Protegiendo la información gubernamental: Retos y recomendaciones

Transcripción

1 Protegiendo la información gubernamental: Retos y recomendaciones Gerardo Maya Alvarez Security Principal Consultant Protegiendo la información gubernamental: Retos y recomendaciones 1

2 Agenda 1 Analizando las estrategias de Gobierno electrónico 2 El reto: Protección de la información 3 Recomendaciones: Protección por capas 4 La visión de Symantec 5 Conclusiones Protegiendo la información gubernamental: Retos y recomendaciones 2

3 Analizando las estrategias del Gobierno Electrónico Protegiendo la información gubernamental: Retos y recomendaciones 3

4 Estrategias para el Gobierno electrónico - Definición Una estrategia sólida de e-gobierno requiere de tres pilares: 1. Mejorar la eficiencia operativa del Gobierno 2. Mejorar el servicio ciudadano 3. Construir e integrar una infoestructura Hacia un Gobierno Digital más sólido / Septiembre 2010 Javier Pérez Secretaria Función Pública Protegiendo la información gubernamental: Retos y recomendaciones 4

5 Estrategias para el Gobierno electrónico - Infoestructura Algunas estructuras de información son tan importantes para un país que deben ser consideradas bienes públicos de información o Infoestructura. En general este tipo de proyectos son intensivos en capital, difíciles de manejar y producen poca atención de los medios y de la opinión pública. La Infoestructura es el pilar de la interoperabilidad del gobierno, y sus cimientos son: o Bases de datos de Identidad y registro civil. (derechos sociales) o Registros de Propiedad. (derechos económicos) o Registros criminales. (justicia y seguridad pública) o Registros educativos. (generación de capacidades)inventarios de normas. (transparencia) o Registros de salud. (salud pública) Protegiendo la información gubernamental: Retos y recomendaciones 5

6 Estrategias para el Gobierno electrónico - La necesidad de una Infoestructura ciudadanos ciudadanos ciudadanos Protegiendo la información gubernamental: Retos y recomendaciones 6

7 Estrategias para el Gobierno electrónico - Infoestructura ciudadanos ciudadanos ciudadanos Protegiendo la información gubernamental: Retos y recomendaciones 7

8 El reto: Protección de la información Protegiendo la información gubernamental: Retos y recomendaciones 8

9 Asegurando la información gubernamental - El flujo de información Protegiendo la información gubernamental: Retos y recomendaciones 9

10 Asegurando la información gubernamental - El flujo de información Información en reposo Internet Información en Protegiendo la información gubernamental: Retos y recomendaciones 10

11 Asegurando la información gubernamental - Identificando el flujo de información Protegiendo la información gubernamental: Retos y recomendaciones 11

12 Asegurando la información gubernamental - Identificando el flujo de información QUIÉN ES EL DUEÑO INFORMACIÓN? Los controles de acceso obedecen al tipo de información La información está solo en las ubicaciones permitidas HOW CÓMO IS THE ES UTILIZADA? DATA USED Quién tiene acceso? Lack of audit information En donde se almacena la when incident occurs información When is the data no longer Cuándo deja de ser útil? needed? CÓMO LA PROTEJO? Hay información viajando a donde no debe? Cuál de mis procesos tiene mayor riesgo? Protegiendo la información gubernamental: Retos y recomendaciones 12

13 CONFIDENCIAL Dueño Custodio Usuario Dueño Custodio Usuario Dueño Custodio Usuario ISO 1779 LPDDP Asegurando la información gubernamental - Clasificación de la información por proceso Portal Comunicación Social Contraloría Legislación Proceso Subproceso Categoría Ciclo de vida de la información Alta ciudadanos RFC Creación / colección x x x x x x x Almacenamiento x x x x x x x x Procesamiento x x x x x Transmisión x x x x x x x x Acceso / consulta x x x x x x x x x x Eliminación x x x x x x x Protegiendo la información gubernamental: Retos y recomendaciones 13

14 Recomendaciones: Implementando seguridad por capas Protegiendo la información gubernamental: Retos y recomendaciones 14

15 Implementando seguridad por capas - Controles adecuados en sitios correctos HIPS FW HIPS FW NIPS Internet DLP DLP Correo DLP Control Protegiendo la información gubernamental: Retos y recomendaciones 15

16 Implementando seguridad por capas - Proyectos de TI Protección perimetral Firewall Filtrado de contenido / antispam / antivirus DLP Servidores y estaciones de trabajo Antivirus, Firewall personal, IPS Integridad de archivos Control de dispositivos Respaldos / Alta disponibilidad Análisis de vulnerabilidades En la red Sistemas de detección de intrusos Data Loss Prevention Control de acceso a la red Almacenamiento / Alta disponibilidad Protegiendo la información gubernamental: Retos y recomendaciones 16

17 La visión de Symantec Protegiendo la información gubernamental Protegiendo la información gubernamental: Retos y recomendaciones 17

18 El modelo de Symantec - Centrado en la información Política Regulaciones Identidad Remediación Reporteo GOBERNABILIDAD INFORMACIÓN Clasificación Amenazas Cifrado Propiedad Descubrimiento INTELIGENCIA DE LA INFORMACIÓN INFRAESTRUCTURA DE LA INFORMACIÓN La importancia de la seguridad TI en el Sector Público 18

19 Conclusiones Protegiendo la información gubernamental Protegiendo la información gubernamental: Retos y recomendaciones 19

20 Conclusiones La protección debe ser centrada en información no en infraestructura Identificando el flujo correcto de la información es muy simple detectar desviaciones De acuerdo al proceso y a la clasificación de la información es más simple implementar controles de protección Las autorización de presupuestos toma un proceso más sencillo La protección se realiza por capas, tomando como base la clasificación y el proceso Permite identificar los riesgos de no implementar los controles de seguridad El ciudadano tendrá mayor confianza en la utilización de servicios de e-gobierno Protegiendo la información gubernamental: Retos y recomendaciones 20

21 Gracias por su atención! Gerardo Maya Consultor de Seguridad Copyright 2010 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners. This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice. Protegiendo la información gubernamental: Retos y recomendaciones 21