acciones de mintic en seguridad y privacidad de t.i. para el estado

Acciones de MinTIC en Seguridad y Privacidad para

el Estado ColombianoOctubre de 2013

Nuestro objetivo

Elevar los niveles de seguridad y privacidad en el uso y

aprovechamiento de las T.I. en el Estado, mediante la formulación de

lineamientos y políticas que contribuyan a la calidad y confianza de

los servicios ofrecidos al ciudadano.Apoyamos el 5to. Principio básico del Plan Vive Digital: El Gobierno da ejemplo

Contexto…

Amenazas de seguridad

• +550 sitios (2011)• +500 sitios (2012)• +100 sitios (2013)

Ataques exitosos a entidades de gobiernoFuente: CSIRT PONAL

Baja sensibilidad

• +45% entidades del orden nacional no han adoptado un SGSIFuente: COLNODO –

Dic.2012

• +Malware• +Ingeniería social• +Móviles• +Cloud Computing• …

Poca articulación

entre Entidades

• Trabajos independientes

• Procedimientos sin articulación

• Falta de comunicación

Baja capacidad de respuesta

• Indisponibilidad prolongada

• Carencia de procedimientos

• Atención reactiva• T.H. poco capacitado

Fuente: DEATI

Complejidad heterogénea

• Debilidades organizacionales

• Múltiples plataformas y Sistemas de información

Nueva Estructura Min TICMediante el decreto 2618 de 2012 se crea el Viceministerio de TI

Despacho Ministro

Viceministro de Tecnologías y Sistemas de la Información

Dirección de Políticas y Desarrollo de Tecnologías de

la Información

Dirección de Estándares y Arquitectura de Tecnologías de la Información

Subdirección de Gestión Pública de TI

Subdirección de Seguridad y Privacidad de Tecnologías de la

Información

Dirección de Gobierno en Línea

Formular lineamientos

Sensibilizar y concientizar

Fomentar y reforzar la cooperación nacional e internacional

Asesorar y acompañar a las entidades en el SGSI

Promover la creación de perfiles - CISO

Objetivos de la Subdirección de Seguridad y Privacidad

Seguridad de la Información

Infraestructura crítica

Modelo de seguridad – Intranet

Gubernamental

Modelo de seguridad - Entidades

Acompañamiento y capacitaciónSensibilización

I+D+i

Cooperación Nacional e

Internacional

Monitoreo y evaluación

¿Qué frentes trabajamos?

¿Qué se está haciendo en cuanto a la infraestructura crítica?

Trabajando en equipo

Estrategia TOP 10

Seleccionar los 10 sistemas de información mas críticos en impacto cibernético para el país

•Definir metodología de selección.•¿Qué han hecho otros gobiernos?•Investigación sobre sectores críticos•Impacto económico•Impacto público social•Impacto medioambiental




Gubernamental



I+D+i


Internacional


¿Qué frentes trabajamos?

¿Qué se está haciendo en cuanto a la Intranet Gubernamental?

Intranet Gubernamental

La Intranet Gubernamental – La nube privada para las entidades del estado

Qué es la Intranet Gubernamental

Está compuesta por una plataforma de Interoperabilidad y una Infraestructura Tecnológica (RAVEC, Centro de Datos y Centro de Contacto Ciudadano, administración de aplicaciones, mantenimiento de aplicaciones).

Intranet Gubernament

al

Compartir recursos

Intercambiar información

Realizar procesos y actividades

conjuntasDesarrollar trámites y

servicios en líneaFacilitar el acceso de todos los ciudadanos a su información y

servicios

Intranet GubernamentalEL Centro de Datos, es un esquema de Servicios Compartidos para lograr que los servicios del Estado sean más eficientes y que las entidades Estatales colombianas se acerquen a los ciudadanos a través de la tecnología, garantizando el uso de los más altos estándares de seguridad en el manejo de la información.

Centro de Datos

Sitios Web de 1062 Alcaldías Municipales

9 Gobernaciones368 Sitios Web entre Concejos

Municipales, Asambleas Departamentales, Personerias,

Hospitales120 aplicaciones alojadas

Servicios Intranet Gubernamental

Múltiples servicios: • Transferencia de archivos,

acceso a aplicativos, portal único de contratación (PUC), portal del estado colombiano (PEC), sistema de información financiera (SIIF), ventanilla única de comercio exterior (VUCE), entre otras.

