Seguridad de la información, políticas y casos de éxito

Documentos relacionados
Política de Seguridad de la Información de ACEPTA. Pública

Política de Protección de Datos Personales en el Ministerio de Minas y Energía

NTE INEN-ISO/IEC Segunda edición

GUÍA PARA LA INSTALACIÓN DE LAS OFICINAS DE ACCESO A LA INFORMACIÓN PÚBLICA

Red Sistemas Nacionales de Inversion Pública de Latino America y el Caribe (RED SNIPs) Boletin Informativo. PAIS: Honduras

Capacitación en Seguridad Informática

PROCESO DE ASUNCIÓN DE RESPONSABILIDADES POR PARTE DEL EQUIPO DE DIRECCIÓN

Universidad Nacional del Litoral

RESOLUCIÓN 193 DE 05 DE MAYO DE 2016 CONTADURIA GENERAL DE LA NACIÓN

Ética en la gestión del negocio

Este procedimiento es aplicable al Personal Directivo, Administrativo y Docente.

OHSAS CURSO ONLINE 1 INFORMACIÓN GENERAL 2 PRESENTACIÓN 3 OBJETIVOS 4 DIRIGIDO A:

Procedimiento de Revisión por la Dirección del Sistema de Gestión Integral

DIPLOMADO SISTEMAS INTEGRADOS DE GESTIÓN HSEQ ISO 9001: ISO 14001: OHSAS 18001:2007

DIPLOMADO EN SISTEMAS DE GESTIÓN EN SEGURIDAD Y SALUD OCUPACIONAL OHSAS 18001

Mejorando el Desempeño de tu Cartera de Proyectos. Marzo 2016

SEGUIMIENTO DE LOS ACUERDOS DE NIVEL DE SERVICIO DE INTERNET. Paloma Sánchez López Subdirección General de Informática TGSS

FUTURO DEL SENACE AVANCES Y DESAFIOS

MANUAL DE POLÍTICAS Y PROCEDIMIENTOS DE LA OFICINA DE PLANIFICACIÓN UNIVERSITARIA

LEY No SOBRE COMERCIO ELECTRONICO, DOCUMENTOS Y FIRMAS DIGITALES AGENDA REGULATORIA DEL INDOTEL

El empleo en el sector de la construcción. Beatriz Uribe Botero Presidente Ejecutiva Agosto 30, 2007

TRANSITION WITH CONFIDENCE ESTRUCTURA GLOBAL COMPARATIVA ENTRE OHSAS ISO 45001

Ampliación de las funciones docentes:

JULIO ALBERTO PARRA ACOTA SUBDIRECTOR DEL SISTEMA DISTRITAL DE ARCHIVOS DIRECCION ARCHIVO DE BOGOTÁ QUITO ECUADOR NOVIEMBRE DE 2012

POLÍTICA DE MGS. Fecha 23/09/2016 Versión 5 Tipo de documento POLÍTICA

Disposiciones sobre PAEP (public awareness, education and participation)

Panamá. Coordinación n del sistema estadístico stico nacional, diseminación n de información n y mecanismos de reporte

FOMENTO DE LA CULTURA DE CONTROL INTERNO

INTERPRETACIÓN NORMA OHSAS 18001:2007 MÓDULO 1 SESIÓN 1 INTERPRETACIÓN DE LA NORMA OHSAS 18001:2007 DOCENTE: Ing. Dª. Ana I.

Elaboración de la Estrategia y el Modelo para el Programa Trámites y Servicios en Línea. Transferencia de Conocimiento

SISTESEG Seguridad y Continuidad para su Negocio

Políticas de continuidad del servicio: Planes de Contingencia

Planteamiento preventivo: elementos

Rocío M. Parra Zacarías Noviembre 04, Diseño e Implementación de un Sistema Gestión de Proyectos de Obras Civiles pa Empresas Constructoras

DECIDE: CAPITULO I PROGRAMA DE DIFUSION ESTADISTICA DE LA COMUNIDAD ANDINA

CYBERGYM #CG002 SPA SERVICIOS INTEGRALES DE DEFENSA CIBERNÉTICA

SISTEMA DE CONTROL INTERNO GENERALIDADES.

