“POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN … de Seguridad... · PLANEAMIENTO EN SEGURIDAD DE LA...

OFICINA PROVINCIAL DE TECNOLOGIAS DE LA INFORMACIÓN Y LA COMUNICACIÓN

PLANEAMIENTO EN SEGURIDAD DE LA INFORMACIÓNCoordinación Emergencias Redes Teleinformáticas

Jornada de Seguridad Informática 2008

“POLÍTICA DE SEGURIDAD DE LA INFORMACIÓNPARA LOS ORGANISMOS DE LA

ADMINISTRACIÓN PÚBLICA PROVINCIAL”

Osvaldo G. Marinetti




Política Provincial de Seguridad de la Información

� Alineada con el Plan Maestro de Gobierno Electrónico de la Provincia del Neuquén.

� Complementa la iniciativa de Integrabilidad.

� Complementa la Infraestructura de Firma Digital de la Provincia del Neuquén.




Política Provincial de Seguridad de la Información

Basada en Estándares Internacionales

Conforma una base común para la Gestión de Seguridad en el ámbito de la Administración Pública Provincial.

La Política establece que cosas hacer, deja librado a cada Organismo la forma en cómo hacerlas y con que hacerlas en función de las características tecnológicas que posea.




La Política basa su aplicación en garantizar las 3 propiedades principales de la información:

� Confidencialidad

� Integridad

� Disponibilidad




La Política está organizada en diez capítulos.

Cada uno de ellos trata sobre un aspecto distinto.

En todos se mencionan los distintos criterios a ser tenidos en cuenta para llevar adelante una correcta gestión de Seguridad de la Información.




1. Política de Seguridad2. Organización de la Seguridad3. Clasificación y Control de Activos4. Seguridad del Personal5. Seguridad Física y Ambiental6. Gestión de Comunicaciones y Operaciones7. Control de Accesos8. Desarrollo y Mantenimiento de Sistemas9. Plan de Continuidad10. Cumplimiento

Capítulos o dominios que abarca:




Dominio 1

Política de Seguridad




Las autoridades de los organismos impulsarán la aplicación de la Política Provincial de Seguridad de la Información para brindar seguridad en sus respectivos ámbitos y establecerán lineamientos políticos claros para su desarrollo e implementación.

Deberán:

� Aprobar y publicar la política de seguridad

� Comunicarla a todo el personal

� Hacerla cumplir




Para ello anexarán a la Política Provincial y mantendrán actualizada la documentación de la implementación en el organismo, pasando así a poseer su propia política conformada por:

� Política Provincial de Seguridad de la Información para los Organismos de la Administración Pública Provincial.

� Designación del Comité de Seguridad.� Inventario de activos e identificación de riesgos.� Designación de roles y responsabilidades.� Normas y Procedimientos requeridos en la Política Provincial� Plan de contingencias.� Toda otra designación o documentación requerida por la

Política Provincial.




Dominio 2

Organización de la Seguridad




Se refiere a como se asignan las responsabilidades con respecto a la Seguridad de la Información dentro de cada una de las áreas del organismo.

Para su implementación podría ser necesarioreformular el organigrama, agregando áreas o sectores y

detallando nuevas misiones y funciones.

Organización de la Seguridad




Sponsoreo y seguimiento� Autoridad del Organismo� Comité de Seguridad

Administración� Administradores (Sw,

herramientas, SO, BD)

Principales roles y funciones

Definición�Área de Seguridad de la Info�Áreas de RRHH y Legales

Autorización�Dueño del dato / activo

Control�Auditoría Interna�Auditoría Externa

Cumplimiento directo�Todo el personal (propio ycontratado)

�Terceras partes




COMITE DE SEGURIDAD DE LA INFORMACIONFUNCIONES

1. Revisar y proponer a la máxima autoridad del organismopara su aprobación, el plan de implementación de la Política y las responsabilidades generales en materia de seguridad de la información.

2. Monitorear cambios significativos en los riesgos que afectan a los recursos de información frente a las amenazas más importantes.

3. Tomar conocimiento y supervisar la investigación y el monitoreo de los incidentes relativos a la seguridad.




COMITE DE SEGURIDAD DE LA INFORMACION (Cont.)

4. Proponer para su aprobación las principales iniciativaspara incrementar la seguridad de la información

5. Acordar y aprobar metodologías y procesos específicosrelativos a la seguridad de la información.

6. Garantizar que la seguridad sea parte del proceso de planificación de la información.




COMITE DE SEGURIDAD DE LA INFORMACION (Cont.)