Facilita la interconexión con 120 entidades:• Todos los Ministerios.• Superintendencias.• Contraloría.• Procuraduría.• Fiscalía.• Organismos de Seguridad.

RAVEC

Servicios Intranet Gubernamental

Centro de Contacto

Ciudadano - CCC

Múltiples Canales

Atención, respuestas inmediatas y seguimiento

a las solicitudes de ciudadanos, empresas y

servidores públicos.

Campañas informativas de Gobierno en Línea y las

entidades que así lo requieran ( Ola Invernal,

Urna de Cristal , entre otras)

Alcance del Modelo de Seguridad – Intranet Gubernamental

Políticas y principios de

seguridad

Modelo de seguridad alineación

a la norma ISO 27001

Organización de la seguridad – Comité

de seguridad

Gestión de Riesgos alineado a la

Norma ISO 27005

Análisis de Impacto al

Servicio (BIA)

Segmentación en Zonas de Seguridad

Seguridad en profundidad -

Anillos de Seguridad

Análisis permanente de

Vulnerabilidades

Actualizaciones permanentes de

Seguridad

Auditorías internas y auditorías Externas

de Seguridad

Mejora continua (Revisiones

periódicas al modelo)

Infraestructura de Seguridad




Gubernamental



I+D+i


Internacional


¿Qué se está haciendo en cuanto al modelo de gestión de seguridad para las entidades?

2013201120102008

Evolución del Modelo de Seguridad de la Información

Sistema Administrativo

Nacional de Seguridad de la Información –

GEL

Modelo de Seguridad de la Información – GEL Auditoria

Nuevo Modelo de Seguridad

de la Información –

Subdirección de Seguridad y Privacidad

(en construcción)

Modelo de Seguridad de la Información 2.0

Modelo Seguridad de la Información

- Entidades

ISO 27001:2005 va a cambiar

Lineamientos para la protección de

datos

Lineamientos para la preservación de

la información pública

Lineamientos Dispositivos

Móviles y BYODAlineación a

mejores prácticasFortalecimiento

de enfoque a Política Nacional

¿Porqué actualizar el modelo?

Incorporación de lineamientos para la preservación de la información pública ante situaciones de desastre

• Generar conciencia para mantener disponible la información critica del Estado, para cuando sea requerida.

• Preparar a las entidades en caso de eventos, incidentes e interrupciones que puedan afectar las funciones críticas de TI.

• Basado en estándares como ISO 27031, ITIL, COBIT y normativas locales.

http://www.heraldtimesonline.com/stories/2011/08/31/digitalcity.739017.sto

Formulando lineamientos para dispositivos móviles y BYOD

• Tener políticas claras.• Generar conciencia en cuanto al uso

de estos dispositivos.• Basado en la NIST SP800-124.rev1,

asegurando dispositivos móviles COBIT 5 – ISACA, entre otros.

• Ofrecer un marco de referencia que las entidades puedan adoptar.

•Lista blanca de la SIC•Mejores prácticas (ej. Cloud Security Alliance)

Cloud Computing

•Caracterización de los datos•Términos de uso relacionados con los datos Privacidad

•Transmisiones a Encargados del Tratamiento – Contrato de transmisión

Transferencia internacional de datos

• Trazabilidad•Accountability

Responsabilidad

Aspectos a contemplar sobre Protección de Datos




Gubernamental



I+D+i


Internacional


¿Qué se está haciendo en cuanto a Capacitación de servidores públicos?

Capacitación y sensibilizaciónDesde el año 2008 se han capacitado funcionarios del estado en seguridad de la información; tenemos lo siguiente:

Participación de entidades de los 24 sectores232 entidades participaron en las capitaciones

Decenas de jornadas de sensibilización6238 funcionarios capacitados a través de plataformas virtuales y seminarios.

Capacitaciones a Servidores Públicos en Seguridad de la Información




Gubernamental



I+D+i


Internacional


¿Qué se está haciendo en cuanto a Sensibilización ciudadana?

• Es la Política Nacional de Uso Responsable de las TIC del MinTIC.

• Tenemos un compromiso como usuarios: – Hacer y promover usos responsables, productivos, creativos,

respetuosos y seguros de las TIC.– Mejorar nuestra calidad de vida y la de todos los colombianos




Gubernamental



I+D+i


Internacional


¿Qué se está haciendo en cuanto a I+D+i?

