Download - Tic y Entorno Social 2005
-
8/14/2019 Tic y Entorno Social 2005
1/140
-
8/14/2019 Tic y Entorno Social 2005
2/140
Objetivo:Realizar un diagnstico - Plan de la Gestin de laInformacin en la Municipalidad de Maip.
Desarrollo de temas: PRIMERA PARTE 9:30 hs. Conferencia sobre Gestin de la
Calidad y de la Informacin
LIC. ESPEDITO PASSARELLO
: om e a a a ,Auditores, Facilitadores, Grupos de Mejora,Informtica en pleno, Rentas, Personal, Compras
-
8/14/2019 Tic y Entorno Social 2005
3/140
PresentacionesPresentacionesSU NOMBREAREAFUNCIONPROCESO CRITICO /SERVICIOS
LIC. ESPEDITO PASSARELLO
EXPECTATIVAS SOBRE EL
CURSO
-
8/14/2019 Tic y Entorno Social 2005
4/140
Antecedentes del instructor:Lic. Espedito Passarello
Lic. Ingeniera de Sistemas y Computacin Cientfica (UBA-.Fac. Ingeniera y Ciencias Exactas).
Consultor de organismos Internacionales; OEA, BM. BID.UNESCO, AHCIET, CE.
Profesor Universitario.
Instructor ISO para America latina y el caribe.
LIC. ESPEDITO PASSARELLO
Asesor de Corporaciones Internacionales y Empresas enLatinoamerica.
Miembro de Organizaciones Academicas y Profesionales. Publicaciones (Libros y artculos -1970 a la fecha)
Coordinador Comites ISO de Seguridad y Calidad IT-(IRAM) COPITEC Matricula N 18.
-
8/14/2019 Tic y Entorno Social 2005
5/140
Organizacin de la JornadaOrganizacin de la Jornada
HorariosHorarios
ComidaComida
LIC. ESPEDITO PASSARELLO
Telfonos y celularesTelfonos y celulares
ServiciosServicios
-
8/14/2019 Tic y Entorno Social 2005
6/140
Gestin de la Calidad y de laInformacinConsensuando visiones y experiencias enel marco de la SERIE ISO 9000 &IRAM
LIC. ESPEDITO PASSARELLO
.Mejores Practicas reconocidas y aplicadas enel orden internacional.Resumen de la Catedra como Director delCurso de post-grado en Gestion, Auditoria yNormas TICs (IESE, ISO, IRAM).
-
8/14/2019 Tic y Entorno Social 2005
7/140
Gestion de seguridad de la informacion
Administracin Informacin
Cdigo Internacional de Mejores Prticas
LIC. ESPEDITO PASSARELLO
Seguridad
BS 7799
ISO 17799
-
8/14/2019 Tic y Entorno Social 2005
8/140
Cdigo de prcticas
ISO/IEC 17799:2000 "Information technology Code of practice for information security management"JTC1/SC27/WG1 Basado sobre la norma BS 7799-1:1999 Preparado para ser utilizado como documento de
referencia
LIC. ESPEDITO PASSARELLO
Provee un conjunto integral de controles de seguridad Basado sobre mejores prcticas de seguridad de la
informacin Consiste de 10 secciones de control, 36 objetivos de
control y 127 controles No puede ser usado para evaluacin y registracin
-
8/14/2019 Tic y Entorno Social 2005
9/140
-
8/14/2019 Tic y Entorno Social 2005
10/140
" La informacin es un activo que, como todo activoimportante de negocio, tiene valor para laorganizacin
Informacin, Definicin
LIC. ESPEDITO PASSARELLO
adecuadamente "
ISO/IEC 17799:2000
-
8/14/2019 Tic y Entorno Social 2005
11/140
Impresa o escrita en papel
Guardada en formato electrnico / magntico /ptico.
Almacenada en dispositivos electrnicos. Transmitida por correo o utilizando medios
Qu Informacin proteger ?
LIC. ESPEDITO PASSARELLO
electrnicos Presentada en imgenes (videos, publicidad) Expuesta en conversaciones, conocimiento de
las personas: Ingeniera Social.
-
8/14/2019 Tic y Entorno Social 2005
12/140
Objetivo de la ISO 17799
Proteccin de la confidencialidad, integridad, ydisponibilidad de informacin escrita, hablada o
di italizada
LIC. ESPEDITO PASSARELLO
-
8/14/2019 Tic y Entorno Social 2005
13/140
Qu es Seguridad de la Informacin?
ISO 17799:2000 define a la misma comola preservacin de la:
LIC. ESPEDITO PASSARELLO
InformacinInformacinConfidencialidad
Integridad
spon a
Preservar suvalor
sustancial
-
8/14/2019 Tic y Entorno Social 2005
14/140
-
8/14/2019 Tic y Entorno Social 2005
15/140
1. Poltica de Seguridad2. Organizacin de Seguridad3. Clasificacin y Control de Activos4. Aspectos humanos de la seguridad
5. Se uridad Fsica Ambiental
Norma ISO 17799 Seguridad de la Informacin
LIC. ESPEDITO PASSARELLO
6. Gestin de Comunicaciones y Operaciones7. Sistema de Control de Accesos8. Desarrollo y Mantenimiento de Sistemas9. Plan de Continuidad del Negocio10.Cumplimiento
-
8/14/2019 Tic y Entorno Social 2005
16/140
Clasificacin y
Poltica deseguridad Organizacin dela Seguridad
Administracin de
Cumplimiento
Las 10 secciones de ISO 17799
Confidencialidadintegridad
Descripcin de ISO 17799
LIC. ESPEDITO PASSARELLO
Control de accesos
Seguridaddel personal
Seguridad fsicay medioambientalGestin de
comunicacionesy operaciones
Desarrollo ymantenimiento
Informacin
disponibilidad
-
8/14/2019 Tic y Entorno Social 2005
17/140
Enfoque
ISO 17799 define las mejores prcticas para laadministracin de la seguridad de informacin
Un sistema de gestin debe balancear laseguridad fsica, tcnica, procedimental, ypersonal
LIC. ESPEDITO PASSARELLO
Sin un Sistema de Gestin de Seguridad deInformacin formal, tal como el descripto en laISO 17799, hay un riesgo grande de que existanbrechas en la seguridad
La seguridad de informacin en un proceso degestin, no un proceso tecnolgico
-
8/14/2019 Tic y Entorno Social 2005
18/140
ISO 17799 puede ser utilizada por cualquier tipo deorganizacin o de compaa, privada o pblica. Si laorganizacin utiliza sistemas internos o externos queposeen informaciones confidenciales, si depende deestos sistemas para el funcionamiento normal de sus
A quin va dirigida ISO 17799?
LIC. ESPEDITO PASSARELLO
de seguridad de la informacin conformndose a unanorma reconocida.Principales areas de aplicacion;
Gobierno Servicios desalud
Bancos Industriasde servicioprivadas
-
8/14/2019 Tic y Entorno Social 2005
19/140
ISO 17799 es Una gua de buenas prcticas que presenta una
serie de Objetivos de control y controles asociadosa ellos. Es la nica norma que permite un enfoquetotal del problema de la seguridad de lainformacin y su relacin estrecha con laseguridad informtica, abarcando todas lasfuncionalidades de una empresa.
LIC. ESPEDITO PASSARELLO
,implementar, mantener y administrar la seguridadde informacin.
Son recomendaciones sobre el uso de 127controles aplicados en 10 reas o dominios y 36objetivos de control.
No es certificable, NO establece requisitos cuyocumplimiento pudiere certificarse.
-
8/14/2019 Tic y Entorno Social 2005
20/140
Resmen
La seguridad de la informacin protege lainformacin de una amplia gama de amenazaspara asegurar la continuidad del negocio, reducir
al mnimo el dao, maximizar el rendimiento de
Qu es Informacin y Seguridad de la Informacin?
LIC. ESPEDITO PASSARELLO
la inversin y los niveles de servicioscomprometidos con el cliente.
Cada organizacin tendr un grupo diferente derequerimientos en trminos de requisitos decontrol y de niveles de confidencialidad,integridad y disponibilidad.
-
8/14/2019 Tic y Entorno Social 2005
21/140
Consultas?
LIC. ESPEDITO PASSARELLO
-
8/14/2019 Tic y Entorno Social 2005
22/140
Calidad sin seguridad?Seguridad sin calidad?Calidad y seguridad de la informacion.
La informacion se ura es el Insumo rimordial
Introduccion a la Gestion de la informacion.
LIC. ESPEDITO PASSARELLO
de toda Gestion Institucional.