Gestión eficaz de la I+D: Sistemas de gestión de la innovacion UNE Chile INNOVATION CAN BE ANYWHERE

Ficha Informativa de Proyecto 2015

Documento de orientación para la supervisión de los controles oficiales

Indicador 1 Proporción de Planes de mejoramiento aprobados por autocontrol Meta porciento

Dependencia/ secretaría. Secretaria General y Administrativa INTRODUCCIÓN

MODELO DE EXCELENCIA

Medidas de seguridad. Tema 1 SAD. Vicente Sánchez Patón. I.E.S Gregorio Prieto

Refinería Texas City 2005 Qué Aprendimos? Liderazgo y Compromiso Gerencial

MINISTERIO DE MINAS Y ENERGIA SISTEMA DE GESTIÓN SEGURIDAD DE LA INFORMACIÓN SGSI POLITICAS DE SEGURIDAD DE LA INFORMACIÓN JUNIO DE 2012

IMPLICANCIAS DE NO IMPLEMENTAR LA LEY LEY DE SEGURIDAD Y SALUD EN EL TRABAJO TRABAJO EN EQUIP

TALLER VALIDACIÓN DE LINEAMIENTOS PARA LA SUSTENTABILIDAD HIDRICA EN LA CUENCA DE PETORCA

Relación A.E.A.T- Grandes Empresas: el Foro de Grandes Empresas

CONVERSATORIO No. 30. NICC-1 Norma Internacional de Control de Calidad 1. Moderador: Luis Armando Leal. Relator: Dra. Maribel Albarracín

ENTIDAD 622 INSTITUTO NACIONAL DE LA PROPIEDAD INDUSTRIAL 622-1

CONTROL INTERNO - EL INFORME COSO

Poder Legislativo: Congreso del Estado de Jalisco Auditoría Superior del Estado de Jalisco

Plan de Acción :

Las Compras Publicas Sostenibles

ENCUESTA DE AUTOEVALUACIÓN CON FINES DE ACREDITACIÓN INSTITUCIONAL

CRITERIOS Y ACCIONES QUE RIGEN EL FUNCIONAMIENTO DEL SISTEMA FEDERAL DE INFORMACIÓN EDUCATIVA

REUTILIZACIÓN DE APLICACIONES CENTRO DE TRANSFERENCIA DE TECNOLOGÍA CTT EL CASO DE ACCEDA

DIRECCIÓN DE PROFESIONALIZACIÓN Y CAPACITACIÓN DEL SERVIDOR PÚBLICO LOCAL

Página 1 PERFIL CORPORATIVO

Artículo 1. Objeto y ámbito de aplicación

Jefe Departamento de Gestión de Talento Humano

Conformidad con el ENS algo imposible?

MESA REGIONAL DEL AGUA, REGION DE COQUIMBO

Aplicación del marco (Parte II: Elaboración del informe de la EFS y Asuntos centrales Ámbitos A y D

República de Honduras Ministerio de la Presidencia. Evaluación y Gestión de Riesgos Institucionales

INFORME No 1 Avances de la Política de Racionalización de Trámites. junio 2014

OBJETIVOS DE DESARROLLO DEL MILENIO

Perú, calidad que deja huella

CONVOCATORIA PARA PARTICIPAR EN EL PROCESO DE SELECCIÓN Y FORMACION DEL COMITÉ DE EVALUACION DEL GALARDON JALISCO A LA EXPORTACION 2016

Gestión de Procesos Concepción

Metodología Dharma de Dirección de Proyectos (MDDP) sobre MS Project. I. Introducción

SGC para la Formación y Actualización Profesional Docente. Revisión: 7 Referencia a la Norma ISO 9001: Página 1 de 6

REGLAMENTO DEL USO DE EQUIPOS DE CÓMPUTO, PROYECTORES MULTIMEDIA Y LABORATORIOS DE FACEM

Rol de las Oficinas de Proyecto (PMO) en las Organizaciones. Qué es lo que hay dentro de una PMO?

REGLAMENTO DE DISTRIBUCIÓN Y COMERCIALIZACIÓN

PROCESO METODOLÓGICO Rendición de Cuentas

ENTIDAD 622 INSTITUTO NACIONAL DE LA PROPIEDAD INDUSTRIAL 622-1

PROGRAMA DEL CURSO GERENCIA DE LA EJECUCIÓN DE PROYECTOS DE INVERSIÓN

INFORME PQRSD MAYO 2016 OFICINA DE CONTROL INTERNO

DISCURSO SEMINARIO A 10 AÑOS DEL FALLO CLAUDE REYES: IMPACTO Y DESAFIOS

Por qué estas Orientaciones?

AUDITORÍA INTERNA INFORME DE AUDITORÍA N AF

Plan Estratégico DIAN Aprobado en sesión del Comité de Coordinación Estratégica del 22 de diciembre de 2010

Oficina Control Interno

Diploma en Dirección Estratégica

MANUAL DE OPERACIÓN DE LA NORMATECA INTERNA DE LA SECRETARÍA DE DESARROLLO ECONÓMICO

PROMOCIÓN DE LA COMPRA VERDE EN LOS ENTES LOCALES DE LAS COMARCAS DE GIRONA

Dirección General de Derechos Fundamentales y Seguridad y Salud en el Trabajo

Ministerio de Obras Públicas. Dirección de Obras Hidráulicas. Análisis y Proposiciones Preliminares para Mejorar Trabajos de Consultorías.

PROCEDIMIENTO GESTIÓN FOMENTO DE LA CULTURA DEL AUTOCONTROL DEL PROCESO SEGUIMIENTO, CONTROL Y EVALUACIÒN DEL SIG.

La participación de las tecnologías de la información y del conocimiento en la Justicia. e-justicia. Germán Garavano Fiscal General

4.7. OFICINA DE METODOLOGÍAS DE SUPERVISIÓN Y ANÁLISIS DE RIESGO I. IDENTIFICACIÓN. Oficina de Metodologías de Supervisión y Análisis de Riesgo

TÉRMINOS DE REFERENCIA CONSULTORÍA + LOCAL V: PLANIFICACIÓN ESTRATÉGICA DEL MUNICIPIO DE PAN DE AZÚCAR 1. INFORMACIÓN GENERAL

Curso on-line. para el logro de resultados de desarrollo

Consultor - Ingeniero de construcción para la rehabilitación de la Oficina Nacional de UNICEF México

Cómo desarrollar una Arquitectura de Red segura?

Avances en su Implementación

Normas Internacionales de Información Financiera NIC-NIIF Calendario adopción en Colombia

Curso ITIL Fundamentos. Capacítate, sé diferente. Servicio de transición. Estrategia de Servicio. Servicio de operación. Servicio de diseño

Transcripción:

Seguridad de la información, políticas y casos de éxito Del dicho al hecho Ing. Fabiana Santellán (AGESIC) Ing. Fernando Cócaro (AGESIC) Ing. Fernando García (MTSS) 1

Agenda Principios de la seguridad de la información Marco normativo y políticas Metodología de trabajo Experiencias en el Estado Metas fijadas y próximos pasos 2

Principios de Seguridad de la Información Confidencialidad Asegurar que solamente personas autorizadas accedan a la información. Disponibilidad Asegurar que la información esté disponible cuando se la necesite. Integridad Asegurar la exactitud y completitud de la información. 3

Principios de Seguridad de la Información 4

Marco normativo y políticas Decreto 452/009 Este decreto establece que todas las unidades ejecutoras deben adoptar una política de seguridad de la información, tomando como base la propuesta en dicho decreto. Además exhorta a los gobiernos departamentales, entes autónomos, servicios descentralizados y demás órganos del estado a adoptar las disposiciones establecidas por el decreto. 5

Marco normativo y políticas Política de seguridad de la información En líneas generales establece que se debe tener/implementar: Objetivos anuales en seguridad de la información. Controles (políticas, procedimientos, estructuras, etc.) Responsable de seguridad de la información. Política de gestión de incidentes Política de gestión de riesgos Concientizar al personal. Plan de continuidad del negocio. 6

