Tópico: BASES DE DATOS Y MINERÍA DE DATOS: HERRAMIENTAS Y TÉCNICAS EMPLEADAS POR LAS EFS

Transcripción

1 Tópico: BASES DE DATOS Y MINERÍA DE DATOS: HERRAMIENTAS Y TÉCNICAS EMPLEADAS POR LAS EFS 1. En la EFS el almacenamiento de las bases de datos de información misional o de negocio, se encuentra local, en la Nube o híbrido? R.: Las informaciones para el funcionamiento del negocio son almacenadas en servidores localizados en la propia institución. 2. La EFS hace explotación de datos y/o extracción de información para transformar en conocimiento útil y ayudar en la toma de decisiones? A través de qué medio y/o herramienta? R.: El TCU recibe, analiza y correlaciona un gran volumen de informaciones a partir del acceso y recepción periódica de diversas bases de datos de órganos y entidades de la Administración Pública federal (relacionadas con pagos, adquisiciones, licitaciones, convenios, etc.). Los datos son recibidos por medio de archivos con formatos predefinidos que alimentan nuestras bases de datos (modelos relacionales) por medio de procedimientos de cargas periódicos. Para la manipulación de esas informaciones se utilizan directamente lenguajes de consulta

2 estructurada (SQL - Structured Query Language) y herramientas de elaboración de informes basados en esas consultas. También existen trabajos de auditoría que involucran el recibimiento de datos para la ejecución de trabajos puntuales de enfoque delimitado por los objetivos de cada auditoría. En esos casos, los datos son trabajados usando herramientas específicas de manipulación de datos, como el ACL, el Access y el Excel, entre otros. 3. La EFS ha tenido dificultades con respecto a la recolección de la información por la falta de estandarización en su presentación? Cuáles? (por ejemplo, diferentes formas de presentación, formatos como Pdf, Excel, Word, texto plano, etc.). R.: Diversos sistemas en la Administración Pública federal tornan disponible informaciones estructuradas por el envío de copias de sus bases de datos (bases de datos relacionales, en la mayoría de los casos). En casos específicos son encaminados archivos en formato predefinido (texto con un layout específico, XML, etc.). En la mayoría de los casos, sin embargo, los órganos de la Administración Pública enfrentan dificultades para cumplir con esa demanda por layouts predefinidos, y por ese motivo encaminan al TCU copias integrales de sus bases de datos. Consecuentemente, los archivos recibidos se presentan en diversos formatos (MS-SQL Server, Oracle, PostgreSQL, ) y layouts inestables, lo que exige un esfuerzo adicional por parte del TCU para analizar los datos recibidos y cargarlos en una base de datos única antes de poder utilizarlos. Para la manipulación de documentos, tales como los publicados en Diarios Oficiales (que contienen sólo textos) son utilizadas herramientas de indexación para búsquedas puntuales. El Tribunal inició también una búsqueda, en conjunto con empresas del mercado en el área de análisis de datos, de soluciones tecnológicas capaces de tratar grandes volúmenes de informaciones almacenadas de una forma no estructurada. 6. Qué aportes puede hacer la EFS, con relación al tema, desde su propia experiencia? R.: Actualmente, diversas unidades de fiscalización del Tribunal han incorporado acciones de inteligencia en sus actividades de control, principalmente para la escogencia de temas y objetos de fiscalización, por medio de análisis de informaciones basadas en sistemas de información distribuidos en los órganos y entidades fiscalizados. El uso de esos sistemas permite también la profundización de actividades y procedimientos ejecutados durante las auditorías. Esa es una actividad que debe aumentar con el tiempo.

