Presentación: Taller de Seguridad y Privacidad de la Información
Taller de Seguridad y Privacidad de la Información ¡Estamos construyendo el Gobierno más eficiente y transparente con el uso de las TIC! Seguridad y Privacidad de la Información Datos de los ciudadanos guardados como un tesoro gracias a la seguridad de la información MinTIC Estrategia Estructura Cooperación Institucional Objetivo Subdirección de Seguridad y Privacidad de TI Elevar los niveles de seguridad y privacidad en el uso y aprovechamiento de las T.I. en el Estado, mediante la formulación de lineamientos y políticas que contribuyan a la calidad y confianza de los servicios ofrecidos al ciudadano. Apoyamos el 5to. Principio básico del Plan Vive Digital: El Gobierno da ejemplo Subdirección de Seguridad y Privacidad de TI Percepciones Nuestra Entidad no es blanco de ataques. No existe nada en la Entidad que valga la pena que se roben. Las amenazas son solo externas. Tenemos instalado un Firewall… entonces estamos protegidos Estamos gastando más que suficiente en seguridad. Si pasa algo, podemos asumir la pérdida Después de una falla siempre podemos restaurar el sistema Los problemas ocasionados por los virus siempre son menores. Todos los problemas se solucionan comprando equipos. La invencibilidad es una cuestión de defensa, la vulnerabilidad, una cuestión de ataque. —Sun Tzu El modelo de Defensa en niveles de profundidad y el plano de una ciudad amurallada. Fuente: ISACA. Seguridad de la Información • Involucra • Mantiene • Disminuye Gobierno Riesgos Gestión Activos • Identifica Gestion del Riesgo Riesgo: Es la posibilidad de que suceda algún evento que tendrá un impacto sobre los objetivos institucionales o del proceso. Se expresa en términos de probabilidad y consecuencias (Guía de Administración del Riesgo-DAFP). Según la Norma Técnica NTCGP 1000:2009, el riesgo es “Toda posibilidad de ocurrencia de aquella situación que pueda afectar el desarrollo normal de las funciones de la entidad y el logro de sus objetivos”. Seguridad Informática Políticas Especificas SI Controles Físicos y Lógicos Procesos y Procedimientos Proteger mi Ecosistema Cibercrimen Ciberterrorismo Código Malicioso - Malware Ciberhacktivismo Fraude electrónico Economía underground Software Ilegal Ingeniería Social Computación móvil Cloud Computing Redes Sociales Acceso no autorizado a los sistemas Conflicto de intereses Funcionarios o Ex-funcionarios molestos Incumplimiento de las leyes y regulaciones MDI Errores Comunes de los Usuarios Compartir el usuario o la contraseña Abrir archivos adjuntos de correo de origen desconocido Utilizar el correo de la organización para enviar “SPAM” Instalar software no autorizado Subir a la nube, información de trabajo Conectarse a una red vía telefónica o Wireless mientras se está conectado a la LAN. Navegar en sitios “peligrosos” Ciberpapaya http://www.youtube.com/watch?v=yQGTo4lpgnY http://www.youtube.com/watch?v=-OMnm0x_yAM http://www.youtube.com/watch?v=Rn4Rupla11M Ciberataques http://www.youtube.com/watch?v=_1ni_tjjVDQ https://www.youtube.com/watch?v=LRWeu7yt2qc https://www.youtube.com/watch?v=EGANoRjJOmM Intranet Gubernamental – 2014 132 102 100 93 93 179 261 242 338 350 369 91 73 6766 18 16 17 14 12 13 11 10 65432 8 9 1 36 35 31 27 26 24 23 22 21 19 20 60 44 42 221 Incidentes: 18512 9103 1289 402 3500 547 Colombia Belgica China Anonymous Proxy Japon Venezuela Mexico Chile Dinamarca Argentina Noruega Republic of Korea Letonia Israel Nepal Guatemala Estados Unidos Rusia Paises Bajos Taiwan Thailandia Italia Indonesia Arabia Saudita Portugal Interna Ecuador Austria Turkia Luxemburgo Panama Uruguay Francia Reino Unido Holanda Germany España Hong Kong Australia Peru Rumania Suecia Icelandia Korea Singapur Filipinas Iran Macedonia Colombia – 7.237 - .gov.co Alemania United States Ucrania Canada Suiza United Kingdom Brasil Polonia Proxy anonimo New Zelandia Grecia India Bielorrusia Malasia Asia Puerto Rico Fuente: IG + 2000 sitios web Fuente: .CO – Febrero IG – Año 2014 Seguridad por Oscuridad Historia - Modelo