Industria

Academia

Estado

Agenda

Estratégica de Innova

ción

Iniciativa I + D + i – Nodo de Innovación de Ciberseguridad

• Es un espacio que facilita la interacción entre entidades de gobierno, instituciones académicas y empresas del sector privado.

• Se elaboró conjuntamente una agenda estratégica del nodo de innovación

• El Estado destinó recursos para financiar proyectos presentados por la academia y el sector privado para buscar soluciones innovadoras a problemas reales.

• Se busca crear una cultura de innovación y relaciones de confianza entre los actores.

Vectores de desarrollo

Principios rectores de

ciberseguridad

Educación, formación

divulgación en ciberseguridad

Gestión integrada de riesgos e incidentes

de naturaleza cibernética

Identificación, autenticación y

autorizaciónAseguramiento de

aplicaciones y ambientes móviles

en el gobiernoTIC para el sector

defensa

http://vivedigital.gov.co/idi/ndi-ciberseguridad/

http://vivedigital.gov.co/idi/ndi-ciberseguridad/




Gubernamental



I+D+i


Internacional


¿Qué estamos haciendo en Cooperación nacional e internacional y alianzas?

Contribuir en la definición de estándares y buenas practicas.

Convenio Budapest• El 18 de enero de 2013, el Ministerio de

Relaciones Exteriores de Colombia, solicitó su adhesión a la convención de Europa sobre cibercriminalidad (CETS No. 185).

Partnering for Cyber Resilience• El 12 de septiembre de 2012 se firmó el convenio.• El 14 de marzo del presente año, el Ministerio

realizó la primera mesa de trabajo con mas de 40 lideres de diferentes sectores.

Organización de los Estados Americanos - OEA

Sección Económica Departamento de Estado - Embajada Americana

Korea Internet & Security Agency - KISA

Creando Alianzas

colCERT

colCERT – Grupo de Respuesta a Emergencias Cibernéticas de Colombia

CCP – Centro Cibernético Policial

Asobancaria

1. Educación Financiera

2. Uso

responsable de las TIC

3.Comercio

Electrónico

Alianza público privada que permita fortalecer las acciones encaminadas al uso responsable de las tecnologías de la información particularmente en la utilización de los portales transaccionales de los bancos.

Empresas de TI

Riesgos desde la perspectiva

humana

Gestión de Incidentes

Computo forense

Sistema de Gestión de la Seguridad de

la Información

Estándares y buenas

prácticas

Alianza para la capacitación y formación de Gestores de la Seguridad de la Información

.CO Internet NAP Colombia - CCIT

(en desarrollo)

Análisis de riesgos

Gestión de Incidentes

Fortalecimiento de

capacidades

Coordinación de acciones con las

entidades

Sensibilización

Lineamientos (Ej.DNS)

Alianzas para participar y apoyar esfuerzos, actividades y procesos que contribuyan a mantener, preservar y mejorar condiciones de seguridad, integridad y estabilidad.

Actividades conjuntas Grupo de entidades de respuesta a Incidentes de Seguridad Informática

Antes• Advertencias• Planeación• Preparación• Acuerdos

Durante• Monitoreo• Identificación• Evaluación• Atención

Después• Análisis• Seguimiento• Lineamientos• Fortalecimiento




Gubernamental



I+D+i


Internacional


¿Qué se está haciendo en cuanto a monitoreo y evaluación?


Evaluación y seguimiento en el

marco de la estrategia GEL

Formulario Único de Reporte

Nuevo esquema de monitoreo

Acompañamiento especializado

http://www.google.com.co/url?sa=i&rct=j&q=gracias&source=images&cd=&cad=rja&docid=DlwtiD526Lv0GM&tbnid=OBZajOoVKT6gsM:&ved=0CAUQjRw&url=http://mutuaspalabras.blogspot.com/2012/06/muchas-gracias.html&ei=OYIIUfHWF4XY9AS0_YD4BQ&bvm=bv.41642243,d.eWU&psig=AFQjCNHMlvHMfnOZXGo6VOSoMiAkQYh5jA&ust=1359598330018545

acciones de mintic en seguridad y privacidad de t.i. para el estado

Technology