Telecentros Otros medios de comunicación Ventanillas físicas Justicia Propiedad Servicios Empresariales Empleo Salud / Seguridad Social Servicios de Pago Servicios de Identificación Plataforma de interoperabilidad del estado

3 Introducción: Nuevos Escenarios

4 Introducción: Internet

5 Modalidades de delitos informáticos FRAUDE, CLONACION DE TARJETAS Y HURTO DE FONDOS

6 Modalidades de delitos informáticos AMENAZAS POR

7 Modalidades de delitos informáticos EXTORSION

8 Modalidades de delitos informáticos PORNOGRAFIA INFANTIL

9 Modalidades de delitos informáticos CHANTAJE SEXUAL Y ECONOMICO

10 Modalidades de delitos informáticos OPERACIONES FINANCIERAS COMERCIALES FRAUDULENTAS POR INTERNET

11 Modalidades de delitos informáticos ACCESO NO AUTORIZADO A BASE DE DATOS

12 Modalidades de delitos informáticos INTRUSIONES (HACKING, CRACKING)

13 Acciones de la ONGEI

14 Acciones de la ONGEI El gobierno peruano ha emitido desde el año 2002 diferentes normas referidas a seguridad de la información, entre las cuales podemos resaltar las siguientes: Modificación de las normas y procedimientos técnicos sobre contenidos de las páginas web. Normas técnicas para el almacenamiento y respaldo de la información procesada por las entidades de la administración pública. Directiva sobre "Normas para el uso del servicio de correo electrónico en las entidades de la administración pública

15 Apoyo en seguridad de la Información Actualmente la ONGEI apoya a las entidades públicas en los siguientes principales servicios: Análisis de vulnerabilidades de los servidores Web de las Entidades Publicas. Boletines de Seguridad de la información Boletines de Alertas de Antivirus. Presentaciones técnicas sobre seguridad. Consultorías y apoyo en recomendaciones técnicas.

16 Análisis de Vulnerabilidades ONGEI Firewall Estaciones de Trabajo Red Intena Servidores Web Server Server

17 Análisis de Vulnerabilidades en números al 2009 Mes Alto Bajo Info Enero Febrero Marzo Abril Mayo Junio Julio Agosto Septiembre Octubre Noviembre Diciembre Total

18 Estadística General Info; 24; 19% Bajo; 62; 49% Alto; 40; 32% Alto Bajo Info

19 Leyes y Reglamentos que regulan las Tecnolog ías de Información (TIC) en Perú

20 I. Normatividad en General 1. La Constitución Política del Perú Ley Código Procesal Constitucional 3. Normatividad Penal: 4. Ley Ley que Incorpora los Delitos Informáticos dentro del Código Penal a. Código Penal b. Código Procesal Penal 5. Normas Tributarias: a. Código Tributario b. Decreto Supremo Nº EF - Texto Único Ordenado de la Ley del Impuesto General a las Ventas e Impuesto Selectivo al Consumo. 6. Normas Administrativas: a. Ley Ley de Procedimiento Administrativo General b. Ley Ley Marco de Modernización de la Gestión del Estado 7. Leyes que regulan a los Sistemas Administrativos a. Ley Ley Orgánica del Poder Ejecutivo b. Decreto Legislativo - Ley de Contrataciones y Adquisiciones del Estado 8. Otras normas: a. Ley Ley Orgánica del Registro Nacional de Identificación y Estado Civil b. Decreto Supremo Nº PCM - Reglamento de Inscripciones del Registro Nacional de Identificación y Estado Civil. c. Decreto Legislativo Nº Ley de derechos de autor d. Código de Consumidor e. Decreto Legislativo1049 Ley del Notariado.

21 II. Normatividad Específica 1. Regulación sobre los órganos rectores en materia de Informática y Gobierno Electrónico en el Perú a. Ley de Organización y Funciones del Instituto Nacional de Estadística e Informática, DECRETO LEGISLATIVO N 604. b. DECRETO SUPREMO Nº PCM, Aprueban el Reglamento de Organización y Funciones del INEI. c. DECRETO SUPREMO Nº PCM, Fusionan la Sub -Jefatura de Informática del Instituto Nacional de Estadística e Informática - INEI y la Presidencia del Consejo de Ministros, a través de su Secretaría de Gestión Pública. d. DECRETO SUPREMO Nº PCM, Decreto Supremo que aprueba el Reglamento de Organización y Funciones de la Presidencia del Consejo de Ministros.

