Seguridad de la información, políticas y casos de éxito Del dicho al hecho Ing. Fabiana Santellán (AGESIC) Ing. Fernando Cócaro (AGESIC) Ing. Fernando García (MTSS) 1
Agenda Principios de la seguridad de la información Marco normativo y políticas Metodología de trabajo Experiencias en el Estado Metas fijadas y próximos pasos 2
Principios de Seguridad de la Información Confidencialidad Asegurar que solamente personas autorizadas accedan a la información. Disponibilidad Asegurar que la información esté disponible cuando se la necesite. Integridad Asegurar la exactitud y completitud de la información. 3
Principios de Seguridad de la Información 4
Marco normativo y políticas Decreto 452/009 Este decreto establece que todas las unidades ejecutoras deben adoptar una política de seguridad de la información, tomando como base la propuesta en dicho decreto. Además exhorta a los gobiernos departamentales, entes autónomos, servicios descentralizados y demás órganos del estado a adoptar las disposiciones establecidas por el decreto. 5
Marco normativo y políticas Política de seguridad de la información En líneas generales establece que se debe tener/implementar: Objetivos anuales en seguridad de la información. Controles (políticas, procedimientos, estructuras, etc.) Responsable de seguridad de la información. Política de gestión de incidentes Política de gestión de riesgos Concientizar al personal. Plan de continuidad del negocio. 6
Marco normativo y políticas Resolución 62/010 del Consejo Directivo Esta resolución establece que AGESIC podrá fiscalizar el cumplimiento de decreto 452/009, y podrá apercibir a los organismos que no cumplan dicha normativa. Ley 18331: Protección de datos personales y acción de habeas data Ley 18381: Acceso a la información pública 7
Apoyo a la Seguridad de la Información En qué podemos ayudar? 8
Metodología de trabajo Consultorías de mejora del SGSI Taller de intercambio Desarrollo de metodologías Buenas prácticas Intercambio de experiencias Capacitación Cursos UNIT Talleres AGESIC Participación en eventos 9
Herramientas Respuesta a Incidentes de Seguridad Informática CERTuy Sistemas de monitoreo Portales Advisory Infraestructura de Certificación Electrónica Políticas de Certificación Puesta en funcionamiento de dos Autoridades Análisis de sitios web 10
Comprome tidas; 25975 Estadísitcas Agosto 2012 No Comprome tidas; 1135241 16% 7% SPAM BOTNET OTROS 77% 11
Concientización Ciclo de charlas del CERTuy Espacio de «networking» y transferencia de conocimiento Orientado al sector público Difusión Alertas y alarmas Reportes de anomalías 12
Notificaciones Comunicados Recomendaciones Definición de políticas de notificación Alineadas con el proceso de respuesta a incidentes de seguridad 13
Ministerio de Trabajo y Seguridad Social un caso de éxito Ing. Fernando García fgarcia@mtss.gub.uy 3/09/12
Agenda Metas deseadas. Que se aprende?. Desafíos. Conclusión. 15
Metas deseadas Adoptar Políticas 1. Política de Seguridad de la Información. 2. Política de Gestión de Riesgos. 3. Política de Gestión de Incidentes. Definir Responsabilidades de cada cargo. Se cuenta: 1. Apoyo AGESIC. 2. Prototipo de políticas y responsabilidades. Qué se hizo? Adaptar las políticas y la definición de responsabilidades de cada cargo a la realidad de la organización. 16
Obtener la aprobación Adoptar Políticas. Definir Responsabilidades de cada cargo. Comité de Seguridad de la Información. Oficial de Seguridad de la Información. 17
Metas deseadas Análisis de Riesgo 1. Proceso: Legajo y capacitación 2. Recursos: propietario, oficial seguridad, apoyo AGESIC. Se cuenta: Metodología y Plantillas. Qué se hizo? Identificar todos los activos del proceso. Valorar los activos. Identificar vulnerabilidades de los activos. Identificar amenazas. Identificar controles que eviten la materialización de una amenaza sobre el activo. 18
Concientización La totalidad del personal tienen conocimientos básicos en Seguridad de la Información. Aplicación de los conceptos en el ám bito laboral 3% 2% Muy bueno 45% Aceptable Regular 50% No contesta 19
1. Apoyo dirección. 2. Apoyo AGESIC. Qué se aprende? 3. Análisis de riesgo a) Conocer la realidad del proceso. b) Determinar el valor que tiene para el propietario. c) Adecuar la importancia del proceso a la organización. 4. Concientización a) Adaptar el curso al público. b) Conocer la realidad de los participantes. c) Permite tener una primera visión de: 1. Cuál es la percepción. 2. Cómo se puede continuar. 20
Creación del Centro de Atención al Ciudadano. Expediente electrónico. Continuar con el análisis de riesgos para otros procesos. Sistema de gestión de incidentes. Mejorar los controles - edificio - sistemas informáticos - utilización de recursos Concientización y capacitación. 21
Conclusión 22
Metas fijadas 100% de los incisos con políticas adoptadas. 50% de los ministerios con SGSI definidos y en proceso de implementación. 23
Metas fijadas 20% de aumento en la capacidad de detección de incidentes y respuesta a los mismos Implantación de dos autoridades de certificación acreditadas ante la Unidad de Certificación Electrónica Incorporación de nuevas fuentes de detección de anomalías Membresía con grupos internacionales: FIRST, APWG. etc 24
Muchas gracias! @agesic @certuy fabiana.santellan@agesic.gub.uy fernando.cocaro@agesic.gub.uy 25