-
8/14/2019 Tic y Entorno Social 2005
23/140
-
8/14/2019 Tic y Entorno Social 2005
24/140
Polticas (demostracin del compromiso y principiospara la accin) Planeamiento (identificacin de necesidades, recursos,estructura, responsabilidades)
Desarrollo, implementacin y operacin(concientizacin y entrenamiento)
Sistema de gestin. Elementos
LIC. ESPEDITO PASSARELLO
,manejo de las no conformidades, auditoras) Mejoras (acciones preventivas y
correctivas, mejora contnua) Revisin gerencial
Si d i d id d d l i f i
-
8/14/2019 Tic y Entorno Social 2005
25/140
SGSI
Es parte del sistema de gestin global, quebasado en los riesgos del negocio, paraestablecer, implementar, operar, monitorear,revisar, mantener y mejorar el sistema deseguridad.
Sistema de gestin de seguridad de la informacin
LIC. ESPEDITO PASSARELLO
Es influenciado por los requerimientos, objetivosy necesidades del negocio, los procesosempleados y el tamao y la estructura de laorganizacin.
Es lgico pensar que estos y sus sistemas desoporte cambien continuamente, lo que implicaafectan los requerimientos de seguridad.
-
8/14/2019 Tic y Entorno Social 2005
26/140
ISO 17799 Gestin de Informacin
Clasificacin y
Poltica deSeguridad deInformacin Organizacin de
la Seguridad
Planificacin
de Continuidad
Conformidad
LIC. ESPEDITO PASSARELLO
Controlesde Acceso
Seguridaddel Personal
Seguridad Fsica
Desarrollode Sistemas
Gestin deComunicaciones
P d id C li i
-
8/14/2019 Tic y Entorno Social 2005
27/140
Punto de partida: Cumplimiento
Los controles conforman los principios rectores quepermitan la implementacin. Se basan en requisitos legales o como prctica de uso
frecuente. Los esenciales del punto de vista legal:
LIC. ESPEDITO PASSARELLO
Proteccin de registros y documentacin (12.1.3). Derechos de Propiedad Intelectual (12.1.2). Firma digital, Delitos Informaticos, anti-spam,.. Las que se refieren al tipo de Organizacion (SIGEN,
AGN, ONTI, ANMAT, .)
-
8/14/2019 Tic y Entorno Social 2005
28/140
Resmen
La Gestion de la seguridad de la informacin, es unsubsistema que permite asegurar el logro de objetivosde Proteccion de Activos de informacion de una amplia
ama de amenazas.
Qu es Gestion de la Seguridad de la Informacin?
LIC. ESPEDITO PASSARELLO
Fundamentalmente, para prevenir la adulteracion de
registros, fraudes, abusos o estafas, con el fin depreservar y dar cumplimiento a Disposiciones legales yregulatorios.
Del punto de vista operativo, asegurar la continuidad delnegocio, reducir al mnimo el dao, y maximizar elrendimiento de la inversin y oportunidades de negocio.
-
8/14/2019 Tic y Entorno Social 2005
29/140
PLAN DE TRABAJO PARA LAADECUACION DE LAS INSTITUCIONES.
LIC. ESPEDITO PASSARELLO
PASOS PARA PRECISAR LA APLICABILIDAD.-NECESIDADES Y PRIORIDADES.-AFECTACION DE RECURSOS.-PUESTA EN MARCHA.
A li bilid d d l ISO 17799
-
8/14/2019 Tic y Entorno Social 2005
30/140
Aplicabilidad de la norma ISO 17799
De que forma se traducen especificaciones dealto nivel a soluciones concretas de cadaempresa, que permitan la implementacin.
Trabajo de consultora (interna/externa). E em lo:
LIC. ESPEDITO PASSARELLO
Dominio de control; Gestin comunicaciones. Objetivo
de control: proteger la integridad del software y de lainformacin.
Control: Controles contra software maliciaoso.
Normativa de uso de software; definir y publicitar
Ni l d li i t d l
-
8/14/2019 Tic y Entorno Social 2005
31/140
Nivel de cumplimiento de la norma
Una tarea inicial de diagnostico y pre-auditora
(anlisis de brecha con la norma) permite precisar el nivel actual de cumplimiento por niveles; Global, Por dominios,
LIC. ESPEDITO PASSARELLO
or e vos e con ro Por controles.
Se determina mnimo aceptable y el nivel objetivorequerido (de referencia a las exigencias yposibilidades) por la Institucion/empresa.
Plan de aplicabilidad
-
8/14/2019 Tic y Entorno Social 2005
32/140
Plan de aplicabilidad
A partir del mnimo nivel aceptable y el nivelobjetivo, podemos definirlo. Nivel mnimo aceptable; implantacin de los
controles tcnicos mas urgentes, a corto plazo.
LIC. ESPEDITO PASSARELLO
Director de Seguridad Corporativo, en generaltodos estos esfuerzos ademas cumplir requisitos, puede en el caso de considerarseoportuno ser el paso previo a la certificacin.
-
8/14/2019 Tic y Entorno Social 2005
33/140
Atributos: Medible, repetible, escalable
Medible Solamente un estndar internacional puede ser
evaluado por terceros Recomienda incorporar un proceso de escalas de
LIC. ESPEDITO PASSARELLO
. Evalar las amenazas, vulnerabilidades,
impactos, tolerancia de riesgos, grado deaseguramiento, probabilidad de la ocurrencia
Atributos: Medible repetible escalable
-
8/14/2019 Tic y Entorno Social 2005
34/140
Atributos: Medible, repetible, escalable
Repetible
El nivel de formalizacin del sistema y el poseer procesos estructurados ayudarn a hacer que elsistema sea repetible
La inversin en el compromiso de la direccin
LIC. ESPEDITO PASSARELLO
tema de seguridad reducir la probabilidad de lasamenazas
Atributos: Medible repetible escalable
-
8/14/2019 Tic y Entorno Social 2005
35/140
Atributos: Medible, repetible, escalable
Escalable La infraestructura (sistema de direccin y
procesos) puede ser desarrollada en formacentralizada y luego descentralizada a otrosniveles.
LIC. ESPEDITO PASSARELLO
se esea, pue en ser agrega os o os oscontroles adicionales al SGSI
-
8/14/2019 Tic y Entorno Social 2005
36/140
Consultas?
LIC. ESPEDITO PASSARELLO
-
8/14/2019 Tic y Entorno Social 2005
37/140
Complementariedad con otros estndares ISO
Cdigo de buenas prcticaspara la gestin de la seguridadde la informacin ISO 17799
Productos y sistemascertificados ISO 15408 (CC)
LIC. ESPEDITO PASSARELLO
Guas para la gestinde la seguridad de laTI ISO 13335 (GMITS)
Seguridad de la Informacion no es seguridad
-
8/14/2019 Tic y Entorno Social 2005
38/140
Seguridad de la Informacion no es seguridadinformatica!
CLARIFIQUEMOS PARA VISUALIZAR CORRECTAMENTELAS ACCIONES. Disponer de componentes TIC de proteccion
(antivirus, firewall, etc.). Certificaciones de personas (Cisco, Micorsoft, IBM,
LIC. ESPEDITO PASSARELLO
e c. Tercerizar aspectos TIC. Adquirir soluciones TIC (ERP, CRM,DW,DM,etc). Para esta capa existen una gran variedad de
normas y modelos(ISO, ITIL, ISACA, IEEE, ITU,NIST, etc.)
-
8/14/2019 Tic y Entorno Social 2005
39/140
ISO 17799 no es Un estndar tcnico Orientado a un producto o tecnologa Una metodologa de evaluacin de equipamiento tal como
el Criterio Comn/ISO 15408 Pero puede requerir la utilizacin de una Common
Criteria Equipment Assurance Level (EAL)
"
LIC. ESPEDITO PASSARELLO
Principles," or GASSP Pero puede incorporar los lineamientos de los GASSP
Relacionado con las cinco partes de las "Guidelines for the Management of IT Security," o GMITS/ISO TR 13335
Pero puede implementar conceptos de las GMITSReferencia: "Information Security Management: Understanding ISO 17799," TomCarlson, Lucent Technologies Worldwide Services
-
8/14/2019 Tic y Entorno Social 2005
40/140
UNA NORMA TCNICA PARA:
Anlisis de vulnerabilidad, Test de intrusin,
La norma ISO 17799, no es
LIC. ESPEDITO PASSARELLO
, Seguridad de productos y servicios, Hacking, criptografa, ETC.
.
-
8/14/2019 Tic y Entorno Social 2005
41/140
Final de la primera parte.Gracias por su atencion!
LIC. ESPEDITO PASSARELLO
-
8/14/2019 Tic y Entorno Social 2005
42/140
SEGUNDA PARTE:Taller sobre Gestin de la Informacin.
Seguna
LIC. ESPEDITO PASSARELLO
-
8/14/2019 Tic y Entorno Social 2005
43/140
PARTICIPANTES: Secretario Gerente de Hacienda yAdministracin: Ctdor. Elin Japaz, Contador General: Ctdor.Francisco Di Prima, Jefe Dpto. Gral. de Administracin yControl: Alejandro Sabino, Jefe Dpto. Gral. de Rentas:Ernesto Rodriguez, Jefe Dpto. Gral. de Personal: Hctor
LIC. ESPEDITO PASSARELLO
, ,Dpto. de Compras y Suministros, Jefe de Mesa de Entradas:Horacio Lena, Jefe de Gestin Ambiental: Luis Lucero,Directora de Salud: Dolores Alfonso, Grupo de Mejora deComunicacin y de Indicadores, Personal de las reas de:
Informtica, Rentas, Personal, Compras, Planeamiento yGestin de la Calidad, Honorable Concejo Deliberante.
Obj i
-
8/14/2019 Tic y Entorno Social 2005
44/140
Objetivo
Comprender los, alcances y sus ventajascompetitivas; Adquirir informacin que permitan evaluar
posibilidades de adecuacin.
LIC. ESPEDITO PASSARELLO
sistemas de gestin de calidad y seguridad dela informacin.
A i i l
-
8/14/2019 Tic y Entorno Social 2005
45/140
Todo personal cuya responsabilidad esteinvolucrada en el ciclo de gestin de lainformacin, en particular aquellos cuya relacineste en forma directa con los procesos crticos denegocios;
Actores principales
LIC. ESPEDITO PASSARELLO
Funcionales, Auditores,Tcnicos, Legales,... Empresas proveedoras de servicios y productos
relacionados con los aspectos TIC (Tecnologasde la informacin, informtica y comunicaciones).
Tendencias; Rentabilidad Calidad
-
8/14/2019 Tic y Entorno Social 2005
46/140
Tendencias; Rentabilidad, Calidad,Cumplimiento, Innovacin tecnolgica
Sociedad del Conocimiento y de la informacion. Globalizacin (nacional, provincial y regional ). La infraestructura internet, millones de dispositivos
non-stopy el crecimiento explosivo..
LIC. ESPEDITO PASSARELLO
, La presion de los que producen las TICs, plazos delanzamiento e innovacin de productos y servicios.
La infraestuctura informatica (propietario/libre).
HABEAS DATA, FIRMA DIGITAL, ..
d l ( h )
1 L g d l t
-
8/14/2019 Tic y Entorno Social 2005
47/140
Consideraciones preliminares. (The issues)
Las TICs no pueden lograr por si solas, que las gestiones sean diferentes o mejores Naciones Unidas Gobierno Electrnico en la Encrucijada Agosto 2003
1. La agenda y los actores
LIC. ESPEDITO PASSARELLO
Tipificacin de necesidades: La vision
-
8/14/2019 Tic y Entorno Social 2005
48/140
Negocios, Recursos, Arquitecturas, ..
Como se hallan priorizados los temas de calidad y seguridaden general y en paticular los aspectos TIC Dispone de polticas, normas y procedimientos. Estan delegadas en responsables claramente definidos en
todo el mbito de la organizacin y con terceros.
Tipificacin de necesidades: La visionOrganizacional (la agenda)
LIC. ESPEDITO PASSARELLO
, . Qu normativas de cumplimiento deben cumplirse. En estos momentos esta en un proyecto de adecuacin. Qu recursos y plazos estan manejando. De 1 a 10, Cmo ponderaria la calidad y seguridad de la
informacion.
-
8/14/2019 Tic y Entorno Social 2005
49/140
Alcance situacional: La formulacion del modelo
-
8/14/2019 Tic y Entorno Social 2005
50/140
Alcance situacional: La formulacion del modeloposible....un compromiso de todos y para todos.
Estrategicamente la Institucion, formula y decidesus politicas y proyectos para el logro de objetivosSociales, bajo las restricciones economicas.
Definir los Recursos e Instrumentos, necesarios yposibles, para el desarrollo de Soluciones(Servicios) que satisfagan requerimientos reales y
LIC. ESPEDITO PASSARELLO
permitan el logro de Niveles de serviciosaceptables(day to day).
Formular planes, pueden ser de relativa facilidad, laforma de implementarlos, es lo que NOS hace
diferentes. La intangibilidad debe equilibrarse con etapas deprogresividad, maduracion, competencias,formacion, gestion de cambios, culturas,
2 La visibilidad de la gestion y las TICs
-
8/14/2019 Tic y Entorno Social 2005
51/140
2 La visibilidad de la gestion,y las TICs.
LIC. ESPEDITO PASSARELLO
La Vision, Condicionante: desde el modelo de gestion
-
8/14/2019 Tic y Entorno Social 2005
52/140
La Vision, Condicionante: desde el modelo de gestion(Paradigmas).
-Sistema de Gestin para la GobernabilidadInstitucional.-La Rendicin de Cuentas, la transparencia y laaccesibilidad ciudadana.
LIC. ESPEDITO PASSARELLO
-Politicas sociales, econmicas y tributarias,-Metas por proyectos sectoriales y regionales,-Compatibilizacion de prioridades de los
diferentes servicios y procesos para la productividadAdministrativa.
La Vision, Estructurante: desde la herramienta.
-
8/14/2019 Tic y Entorno Social 2005
53/140
a V s o , st uctu a te: desde a e a e ta.
Ejemplo Gobierno Electrnico.
Bienestar de los ciudadanos Voluntad poltica para romper y dejar atrs la situacin quese quiere superar
Ser un Objetivo de la sociedad comprendido, compartido yapoyado por todos
LIC. ESPEDITO PASSARELLO
comunitarios. Contribuir a la Inversin eficiente de los recursos pblicos Buscar la justa distribucin de los beneficios que se
derivan de la inversin en TICS
Ser Tecnolgicamente ptimo Ser Sostenible, mejorable y sustentable.
Alcance Tactico(normativo): Legitimando el hacer,...a
-
8/14/2019 Tic y Entorno Social 2005
54/140
( ) g ,traves de otros,...... con herramientas seguras ?,....
Proveer una base consensuada para el desarrollode criterios comunes y su practica efectiva. La gestin de la calidad y de la seguridad de la
informacion, debe posibilitar relaciones deconfianza con clientes internos y externos,
LIC. ESPEDITO PASSARELLO
. Recomendaciones de aplicabilidad a la realidadde cada organizacin que permite a losresponsables iniciar, implementar o mantener losmodelos de gestion ( e-government y otros) congarantias de sustentabilidad y control sobre lasacciones e inversiones asociadas.
3. La relacion de lo intangible (visiones,
-
8/14/2019 Tic y Entorno Social 2005
55/140
g ( ,valores,). y lo tangible (hard, soft, net, ..)
LIC. ESPEDITO PASSARELLO
El alcance operativo(Monitoreo): Delegando las
-
8/14/2019 Tic y Entorno Social 2005
56/140
El alcance operativo(Monitoreo): Delegando lasresponsabilidades del negocio,..herramientas
Proliferacion de Soluciones comerciales orientadas anecesidades especificas. -- Aumento de la productividadmediante TICs. Con la Agenda de Conectividad. Esta todo??
Recursos humanos, basicamente entrenados (orientados)
LIC. ESPEDITO PASSARELLO
.Customizamos soluciones( adecuamos) o tenemosinteligencia: para precisar NUESTROS procesos yservicios).
Capacidad de Gestion de Proyectos TICs, la asimetria delconocimiento, en la relacion cliente/proveedor.
4. Relacion Insumo/Producto
-
8/14/2019 Tic y Entorno Social 2005
57/140
4. Relacion Insumo/Producto
Sin un insumo: confiable, completo y oportuno (la informacion).
La Interfase: Gestion de la calidad de la se uridad
LIC. ESPEDITO PASSARELLO
de la informacion.
No pueden obtenerse PRODUCTOS: cierto, Veraz, Contextualizado (resultados)
La inteligencia delegada debe ser controlada
-
8/14/2019 Tic y Entorno Social 2005
58/140
La inteligencia delegada,..debe ser controlada
LIC. ESPEDITO PASSARELLOInternet
Estudio de casos y aplicabilidad
-
8/14/2019 Tic y Entorno Social 2005
59/140
El concepto de "Gobierno Electrnico" se basa en la idea
Estudio de casos y aplicabilidad
LIC. ESPEDITO PASSARELLO
eficiencia de la gestion publica, permitir a los ciudadanosuna mejor y ms intensa comunicacin con susgobernantes a todo nivel y la prestacin directa deservicios y el sometimiento de toda clase de gestiones alos despachos administrativos, obteniendo por la mismava la resolucin correspondiente.
CONSIDERACIONES GENERALES
-
8/14/2019 Tic y Entorno Social 2005
60/140
Los Gobiernos estn considerando el uso de la tecnologa y aInternet como la nica oportunidad para transformarse y enfrentar los desafos que el Siglo XXI les propone para: Mejorar la satisfaccin de los ciudadanos, de los responsables
de negocios, de los proveedores y de sus empleados Mejorar la Calidad de Vida
CONSIDERACIONES GENERALES
LIC. ESPEDITO PASSARELLO
Estimular la Economa Aumentar la eficiencia y la eficacia Brindar informacin y servicios a travs de la interconexin
entre todos los niveles del Gobierno Proveer transparencia, tanto interna como externa
C id i G l
-
8/14/2019 Tic y Entorno Social 2005
61/140
Contexto que impacta en los Gobiernos
Explosivo crecimiento de la tecnologa: elimina las barreras einterconecta al mundo Administracin del Conocimiento: maneja la Economa Mundo en creciente competencia: exige las mejores iniciativas
Consideraciones Generales
LIC. ESPEDITO PASSARELLO
e os go ernos Creciente demanda de percibir el valor de los Gobiernos por
parte de los ciudadanos Erosin de la confianza pblica
Globalizacin en la interaccin gubernamental Surgimiento del Ciudadano Digital
Antecedentes
-
8/14/2019 Tic y Entorno Social 2005
62/140
La evolucin de los paradigmas
Gubernamentales en Amrica Latina
o y e n
l a S o c
i e d a
d
Sinergia e-Government
Fuerza
Desarrollo
Antecedentes
LIC. ESPEDITO PASSARELLO
ReformasEconmicas y
Polticas
La Dcada PerdidaCrisis Polticas, Econmicas
y Sociales
I m p a c
t o p
o s
i t i v o e n e
l G o
b i e r n
GobiernoCentralizado
1980-19901960-1970 1990-2000 El nuevo milenio
ecursos
Metas en un ambiente de Gob. Electrnico
-
8/14/2019 Tic y Entorno Social 2005
63/140
Mejorar la calidad de vida de los ciudadanos y terceros proveedoresde servicios a los gobiernos
Mejorar la provisin de los servicios reduciendo la burocracia: 7x24 contacto y servicios Conectar ciudadanos a las fuentes
LIC. ESPEDITO PASSARELLO
efectividad Simplificacin de provisin de servicios a travs de
departamentos, programas y localizaciones Reducir costos/Incrementar efectividad Fortalecer al personal y hacerlos partcipes de los resultados Estimular y facilitar desarrollo de la economa (social)
E-Government Metas - Coneccin
-
8/14/2019 Tic y Entorno Social 2005
64/140
EmpleadosCiudadanose-Gobernabilidad
e-Government conecta los Gobiernos a
LIC. ESPEDITO PASSARELLO
Proveedores Mercados
Transparencia
NegociosConfianza/aceptacinConsenso/aperturaBienestar Pblico
E-Government Marco de accin
-
8/14/2019 Tic y Entorno Social 2005
65/140
Ejecutivos &
e-Soluciones para facilitar el flujo del
comercio
e-Soluciones para facilitar lainteraccin delos gobiernos
Servicios Bsicos
Negocios e inversiones Transporte y servicios
pblicos Temas laborales &
Empleo Ayuda Social Sociedad (servicio deInformacin
Legislaciny Polticas
LIC. ESPEDITO PASSARELLO
Proveedores
Gerentes
Fuerza deTrabajo
reg s rac n Educacin Ciudad y Pas
Planeamiento Paz y Seguridad Impuestos y Justicia Salud y Medio
Ambiente Intercambio deinformacin del Sector Pblico
y servicios
Bienes
Servicios
Estrategiay Gerencia
Tcticas
Operaciones(ejecucin)
E-Government Estrategia - Lineas de Abordaje
-
8/14/2019 Tic y Entorno Social 2005
66/140
E Government g j
Transformaciones Institucionales: Las llamadas transformacioninstitucionales apuntan a optimizar la gestin de las organizaciones estteniendo en cuenta las caractersticas particulares de cada una. Los cam buscados estn orientados a incrementar la productividad y mejorar la cde los servicios prestados por el Sector Pblico. Liderados por los msniveles de decisin de cada organizacin, involucran por igual a los emp pblicos y a los ciudadanos.
LIC. ESPEDITO PASSARELLO
Transformaciones Horizontales: Las llamadas transformacionhorizontales son las que apuntan a producir cambios en sistemas que atratransversalmente a toda la Administracin Nacional en sus modalidadgestin. Su importancia radica en que constituyen el apoyo y sadministrativo para todas las actividades de carcter sustantivo. Optimconsolidar estos sistemas horizontales, en lnea con el nuevo modelo de gredundar en una administracin ms eficaz y eficiente.
La despapelizacion gubernamental factura digital
-
8/14/2019 Tic y Entorno Social 2005
67/140
La despapelizacion gubernamental,,factura digital,
LIC. ESPEDITO PASSARELLO
La despapelizacion gubernamental factura digital
-
8/14/2019 Tic y Entorno Social 2005
68/140
La despapelizacion gubernamental,,factura digital,
LIC. ESPEDITO PASSARELLO
IMPLEMENTACIN
-
8/14/2019 Tic y Entorno Social 2005
69/140
IMPLEMENTACIN
Administracin Informacin
LIC. ESPEDITO PASSARELLO
Seguridad
ISO 17799
-
8/14/2019 Tic y Entorno Social 2005
70/140
Definicion de los productos a implementar referidos aT i S i i i l li
-
8/14/2019 Tic y Entorno Social 2005
71/140
Trmites y Servicios presenciales y on-line.
Producto 1: etapas para asegurar la confiabilidad de lagestion de la informacion (iso 17799):confiabilidad,disponibilidad e integridad1
1.1.Consolidacion y verificacion de la informacion:documental,catastral,
LIC. ESPEDITO PASSARELLO
,expedientes,etc.1.2.Conformacion de las basesDe datos.
CrucesConCensos y moratorias
Actualizacionvalorizacion
Mapeo de procesos criticos
-
8/14/2019 Tic y Entorno Social 2005
72/140
Procesos deactualizacion de la
informacionGrandes medianos
contribuyentes
LIC. ESPEDITO PASSARELLO
Declaracion y pagoElectronico de
Impuestos
Relacioncon entidades
financieras
PROCESOS DE FISCALIZACION E INSPECCION
Portal de Servicios : Articulando actores (The bridge)
-
8/14/2019 Tic y Entorno Social 2005
73/140
Portal de Servicios : Articulando actores (The bridge)
SISTEMA UNIFICADO DE INFORMACIN DE TRMITES
SUITPermite a los ciudadanos/contribuyentes resolver en un solopunto sus necesidades de informacin con respecto a lostrmites relacionados con la Gestion Municipal.Permite al Municipio, realizar anlisis de requerimientos y
2
LIC. ESPEDITO PASSARELLO
neces a es rea es so re ases es a s cas .Al unificar, normalizar y mantener actualizada toda lainformacin relacionada con el mismo origen(ciudadanos/contribuyentes) y el estado de cada tipo detrmites.
Portal de Servicios : Articulando actores (Thebridge)
-
8/14/2019 Tic y Entorno Social 2005
74/140
bridge)Entidades delOrden
ProvincialNacional
Portal de Servicios
contribuyente
Puntos deServicios
Centro deAtencin yServicio al
TRMITES Y SERVICIOS EN LNEA
SistemasEspeciales detributacion
Denuncias por Presunta Violacin alas normas
3
LIC. ESPEDITO PASSARELLO
PlataformaTecnolgica de losTrmites en Lnea
(NcleoTransaccional)
PuentesY corredoresTICs
Sistema de Control yManejo de Documentos
y Contenido
- Base de de Datos-Inteligencia del Sistema
-Optimizacin de Trmites
Sistemas deInformacin
Sistema dePagosElectrnicos
Entidades delEstado de
OrdenRegional/Territorial
municipales
"Registro de Obrasy Actos relacionadoscon los Registrosy sus actualizaciones"
Intranet Municipal
-
8/14/2019 Tic y Entorno Social 2005
75/140
Portal delcontribuyente
Intranet Municipal
Centro deAtencin
y Servicios alCiudadano
Puntos deServicios
Comunitario
CIUDADANIA
LIC. ESPEDITO PASSARELLO
IntegradosArquitectura deIntegracin e
Interoperabilidad
Centro de Datos Y Servicios
De BaseTransporte
deDatos
Infraestructura deAlmacenamiento y
Servicios de Base (Centrode Datos)
Infraestructura deComunicaciones(Conectividad)
Interfaces Estndar de Comunicacin entreProcesos y Sistemas de Informacin
Ncleo Transaccional de Servicios
Servicios InformticosAplicaciones Sistemas de Informacin
Portales
Intranet MunicipalIntranet Municipal
-
8/14/2019 Tic y Entorno Social 2005
76/140
Intranet MunicipalIntranet Municipal
Permitir el intercambio seguro de informacin entre las
entidades, y garantizar a los ciudadanos/contribuyentesel acceso a los servicios en Lnea.
Componentes del Proyecto:
LIC. ESPEDITO PASSARELLO
Red de Alta Velocidad.Centro de Datos y Servicios de Base.Plataforma de Interoperabilidad.Centro de Contacto y atencion al Ciudadano.
Plan de trabajo: Actores y servicios en LneaPlan de trabajo: Actores y servicios en Lnea
-
8/14/2019 Tic y Entorno Social 2005
77/140
Racionalizar Racionalizar
CoordinacinInterinstitucional .Responsables directivos yde Areas operativas
Gestion de la seguridad:Activos de informacion.
LIC. ESPEDITO PASSARELLO
.Cumplimiento de leyesFirma DigitalHabeas data.
Calidad de datos.
Bases de datos.Clave unicaPago Electrnico
Flujo de ingresos
-
8/14/2019 Tic y Entorno Social 2005
78/140
Contribuyente
Portal
LIC. ESPEDITO PASSARELLO
SistemaIntegrado de
Gestin
Entidadesde Control
Presupuestoy Pagos
Consolidacioncontable
Otros sistemasrelacionados con
Entidades
Sistemasde PAGO
Tesoreras(Nal., Dep., Mun.)
Departamentos
entidades
Sistema integralde recaudacion
electrnica
Centro deServicios
CompartidosSSC
Flujo de egesos.Flujo de egesos.
-
8/14/2019 Tic y Entorno Social 2005
79/140
j gj g
1. Gestin:Catlogo de bienes y
servicios, Licitaciones,Compra directa, contratosmarco, pagos.
InteligenciaInteligenciainformaticainformatica
GestinGestinIndicadoresIndicadores
Base deBase deDatosDatos
procesosprocesosTICsTICs
LIC. ESPEDITO PASSARELLO
.contratantes, contratistas,comunidad y rganos decontrol
3. Seleccin objetiva
4. Divulgacin procesoscontractuales5. Transparencia, eficiencia y
Control posterior
FlujoFlujoProcesosProcesos
Gestion de la informacion.
-
8/14/2019 Tic y Entorno Social 2005
80/140
Calidad sin seguridad?Seguridad sin calidad?Calidad y seguridad de la informacion.La informacion Insumo rimordial de toda
LIC. ESPEDITO PASSARELLO
Gestion Institucional.
Somos seguros?
-
8/14/2019 Tic y Entorno Social 2005
81/140
Muy seguros? Poco seguros? Relativamente seguros? Cual es nuestro estado en seguridad?
LIC. ESPEDITO PASSARELLO
Como planificar sin diagnsticos de base? Como mantener y mejorar la gestin de
seguridad?
Por donde empezar?
-
8/14/2019 Tic y Entorno Social 2005
82/140
p
El fundamento, que permita implementar exitosamente una Gestin de la seguridad de lainformacin, reside en; Evaluar y Gestionar los riesgos, Evaluar Costos.
LIC. ESPEDITO PASSARELLO
s ra eg as e ro ecc n. Definir polticas de prevencin y control del
fraudes y delitos informticos. Es un proceso abierto; proveedores, clientes y
accionistas.
SEGURIDAD DE LA INFORMACION SEGURIDAD DE LA INFORMACION HABEAS DATA HABEAS DATA
-
8/14/2019 Tic y Entorno Social 2005
83/140
Anlisis de la brecha en seguridad
Definicin ydocumentacinde los procesos
correctos
Evaluacin delriesgo
Implantacin
ADECUACIN LEY N 25.326
Estado inicial de laaplicacin
Estado final de laaplicacinMejora
Continua
Adaptacin de Polticas, Proc.y Controles
-
8/14/2019 Tic y Entorno Social 2005
84/140
CONCLUSIONES FINALES
LIC. ESPEDITO PASSARELLO
Necesidades para adoptar y aplicar Plan
-
8/14/2019 Tic y Entorno Social 2005
85/140
p p y p
Aumentar la eficacia de la seguridad de la informacin Diferenciarse en la Gestion, la transparencia y visibilidad de
acciones de gobierno. Satisfacer requerimientos de la sociedad y comunidad. Bajo estndar mundialmente reconocido
LIC. ESPEDITO PASSARELLO
Potenciales disminuciones de costos y esfuerzos Focaliza las responsabilidades del personal Se cubre tanto la organizacin, personal e instalaciones Refuerza los mandatos legales (por ej. Habeas Data, Firma
Digital, Reforma del Estado, Propiedad intelectual,etc.)
Beneficios esperados
-
8/14/2019 Tic y Entorno Social 2005
86/140
p
Reducir la cantidad de incidentes o contingencias,por la defiencia o falta de polticas oprocedimientos, o su implementacion no efectiva.
Oportunidad para identificar vulnerabilidades la Alta Gerencia se transforma en propietaria de la
LIC. ESPEDITO PASSARELLO
Provee privacidad. Mejora la conciencia sobre la calidad y seguridad Refuerza y combina recursos con otros Sistemas
de Gestin Permite la confiabilidad de los indicadores para la
medicin de la Gestion General Institucional.
Factores crticos de xito
-
8/14/2019 Tic y Entorno Social 2005
87/140
Polticas que aseguren los objetivos Intitucionales. Acercamiento a la implantacin compatible con la cultura
organizacional. Compromiso de la direccin y apoyo visible Buena comprensin de los requerimientos de calidad y
seguridad, evaluacin y administracin del riesgo Comunicacin eficaz a todos los gerentes y empleados.
LIC. ESPEDITO PASSARELLO
Aumento de la efectividad y productividad. Continuidad de negocio. Mejora continua a travs de procesos de auditoras (revisin). Correcta planificacin y gestin TICs.
ISO/IEC 17799:2000
Factores crticos de xito (continuacin)
-
8/14/2019 Tic y Entorno Social 2005
88/140
Distribucin de las guas de polticas de la informacin yestndares a todos los empleados y proveedores.
Incremento de los niveles de confianza, clientes ypartners.
Proveer entrenamiento y la educacin apropiada
LIC. ESPEDITO PASSARELLO
Un sistema equilibrado y comprensible de las medidasque se utilizan para evaluar el funcionamiento eincorporar las sugerencias de la mejora
ISO/IEC 17799:2000
-
8/14/2019 Tic y Entorno Social 2005
89/140
MUCHAS GRACIAS
LIC. ESPEDITO PASSARELLO
-
8/14/2019 Tic y Entorno Social 2005
90/140
Estructura: Dominios de Control
-
8/14/2019 Tic y Entorno Social 2005
91/140
1. Poltica deseguridad
2. Seguridad dela organizacin
Organizacional
LIC. ESPEDITO PASSARELLO
3. Clasificaciny control de los
activos7. Control deaccesos
4. Seguridad delpersonal
5. Seguridad fsica ymedioambiental
8. Desarrollo ymantenimiento delos sistemas
6. Gestin de lastelecomunicaciones yoperaciones
9. Gestin de lacontinuidad de lasoperaciones de laempresa
10.Conformidad
Operacional
Polticas, organizacin y responsables
-
8/14/2019 Tic y Entorno Social 2005
92/140
Tres componentes a tener en cuenta1) Amenazas, definen requerimientos :Cualquier accin que compromete la seguridad de lainformacin perteneciente a la organizacin.2) Controles de seguridad:Principios rectores, reglas y criterios aplicado para su
LIC. ESPEDITO PASSARELLO
seo a n e e ec ar, preven r o recuperarse ren e a unataque a la seguridad.3) Gestin de la seguridad:Es un servicio que mejora la seguridad de un sistema deprocesamiento de datos y de la informacin que transfierela organizacin. El servicio enfrenta los ataques a laseguridad utilizando para poder hacerlo, uno o msmecanismos de seguridad.
ADECUACI N LEY N25.326
APLICABILIDAD APLICABILIDAD
-
8/14/2019 Tic y Entorno Social 2005
93/140
ETAPAS RELEVAMIENTO EVALUACIN DIAGNSTICO PLAN DE ACCIN
INFORMACIN
CARCTERVOLUMENPERMANENCIAPROVISINFLUJO INTERNOFORMATOUSUARIOS
ENTREVISTAS A C/SECTOR
CUESTIONARIO
ANLISIS DE RIESGO
SEALAR MEDIDAS DEADECUACINMANEJO
RESTRICCIONESTEMPORALIDADACTUALIZACIN
TRABAJO CONUSUARIOSDOCUMENTACIN
PROG.ACT.DE LA INF.ACCESOSREG.SOL.CAMBIOS ENLAS BASES DE DATOS
ORGANIZACIN
ORGANIGRAMAACCESO INFORMACININCORPORACINRR.HHACCESO FSICOVINC.C/PROVEEDORES
ENTREVISTAS A C/SECTOR
CUESTIONARIO
RESPONSABLES
ACCESOS
IDENTIFICACIN
DOCUMENTACINADECUACIN DEFLUJOGRAMASORDENAMIENTO DEACCESOSREL.Y TRATAM. CON ELREGISTRO DE LAS.
CARCTERANLISIS DE RIESGO
FLUJOGRAMAS
SOC.BASES DE DATOS
TCNICAS
SISTEMA HARD Y SOFTSEGURIDAD ACCESOINFORMACINSOPORTE YLOCALIZACINCLAVES DE ACCESOPROVEED.INTERNETSEGURIDAD ENTORNOCOMUNICACIN
ENTREVISTAS A C/SECTOR
CUESTIONARIO
ANLISIS DE RIESGO
SEGURIDAD SISTEMA
ACCESIBILIDAD
RESGUARDO DEACTIVOS SENSIBLES
TRABAJO CONUSUARIOSDOCUMENTACINADECUACIN SIST.DESEGURIDADORDENAMIENTO DETIPOS DE ACCESOSFIJACIN DEPOLTICAS DE BACK-UP
JURDICOS
ORGANIGRAMAFUNCIONALCONTRATOS INFORM.CONTRATOS C/PROV.FUENTES DEINFORMACINCONTACTOSC/USUARIOSOBJETORECLAMOS DEUSUARIOS
ENTREVISTAS A C/SECTOR
CUESTIONARIO
ANLISIS DE RIESGO
CONTRATOS
CONFIDENCIALIDAD
DOCUMENTACIN
TRABAJO CONUSUARIOSDOCUMENTACINTRATAMIENTO DE LOSRECLAMOS DEUSUARIOSADMINISTRACIN DELAS FUENTES DECONTACTO.
TR ATRANSFORMACION HORIZONTAL
E-Government:Estrategia - Transformaciones
-
8/14/2019 Tic y Entorno Social 2005
94/140
Ejecutivos &Gerentes
Servicios Bsicos Negocios e inversiones Transporte y serviciospblicos
Temas laborales & Empleo Ayuda Social Sociedad (servicio dere istracin
Informacinservicios
Legislaciny Polticas
C i u d a d
NSFO
R MACION
TRANSFORMACION HORIZONTAL
LIC. ESPEDITO PASSARELLO
P r ov e e
d or e s
Fuerza deTrabajo
Educacin Ciudad y PasPlaneamiento
Paz y Seguridad Impuestos y Justicia Salud y Medio Ambiente
Intercambio deinformacin del Sector Pblico
Bienes
Servicios
Estrategia yGerencia
Tcticas
Operaciones
(ejecucin)
n o s I
NSTIT
UCIONAL
E-GovernmentEstrategia
-
8/14/2019 Tic y Entorno Social 2005
95/140
La transformacin est enfocada sobre :
Liderazgo Gente Procesos
g
LIC. ESPEDITO PASSARELLO
Tecnologa
E-Government Estrategia
-
8/14/2019 Tic y Entorno Social 2005
96/140
Evolucin
INTEGRACINLos Sitios Web integran a las actividades del gobier
electrnico dentro de los procesos existentes
TRANSFORMACINCreando nuevos procesos para soporta
la mejor clase de servicios en lneaVALO
LIC. ESPEDITO PASSARELLO
INTERACCINLos Sitios Web permitenbsqueda de informacinbasada en criterios nicos
TRANSACCINLos Sitios Web permitenbsquedas, consultas yreservan y compran servicios
ARTICULACINLos Sitios Web proveen solamenteinformacin
R
COMPLEJIDAD
E-Government Estrategia Migracin integral
-
8/14/2019 Tic y Entorno Social 2005
97/140
AmbienteCiudadano
Necesi- dades
&Oportu- nidades
Cmoestamos
&Cmo debe- ramos ser
Anlisisde la
brecha
AmbienteNegocios
Estableciendo una Estrategia para el e-Government Izquierda a Derecha
Solucio- nes
LIC. ESPEDITO PASSARELLO
AmbienteGubernamenta
Evaluar Revisar Anticipar
Visualizar
Migracin Integral
E-Government Estrategia - Enfoque
-
8/14/2019 Tic y Entorno Social 2005
98/140
Educar: Desarrollar un sentido de urgencia y un comn entendimiento del GobiernoElectrnico (e-Government)
Definir una Visin del Gobierno Electrnico a largo plazo Definir una estrategia de implementacin, de las soluciones para el Gobierno Electrnico,
en forma flexible y escalonada
Seleccionar un grupo limitado de proyectos piloto con alto impacto
LIC. ESPEDITO PASSARELLO
, , ,eliminar barreras, ejecucin rpida y flujo de procesos ordenado y depurado
Definir resultados y ajustes mensurables
Establecer ciclos cortos de implantacin(60-90 das) 1 2 3 4 5 etc.
e-Solution 1e-Solution 2
e-Solution 3
PilotPilot
Pilot
E-Government Beneficios
-
8/14/2019 Tic y Entorno Social 2005
99/140
Mejorar los servicios y la satisfaccin de los ciudadanos
Ms recursos disponibles para facilitar el desarrollo de laeconoma
Productividad: Procesos ordenados que resulten en unaadministracin oportuna y efectiva
LIC. ESPEDITO PASSARELLO
Sinergia de cooperacin eliminando fronteras departamentales Incremento de la precisin
Reduccin de costos operativos por reduccin de tareasadministrativas
Agilidad y flexibilidad
Mayor satisfaccin en los empleados
E-GOV
ISO/IEC 17799ISO/IEC 14516
IMPACTO DE LAS NORMAS ISO (T.I.) EN LOS PROCESOS
ISO/IEC 17799ISO/IEC 17799
-
8/14/2019 Tic y Entorno Social 2005
100/140
VER NME
NT
PortalesPblicos
IntercambioPblico
L i d e r a z g o
L i d e r a z g o
ServiciosCompartidos
Operacin
i s t r a c
i n
i s t r a c
i n
InformacinMensajesAsistenciaVotacin/OpininTurismoParticipacinComercioEducacin
EleccionesObjetivosLegislacinOpinionesRecursosResultados
EleccionesObjetivosLegislacinOpinionesRecursosResultados
Planeamiento
ModelosdeProgramasEducacinDefensa
Se uridad
DataWarehouse
Virtual
t e s
Intranet
o s
C i u d a
d a n o s
C i u d a
d a n o s
c i o s
c i o s
ISO/IEC 14598-15504ISO/IEC 14516ISO/IEC 14888 ISO/IEC 14598-15504 ISO/IEC 17799ISO/IEC 17799ISO/IEC 14888
LIC. ESPEDITO PASSARELLO
A d m i n
A d m i n
E m p l e a
d o s
E m p l e a
d o s
Adminis. Pytos.Cash Mgtrdenes Trabajo
rdenes TrabajoAdm. ContratosCompromisosProgramacinPuestaen Marcha
RegulacionesPublicacionesCompulsaAdjudicacinCumplimiento
A d m .
P r o g r a m a s
A d m .
P r o g r a m a s
AbastecimientoAdministracin Adm. Licitacionese-Compras
ServiciosDistribucinLitigiosServicios PblicosFacturacin/Cbza.
Permisos/LicenciasImpuestosServicio PblicosOtros ServiciosAsesoresProduccinFacturacin/Pagos
etc
Fuentes de DatosExternas
InfraestructuraComn
Software Stand.SistemasAdm.
RRHHAdm.
DocumentosWorkflow
SistemasdeSeguridad
Call CentersRecursosTec.
Inf.
A t e n c
i n
C l i e n
T e r c e r o s
d e
N e g o c
i
P r o v e e d o r e s
P r o v e e d o r e s
T e r c e r o s
d e
N e g o
T e r c e r o s
d e
N e g o
ISO/IEC 14516 Gua para el uso y gestin de confianza para servicios de terceras partesISO/IEC 14888 Firma digitalISO/IEC 17799 Cdigo de practicas para la gestin de seguridad de la informacin.ISO/IEC 14598 Evaluacin de productos de SoftwareISO/IEC 15504 Evaluacin de procesos de software (ISO SPICE)
Decisin Administrativa N. 669/04. Ambito nacional
-
8/14/2019 Tic y Entorno Social 2005
101/140
Qu ? Dictar o adecuar la Poltica de Seguridad de la Informacin. Conformar un Comit de Seguridad de la Informacin.
Asignar las responsabilidades en materia de Seguridad de la Informacin.
LIC. ESPEDITO PASSARELLO
Cundo ?Dentro de los 180 das hbiles de aprobado el Modelo de Poltica.
Cmo ?En base al Modelo de Poltica aprobado.
-
8/14/2019 Tic y Entorno Social 2005
102/140
-
8/14/2019 Tic y Entorno Social 2005
103/140
Polticas de
Objetivos
Con el desarrollo e implementacin de unaPoltica de Seguridad de la Informacin encada organismo se persiguen los siguientesobjetivos principales:
LIC. ESPEDITO PASSARELLO
Informacin Establecer un marco normativo (pautasclaramente definidas) para gestionar laseguridad de la informacin
Asegurar la confidencialidad, integridad ydisponibilidad de la informacin
Elevar los niveles de seguridad. Asignar responsabilidades
-
8/14/2019 Tic y Entorno Social 2005
104/140
Planeamiento
Se convoca a distintos areas de la Administracin para conocer sus opinionessobre las necesidades que permian formular las estrategias de seguridad.
Documentacion, necesidad de que el Organismos cuenten con una Poltica deSeguridad escrita, comunicada y con procesos de revision.
LIC. ESPEDITO PASSARELLO
Organizacin:Conformacion delgrupo de trabajo para la redaccin del Modelo dePoltica de Seguridad y del grupo encargado de la revision perioodica.
Enfoque general: Tomar como base la norma ISO/IRAM 17799
-
8/14/2019 Tic y Entorno Social 2005
105/140
Publicacion formal, comunicacin y capacitacion en todos los niveles yatendiendo a diferentes competencias y resposnabilidades
Aprobacion: Se redacta el Modelo y se somete a la consideracin de los diferentesniveles involucrados. .
LIC. ESPEDITO PASSARELLO
Mejora continua del modelo de gestion de la seguridad de la infomacion
Puesta en aplicacin
Firma Digital
-
8/14/2019 Tic y Entorno Social 2005
106/140
Infraestructura de Firma Digital (Ley 25.506)
Comisin Asesora en funcionamientoVersin preliminar de normas en proceso de aprobacinInfraestructura tcnica en desarrollo:
Implementacin de la Autoridad Certificante Raiz (ACRA)Instalacin de mxima seguridadProcedimientos operativos y de seguridad en elaboracin
LIC. ESPEDITO PASSARELLO
Uso de la Firma Digital en el Estado
Autoridad Certificante en funcionamiento (25 ARs)Asistencia en desarrollo de aplicaciones (contrataciones, uso interno SGP,
asistencia a Provincias y otros Poderes)
Integracin regional e internacionalMERCOSUR, Unin Europea, pases de la regin
SEGURIDAD DE LA INFORMACIN
-
8/14/2019 Tic y Entorno Social 2005
107/140
APLICABILIDAD A LOS REQUERIMIENTOS DE LA LEY
25326(HABEAS DATA)
El Hbeas Data es el derecho que posee todo ciudadanode exigir jurdicamente la exhibicin de sus datos y/o laeliminacin de aquellos que considere innecesarios o
LIC. ESPEDITO PASSARELLO
.Protege la integridad moral de las personas, frente ainformaciones referidas a su personalidad, tales como: suafiliacin poltica, gremial, religiosa, su historia laboral,sus antecedentes crediticios, policiales e informacionessimilares que constan en registros o bases de datos.
HABEAS DATA
-
8/14/2019 Tic y Entorno Social 2005
108/140
Este tipo de informacin es conocida como informacinsensible. Se denomina as a la informacin cuyo contenido srefiere a cuestiones privadas y cuyo conocimiento general pu
.La finalidad delhbeas data es impedir que en bancos o registrode datos se recopile informacin que est referida a aspectos su personalidad directamente vinculados con su intimidad, qu pueden encontrarse a disposicin del pblico o entes privado
HABEAS DATA
-
8/14/2019 Tic y Entorno Social 2005
109/140
Es una garanta constitucional, con objetivos muy precisos, q
busca que el accionante sepa:Por qu motivos legales, el poseedor de la informacin lleg a ser tenedor de la misma.
Desde cundo tiene la informacin.Qu uso ha dado a esa informacin y qu har con ella en el futuro
Conocer a qu personas naturales o jurdicas, el poseedor de lainformacin le hizo llegar dicha informacin. Por qu motivo, con q propsito y la fecha en la que circul la informacin.
Qu tecnologa usa para almacenar la informacin.Qu seguridades ofrece el tenedor de la informacin
para garantizar que la misma no sea usadaindebidamente.
HABEAS DATA HABEAS DATA
-
8/14/2019 Tic y Entorno Social 2005
110/140
COMISIN DE LAS COMUNIDADES EUROPEASBruselas, 6.6.2001 COM(2001)298 final
COMUNICACIN DE LA COMISIN AL CONSEJO, AL PARLAMEEUROPEO, AL COMIT ECONMICO Y SOCIAL Y AL COMIT D
LAS REGIONESSeguridad de las redes y de la informacin:
ropues a para un en oque po co europeo Los Estados miembros debern fomentar el uso de mejoresprcticas basadas en medidas existentes como ISO/IEC 17799(cdigo de prcticas para la gestin de la seguridad de lainformacin www.iso.ch).
-
8/14/2019 Tic y Entorno Social 2005
111/140
-
8/14/2019 Tic y Entorno Social 2005
112/140
SEGURIDAD DE LA INFORMACION SEGURIDAD DE LA INFORMACION HABEAS DATA HABEAS DATA
-
8/14/2019 Tic y Entorno Social 2005
113/140
RIESGO INSTITUCIONAL
DIRECCIN GENERAL
ADECUACIN
CONTROL Y MINIMIZACINDEL RIESGO
ISO 17799 Implementacin
-
8/14/2019 Tic y Entorno Social 2005
114/140
Organizacinde la Seguridad
Poltica deSeguridad dela Informacin
Acciones
RevisinGerencial
LIC. ESPEDITO PASSARELLO
Clasificacinde Activos
Aplicacinde ControlesProceso
Operativo
Control delProceso
Correctivas
Como lograrlo ?
-
8/14/2019 Tic y Entorno Social 2005
115/140
Mediante la construccion de un grupo de objetivos decontrol y controles apropiados, en una jerarquia de:- Polticas- Practicas
LIC. ESPEDITO PASSARELLO
- Procesos- ProcedimientosSe requiere establecer controles para asegurar el cumplimiento de los
objetivos especficos de seguridad de la organizacin
ISO/IEC 17799:2000
La seguridad NO se adquiere, como un producto, es unproceso de construccion dinamico,..
-
8/14/2019 Tic y Entorno Social 2005
116/140
Mediante la formulacin de acciones, traducidas en
polticas ; conjunto de medidas preventivas, dedeteccin y correccin destinadas a proteger laintegridad, confidencialidad y disponibilidad de TODOSlos recursos de informacin.
LIC. ESPEDITO PASSARELLO
La Seguridad debe permitir compartir los Sistemas deInformacin, en forma interna, e incluso con terceros,pero garantizando su proteccin.
Primer regla: Es de y para todos.
Segunda regla: Debe adecuarse a las necesidades, nivelde maduracin y recursos de cada empresa
Establecer requerimientos de seguridad
-
8/14/2019 Tic y Entorno Social 2005
117/140
Evaluacin de riesgos de la organizacin.
- Identificar las amenazas a los activos, la vulnerabilidad y laprobabilidad de ocurrencia y el impacto potencial.
Requerimientos legales, estatutarios, regulaciones y contractuales.- Estos requerimientos deben ser definidos por la organizacin,
LIC. ESPEDITO PASSARELLO
negoc a o con os soc os, con ra s as y provee ores e serv c o.
El sistema de principios, objetivos y requerimientos para elprocesamiento de la informacin desarrollado por la organizacinpara sostener sus operaciones.
ISO/IEC 17799:2000
Primer desafo
-
8/14/2019 Tic y Entorno Social 2005
118/140
El primer paso:Diagnostico global de activos de informacion.En su Institucion estan definidos todos losactivos de INFORMACIN caracterizados por sus atributos.
LIC. ESPEDITO PASSARELLO
Segundo paso:Mapeo de dichos activos de informacion sobrelos procesos criticos que se refieren a lacontinuidad operativa y el cumplimiento(leyes, decretos, disposiciones, etc.)
Segundo desafio!
-
8/14/2019 Tic y Entorno Social 2005
119/140
Conocer la sensibilidad y/o criticidad de los activosde informacion, que se desean proteger;su estacionalidad y temporalidad
Primer paso : Definicion de instancias de lagestion de activos.
LIC. ESPEDITO PASSARELLO
-Inventario,-Clasificacin,-Etiquetado.
Segundo Paso : Analisis y evaluacion de riesgosde los activos.
Seguridad de la informacin
-
8/14/2019 Tic y Entorno Social 2005
120/140
DEPENDENCIA TIC YDEPENDENCIA TIC Y
Actos de lanaturaleza
Fallas de Hard,
Fraudes
Dao intencional
AMENAZASAMENAZAS
LIC. ESPEDITO PASSARELLO
VULNERABILIDADESVULNERABILIDADESo instalacin
Errores y omisiones
Invasin a la privacidadCONSECUENCIASCONSECUENCIAS
RIESGOS ASOCIADOSPERDIDAS ESTIMADAS
Ejemplos de amenazas a la informacin
-
8/14/2019 Tic y Entorno Social 2005
121/140
Empleados
Baja conciencia de la importancia en cuestionesde seguridad Crecimiento en redes y computacin distribuida Crecimiento en complejidad y falta de eficiencia
LIC. ESPEDITO PASSARELLO
en as erram en as e e ecc n e n rusos yvirus Correo electrnico Fuego, inundacin, terremotos
Algunos casos que actan de disparadores
-
8/14/2019 Tic y Entorno Social 2005
122/140
Hacker obtiene datos de miles de tarjetas de crdito Yahoo!, doblegado por los hackers Intrusos asaltaron sitio del FBI La Casa Blanca extravi correo electrnico
LIC. ESPEDITO PASSARELLO
Hackers acceden a la red de Microsoft Suplantan identidad del presidente brasileo Hackers atacan a la defensa de EE.UU.
Estafas a bancos, venta de padrones de ciudadanos,clientes.
Fuente de riesgos
-
8/14/2019 Tic y Entorno Social 2005
123/140
Casual Hackers: Script Kiddies using freelyCasual Hackers: Script Kiddies using freelyavailable hacking tools to probe and harass.available hacking tools to probe and harass.Sophisticated Hacker:Sophisticated Hacker: Specialists with indepthSpecialists with indepthknowledge using or developing underground toolsknowledge using or developing underground tools.
LIC. ESPEDITO PASSARELLO
Organized Groups: Political activist, terrorist,Organized Groups: Political activist, terrorist,government agencies, organized crime, competitorsgovernment agencies, organized crime, competitorsand foreign governments with greater resources.and foreign governments with greater resources.
Disgrountled employee: Employee with detailedDisgrountled employee: Employee with detailedknowledge of Target systems, technologies andknowledge of Target systems, technologies andsecurity procedures intent on revenge, or fraud.security procedures intent on revenge, or fraud.
Captura de PC desde el exterior Principales riesgos
-
8/14/2019 Tic y Entorno Social 2005
124/140
Violacin de e-mailsViolacin de contraseas Intercepcin y modificacin de e-mailsVirus
Incumplimiento de leyes y regulacionesempleados deshonestos
Robo de informacinDestruccin de equipamiento
Spamming
Violacin de la privacidad de los empleados
Ingeniera social
Mails annimos con informacin crtica o con agresiones
LIC. ESPEDITO PASSARELLO
Interrupcin de los servicios
Robo o extravo de notebooks
Destruccin de soportes documentales
Acceso clandestino a redes
Intercepcin de comunicaciones
Acceso indebido a documentos impresos Software ilegal
Agujeros de seguridad de redes conectadas
Falsificacin de informacin paraterceros
Indisponibilidad de informacin clave
Propiedad de la Informacin
Consecuencias
-
8/14/2019 Tic y Entorno Social 2005
125/140
Robo: dinero, informacin empresarial relevante,
propiedad intelectual, recursos, etc. Prdida de productividad; Corrupcin de datos,horas extraordinarias, fallas de equipos,..
Prdidas indirectas; Daos de imagen, prdida de
LIC. ESPEDITO PASSARELLO
confianza,..
Exposicin legal; incumplimiento de contrato, decompromisos de confidencialidad, ilegalidad deactividades a travs de los sistemas
Respuestas...Necesarias pero NO suficientes.
-
8/14/2019 Tic y Entorno Social 2005
126/140
En mi... implementamos un firewall.
... contratamos una persona para el rea.
... en la ltima auditora de sistemas no mesacaron observaciones importantes.
LIC. ESPEDITO PASSARELLO
... .
... hice un penetration testing y ya arreglamostodo.
Evaluacin de riesgos
-
8/14/2019 Tic y Entorno Social 2005
127/140
Amenazas Vulnerabilidades
exponenincrementan incrementanprotegencontra
aprovechan
LIC. ESPEDITO PASSARELLO
ActivosRiesgosRiesgos
Controles
Requerimientosde seguridad
Valor de los activos yPotenciales impactos
tienenincrementancubiertos por
indican
Impacto sobre la Organizacin
-
8/14/2019 Tic y Entorno Social 2005
128/140
Qu es el riesgo ?
-
8/14/2019 Tic y Entorno Social 2005
129/140
La posibilidad que algo que ocurre impacte en losobjetivosUna medida de incertidumbre con dos elementos:
La probabilidad de ocurrencia de un evento.
LIC. ESPEDITO PASSARELLO
La consecuencia que esto ocurra
El riesgo debe ser propiedad de los Gerentes.
Los riesgos especficos debieran ser asignados a
Gerentes especficos.
Riesgos: Cual es el alcance que debo definir paraasegurar mi informacion y como gestionarlos
-
8/14/2019 Tic y Entorno Social 2005
130/140
Componentes del Riesgo
Confidencialidad
Integridad
*Financiero*Cliente*Re ulatorio
LIC. ESPEDITO PASSARELLO
Disponibilidad
Continuidad del Negocio
Evaluacin de Procesos
*Contractual*Franquicia
Evaluacin de riesgos; definiciones
-
8/14/2019 Tic y Entorno Social 2005
131/140
Que es lo que se desea proteger, porque? Dequien? y cual es su valor?
Evaluacin de; amenazas, impactos y
LIC. ESPEDITO PASSARELLO
Vulnerabilidades,relativos a la;
informacin y a las instalaciones para suprocesamiento, y a la probabilidad de queocurran.
Compliance con: ISO 17799, normas del negocio y Ley 25326(Proteccion de datos)
-
8/14/2019 Tic y Entorno Social 2005
132/140
Modelo de Gestin del Riesgo
Polticas
Evaluar
LIC. ESPEDITO PASSARELLO
rgan zac nProcesosTecnologa (hardware,software y redes)
Disear
Implementar
Gestionar
Vulnerabilidades
-
8/14/2019 Tic y Entorno Social 2005
133/140
Constituyen las debilidades quepresenta la organizacin frente ala amenazas (Internas /Externas).
LIC. ESPEDITO PASSARELLO
Vulnerability Assesment
-
8/14/2019 Tic y Entorno Social 2005
134/140
LIC. ESPEDITO PASSARELLO
Vulnerabilidad vs. Riesgo
-
8/14/2019 Tic y Entorno Social 2005
135/140
Analisis de Vulnerabilidades Analisis Analisis dede VulnerabilidadesVulnerabilidades
LIC. ESPEDITO PASSARELLO
AperturaRelevamientoColeccion
per uraRelevamientoColeccion
Deteccinde eventosy Pruebas
e ecc nde eventosy Pruebas
Plan deAccion
Plan deAccion
- Regular - TD- Desvio
- Regular - TD- Desvio
Conclusion&
Recommend.
Principales vulnerabilidades
-
8/14/2019 Tic y Entorno Social 2005
136/140
Control inadecuado de acceso a routers. Puntos de accesos remotos sin debida proteccion. Cuentas de usuarios con privilegios excesivos. Aplicaciones. Falta de politicas de seguridad. Excesivos mecanismos de control de acceso.
LIC. ESPEDITO PASSARELLO
a a e ormac n. Fuga de informacin por snmp, smtp, netbios, dns Capacidades inadecuadas o inexistentes de logging, monitoreo y
reaccin ante incidentes. Deficiente administracin de los acceso. Mantener servicios activos en forma inadecuada. Estructuras inadecuadas (perimetral) ...
Vulnerabilidad vs. Riesgo
-
8/14/2019 Tic y Entorno Social 2005
137/140
R
iesgo
LIC. ESPEDITO PASSARELLO
I N I C
I O C O
N A u
d i t
R e g u
l a t o r
y
F r a u
d / a t t a
c k s
Oportunidad
Principales riesgos y el impacto en los negocios
-
8/14/2019 Tic y Entorno Social 2005
138/140
En estos tipos de problemas es difcil:
Darse cuenta que pasan, hasta que pasan.
Poder cuantificarlos econmicamente, por
LIC. ESPEDITO PASSARELLO
eempocunto le cuesta al negocio 4 horas sinsistemas?
Poder vincular directamente sus efectos sobrelos resultados de la Institucion.
Principales riesgos y el impacto en los negocios
-
8/14/2019 Tic y Entorno Social 2005
139/140
Se puede estar preparado para que ocurran lo menos
posible: sin grandes inversiones en software sin mucha estructura de personal
LIC. ESPEDITO PASSARELLO
Tan solo: ordenando la Seguridad y Gestionarla. parametrizando la seguridad delegada en los sistemas utilizando herramientas licenciadas y/o libres en la web
Gestin de riesgos, revisin De seguridad y controles implementados:
-
8/14/2019 Tic y Entorno Social 2005
140/140
De seguridad y controles implementados: Reflejar los cambios en los requerimientos y
prioridades de la empresa. Considerar nuevas amenazas y vulnerabilidades. Corroborrar que los controles sean eficaces y
apropiados.
Con diferentes niveles de profundidad, segn ; Resultados anteriores Niveles variables de riesgos dispuesto a aceptar
Con prioridad;Riesgos de alto nivel medio y bajo