22 II. Normatividad Específica 2. Documentos sobre Políticas Públicas para el fomento de la Sociedad de Información y Gobierno Electrónico en el Perú. a. D.S. Nº PCM del 20 de junio del 2006, Plan de Desarrollo de la Sociedad de la Información en el Perú La Agenda Digital Peruana. b. Resolución Ministerial Nº PCM, la Presidencia del Consejo de Ministros aprobó la Estrategia Nacional de Gobierno Electrónico. c. Decreto Supremo Nº PCM - Reglamento de Organización y Funciones de la Presidencia del Consejo de Ministros La Oficina Nacional de Gobierno Electrónico e Informática (ONGEI) se encargada de dirigir como Ente Rector, el Sistema Nacional de Informática, e implementa la Política Nacional de Gobierno Electrónico e Informática a. RESOLUCION MINISTERIAL Nº PCM - Crean el Grupo de Trabajo denominado Coordinadora de Respuestas a Emergencias en Redes Teleinformáticas de la Administración Pública del Perú (Pe-CERT) 3. Norma Técnica Peruana a. RESOLUCIÓN MINISTERIAL Nº PCM - NTP-ISO/IEC 17799:2007

23 II. Normatividad Específica 4. Correo Electrónico a. Ley Ley que regula el uso del correo electrónico comercial no solicitado (SPAM). b. DECRETO SUPREMO Nº MTC - Aprueban el Reglamento de la Ley Nº que regula el envío del correo electrónico comercial no solicitado (SPAM). c. RESOLUCIÓN JEFATURAL N INEI Aprueban Directiva sobre "Normas para el uso del servicio de correo electrónico en las entidades de la Administración Pública d. DECRETO SUPREMO Nº PCM - Aprueban los "Lineamientos de Políticas Generales para promover la masificación del acceso a Internet en el Perú e. Ley Ley sobre Notificación por Correo Electrónico

24 II. Normatividad Específica 5. Software en la Administración Pública a. Ley Ley que norma el uso, adquisición y adecuación de software en la Administración Pública. b. DECRETO SUPREMO PCM - Reglamento de la Ley N 28612, Ley que norma el uso, adquisición y adecuación del software en la Administración Pública

25 II. Normatividad Específica 6. Firmas y Certificados Digitales a. Ley Nº Ley de Firmas y Certificados Digitales, LEY Nº b. DECRETO SUPREMO Nº PCM, Reglamento de la Ley de Firmas y Certificados Digitales

26 II. Normatividad Específica 7. Portales a. DECRETO SUPREMO Nº PCM Crean el "Portal del Estado Peruano" como Sistema Interactivo de Información a los Ciudadanos a través de Internet. b. DECRETO SUPREMO Nº PCM - se establece el uso de la Ventanilla Única del Estado a través del Portal de Servicios al Ciudadano y Empresas y se crea el Sistema Integrado de Servicios Públicos Virtuales

27 II. Normatividad Específica 8. Microformas Fedatarios Informáticos a. Decreto Legislativo (Microformas / Fedatarios Informáticos) Dictan normas que regulan el uso de tecnologías avanzadas en materia de archivo de documentos e información tanto respecto a la elaborada en forma convencional cuanto la producida por procedimientos informáticos en computadoras. b. Decreto Legislativo 827 (Microformas / Fedatarios Informáticos) Amplían los alcances del D. Legislativo Nº 681 a las entidades públicas a fin de modernizar el sistema de archivos oficiales

28 II. Normatividad Específica 9. Participación de Notarios en Constitución de Empresas en Línea: a. D.S. N PCM (Dictan disposiciones referidas a la participación de los Notarios en el servicio de constitución de empresas a través del Sistema Integrado de Servicios Públicos Virtuales de la Ventanilla Única del Estado) b. R. Nº SUNAT (Establecen disposiciones para la inscripción en el RUC y entrega del Código de Usuario y de la clave SOL a los sujetos constituidos a través de la Ventanilla Única del Estado) c. R.M. N PCM (Establecen requisitos y condiciones para que notarios participen en el servicio de constitución de empresas a través del Sistema Integrado de Servicios Públicos Virtuales (SISEV)).

29 Política de Seguridad para el Sector Público

30 Con fecha 23 de julio del 2004 la PCM a través de la ONGEI, dispone el uso obligatorio de la Norma Técnica Peruana NTP ISO/IEC 17799:2004 EDI. Tecnología de la Información: Código de Buenas Prácticas para la Gestión de la Seguridad de la Información en entidades del Sistema Nacional de Informática. Se Actualizó el 25 de Agosto del 2007 con la Norma Técnica Peruana NTP ISO/IEC 17799:2007 EDI.

31 Marco de las recomendaciones La NTP-ISO es una compilación de recomendaciones para las prácticas exitosas de seguridad, que toda organización puede aplicar independientemente de su tamaño o sector. La NTP fue redactada para que fuera flexible y no induce a las organizaciones que la cumplan al pie de la letra, se deja a estas dar una solución de seguridad de acuerdo a sus necesidades. Las recomendaciones de la NTP-ISO son neutrales en cuanto a la tecnología. La norma discute la necesidad de contar con Firewalls, pero no profundiza sobre los tipos de Firewalls y cómo se utilizan.

32 En este sentido La Norma Técnica Peruana ISO 17799, se emite para ser considerada en la implementación de estrategias y planes de seguridad de la información de las Entidades Públicas. La NTP NO exige la certificación, pero si la consideración y evaluación de los principales dominios de acuerdo a la realidad de cada organización.

33 Cuales son los temas o dominios a considerar dentro de un plan de Seguridad?

34 Los 11 dominios de control de ISO Política de seguridad: Se necesita una política que refleje las expectativas de la organización en materia de seguridad, a fin de suministrar administración con dirección y soporte. La política también se puede utilizar como base para el estudio y evaluación en curso. 2. Aspectos organizativos para la seguridad: Sugiere diseñar una estructura de administración dentro la organización, que establezca la responsabilidad de los grupos en ciertas áreas de la seguridad y un proceso para el manejo de respuesta a incidentes.

35 3. Clasificación y Control de Activos: Inventario de los recursos de información de la organización y con base en este conocimiento, debe asegurar que se brinde un nivel adecuado de protección. 4. Seguridad de Recursos Humanos: Necesidad de educar e informar a los empleados actuales y potenciales sobre lo que se espera de ellos en materia de seguridad y asuntos de confidencialidad. Implementa un plan para reportar los incidentes. 5. Seguridad física y del Entorno: Responde a la necesidad de proteger las áreas, el equipo y los controles generales.

36 6. Gestión de Comunicaciones y Operaciones: Los objetivos de esta sección son: Asegurar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información. Minimizar el riesgo de falla de los sistemas. Proteger la integridad del software y la información. Conservar la integridad y disponibilidad del procesamiento y la comunicación de la información. Garantizar la protección de la información en las redes y de la infraestructura de soporte. Evitar daños a los recursos de información e interrupciones en las actividades de la institución. Evitar la pérdida, modificación o uso indebido de la información que intercambian las organizaciones.

37 7. Control de accesos: Establece la importancia de monitorear y controlar el acceso a la red y los recursos de aplicación como protección contra los abusos internos e intrusos externos. 8. Adquisición, Desarrollo y Mantenimiento de los sistemas: Recuerda que en toda labor de la tecnología de la información, se debe implementar y mantener la seguridad mediante el uso de controles de seguridad en todas las etapas del proceso.

38 9. Gestión de Incidentes de la Seguridad de la información Asegurar que los eventos y debilidades en la seguridad de la información sean comunicados de manera que permitan una acción correctiva a tiempo. 10. Gestión de Continuidad del Negocio Aconseja estar preparado para contrarrestar las interrupciones en las actividades de la empresa y para proteger los procesos importantes de la empresa en caso de una falla grave o desastre. 11. Cumplimiento: Evitar brechas de cualquier ley civil o criminal, estatutos, obligaciones regulatorias o contractuales y de cualquier requerimiento de seguridad.

39 Beneficios de la norma técnica ISO Una organización que adopte la Norma Técnica Peruana ISO tiene mayores ventajas frente a los que no la adopten: Mayor seguridad en la organización. Planeación y manejo de la seguridad más efectivos. Alianzas comerciales y e-commerce más seguras. Mayor confianza en el cliente. Auditorías de seguridad más precisas y confiables. Menor Responsabilidad civil

40 Implementando Seguridad de la Información Enfoque General

41 La seguridad en Internet ha sido siempre considerada como un problema de ingeniería, y las organizaciones tratan de resolverlo utilizando tecnología. Este enfoque es incorrecto: la tecnología está fallando y la situación está empeorando. Lo que realmente necesitamos son mejores modelos de procesos, no mejor tecnología.

