Trámites en Línea Marco de Seguridad. Ing. Santiago Paz Ignacio Lagomarsino

Transcripción

1 Trámites en Línea Marco de Seguridad Ing. Santiago Paz Ignacio Lagomarsino 1

2 ALCANCE La mejora permanente en la gestión pública cumplirá una etapa trascendente en materia de gobierno electrónico cuando en el año 2016, el 100 % de los trámites puedan ser iniciados y seguidos mediante Internet e incluso desde los propios teléfonos celulares desde los cuales podrán hasta efectuarse los pagos correspondientes.lsa Dr. Tabaré Vázquez Presidente de la República 1ª alocución en cadena nacional Marzo 01 de

3 Administración Central. ALCANCE Decreto 184/2015. Trámites 100% en línea Apoyo técnico y económico Otros interesados Empresas Públicas Intendencias Organismo de 220 3

4 Punto de partida: Tramites en línea Volumen transaccional Cantidad 4

5 Rol de Agesic Gestión del Programa Trámites en línea Rectoría de las iniciativas de trámites en línea Control de la calidad de los servicios web (y móvil).

6 METAS 2015 Inicio en línea de 20 trámites de la Administración Central % de los trámites con inicio en línea 100% de los trámites 100% en línea 6

7 Estrategia Formación de Equipo Estudio de Activos Evolución de Activos LAB de Innovación Social Modelado Relevamientos Implantación 7

8 Marco normativo Ley Creación de la Dirección de seguridad Ley Creación del CAHSI Ley Creación del CERTuy Decreto 451/009 Regulación del CERTuy Decreto 452/009 Política de Seguridad de la Información Decreto 92/014 - Ciberseguridad Ley 18331: Protección de datos personales y acción de habeas data Ley 18381: Acceso a la información pública

9 Cometidos y potestades del CERTuy Obligaciones del CERTuy Regulación CERTuy Obligaciones de los Organismos Decreto 451/009 Procedimiento tareas preventivas Procedimiento de respuesta a incidentes

10 Objetivos anuales Responsable Seguridad Información Política de Seguridad Información Decreto 452/009 Controles Concientización del personal Plan continuidad del negocio Política gestión de riesgos Política gestión de incidentes

11 Unificación de dominios Ciberseguridad Decreto 92/014 Uso de correo institucional Datos de Uruguay en Uruguay

12 Infraestructura Existente 12

13 Generando confianza Facilidad de uso Trámite corto y claro Apoyo al usuario Usabilidad/accesibilidad Ingreso en etapas Verificación de datos por el usuario Certezas Información actualizada y centralizada No repudio Términos y condiciones de utilización Campaña de comunicación

14 Solución segura Diseño seguro Desarrollo seguro Despliegue seguro Arquitecturas y servicios circundantes confiables y robustos Gestión continua de la seguridad

15 Gestión de activos Acuerdo de nivel de servicio Políticas de seguridad de la información Evaluación del riesgo tecnológico Indicadores de seguimiento Auditoría periódica

16 Trazabilidad Registro y no repudio Completitud e integridad de la información Generación de comprobantes Confidencialidad vs Transparencia en las consultas

17 Movilidad Factores de autenticación Medios de pago Campañas de sensibilización

18 Análisis de activos existentes Ethical hacking. Análisis de vulnerabilidades Análisis de infraestructura 18

19 Conclusiones Los análisis realizados a los activos existentes pierden vigencia ante un mínimo cambio de contexto. La seguridad incluida desde la concepción genera resultados más duraderos. La confianza es una necesidad básica y por tanto la seguridad también lo es.

20 Próximos pasos: Relevamiento Primario Cumplimiento Normativo: Datacenters, Servidores de correo Responsables de seguridad Trabajo en Gestión de seguridad: Controles Políticas Procedimientos Comités de seguridad: Actividad Integrantes 20

21 Próximos Pasos: Definir Framework de Seguridad Definir un subset de controles de la normativa standard ( i.e. ISO ) para ser implementados en una primera instancia en el estado uruguayo. Definir recomendaciones que sean pertinentes a la realidad de Uruguay. 21

22 Próximos Pasos: Plan de Auditoría Auditar Cumplimiento Normativo Auditar Gestión de seguridad Auditar Framework de seguridad 22

23