de Seguridad y Privacidad de Información • Sistema Administrativo Nacional de Seguridad de la Información – GEL 2008 2010 • Modelo de Seguridad de la Información – GEL Auditoria • Modelo de Seguridad de la Información 2.0 – GEL ISO 27001 2011 2013 -2016 • Modelo de Seguridad y Privacidad TI – Subdirección de Seguridad y Privacidad Marco del Modelo de Seguridad y Privacidad de Información Implementación Etapas previas a la implementación Planificación Mejoramiento Continuo Gestión Fases del Modelo de Seguridad y Privacidad de Información Etapas previas a la implementación Estado actual de la entidad Planificación Contexto Contexto de la de la Entidad Entidad • • • • Liderazgo Liderazgo • • Identificar el nivel de madurez • Planeació Planeación n • Entender la Entidad Necesidades y expectativas de las partes interesadas Determinar alcance del MSPI Implementación Gestión Control y planeación operacional Monitoreo, medición, análisis y evaluación Evaluación de riesgos de seguridad y privacidad de la información Auditoria interna Tratamiento de riesgos de seguridad y privacidad de la información Revisión por la alta dirección Mejoramiento Continuo Acciones correctivas y no conformidades Liderazgo y compromiso de la alta dirección Política de seguridad Roles de la Entidad, responsabilidades y autoridad Acciones para abordar los riesgos y oportunidades Objetivos y planes para lograrlos Mejora continua Levantamiento de información Liderazgo Soporte • • • • Recursos Competencias Sensibilización Comunicación • Documentación Guías del Modelo de Seguridad y Privacidad de Información 25 Encuesta de seguridad Gestión del riesgo Controles de seguridad y Privacidad de la Información Para efectuar auditoria del MSPI Mejora continúa Estratificación Gestión documental del Archivo General de la Nación Indicadores de gestión Evaluación desempeño Lineamientos: Terminales de áreas financieras entidades públicas Autoevaluación del Modelo de Seguridad y Privacidad de la Información Identificación, clasificación y valoración de activos de información Preparación de las TIC para la continuidad del negocio Para definir el plan de implementación y plan de tratamiento de riesgos Aseguramiento del protocolo IPv6 Metodológica de pruebas de efectividad Roles y responsabilidades de seguridad y privacidad de la información Análisis de Impacto de Negocios (BIA) Plan de comunicación, sensibilización y capacitación Transición de IPV4 a IPv6 para Colombia Política general de seguridad y privacidad de la información Procedimientos de Seguridad y Privacidad de la Información. Seguridad en la nube Evidencia digital Gestión de incidentes Niveles de Madurez Cumplimiento - GEL • Protección de la Información y los Sistemas de Información Seguridad y Privacidad de la Información Cumplimiento- Normatividad Código Único Disciplinario • Articulo 34 (4-5) • Articulo 35 Código penal colombiano • Ley 1273 de 2009 Protección de datos • Ley 1266 de 2008 • Ley 1581 de 2012 • Decreto 1377 de 2013 • Ley 1712 de 2014 Políticas publicas • Ley 1341 de 2009 • Decreto 1078 del 2015 • Decreto 32 del 2013 • Circular 052 • Circular 042 • NTD – SIG 001:2011 • Resolución 305 CDS Propiedad Industrial • Ley 170 de 1994 Organización Mundial de Comercio • Ley 463 de 1998 – Tratado de cooperación de patentes Comercio Electrónico y Firmas Digitales • Ley 527 de 1999 • Decreto 1747 de 2000 • Resolución 26930 de 2000 • Decreto 2364 de 2012 • Circular externa 042 del 2012 (SFC) Derechos de autor • Decisión 351 de la C.A.N. • Ley 23 de 1982 • Decreto 1360 de 1989 • Ley 44 de 1993 • Decreto 460 de 1995 • Decreto 162 de 1996 • Ley 545 de 1999 • Ley 565 de 2000 • Ley 603 de 2000 • Ley 719 de 2001 Ciberseguridad IC Ciberseguridad Seguridad de la Información Seguridad Informática Estrategias Nivel País “Si piensas que la Tecnología puede solucionar tus Problemas de Seguridad, está claro que ni entiendes los Problemas ni entiendes la Tecnología.” Bruce Schneier Gracias ¡Estamos construyendo el Gobierno más eficiente y transparente con el uso de las TIC!
© Copyright 2024