Marco normativo y políticas Resolución 62/010 del Consejo Directivo Esta resolución establece que AGESIC podrá fiscalizar el cumplimiento de decreto 452/009, y podrá apercibir a los organismos que no cumplan dicha normativa. Ley 18331: Protección de datos personales y acción de habeas data Ley 18381: Acceso a la información pública 7

Apoyo a la Seguridad de la Información En qué podemos ayudar? 8

Metodología de trabajo Consultorías de mejora del SGSI Taller de intercambio Desarrollo de metodologías Buenas prácticas Intercambio de experiencias Capacitación Cursos UNIT Talleres AGESIC Participación en eventos 9

Herramientas Respuesta a Incidentes de Seguridad Informática CERTuy Sistemas de monitoreo Portales Advisory Infraestructura de Certificación Electrónica Políticas de Certificación Puesta en funcionamiento de dos Autoridades Análisis de sitios web 10

Comprome tidas; 25975 Estadísitcas Agosto 2012 No Comprome tidas; 1135241 16% 7% SPAM BOTNET OTROS 77% 11

Concientización Ciclo de charlas del CERTuy Espacio de «networking» y transferencia de conocimiento Orientado al sector público Difusión Alertas y alarmas Reportes de anomalías 12

Notificaciones Comunicados Recomendaciones Definición de políticas de notificación Alineadas con el proceso de respuesta a incidentes de seguridad 13

Ministerio de Trabajo y Seguridad Social un caso de éxito Ing. Fernando García fgarcia@mtss.gub.uy 3/09/12

Agenda Metas deseadas. Que se aprende?. Desafíos. Conclusión. 15

Metas deseadas Adoptar Políticas 1. Política de Seguridad de la Información. 2. Política de Gestión de Riesgos. 3. Política de Gestión de Incidentes. Definir Responsabilidades de cada cargo. Se cuenta: 1. Apoyo AGESIC. 2. Prototipo de políticas y responsabilidades. Qué se hizo? Adaptar las políticas y la definición de responsabilidades de cada cargo a la realidad de la organización. 16

Obtener la aprobación Adoptar Políticas. Definir Responsabilidades de cada cargo. Comité de Seguridad de la Información. Oficial de Seguridad de la Información. 17

Metas deseadas Análisis de Riesgo 1. Proceso: Legajo y capacitación 2. Recursos: propietario, oficial seguridad, apoyo AGESIC. Se cuenta: Metodología y Plantillas. Qué se hizo? Identificar todos los activos del proceso. Valorar los activos. Identificar vulnerabilidades de los activos. Identificar amenazas. Identificar controles que eviten la materialización de una amenaza sobre el activo. 18

Concientización La totalidad del personal tienen conocimientos básicos en Seguridad de la Información. Aplicación de los conceptos en el ám bito laboral 3% 2% Muy bueno 45% Aceptable Regular 50% No contesta 19

1. Apoyo dirección. 2. Apoyo AGESIC. Qué se aprende? 3. Análisis de riesgo a) Conocer la realidad del proceso. b) Determinar el valor que tiene para el propietario. c) Adecuar la importancia del proceso a la organización. 4. Concientización a) Adaptar el curso al público. b) Conocer la realidad de los participantes. c) Permite tener una primera visión de: 1. Cuál es la percepción. 2. Cómo se puede continuar. 20

Creación del Centro de Atención al Ciudadano. Expediente electrónico. Continuar con el análisis de riesgos para otros procesos. Sistema de gestión de incidentes. Mejorar los controles - edificio - sistemas informáticos - utilización de recursos Concientización y capacitación. 21

Conclusión 22

Metas fijadas 100% de los incisos con políticas adoptadas. 50% de los ministerios con SGSI definidos y en proceso de implementación. 23

Metas fijadas 20% de aumento en la capacidad de detección de incidentes y respuesta a los mismos Implantación de dos autoridades de certificación acreditadas ante la Unidad de Certificación Electrónica Incorporación de nuevas fuentes de detección de anomalías Membresía con grupos internacionales: FIRST, APWG. etc 24

Muchas gracias! @agesic @certuy fabiana.santellan@agesic.gub.uy fernando.cocaro@agesic.gub.uy 25

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback