Taller de Seguridad y Privacidad de la Información¡Estamos construyendo el Gobierno más eficiente y transparente con el uso de las TIC!
Seguridad y Privacidad
de la Información
Datos de los ciudadanos
guardados como un tesoro
gracias a la seguridad de la
información
Objetivo
Elevar los niveles de seguridad y
privacidad en el uso y aprovechamiento
de las T.I. en el Estado, mediante la
formulación de lineamientos y políticas
que contribuyan a la calidad y
confianza de los servicios ofrecidos al
ciudadano.
Subdirección de Seguridad y Privacidad de TI
Apoyamos el 5to. Principio básico del Plan Vive Digital: El Gobierno da ejemplo
Percepciones
Nuestra Entidad no es blanco de ataques.
No existe nada en la Entidad que valga la pena que se roben.
Las amenazas son solo externas.
Tenemos instalado un Firewall… entonces estamos protegidos
Estamos gastando más que suficiente en seguridad.
Si pasa algo, podemos asumir la pérdida
Después de una falla siempre podemos restaurar el sistema
Los problemas ocasionados por los virus siempre son menores.
Todos los problemas se solucionan comprando equipos.
La invencibilidad es una cuestión de defensa, la
vulnerabilidad, una cuestión de ataque.
—Sun Tzu
El modelo de Defensa en niveles de profundidad y el plano de una
ciudad amurallada.
Fuente: ISACA.
Seguridad de la Información
• Identifica• Mantiene
• Disminuye• Involucra
Gobierno Riesgos
ActivosGestión
Gestion del Riesgo
Riesgo:
Es la posibilidad de que suceda algún evento que tendrá un impacto sobre los objetivos institucionaleso del proceso. Se expresa en términos de probabilidad y consecuencias (Guía de Administración delRiesgo-DAFP).
Según la Norma Técnica NTCGP 1000:2009, el riesgo es “Toda posibilidad de ocurrencia de aquellasituación que pueda afectar el desarrollo normal de las funciones de la entidad y el logro de susobjetivos”.
Seguridad Informática
SI
Políticas Especificas
Procesos y Procedimientos
Controles Físicos y Lógicos
Proteger mi Ecosistema
Cibercrimen CiberterrorismoCódigo Malicioso
- MalwareCiberhacktivismo
Fraude electrónico
Economía underground
Software Ilegal Ingeniería Social
Computación móvil
Cloud Computing Redes SocialesAcceso no
autorizado a los sistemas
Conflicto de intereses
Funcionarios o Ex-funcionarios
molestos
Incumplimiento de las leyes y regulaciones
MDI
Errores Comunes de los Usuarios
Compartir el usuario o la contraseña
Abrir archivos adjuntos de correo de origen desconocido
Utilizar el correo de la organización para enviar “SPAM”
Instalar software no autorizado
Subir a la nube, información de trabajo
Conectarse a una red vía telefónica o Wireless mientras se está conectado a la LAN.
Navegar en sitios “peligrosos”
Ciberpapaya
http://www.youtube.com/watch?v=yQGTo4lpgnY
http://www.youtube.com/watch?v=-OMnm0x_yAM
http://www.youtube.com/watch?v=Rn4Rupla11M
Ciberataques
http://www.youtube.com/watch?v=_1ni_tjjVDQ
https://www.youtube.com/watch?v=LRWeu7yt2qc
https://www.youtube.com/watch?v=EGANoRjJOmM
Intranet Gubernamental – 2014
Fuente:.CO – FebreroIG – Año 2014
9103
3500
1289
547
402
369
350338
261242221
179
132 102 100 93 93 91 73 6766604442363531312727262624232322212019191818171616141313121211111010986666555444444444443333332222222222111111111
Colombia Estados Unidos Francia AlemaniaBelgica Rusia Reino Unido United StatesChina Paises Bajos Holanda UcraniaAnonymous Proxy Taiwan Germany CanadaJapon Thailandia España SuizaVenezuela Italia Hong Kong United KingdomMexico Indonesia Australia BrasilChile Arabia Saudita Peru PoloniaDinamarca Portugal Rumania Proxy anonimoArgentina Interna Suecia New ZelandiaNoruega Ecuador Icelandia GreciaRepublic of Korea Austria Korea IndiaLetonia Turkia Singapur BielorrusiaIsrael Luxemburgo Filipinas MalasiaNepal Panama Iran AsiaGuatemala Uruguay Macedonia Puerto Rico
Incidentes:
18512
Fuente:
IG
+ 2000 sitios web
Colombia – 7.237 - .gov.co
Historia - Modelo de Seguridad y
Privacidad de Información
• Sistema Administrativo Nacional de Seguridad de la Información – GEL
2008
• Modelo de Seguridad de la Información –GEL Auditoria
2010• Modelo de Seguridad
de la Información 2.0 – GEL ISO 27001
2011
• Modelo de Seguridad y Privacidad TI –Subdirección de Seguridad y Privacidad
2013 -2016
Marco del Modelo de Seguridad y
Privacidad de Información
Etapas previas a la
implementación
Implementación
Gestión
Mejoramiento Continuo
Planificación
Fases del Modelo de Seguridad y
Privacidad de Información
Contexto
de la
EntidadEstado actual de la entidad
Identificar el nivel de madurez
Levantamiento de información
Etapas previas a la
implementaciónPlanificación Implementación Gestión
Mejoramiento Continuo
• Entender la Entidad
• Necesidades y expectativas de las partes interesadas
• Determinar alcance del MSPI
Liderazgo
• Liderazgo y compromiso de la alta dirección
• Política de seguridad
• Roles de la Entidad, responsabilidades y autoridad
Planeació
n
• Acciones para abordar los riesgos y oportunidades
• Objetivos y planes para lograrlos
Liderazgo
• Recursos
• Competencias
• Sensibilización
• Comunicación
• Documentación
Contexto de
la Entidad
Liderazgo
Planeación
Soporte
Control y planeación operacional
Evaluación de riesgos de seguridad y privacidad de la
información
Tratamiento de riesgos de seguridad y privacidad de la
información
Monitoreo, medición, análisis y evaluación
Auditoria interna
Revisión por la alta dirección
Acciones correctivas y no conformidades
Mejora continua
25
Encuesta de seguridad
Estratificación
Autoevaluación del Modelo de Seguridad
y Privacidad de la Información
Metodológica de pruebas de efectividad
Política general de seguridad y privacidad
de la información
Procedimientos de Seguridad y
Privacidad de la Información.
Roles y responsabilidades de
seguridad y privacidad de la información
Identificación, clasificación y
valoración de activos de información
Gestión documental del Archivo General
de la Nación
Gestión del riesgoControles de
seguridad y Privacidad de la Información
Indicadores de gestión
Preparación de las TIC para la continuidad
del negocio
Análisis de Impacto de Negocios (BIA)
Seguridad en la nube Evidencia digital
Plan de comunicación, sensibilización y
capacitación
Para definir el plan de implementación y
plan de tratamiento de riesgos
Evaluación desempeño
Para efectuar auditoria del MSPI
Mejora continúa
Lineamientos: Terminales de áreas
financieras entidades públicas
Aseguramiento del protocolo IPv6
Transición de IPV4 a IPv6 para Colombia
Gestión de incidentes
Guías del Modelo de Seguridad y
Privacidad de Información
Cumplimiento - GEL
• Protección de la Información y los Sistemas de Información
Seguridad y Privacidad de la
Información
Cumplimiento- Normatividad
Código Único Disciplinario
• Articulo 34 (4-5)
• Articulo 35
Código penal colombiano
• Ley 1273 de 2009
Protección de datos
• Ley 1266 de 2008
• Ley 1581 de 2012
• Decreto 1377 de 2013
• Ley 1712 de 2014
Políticas publicas
• Ley 1341 de 2009
• Decreto 1078 del 2015
• Decreto 32 del 2013
• Circular 052
• Circular 042
• NTD – SIG 001:2011
• Resolución 305 CDS
Propiedad Industrial
• Ley 170 de 1994 -Organización Mundial de Comercio
• Ley 463 de 1998 –Tratado de cooperación de patentes
Comercio Electrónico y Firmas Digitales
• Ley 527 de 1999
• Decreto 1747 de 2000
• Resolución 26930 de 2000
• Decreto 2364 de 2012
• Circular externa 042 del 2012 (SFC)
Derechos de autor
• Decisión 351 de la C.A.N.
• Ley 23 de 1982
• Decreto 1360 de 1989
• Ley 44 de 1993
• Decreto 460 de 1995
• Decreto 162 de 1996
• Ley 545 de 1999
• Ley 565 de 2000
• Ley 603 de 2000
• Ley 719 de 2001
“Si piensas que la
Tecnología puede
solucionar tus Problemas
de Seguridad, está claro
que ni entiendes los
Problemas ni entiendes
la Tecnología.”
Bruce Schneier