Seguridad de Información en el área de Acreditación, Seguridad y Beneficios Jorge Molero

Transcripción

1 Seguridad de Información en el área de Acreditación, Seguridad y Beneficios Jorge Molero Superintendencia de Servicios de Certificación Electrónica SUSCERTE

2 En materia de Seguridad, Estamos evolucionando o involucionando?

3 Hoy necesitamos, muchos más elementos para controlar y vigilar los accesos

4 SUSCERTE Agenda Seguridad de la Información y Certificación Electrónica Situación actual en Seguridad de la Información Sistema Nacional de Seguridad de la Información Sistema Nacional de Certificación Electrónica Factores de Éxito

5 SUPERINTENDENCIA DE SERVICIOS DE CERTIFICACIÓN ELECTRÓNICA Servicio Autónomo creado mediante el Decreto-Ley, de Mensaje de Datos y Firmas Electrónicas, publicado en la G.O. Nº del 28/02/2001

6 Objeto del Decreto-Ley de Mensajes de Datos y Firmas Electrónicas El presente Decreto-Ley tiene por objeto, otorgar y reconocer eficacia y valor jurídico a la Firma Electrónica, al Mensaje de Datos y a toda información inteligible en formato electrónico, independientemente de su soporte material, atribuible a personas naturales o jurídicas, públicas o privadas, así como regular todo lo relativo a los Proveedores de Servicios de Certificación y los Certificados Electrónicos.

7 La Superintendencia de Servicios de Certificación Electrónica tiene por objeto acreditar, supervisar y controlar, en los términos previstos en este Decreto-Ley y sus Reglamentos, a los Proveedores de Servicios de Certificación Públicos o Privados

8 Primeros Logros 2004, Reglamento Parcial del Decreto-Ley de Mensajes de Datos y Firmas Electrónicas 2006, Creación de Registros de Auditores

9 Logros Primera Autoridad de Certificación Raíz Nacional en América bajo una aplicación en Software Libre, desarrollada íntegramente por VENEZOLANOS (2007) desarrollada íntegramente por VENEZOLANOS (2007) 2007, creación de la Autoridad de Certificación para el Pasaporte Electrónico.

10 Logros Recientes Julio 2008 Acreditación de dos proveedores de Servicios de Certificación, uno público, la Fundación de Instituto de Ingeniería para Investigación y Desarrollo Tecnológico, y uno privado, Proveedores de Certificados (PROCERT), C.A.

11 Delegación en Materia de Seguridad Informática Del Ministerio del Poder Popular para las Ciencia y la Tecnología, publicado en la Gaceta Oficial de la República Bolivariana de Venezuela, Nº del 20 de noviembre de 2006, delega la gestión del Sistema Nacional de Seguridad de la Información: Impulsar la creación de una cultura de seguridad informática Articular y asesorar las distintas iniciativas de seguridad informática llevadas a cabo por organismos del estado Establecer Alianzas y celebrar convenios Desarrollar el Plan Nacional de Seguridad Informática Velar cumplimiento de las normativas aplicables Contribuir a la Formación del Talento Humano Divulgar y promover los aspectos jurídicos, tecnológicos y de gestión de la seguridad informática. Coadyugar en el desarrollo de líneas de investigación en el área de seguridad de informática.

12

13 Objetivos Estratégicos Actuales Consolidar la institucionalidad del Sistema Nacional de Seguridad de la Información y del Sistema Nacional de Certificación Electrónica Fomentar el desarrollo del capital humano en función de las necesidades y exigencias de los sistemas estratégicos Contribuir al desarrollo de la Soberanía Nacional en materia de Seguridad de la Información. Promover el uso de Plataformas Tecnológicas Seguras que contribuyan a la inclusión. Masificar el uso de Certificados Electrónicos en los servicios de Gobierno Electrónico. Fortalecer los procesos de acreditación, supervisión y control de los Proveedores de Servicios de Certificación

14 Provee mecanismos adecuados que GARANTICEN el uso seguro de las Tecnologías de la Información y Comunicación a los ciudadanos, impulsando la automatización del Estado Venezolano. Entidad Gubernamental Gobierno Electrónico SUSCERTE Ciudadano desde su comunidad Impulsa al Gobierno Electrónico