7. Evaluar y coordinar la implementación de controlesespecíficos de seguridad de la información para nuevossistemas o servicios.

8. Promover la difusión y apoyo, a la seguridad de lainformación dentro del Organismo.

9. Coordinar el proceso de administración de la continuidadde la operatoria de los sistemas de tratamiento deinformación del Organismo frente a interrupcionesimprevistas.




Dominio 3

Clasificación y Control de Activos




Objetivo: Mantener una adecuada protección de todos los activos de la organización. Para ello establece:

� Inventariar activos (Información e Instalaciones)

� Designar/identificar un propietario/responsable para cada uno de ellos.

� Clasificar la información para determinar su nivel de protección.




Dominio 4

Seguridad del Personal




� Seguridad en la definición de puestos de trabajo y en la asignación de recursos humanos.

� Capacitación (que todo el personal esté al tanto de riesgos y vulnerabilidades y que respalde y cumpla la política de seguridad)

� Respuesta a incidentes y anomalías en materia de seguridad (para minimizar los daños producidos)

� Proceso disciplinario

Objetivo: Reducir los riesgos de errores humanos, robo, fraude ouso inadecuado de instalaciones.

Considera:




Dominio 5

Seguridad Física y Ambiental




Objetivo: Proteger las sedes, las instalaciones y la información, de accesos no autorizados, daños e interferencia.




Lo que tiene en cuenta:

� Perímetro de seguridad física.� Controles de acceso físico.� Seguridad del equipamiento.� Suministros de energía.� Cableado de energía eléctrica y de comunicaciones.� Mantenimiento de equipos.� Seguridad del equipamiento fuera del ámbito del

organismo.� Políticas de escritorios y pantallas limpias. (Impre y Fax)� Ingreso y retiro de bienes y personas.




Dominio 6

Gestión de Operaciones y Comunicaciones




Objetivo: Garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información.

Se deben establecer procesos de:

� Planificación y aprobación de sistemas.� Protección contra software malicioso.� Mantenimiento de back up.� Administración de la red.� Administración y seguridad de los medios de

almacenamiento.� Acuerdos de intercambio de información y software.




Dominio 7

Control de Acceso




Objetivo: Controlar el acceso a la información.

Se consideran procedimientos para:

� Administración de accesos de usuarios.� Administración de privilegios.� Responsabilidades del usuario. � Control de acceso a la red.� Camino forzado.� Autenticación de usuarios para conexiones externas.� Monitoreo del acceso y uso de los sistemas.




Dominio 8

Desarrollo y Mantenimiento de Sistemas




Objetivo: Garantizar que la seguridad sea incorporada a los sistemas de información.

� Antes del desarrollo de los sistemas de información se deben identificar y aprobar los requerimientos de seguridad.

� En el diseño de los sistemas de aplicación (los realizados por el organismo y/o los tercerizados), deberán incluirse controles apropiados y pistas de auditoria o registros de actividad.




Dominio 9

Plan de Continuidad




Objetivo: Contrarrestar las interrupciones de las actividades y proteger los procesos críticos de los efectos de fallas significativas, desastres o atentados (sabotaje).

� Se deberán analizar las consecuencias de desastres, fallas de seguridad e interrupciones del servicio.

� Se deberá implementar un proceso de administración de la continuidad de los servicios que presta el Organismo.




Las principales etapas que involucran al plan son:

� Clasificación de los distintos escenarios de desastres.� Evaluación de impacto en los servicios que se prestan.� Desarrollo de una estrategia de recupero.� Implementación de la estrategia.� Documentación del plan de recupero.� Testeo y mantenimiento del plan.




Dominio 10

Cumplimiento




Objetivos:

� Impedir infracciones y violaciones de las leyes del derecho civil y penal; de las obligaciones establecidas por leyes, estatutos,normas, reglamentos o contratos; y de los requisitos de seguridad.

� Garantizar la conformidad de los sistemas y servicios (propios ocontratados) con las políticas y estándares de seguridad de la organización.

� Maximizar la efectividad y minimizar las interferencias de los procesos de auditoría de sistemas.




Gracias por su atención




Comentarios,Preguntas…

“POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN … de Seguridad... · PLANEAMIENTO EN SEGURIDAD DE LA...

Documents

Transcript of “POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN … de Seguridad... · PLANEAMIENTO EN SEGURIDAD DE LA...