Normas Técnicas de Seguridad Interoperabilidad

Transcripción

1 La Seguridad de la Información comienza por TI... Normas Técnicas de Seguridad Interoperabilidad Caracas, Octubre 2013.

2 Agenda Conociendo a SUSCERTE. Aspectos Legales sobre Interoperabilidad. Seguridad de la información (SI) y Sistema de Gestión de SI. Actores. Metodología aplicada. Estándares aplicables. Políticas de Seguridad. Aspectos resaltantes. Recomendaciones.

3 Conociendo a SUSCERTE Creada en febrero del 2001, mediante el Decreto Ley sobre mensajes de datos y firmas electrónicas. Acreditación Certificación. de Proveedores de Servicios AC Raíz 2007 FII 2008 PROCERT 2008 IDYSEG 2013 de

4 Conociendo a SUSCERTE Delegación en Seguridad de la información en VenCERT: incidentes. Prevención, detección y Gestión de CENIF: Centro de alto nivel para la prestación de servicios de peritaje Informático Forense y evidencias digitales en Venezuela, que apoya las investigaciones judiciales en materia

5 Aspectos Legales sobre Interoperabilidad Decreto con Rango, Valor y Fuerza de Ley sobre Acceso e Intercambio Electrónico de Datos, Información y Documentos entre los órganos y entes del Estado. Dictar las normas técnicas en materia de Seguridad de la Información. Comprenden todas aquellas directrices e instrucciones relacionadas con los elementos técnicos, humanos, materiales, organizativos y de gestión basados en riesgos tecnológicos.

6 Seguridad de la Información Confidencialidad Disponibilidad Integridad No repudio

7 Sistema de Gestión de Seguridad de la Información Debe basarse en un enfoque de riesgo de la organización. Su diseño e implementación debe considerar: Objetivos Requerimientos de seguridad Procesos empleados Tamaño y estructura de la organización

8 Actores Seguridad de la Información Instituciones Proveedoras OPERADOR (Bus de Interoperabilidad) Certificación Electrónica Instituciones Solicitantes

9 Metodología aplicada Revisión y análisis de mejores prácticas, estándares y experiencias internacionales en la materia Identificación de elementos que conforman la arquitectura del marco de Interoperabilidad. Determinación de amenazas y su probabilidad de ocurrencia. Generación de controles de carácter obligatorio, deseable y recomendable. Compilación de controles debidamente clasificados en norma técnica de seguridad de la información.

10 Determinación de elementos y amenazas Amenazas Desastres naturales Elementos Servicios de información interoperables (SII) Repositorios digitales Servicios de CE y FE Plataforma tecnológica Servicios de comunicación Registro Nacional de SII Plataforma Nacional de SII Inundación, temblores, terremoto. Ataques tecnológicos intencionados Fallas de electricidad o en servicios de comunicación I1) Manipulación de registros o de configuración Cortes imprevistos de energía y/o internet I2) Suplantación de identidad del usuario Errores y fallas tecnológicos no intencionados I3) Difusión de software dañino I4) Acceso no autorizado N1) Errores de usuarios, de configuración o de mtto. I5) Modificación o destrucción de información N2) Acciones descoordinadas, errores por omisión. I6) Divulgación de información N3) Alteración o destrucción de la información. I8) Ingeniería social. N4) Caída del sistema por agotamiento de recursos. N5) Pérdida de equipos. I7) Denegación de servicios

11 Estándares aplicables ISO Magerit ETSI SUSCERTE OWASAP NIST Seguridad y Riesgo. Ej: 27001, 27002, Análisis y gestión de riesgos de sistemas para Administración Pública. Políticas de certificación ( ) Normas Técnicas en Certificación electrónica y Seguridad de la Información, Ej: 032. Proyecto abierto de seguridad de aplicaciones Web, documentación gratuita, talleres en Vzla. Instituto InstitutoNacional Nacionalpara paraestándares estándaresyytecnología tecnología (servicios (servicios web).web)

12 Competencias en seguridad de información Normas técnicas en materia de SI (directrices) Cada institución del Estado debe generar su sistema de gestión de SI

13 Políticas de seguridad de información Usos de la CE y FE Homologación De software y Hardware cript. Clasificación de La información Gestión de riesgos Plan de seguridad Gestión de incidentes Control de acceso Intercambio De información Plan de Recuperación Ante desastres

14 Aspectos resaltantes a considerar Revisión y cumplimiento Formación Auditoría interna Verificación de implementación Actualización periódica Administrativos Talento Humano Organizativos Otros aspectos Apropiación del conocimiento en CE y SI

15 Recomendaciones Documentarse en cuanto a buenas prácticas en la materia. Descargar el libro Identidad electrónica en la biblioteca de la web de SUSCERTE. Identificar los procesos participarán en IO. en su organización Analizar y documentar dichos procesos. que

16 Gracias por su atención! Contacto: Contacto VENCERT ( ) Síguenos en: Luisalba Maria Blanco Arocha Firmado digitalmente por Luisalba Maria Blanco Arocha Nombre de reconocimiento (DN): c=ve, o=suscerte, ou=direccion de Estandarizacion y Fiscalizacion en CE y SI, st=distrito Capital, l=libertador, cn=luisalba Maria Blanco Arocha, =lblanco@suscerte.gob.ve, =V Fecha: La Seguridad de la Información comienza por TI!