3 Tópico: INFORMACIÓN PUBLICADA EN INTERNET O COMPARTIDA ENTRE EFS. 1. La EFS publica información misional a través de Internet? R.: No entendí qué se quiso decir con información misional. Se refiere a la competencia primaria del Tribunal [control externo]? En caso afirmativo, la respuesta también es positiva. En el Portal hay secciones denominadas Fiscalização e controle y Responsabilização, con contenido relacionado a estas áreas de actuación del TCU. Aún, desde el Portal se puede buscar la base de jurisprudencia y publicaciones técnicas de la Corte, así como acceder a servicios direccionados a los en jurisdicción y a la sociedad en general. 2. La EFS ofrece servicios web a través de su propio portal de Internet? R.: Son ofrecidos varios servicios por nuestro portal, que son utilizando tanto por los reclamantes como por los más diversos actores de la sociedad (funcionarios públicos actuando en actividad de control, periodistas, ciudadanos, etc.). Por ejemplo, consulta a informes de auditoría, bases de datos de empresas o personas consideradas no idóneas, bases de datos de personas consideradas inelegibles, etc. 3. La EFS considera tener controlados todos los incidentes de seguridad que han ocurrido en la red de datos? 4. La EFS propende por el correcto y seguro funcionamiento de las instalaciones de procesamiento de la información y medios de comunicación? 5. Existe un plan a nivel nacional para ingreso a IPv6 en la que esté involucrada la EFS? 6. Qué aportes puede hacer la EFS, con relación al tema, desde su propia experiencia? Tópico: SEGURIDAD INFORMÁTICA-SI 1. En la EFS la información del proceso auditor se maneja digitalmente a través de expedientes electrónicos con niveles de seguridad como firmas electrónicas?

4 R.: Sí. Desde el año 2010 la manipulación de los procesos de control externo del TCU ocurre por medio digital, con los autos procesales autenticados a través de certificación electrónica, lo que, además de garantizar las propiedades inherentes a esa tecnología, les da validez jurídica. 2. En la EFS se utiliza cifrado de datos para almacenamiento en bases de datos y/o transmisión de los mismos? 3. En la EFS a nivel de aplicaciones, qué seguridad se está aplicando? 4. La EFS cuenta con procedimientos estandarizados para adquisición, desarrollo y/o mantenimiento de software, que garanticen niveles de seguridad de la(s) aplicación(es)? Cuáles? 5. La EFS cuenta con mecanismos de seguimiento, evaluación y control al cumplimiento de los procedimientos definidos? Especifique. 6. Existen leyes nacionales para reglamentar la recolección, uso y procesamiento de la información personal? 7. A nivel nacional existen leyes o códigos aplicables que contengan los requerimientos generales de seguridad para los proveedores de servicios de hosting de información digital y de nube? 8. Qué aportes puede hacer la EFS, con relación al tema, desde su propia experiencia? Tópico: BUENAS PRÁCTICAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

5 1. Existe una Política de seguridad adoptada institucionalmente por la EFS? Desde qué año? R.: Sí, actualmente la Política Corporativa de Seguridad de la Información del TCU (PCSI/TCU) está dispuesta en el Decreto -TCU 210 del 14 de agosto de El Tribunal posee una Política Corporativa de Seguridad de la Información desde el año La EFS cuenta con una metodología para gestión de incidentes de seguridad? Cuál? R.: No 3. La EFS cuenta con una metodología para el análisis de vulnerabilidades y gestión de riesgo? Cuál? R.: Sí. La metodología de evaluación de riesgos en seguridad de la información se basa en el método FRAAP (Facilitated Risk Analysis and Assessment Process). El modelo está compuesto de 5 etapas: Introducción de la Gestión de Riesgo en Seguridad de la Información; Presentación de la Metodología y Procesos o Servicios evaluados; Identificación de Riesgos; Clasificación de los Riesgos; Plan de Tratamiento de Riegos. 4. La EFS ha realizado pruebas de la efectividad del Plan de Continuidad del Negocio y recuperación de desastres? R.: Con respecto a la Continuidad y Recuperación de desastres de TI, sí. Se ha realizado una prueba plena de continuidad y recuperación en En cuanto a la Continuidad de Negocios del área corporativa, no. Nunca se han realizado pruebas relacionadas con los Planes de Continuidad corporativos. 5. Según las pruebas de la pregunta 4. En la EFS cuál es el tiempo promedio para restablecer la operación de la infraestructura tecnológica y dar continuidad al Negocio? R.: El tiempo promedio para recuperar el funcionamiento de la infraestructura de TI en el TCU es de 24 horas. 6. La EFS tiene clasificada la información producida y recibida (Confidencial, publica, etc.)? R.: Sí, el TCU reglamentó la aplicación de la Ley de Acceso a la Información de Brasil (12.527/2011), más específicamente su manejo para la clasificación de la información, por medio de la Resolución TCU-254 del 10 de abril de Desde entonces, el Tribunal hace la

6 clasificación de la información producida por sus Auditores. Las informaciones recibidas son clasificadas por la entidad que las ha producido. 7. La EFS cuenta con Acuerdos de privacidad, niveles de servicio (NDA, SLA), etc.? R.: El Tribunal de Cuentas de la Unión adopta buenas prácticas de SI, tomando como ejemplo la previsión de acuerdos de nivel de servicio (SLA), aplicables externamente en contratos de prestación de servicios al Tribunal e internamente, en el contexto de la planificación interna, con el fin de garantizar calidad al suporte a las actividades de negocio de la organización. Del mismo modo, términos de confidencialidad (NDA) y de responsabilidad se prevén en proceso de contratación de bienes y acceso la red TCU. 8. La EFS tiene establecido un Plan de respuesta a incidentes? R.: No 9. En la EFS se realiza Auditoría externa/interna a la gestión de incidentes de seguridad informática? R.: Sí, ya se han realizado dos auditorías internas para verificar la existencia y madurez del proceso de gestión de incidentes de seguridad en TI. 10. Existe el compromiso de la alta dirección de la EFS con respecto a la seguridad de la información? R.: Sí, a partir de 2015 el sector responsable del tema pasó a integrar la Secretaría de Planificación, Gestión y Gobernanza (Seplan), con acceso directo al Gabinete de la Presidencia. Además, el Secretario de la Seplan, responsable del área, participa en los principales comités decisorios del Tribunal. 11. Qué aportes puede hacer la EFS, con relación al tema, desde su propia experiencia? R.: A partir de nuestra experiencia, podemos afirmar que tanto el proceso de Seguridad de la Información como de Continuidad de Negocios deben ser perfeccionados continuamente, ya que, mientras surgen nuevas tecnologías e procedimientos para la gestión de estos procesos, nuevos riesgos y amenazas aparecen.

7 Además, hemos podido inferir por medio de nuestra experiencia que el avance en la implementación de los procesos de Seguridad de Información debe llevarse a cabo de forma incremental. Es necesario empezar por las actividades que pueden ser implementadas en el momento y, a partir de esto, evolucionar de forma gradual, implementando nuevos procedimientos y actividades, tanto de gestión de riesgo e incidentes de seguridad, como de continuidad de negocio. Tratar de implementar un proceso completo de una vez puede ser frustrante, ya que cuenta con demasiada resistencia de los colegas de trabajo (que tienen su rutina de trabajo modificada), y de la máxima administración (que tendrá que costear los gastos asociados al cambio) Específicamente con respecto al modelo de gestión del TCU, nuestra gran diferencia es que estamos estructurados en dos áreas: una con enfoque corporativo y otra con enfoque en tecnología. Eso tanto para la Seguridad de la Información como para la Gestión de Continuidad de Negocios. Los trabajos son complementares y en conjunto. Tener dos áreas permite que ninguno de los abordajes deje de recibir inversiones y prioridad, y aspectos diversos de la Seguridad de la Información se desarrollen. Tópico: EQUIPO DE RESPUESTA A INCIDENTES DE SEGURIDAD INFORMÁTICA (CSIRT- COMPUTER SECURITY INCIDENT & RESPONSE TEAM) 1. La EFS cuenta con personal especializado en seguridad informática? R.: Sí. Hay expertos en seguridad informática, direccionados a eventos relacionados directamente a la Tecnología de la Información (infraestructura de red y seguridad de sistemas), como también expertos en seguridad de la información, con un abordaje más amplio de la información en la EFS y enfoque corporativo, direccionado a la definición de políticas de seguridad de la información y continuidad de negocio, en el ámbito estratégico de la institución. 2. Se encuentra implementado un grupo de seguridad de la información para realizar monitoreo y/o atención de incidentes? R.: El monitoreo y la respuesta a incidentes de seguridad de la información (contexto TI) queda a cargo del Centro de Operaciones de Seguridad, servicio ofrecido por empresa contratada y gestionada por el equipo especializado en seguridad de la información en TI.

8 3. Se encuentra institucionalizado el grupo de seguridad de la EFS? R.: Existe el Servicio de Seguridad en Ti, que compone la estructura jerárquica de la Secretaría de Infraestructura de TI, y la Dirección de Seguridad de la Información subordinada a la Secretaría de Planificación, Gobernanza y Gestión del TCU. 4. Qué plataformas se utilizan para seguridad perimetral, monitoreo y/o correlación de eventos de seguridad de la información? R.: La seguridad perimetral en la red del Tribunal de Cuentas de la Unión (red TCU) contempla diversas plataformas tecnológicas. La mayoría se encuentra integrada en forma de servicios gestionados de seguridad estructurados en una central de operaciones de seguridad (MSS/SOC). Dicha estructura hace el monitoreo de seguridad de la información de forma continua. (24x7). Se incluyen en el rol de tecnologías las siguientes plataformas corporativas: Firewalls, distribuidos en puntos específicos de la red, delimitando zona desmilitarizada (DMZ), perímetro de acceso a través de red inalámbrica (WIFI) y acceso a cada unidad estadual (SECEX estaduales). Sistemas de Prevención de Intrusión (IPS), distribuidos en diversos puntos específicos internos y externos a la red (WAN). Firewall de aplicación (WAF web application firewall), específico para la inspección de tráfico en la capa de aplicación (capa 7). Antispam, destinado a la filtración y bloqueo de mensajes de correo electrónico recibidos y enviados. Solución de gestión de vulnerabilidades, para que se haga una lista pasiva de vulnerabilidades en activos (asset management) y en aplicaciones (WAS web application scannig). Filtro de contenido (web filter), para inspección y bloqueo de accesos a la red externa (internet). Correlación y consolidación de eventos (SIEM Security Information and event manegement), para que se almacene y se agregue los registros de eventos (logs) de diferentes soluciones de seguridad, incluyendo las gestionadas por el Tribunal, tomando como ejemplo la solución corporativa de antivirus y gestión, inventario (asset management) y actualización de activos (patch management). Las soluciones son gestionadas por procesos de trabajo, los cuales permean el MSS/SOC y básicamente todas las áreas de la infraestructura de TI, tanto en el papel de autoridad (accountable), como ejecutor (responsable), consultado o informado. Métricas de seguridad de la información son adoptadas para el monitoreo y evaluación de cada proceso de trabajo, para priorizar acciones de seguridad e establecer línea de base para cada solución (baseline), tomando como ejemplo dos boletines e indicadores de seguridad. Incidentes de seguridad y demandas (incidentes de acuerdo con ITIL) son utilizados para el tratamiento de acciones identificadas por los diferentes procesos de trabajo. La estructura presentada se sustenta por las iniciativas asociadas a la identificación y tratamiento de riesgos

9 de seguridad de la información, auditorías periódicas e seguimiento de servicios de TI (disaster recovery). Por último, otras tecnologías han sido recientemente prospectadas como oportunidades de mejora del monitoreo de perímetro de seguridad, tomando como ejemplo las plataformas de protección en contra de APT (advanced persistent threats), contra DDOS (distributed denial of service) y anti-bot. La correlación de eventos es tratada en uno de los procesos de seguridad de la información, denominada correlación y consolidación de eventos, este proceso demanda participación del área de seguridad de la información del Tribunal y el MSS/SOC. Puede que demande otras áreas de la infraestructura de TI, de acuerdo con el caso. De acuerdo a lo mencionado anteriormente, se utiliza solución de SIEM para agregar registros de eventos (logs) producidos por las soluciones de seguridad y por soluciones en producción en la infraestructura de TI. Eventos considerados sospechosos o que representen riesgo a la seguridad de la red son tratados como incidentes de seguridad de la información en TI. Conforme la naturaleza del incidente, se abarcan diferentes áreas del Tribunal, incluso externos al área de TI. Registros de eventos pueden ser utilizados en el contexto de análisis y preservación de evidencias, en atención a solicitudes internas o externas. Este proceso, así como los otros procesos gestionados por el área de seguridad de la información del Tribunal, se supedita a revisión periódica (follow up) y mejorías. 5. La infraestructura de monitoreo y seguridad que posee la EFS se encuentra: tercerizada, en la nube, local, otra (Especifique)? R.: El monitoreo es local (con equipamientos y software propios) y utiliza servicios y equipo tercerizados para la operación de las soluciones de seguridad, bajo la gestión de personas que pertenecen a la plantilla de funcionarios de la EFS. 6. La EFS cuenta con un equipo de respuesta a incidentes de seguridad Informática (CSIRTComputer Security Incident & Response Team)? R.: Aunque haya un equipo experto en seguridad de la información en TI, el CSIRT no es institucionalizado. 7. Se tienen identificados los servicios que va a prestar el CSIRT? R.: No, porque no hay CSIRT. 8. Se tiene identificado el entorno y el grupo de clientes que atenderá el CSIRT? R.: No, porque no hay CSIRT.

10 9. En caso de no contar con un equipo de respuesta a Incidentes de Seguridad Informática, la EFS cuenta con procedimientos de monitoreo a incidentes de Seguridad Informática? R.: Sí. Como mencionado antes, hay equipo y procedimientos de monitoreo de incidentes de seguridad tanto de TI como de seguridad de la información en el ámbito institucional. 10. Se realiza seguimiento a los incidentes de seguridad que se han presentado en la EFS? R.: Sí. 11. Se toman acciones preventivas a los incidentes de seguridad registrados en la EFS? R.: Sí. Además de diversas acciones educativas con el objetivo de formar la conciencia y la cultura de seguridad de la información, se busca repasar periódicamente las lecciones aprendidas para los responsables de la operación y proveer los activos de información. 12. La información de los incidentes de seguridad es reportada a nivel de la Alta Dirección en la EFS? R.: Sí. Al empezar el tratamiento de un incidente, se realiza una clasificación que verifica el impacto del incidente en el negocio de la Institución, especialmente en sus actividades críticas, y la urgencia para su tratamiento. De esta manera, incidentes clasificados como más graves pueden llegar más rápidamente a la máxima dirección de la EFS. 13. La EFS cuenta con la figura de Oficial de Seguridad Informática? R.: No. 14. Existe en el país una estrategia o política pública para implementar un mecanismo de ciberseguridad / ciberdefensa? R.: Sí. El Gabinete de Seguridad Institucional de la Presidencia de la República (GSI/PR) recientemente ha publicado la Estrategia de Seguridad de la Información y Comunicaciones y de Seguridad Cibernética de la Administración Pública Federal para el trienio 2015/ Existe a nivel nacional un equipo de respuesta a incidentes de seguridad informática (CSIRT)? 16. Qué aportes puede hacer la EFS, con relación al tema, desde su propia experiencia?

11 R.: A partir de nuestra experiencia, podemos afirmar que la implementación de un SOC (Security Operations Center) trajo un avance considerable en el monitoreo y gestión de incidentes en seguridad de la información. Dicha solución permitió identificar y tratar incidentes de forma más tempestiva y efectiva. Tópico: MECANISMOS DE SEGURIDAD PARA INTERCAMBIO DE INFORMACIÓN 1. A efectos de evitar la acción de amenazas ocasionadas por la proliferación de software malicioso como virus, malware, troyanos, spam, etc., qué medidas de prevención, ha adoptado o implementado la EFS? R.: En el TCU se adoptan diversas medidas preventivas para que se suavice la acción de softwares maliciosos. Tales medidas contemplan herramientas de Ti y concientización de los usuarios. Entre las herramientas de TI, se puede mencionar la instalación de antivirus en todas las máquinas del Tribunal, firewall y filtro antispam en la red con cable e inalámbrica, así como una herramienta SOC (Security Operations Center) responsable de gestionar todas las otras. Además, el Tribunal realiza un trabajo intenso y continuo de concientización de los usuarios internos y externos con relación a las amenazas y riesgos referentes a la proliferación de softwares maliciosos. 2. La EFS realiza intercambio de información sensible a través de la red de datos interna o web Institucional? R.: Sí. Con la implementación del proceso electrónico (por medio de la herramienta e-tcu) a partir del año 2009, hubo un aumento significativo en el cambio de informaciones sensibles por medio de la red de datos interna e intranet. 3. Se ha concientizado al usuario final interno y externo de la EFS sobre la seguridad en Internet? R.: Sí, el proceso de concientización con respecto a la Seguridad de la Información es muy fuerte en el Tribunal de Cuentas de la Unión. Internamente, el proceso es continuo y frecuente y cuenta con recursos como la publicación de informaciones sobre concientización en el periódico interno de la institución, cursos de capacitación, e incluso un evento de Quiz anual, con la

12 distribución de premios, en el cual se deben contestar preguntas sobre seguridad de la información. Con respecto al público externo, anualmente el TCU realiza el Día de Seguridad de la Información, el cual invita a diversos expertos en el área para tratar de este tema con enfoque en la Administración Pública. Se invita el público externo a participar del evento y cooperar con conferencias técnicas. Además, se ofrecen cursos de capacitación en el área de seguridad de la información también para los usuarios externos, incluso para la OLACEFS. 4. Conoce el usuario final interno y externo de la EFS sobre las diferentes modalidades de robo de datos o de información a través de la WEB? R.: Sí. De forma general, el usuario se muestra consciente sobre las diversas formas de robo de datos e informaciones a través de la web. 5. Existe una cultura de seguridad informática al interior de la EFS? R.: Sí, desde la creación de la primera Política Corporativa de Seguridad de la Información en 1999 esta cultura ha sido desarrollada e asimilada por los funcionarios públicos y las autoridades de la institución. Con la implementación del proceso electrónico (por medio de la herramienta e-tcu), se ha avanzado en términos de cultura de seguridad de la información, con una protección más efectiva a las informaciones producidas y recibidas por el Tribunal. 6. Qué aportes puede hacer la EFS, con relación al tema, desde su propia experiencia? R.: Nuestra experiencia nos ha mostrado que el proceso de concientización del usuario interno y externo es esencial para la minimización de los riesgos de seguridad de la información. Las herramientas de TI son útiles para proteger a la institución de ataques y vulnerabilidades externas, pero sin la cooperación de los usuarios, su eficacia se reduce. Además de eso, también percibimos la necesidad de trabajarse en conjunto con los usuarios externos, ya que el Tribunal depende directamente de la información de ellos para su trabajo. Si la información no está segura o clasificada en el origen, todo el proceso de seguridad es perjudicado. Tópico: CONVENIOS DE COOPERACIÓN O INTERADMINISTRATIVOS DE INTERCAMBIO DE INFORMACIÓN

13 1. Existen convenios interadministrativos para el intercambio de información entre Entidades de Control en el país? R.: Para el intercambio formal de informaciones e integración de acciones de control, el Tribunal utiliza Acuerdos de Cooperación Técnica, tomando como ejemplo el firmado con la CGU ( Para la identificación de otros acuerdos de cooperación de TCU, efectúe la siguiente búsqueda en Google: site:tcu.gov.br "acordo de cooperação técnica" 2. Existe normatividad que reglamente el tema de intercambio de información entre las entidades de Control del país? R.: Para el intercambio de datos, los propios Acuerdos de Cooperación Técnica definen formatos específicos, o predicen que eso será discutido en el [ámbito de cada acuerdo. También existen obligaciones normativas, impuestas por el TCU a órganos/entidades en consecuencia de sus prerrogativas constitucionales, de seguimiento de informaciones que no envuelven bases de datos, como: a la CGU (ejemplo: seguimiento de actos de personal, por ejemplo). Para más detalles, recomiendo solicitar dichas informaciones a la Segecex o a la Adgecex. 3. La EFS de su país realiza intercambio de información almacenada en base de datos con otras EFS? De qué tipo? R.: Hay intercambios de informaciones hechos con tribunales de cuentas de los estados, con participantes de la Estrategia Nacional de Combate a la Corrupción y Lavado de Dinero (ENCCLA), por ejemplo. Para más detalles del ENCCLA ver: 4. La EFS de su país realiza intercambio de información almacenada en base de datos con otros organismos internacionales? De qué tipo? R.: No. 5. Existe intercambio de información sensible de la EFS desde/hacia entidades gubernamentales? De qué tipo?

14 Ver la respuesta Qué aportes considera que la EFS puede hacer, con relación al tema, desde su propia experiencia?.