42 ALCANCE DE LA SEGURIDAD Personas Procesos RH Dedicados Entrenamiento Seguridad pensamiento y prioridad Educación de empleados Planeación de seguridad Prevención Detección Reacción Tecnología Tecnología de punta Estandar, encripción, protección Funcionalides de producto Herramientas de Seguridad y productos

43 ANALISIS DE RIESGOS

44 Conceptos:

45 Que proteger? Acceso a Información comprometida o confidencial Planes de negocio, nominas, contratos, listados passwords, información de clientes. Acceso a Información valiosa Documentación, desarrollos de I+D, históricos y archivos. Acceso a Inversiones e infraestructura Configuraciones, logs, backups, bbdd, webs, intranets, Acceso a servidores, electrónica y hardware costoso.

46 Peligros contra la confidencialidad. Accesos no autorizados a información confidencial Accesos públicos a información confidencial, por error, mala configuración o descuido. Suplantación de usuarios. Acceso a servicios confidenciales (correo, bbdd, servidores de acceso, etc). Instalación de caballos de troya. Acceso físico a material restringido.

47 Peligros contra la integridad Modificación indebida de datos (fallo de permisos) Falta de integridad (borrado o modificación) de datos. Imposibilidad de identificar fuente de datos. Fallo en la integridad de bases de dato (corrupcion). Modificación en archivos de sistema (configuraciones, logs, etc) Destrucción o corrupción de backups. Virus. Acceso físico a material restringido.

48 Peligros contra la disponibilidad. Caida de servicios externos. (DoS) Agotamiento de recursos (ancho de banda, disco, socket, etc). (DoS o mala config.) Fallo de infraestructuras generales de red (routing, switches, etc). (DoS, fallo, mala configuración o sabotaje) Destrucción de configuraciones o servicios. (DoS o Sabotaje) Acceso físico a infraestructura básica. Sabotaje.

49 Costo Económico A partir de este entendimiento se podrá gestionar la seguridad. Solo importa cuando suceden los problemas de seguridad. Ajustar la ecuación del riesgo hasta que le interese e importe a la alta dirección.

50 Dimensiones de la Seguridad Confidencialidad Disponibilidad Integridad

51 Dimensiones críticas de la información Qué es Seguridad de la Información E Información D T Prevenir Cambios no autorizados en Activos de Información E-commerce I = Prevenir Divulgación no autorizada de Activos de Información C Información (dimensiones) Validez y Precisión de información y sistemas. SINO: Información manipulada, incompleta, corrupta y por lo tanto mal desempeño de funciones Secreto impuesto de acuerdo con políticas de seguridad SINO: Fugas y filtraciones de información; accesos no autorizados; pérdida de confianza de los demás (incumplimiento de leyes y Autenticidad de compromisos) D quien hace uso de datos o servicios Trazabilidad del uso de servicios (quién, cuándo) o datos (quien y que hace) 7x24x365 No repudio (Compromisos) Confiabilidad (Inform.) Prevenir Destrucción no autorizada de Activos de Información Acceso en tiempo correcto y confiable a datos y recursos. SINO: Interrupción de Servicios o Baja Productividad

52 Identificar Activos Identificar Amenazas Determinar Vulnerabilidades e Impactos Análisis de Riesgos Análisis de Impacto Análisis de Necesidades Evaluación de Riesgos Visión Global del Enfoque de Seguridad Cuantificación Finan. y no Finan. por tiempo de interrupción Requerimientos para Minimizar Impacto Elaboración de Planes Interpretación y Clasificación de Riesgos Identificación y Estimación de acciones para: Actividades Preventivas Actividades Correctivas Actividades para la Reanudación y Continuidad del negocio Plan de Seguridad de la Información ISO Plan de Contingencias Plan de respuesta a incidentes Plan de Recuperación de desastres Plan de Continuidad del Negocio Identificación y Selección de los Mejores Mecanismos de Seguridad Especificaciones de los Mecanismos de seguridad a Implantar. Planificación del proceso de Implantación Concientización del personal en la Seguridad. Respuestas inmediatas ante eventos que originen pérdida de datos o interrupción de las operaciones. Especificaciones del Plan de Acción a tomar de acuerdo al tipo de evento: Grupos de Trabajo y responsabilidades, definición de Recursos, niveles de Contingencia, escenarios de Contingencia. Activación de la Contingencia. Inventario de Procesos del Negocio. Identificación de Procesos Críticos Especificaciones de los mecanismos de Acción a seguir para la continuidad Plan de Recuperación de los estados de Seguridad Revisión de la Estrategia Revisión de Programas Mejora Continua 10 Revisión del Plan Actual Pruebas del Plan Actual

53 Los 11 Dominios de la NTP ISO Gestión de la continuidad Gestión de incidentes Desarrollo y mantenimiento Cumplimiento integridad Política de seguridad Información disponibilidad Confidencialidad Organización de la Seguridad Gestiòn de Activos Seguridad del personal Control de accesos Gestión de comunicaciones y operaciones Seguridad física y medioambiental

54 Organizacional Los 11 Dominios de ISO ) 1. Politique de 1. Política de sécurité seguridad 2. Seguridad Sécurité de de la organización l organisation 3. Classification et 7. Control Contrôle de des contrôle 3. Clasificación des y accès actifs control de los accesos activos 10. Conformité 10. Continuidad 11. Cumplimiento 4. Sécurité Seguridad du del personnel personal 5. Sécurité Seguridad physique física y et environnementale medioambiental 8. Desarrollo y mantenimiento de los sistemas 8. Développement et maintenance 6. Gestión de las 6. telecomunicaciones Gestion des y communications operaciones et opérations 9. Gestión de Incidentes 9. Gestion de la continuité Operacional

55 Gestión de la Seguridad de la Información SGSI (ISO 27001) FASE II 1) Identificar opciones para Gestionar los Riesgos 2) Seleccionar e implementar Cont. 3) Determinar Organización de Seguridad; 4) Comités de Seg. 5) Preparar e implementar Plan de Continuidad 1) Entrenamiento al Personal 2) Declaración de Aplicabilidad FASE I 1) Definir Política y Alcance 2) Identificar Riesgos para gestionarlos 3) Analizar las Brechas 4) Plan de Implementacion FASE III 1) Monitorear y Revisar SGSI 2) Verificar controles implementados 3) Cumplimientos legales y técnicos * PDCA en ingles

56 Estrategia para implementar el SGSI en los procesos u Organización ENTREGABLES DEL PROYECTO: 1. Acta de Constitución 2. Declaración del Alcance 2. Plan de Gestión 3. Plan de G. Cambios 4. Plan de G. Comunic 5. Plan de G. Riesgos Patrocinador Gerente del Proyecto Equipo del Proyecto ENTREGABLES DEL PRODUCTO: 1. Documento de Política de Seguridad de la Información 2. Documento de identificación de los riesgos. 3. Informe de la Identificación y evaluación el tratamiento de los riesgos. 4. Análisis de Brechas. 5. Procedimientos para actualizar el manual de Seguridad Stakeholders VALOR AGREGADO: Herramientas para la Implementación y Gestión

57 Entregables de la NTP-ISO/IEC ( Documentos ) Política de Seguridad Institucional Análisis de riesgos Análisis de Riesgos Vs. NTP-ISO/IEC (Brecha) Plan Implementació n de los controles de seguridad Implementación Gradual y Priorizada

58 Importancia de la seguridad Muchas organizaciones tienen políticas de seguridad, la mayoría de las mismas incluso entrenan a sus funcionarios y empleados, pero muy pocas implantan una cultura de conciencia en seguridad que fomenta la identificación y reporte de problemas de seguridad.

59 La Seguridad Informática es Fácil: Con el 20% de esfuerzo se puede lograr el 80% de resultados Actividades sencillas pero constantes son las que evitan la mayoría de los problemas. Se debe de trabajar en crear MECANISMOS de seguridad que usan las TECNICAS de seguridad adecuadas según lo que se quiera proteger.

60 Todo intento por formalizar cualquier tarea o aspecto relacionado con la seguridad debe tratar como mínimo de responder a tres preguntas: Qué: objetivo, requisito o regulación que se quiere satisfacer o cumplir (lo que hay que lograr). Quién: responsable de la tarea o encargado de que se cumpla (el encargado de hacerlo posible). Cómo: descripción de las actividades que darán con la consecución del objetivo o requisito (lo que haya que hacer para conseguirlo).

61 NO OLVIDAR.. La Seguridad es un Proceso Continuo ALERTAR PROTEGER CONTROL PROACTIVO ADMINISTRAR RESPONDER

62 Muchas gracias..