15 SEGURIDAD DE LA INFORMACIÓN Es un conjunto de políticas, prácticas, procedimientos, estructuras organizativas y tecnologías orientados a preservar la: CONFIABILIDAD, INTEGRIDAD Y DISPONIBILIDAD de la información de los sistemas y redes telemáticas. Contribuye al derecho de los ciudadanos Con el correcto funcionamiento y protección de las infraestructuras críticas de la nación. CERTIFICACIÓN ELECTRÓNICA Es un proceso que permite la identificación segura de un mensaje o transacción en redes y sistemas telemáticos. A través de la identificación segura, usando la tecnología para acercar a las Instituciones y servicios, sin importar donde se encuentren.

16 Situación Actual en Seguridad de la Información Dependencia del Estado de la información en sus redes y sistemas informáticos. Nuevos retos para la protección de los sistemas por el Desarrollo del Gobierno Electrónico Sistemas y Redes del Estado son blancos políticos. Experiencias de la Dependencia Tecnológica. Seguridad de la Información como elemento de la Seguridad y Defensa Integral de la Nación. Competencia del MPPTI.

17 Sistema de Seguridad para el Estado PROPÓSITO Garantizar condiciones seguras para el intercambio de información por medios electrónicos y su protección en los sistemas y redes telemáticas del Estado.

18 Sistema de Seguridad para el Estado Confiabilidad, seguridad y legalidad de las firmas electrónicas y los servicios de certificación en el país. Disminución del impacto de los incidentes telemáticos, a través de estrategias de prevención, detección temprana, recuperación y respuesta coordinada en los organismos de la APN. Generar y mantener las capacidades tecnológicas y el talento humano. Creación de una red de Gestión de Conocimiento. Reducción de las vulnerabilidades de los sistemas y redes telemáticas. Creación de un Laboratorio de Informática Forense, para el análisis, colección, preservación y presentación de evidencias digitales.

19 Ciudadanos - Democracia Protagónica - Participación Ciudadana Sector Privado - Banca - Servicios Críticos - Comercio - Transporte Internacional - Cooperación - Alianzas Estratégicas Laboratorio de Informática Forense Capacitación y Desarrollo Tecnológico POLÍTICAS NORMAS Y PROCEDIMIENTOS Gestión de Riesgos Tecnológicos - Infraestructura Nacional de Certificación Electrónica Centro de Respuesta ante incidentes Telemáticos (VenCERT) Contribuir con la implantación, operación y mantenimiento del Sistema Nacional de Seguridad de la Información Sector Público - Aduanas - Tributos - Registro Civil - Registros y Notarías - Identificación Nacional - Seguridad y Defensa

20 U S U A R I O Y U S U A R IA Sistema Nacional de Certificación Electrónica Proveedor de Servicios de Certificación Certificado Electrónico Firma Electrónica Documento Electrónico SUSCERTE Autoridad de Certificación Raíz: Acredita, supervisa y controla a los Proveedores de Servicios de Certificación (PSC) Entidad encargada de emitir los Certificados Electrónicos. Documento electrónico emitido por un PSC, vincula a un usuario con su firma electrónica Conjunto de datos que vincula de manera única el documento al usuario y garantiza la integridad del documento electrónico. Representación de actos o hechos en formato electrónico Aplicaciones Sector Público Democracia protagónica Participación ciudadana Identificación Nacional Registros y Notarías Sistema Tributario y Aduanales Registro Civil Sector Privado Banca Comercio Electrónico Transporte Firma de documentos Colegios profesionales

21 Incidentes Telemáticos Evento adverso que compromete o intenta comprometer la confidencialidad, integridad, disponibilidad,legalidad o confiabilidad de la información en redes o sistemas o sistemas informáticos. VenCERT Gestión de Incidentes Asignación oportuna de los recursos necesarios y su uso adecuado, con el objeto de prevenir, detectar y corregir incidentes que afectan la seguridad de la información. Un centro para proveer servicios y soporte a la Administración Pública Nacional en la Gestión de Incidentes Telemáticos.

22 PROCESO DE GESTIÓN DE INCIDENTES PREPARACIÓN PREPARACIÓN DETECCIÓN DETECCIÓN Y NOTIFICACIÓN NOTIFICACIÓN ANÁLISIS ANÁLISIS PRELIMINAR PRELIMINAR CONTENCIÓN CONTENCIÓN ERRADICACIÓN ERRADICACIÓN Y RECUPERACIÓN RECUPERACIÓN INVESTIGACIÓN INVESTIGACIÓN ACTIVIDADES ACTIVIDADES POSTERIORES POSTERIORES

23 MÓDULOS GENERALES del VenCERT PLATAFORMA CAPACITACIÓN VenCERT LEGAL DIVULGACIÓN PROCESOS

24 Etapas del VenCERT Principiantes Expertos Educación Planificación Implementación Operación Evaluación

25 Centro Nacional de Informática Forense INCIDENTE Delito Informático Actos manifestados mediante el uso indebido de las tecnologías de información cuando tales conductas constituyen el único medio de comisión posible para lograr el efecto dañoso que vulnera los bienes jurídicos cuya protección penal es necesaria Ley Especial contra el Delito Informático Evidencia Digital Computación Forense Delito Informático Técnicas Antiforense CENIF

26 Objetivo del CENIF Centro Nacional de alto nivel para la colección, preservación, análisis y presentación de evidencias relacionadas con la tecnología de la información que apoyará las investigaciones judiciales en esta materia, que brinde confiabilidad, integridad, seguridad y estabilidad del proceso de cómputo forense. Proceso Forense Preservación Colección Análisis Presentación Cadena de Custodia

27 Fases del CENIF Fase I: I Desarrollo del Modelo de Implantación y Funcionamiento del Centro Nacional de Informática Forense: Modelo Conceptual, Organizacional, Funcional, Operativo, Normativo y Tecnológico. Fase II: Equipamiento, Adecuación y Puesta en Marcha del Centro. Fase III: Desarrollo de un Plan de Promoción y Divulgación de los Servicios del Centro Nacional de Informática Forense en articulación con los órganos de investigación judicial. Fase IV: Desarrollo y Ejecución del Plan de Formación en Informática Forense.

28 Gestión de Riesgos Telemáticos Modelo de Gestión de Riesgos Telemáticos para la Administración Pública Nacional, que contemple los procesos, metodologías y políticas para una gestión adecuada de los riesgos telemáticos en las Instituciones del Estado Venezolano, para asegurar la confiabilidad e integridad de los activos de información de las infraestructuras críticas. RIESGO: Identificarlo y Medirlo MITIGAR el RIESGO: Evitar, Reducir, Compartir o Adoptar

29 Fases del Modelo de Gestión de Riesgos Tecnológicos Determinación de Metodología de Análisis de Riesgo Establecimiento del Modelo de Gestión de Tecnología de Información y Comunicación Plan Piloto Evaluación y determinación del nivel de madurez Promoción, Divulgación, Capacitación e implementación

30 Formación, Promoción y Divulgación de SI Con el objeto de incrementar las capacidades nacionales y el conocimiento colectivo en Seguridad de la Información y Certificación Electrónica. Creación de Laboratorio de Seguridad Informática y Certificación Electrónica, para potenciar la investigación, el desarrollo, la innovación y la formación del talento humano en esas áreas de conocimiento, marzo 2008 Estrategia comunicacional para fomentar la cultura de la Seguridad de la Información y crear confianza en los ciudadanos Preparación y Relización de Jornada de Seguridad de la Información, Delitos Informáticos y Certificados Electrónicos Mecanismos de actualización tecnológica constante al personal. Formación para jueces, abogados, en materia de Informática Forense, a fin de que participen en el proceso de tratamiento y presentación en juicio de la prueba electrónica

31 Gobierno Electrónico Conectado Poder Legislativo Poder Ejecutivo Poder Judicial Poder Popular Poder Ciudadano Sistemas de Información de la Administración Pública Nacional Poder Electoral

32 Gracias por su atención... Datos de contacto Jorge Molero Asesor de la Superintendencia de Servicios de Certificación Electrónica Telf: