ietei.com.arietei.com.ar/wordpress/wp-content/uploads/2014/xxiico… · web viewlos recursos...
TRANSCRIPT
XXII CONGRESO NACIONALTRIBUNALES DE CUENTAS, ORGANOS Y
ORGANISMOS DE CONTROL EXTERNO DE LA
REPUBLICA ARGENTINA
18-19 Y 20 DE SETIEMBRE – LA RIOJA- ARGENTINA
TEMA V: LA SEGURIDAD INFORMÁTICA –– PROPUESTA DE CRITERIOS O PAUTAS DE AUTOEVALUACION
ORGANISMO:
AUDITORIA GENERAL DE LA PROVINCIA DE SALTA
AUTOR: MG.LAURA RAQUEL LAVIN
La Seguridad de la Información – Criterios o pautas de autoevaluación
Índice
a) Objetivo de la investigación………………………………………….……….Pag.3
b) Introducción…………………………………………………………………….Pag.4
c) Componentes de la seguridad de la información……………...………..…Pag.7
d) La seguridad informática……………………………………….……………..Pag.8
e) Criterios para evaluar la seguridad de la información…………………....Pag.10
f) Tipos de seguridad………………………………………….….……….....….Pag.11
g) Propuesta de Autoevaluación de la confidencialidad………………..…..Pag.14
h) Propuesta de Autoevaluación de la integridad……………………………Pag.14
i) Propuesta de Autoevaluación de la accesibilidad………………………...Pag.15
j) Propuesta de Autoevaluación de la legalidad……………………………..Pag.15
k) Propuesta de Autoevaluación de la comparabilidad…………………..….Pag.17
l) Propuesta de Autoevaluación de la seguridad lógica…………………….Pag.17
m)Propuesta de Autoevaluación de la seguridad física……………………..Pag.20
n) Autoevaluación de la seguridad en el desarrollo
y mantenimiento………………………..…………………………………….…...Pag.22
o) Conclusiones…………………………………………………………………. Pag.24
Bibliografía…………………………………………………………………………Pág. 25
Mg. Laura Raquel Lavin Página 2
La Seguridad de la Información – Criterios o pautas de autoevaluación
a) Objetivo de la investigación
La Auditoría General de la Provincia de Salta desde su creación ha apostado
a la creciente informatización de su actividad, para ello es parte de su política
institucional la informatización de todas las áreas de trabajo, dotando y
manteniendo el equipamiento y el software conforme los últimos avances técnicos
disponibles en el mercado, a fin de poner a disposición de los empleados las
herramientas necesarias para una labor eficiente. Dicho mantenimiento se realiza
respetando los requerimientos técnicos de cada sector de la institución.
Por otro lado utiliza la tecnología como vehículo de comunicación con la
comunidad por medio de su página web institucional: www.agpsalta.gov.ar y el
correo de contacto: [email protected]. En la página se puede apreciar la
información del accionar institucional actualizado, los informes de Auditoría
Definitivos para su conocimiento, la normativa que la rige y demás información de
utilidad. De modo interno se ha desarrollado una red intranet, la que contiene una
vasta información: normativa básica para la realización de auditorías, la
documentación digital de los legajos permanentes de auditoría, los cuales que se
van actualizando con la documentación que se obtiene vía institucional o en tarea
de campo, los Informes de Auditoría Publicados, los eventos de capacitación y su
material, etc. La red interna tiene mucha movilidad, para utilidad laboral y de
comunicación entre los integrantes.
El personal del Departamento Sistemas tuvo un perfil profesional y técnico
en TICS, desde sus inicios: Ingenieros Informáticos, programadores y técnicos en
informática, forman la planta del mismo.
En cuanto al equipamiento en el Presupuesto anual de la AGPS se prevé
una partida para la actualización del hardware, en base a un estudio previo sobre
la obsolescencia de los equipos y del software en base a la tecnología de punta
vigente y las solicitudes de actualización que presenta su personal.
Mg. Laura Raquel Lavin Página 3
La Seguridad de la Información – Criterios o pautas de autoevaluación
En cuanto a los procedimientos necesarios para un buen desempeño
informático, la AGPS ha aplicado desde el inicio de su gestión acciones que
incluyen controles asociados y medidas de seguridad lógicas, físicas, de
desarrollo y mantenimiento etc., que aseguran la prestación continua del servicio
y medidas de contingencia, criterios que funcionan de hecho, sin que los
mismos consten en un cuerpo ordenado y aprobado. No contamos con un cuerpo
sistematizado, aprobado, comunicado de criterios de seguridad informática.
Es objetivo del presente trabajo parte del conocimiento y relevamiento actual
de las capacidades desarrolladas por la AGPS en materia de seguridad
informática, los riesgos y debilidades a que se encuentra expuesta y pretende
fundar las bases o criterios de Seguridad de la Información para la AGPS , los que
deberán formalizarse y aprobarse, así como su método de valoración para un
autocontrol.
El presente trabajo se ajusta a las normas dictadas por el IETEI para la
elaboración de trabajos científicos y ha sido puesto en conocimiento del
Presidente del Colegio de Auditores de la Auditoría General de la Provincia de
Salta.
b) Introducción Las TICs (tecnología de la información y comunicación) tienen que ver con la
aplicación de la tecnología utilizada para el tratamiento y transmisión de la
información, principalmente tiene que ver con la informática, la internet, las
telecomunicaciones. Hoy el uso de las TICs no para de crecer y de extenderse en
los países desarrollados, los que comparados con los países pobres crean la
llamada brecha digital y social, y las diferencias entre las generaciones.
Las TICs han transformado nuestra manera de trabajar, en particular en el
Sector Público en el que por una cuestión cultural durante un largo tiempo se
demostró una larga resistencia, ganando los beneficios de los resultados
Mg. Laura Raquel Lavin Página 4
La Seguridad de la Información – Criterios o pautas de autoevaluación
logrados, liberándonos de las cargas más pesadas, optimizando nuestros
recursos y haciéndonos más productivos, frente a los costos de aprendizaje y
equipamiento. Gracias a ellas, somos capaces de producir mucho más, de mejor
calidad, invirtiendo mucho menos tiempo.
Haciendo historia no hace mucho, a partir de los años 90 vivimos cambios
positivos en la planificación, ejecución y control de la actividad pública, que hasta
entonces eran de elaboración personal y su registro de modo manual. Así la era
digital llegó a todos los rincones del planeta, achicando la mencionada brecha
digital, faltando bastante para lograr aún este objetivo fueron varios los actores
involucrados, autoridades y financiado especialmente con fondos nacionales y
ayudas internacionales, a fin de que
El Control Público dispone de diversos canales informáticos para lograr
comunicación, información y medios para lograr parte de las evidencias válidas y
suficientes mediante el uso de las TIC´s en:
Consultas por “on line” de la página web, sobre los datos primarios del
auditado.
Consultas “on line” respecto a las diferentes actuaciones administrativas. El
desarrollo a medida y aplicación de programas de seguimiento de
expedientes (Sistemas de Mesas de Entradas) en toda la Hacienda Pública
Estatal y para-Estatal, por medio de los cuales se agilizaron el registro de
diferentes trámites, la consulta del trámite por parte de los iniciadores, el
control interno y externo y la reducción los plazos de la gestión.
Consulta de las contrataciones públicas de modo informatizado
El registro digital del Presupuesto Anual de ingresos y gastos, su ejecución,
incluidas las Rendiciones de los fondos, tanto de los recursos propios como
de aquellos obtenidos vía préstamos de origen nacional o internacional, por
parte del organismo rector en esta materia que es la Oficina Provincial de
Presupuesto. Conocimiento de la gestión de la planificación, sanción y
Mg. Laura Raquel Lavin Página 5
La Seguridad de la Información – Criterios o pautas de autoevaluación
ejecución trimestral presupuesto público.
Conocimiento sobre el registro e información de la deuda pública, etc.
La emisión de diversos documentos como: órdenes de compra, órdenes de
recepción, órdenes de pago, órdenes de consultas médicas, cheques,
remitos, recibos, etc. de modo digital, permite la consulta sobre los registros
pertinentes en el ente auditado.
El registro y control de stock de bienes de consumo adquiridos por la
Administración Pública de modo digital.
La implantación de la Cuenta Única del Tesoro (CUT) para eficientizar la
administración de los fondos del Estado.
El pago a proveedores mediante la transferencia bancaria directa de los
importes netos de servicios y bienes prestados, a las cuentas bancarias de
los proveedores, utilizando la Clave Bancaria Uniforme (CBU), en la mayoría
de los pagos.
La liquidación y el pago de sueldo, jubilaciones, subsidios, etc., vía la
acreditación en las “cuentas bancarias sueldo” de sus beneficiarios por parte
de los Organismos rectores Contaduría General de la Provincia y Tesorería
General.
El registro y control de la Obra Pública de modo descentralizado
La publicación de los llamados a Licitaciones y Contrataciones del Estado
en la web, a fin de lograr la mayor participación posible e igualdad entre los
oferentes.
La publicación de la normativa y actividad administrativa del Estado en el
Mg. Laura Raquel Lavin Página 6
La Seguridad de la Información – Criterios o pautas de autoevaluación
Boletín Oficial “on line”.
La utilización buzones de sugerencias digitales, consultas y chat directo por
parte de los organismos, a fin de mejorar la gestión.
El uso de la información digital, permite lograr respaldo documental para la
realización de auditorías internas por parte de los organismos de control
primario (SAF- Servicios de Administración Financiera).
La grabación de llamadas telefónicas por razones de calidad.
La instalación y uso de cámaras de seguridad como medida de prevención y
actuación frente a actos delictivos o corrupción.
El uso de las redes sociales como mecanismo de autoevaluación de la
gestión política.
El voto electrónico utilizado en las últimas elecciones de autoridades
nacionales y provinciales
Hoy gozamos de todas las ventajas de la informatización de las tareas
rutinarias y no rutinarias, como herramienta fundamental para lograr la tan
anhelada eficacia, eficiencia y economía de la actividad pública, en las cuales el
gran desafío es vincular dichas tareas con el Sistema de Control , no solo
como retro alimentador de la actividad administrativa pública, sino como una
respuesta a la comunidad sobre los interrogantes que se plantean a la hora de
discutir acerca de la percepción y aplicación oportuna, ética y legal de los fondos
públicos. El vínculo debe estar estructurado sobre un suficiente nivel de confianza
respecto de la seguridad que infunde la información.
Mg. Laura Raquel Lavin Página 7
La Seguridad de la Información – Criterios o pautas de autoevaluación
Abordar el tema de la Seguridad de la Información significa abrir un espacio
de discusión y a partir del mismo generar conciencia sobre la importancia de la
misma, para finalmente proponer al Control Público el dictado, aplicación y
control de las pautas, principios, criterios o normas de Seguridad de modo
institucional, fundamentalmente para su autoevaluación.
c) Componentes de la Seguridad de la Información Cuando una organización busca información oportuna para tomar
decisiones sobre riesgos y controles de manera rápida y exitosa, se pregunta:
¿Qué se debe medir?.¿Cómo medir?. Se necesita encontrar la forma de realizar
una valoración objetiva para lograr las mejoras y la forma de implantarlas.
El presente trabajo responde a ese interrogante, proponiendo cuáles son los
aspectos a medir, su valoración y cómo realizar a partir de los valores
consensuados, la autoevaluación del ente en materia de Seguridad de la
Información a partir de estas definiciones: componentes y tipos de seguridad
implantados.
Consensuar valores mínimos y máximos que puedan ser representativos de
cada uno de los componentes y tipos de seguridad significa el estudio del ente en
cuanto a los principios, pautas o normas vigentes en el ente respecto a los
componentes y tipos de seguridad definidos como válidos.
La ISACA, cuyas siglas en inglés se traduce como Asociación de Auditoría y
Control de Sistemas de Información, es una asociación internacional que apoya y
patrocina el desarrollo de metodologías y certificaciones para la realización de
actividades auditoría y control en sistemas de información. Ha elaborado
estándares para la evaluación del Control Interno para los sistemas
computarizados, mediante una guía metodológica. Así surgen las mejores
prácticas como estándares internacionalmente aceptados, las que han ido
Mg. Laura Raquel Lavin Página 8
La Seguridad de la Información – Criterios o pautas de autoevaluación
avanzando desde el año 1996 con COBIT 1 a 2012 con COBIT 5. Este estándar o
mejores prácticas es de acceso gratuito y de aplicación a organizaciones públicas,
privadas, pequeñas y grandes.
Adoptando lo establecido en el modelo de estándar internacional COBIT 5
(que a su vez toma la base de normas estándares ISO/IEC 15504 e ITIL) emitido
por ISACA (en su traducción Asociación de Auditoría y Control de Sistemas de
Información), como mejores prácticas generalmente aceptadas en materia de
seguridad de la información, la misma debiera basarse en tres componentes: la
gente, la organización y la tecnología.
Las personas: Los criterios, principios o normas de Seguridad de la
Información en su caso, serán de utilización y operación por parte de todos
los usuarios internos de la AGPS, o sea, las autoridades políticas, el
personal profesional, técnico, el personal administrativo y de maestranza,
de planta permanente, transitoria, contratado o de gabinete, cualquiera
fuere su nivel jerárquico, por lo que la implementación e implantación de
los criterios de Seguridad de la Información es responsabilidad de todos los
recursos humanos, dentro de los límites del Manual de Misiones y
Funciones y de las instrucciones impartidas por el superior jerárquico
correspondiente.
La organización de la Seguridad de la Información: Los administradores del
sistema de información, o sea el personal profesional y técnico del Área
Sistemas, son quienes deben aplicar los criterios que se aprueben sobre
Seguridad de la Información a toda la organización, la cual sería deseable
conste en un cuerpo de normas de aplicación obligatoria y conforme el
Manual de Misiones y Funciones.
La tecnología: alcance y propiedad: Las pautas, normas, principios o
criterios de Seguridad de la Información se deben aplicar a todo el ente,
sus recursos y procesos, internos y externos, de propiedad del ente o
Mg. Laura Raquel Lavin Página 9
La Seguridad de la Información – Criterios o pautas de autoevaluación
generados a través de contratos o acuerdos con terceros cuya propiedad
es del ente. La responsabilidad en dicha aplicación será de la máxima
autoridad del ente y de allí continuando la línea jerárquica.
La información generada, accedida y procesada mediante los recursos
disponibles, es de propiedad de la institución y como tal se debe
resguardar a fin que la misma asegure la confidencialidad, integridad y
disponibilidad de la información.
d) La seguridad de la Información La Seguridad Informática ha tomado gran auge a partir de los cambios en
las condiciones de trabajo, los nuevos sistemas de comunicación y transmisión de
datos basados en redes y las variadas plataformas tecnológicas disponibles, todo
lo cual facilitó la tarea de interconectarnos aumentando la productividad, pero que
implicó no pocos problemas en términos de las amenazas para dichos sistemas.
Las principales amenazas o riesgos cuando hablamos de trasmisión de
datos mediante redes que minan la eficiencia y eficacia lograda por el avance
tecnológico generan atrasos y grandes pérdidas económicas a las
organizaciones, tales como:
pérdidas de información
robo de información
destrucción de equipos
destrucción de archivos digitales
las fallas de los sistemas
las debilidades de los sistemas aprovechados por la introducción de
códigos malignos por parte de agrupaciones, aficionados o
profesionales, por accidente o de modo intencional.
el uso de técnicas de intrusión e inutilización de discos mediante
virus frente a la importancia en volumen de datos
Mg. Laura Raquel Lavin Página 10
La Seguridad de la Información – Criterios o pautas de autoevaluación
horas hombre de labor de control, que se pueden perder por la
acción o inacción en la mayoría de las veces, fallas humanas por
una inadecuada operación de parte de los usuarios
Por ello, para garantizar de modo razonable el acceso a la información por parte de las instituciones de Control y de terceros a quienes está destinada la información, surge la necesidad de implementar medidas de
Seguridad de la Información, que contengan decisiones sobre los activos a
proteger, la concientización sobre su valor y el modo de aplicarla.
Las medidas de Seguridad Informática deben formar parte de la Política general de un organismo.
e) Criterios para evaluar la Seguridad de la Información La ONTI, Oficina Nacional de Tecnología de la Información en su Modelo de
Política de Seguridad de la Información para organismos de la Administración
Pública Nacional, aprobado por Resolución Nº 06/2005, en su punto 2.1 define las
características que debe lograr la información para ser considerada segura:
Son tres los criterios básicos de una información segura:
1.- Confidencialidad: No cualquiera accede a la información interna sobre
los recursos informáticos de un ente. El criterio de confidencialidad tiene relación
con el debido resguardo de la información interna (activo informático) de todo
ente y el deber de confidencialidad de sus integrantes, por lo tanto el acceso a la
información interna debe ser autorizado por mecanismos correctos, para lo cual
se deben tomar las medidas que eviten el uso no autorizado de los recursos
informáticos. Protección contra la revelación no autorizada.
Mg. Laura Raquel Lavin Página 11
La Seguridad de la Información – Criterios o pautas de autoevaluación
2.- Integridad: Deben preverse las medidas para que la información
almacenada, procesada y en curso de elaboración, sea exacta y comprenda la
totalidad de la misma, evitándose pérdidas. Son elementos para evaluarla: la
precisión, la completitud y la validez.
3.- Disponibilidad: El hardware, el software y los datos almacenados deben
ser accesibles por todos los usuarios autorizados, toda vez que lo requieran. Se
deben tomar todas las medidas disponibles evitando o minimizando la
interrupción.
A ellos se pueden agregar otros nombrados por la Resolución 06/2005 de la
ONTI, que resultan importantes también:
4.- Autenticidad: la información debe ser válida en tiempo, forma y
distribución. Asimismo se garantiza el origen de la información, validando el
emisor para evitar suplantación de identidades.
5.- Auditabilidad: los eventos de un ente deben ser registrados para su
anterior o posterior control.
6.- Protección a la duplicación: toda transacción se realiza una sola vez, a
menos que se especifique lo contrario. Se debe impedir que se grabe una
operación para luego reproducirla y simular múltiples peticiones del mismo
remitente original.
7.- No repudio: se debe evitar que una entidad que haya enviado o recibido
información pueda alegar ante terceros que no la envió o no la recibió. Para eso
se generan y asignan número a todas las transacciones y se graban en audio.
8.- Legalidad: el uso de los recursos informáticos y de la información que
estos administran, debe enmarcarse en las leyes, normas internas,
reglamentaciones y disposiciones vigentes.
Mg. Laura Raquel Lavin Página 12
La Seguridad de la Información – Criterios o pautas de autoevaluación
9.- Confiabilidad de la información: la información generada se considera
adecuada si es que puede sustentar la toma de decisiones y las actividades de
los órganos de control.
f) Tipos de Seguridad 1. Seguridad lógica
Comprenden las medidas a tomar en relación a los datos o información
generados. Las amenazas a que están expuestos tanto los activos físicos como
los intangibles (archivos, programas, etc.) son: daños, destrucción, uso no
autorizado, robos, copias o difusión. Las amenazas pueden vulnerar la seguridad
lógica, física.
Los Datos: El tipo de datos que se alojará en el Servidor de Datos, serán de
uso compartidos (públicos) y de uso privados (personales) del usuario. Tal
diferenciación y definición corresponde al Departamento Sistemas.
El personal del ente debe recibir capacitación y asistencia técnica sobre
seguridad de los recursos y de la información. El personal nuevo o ingresante
recibirá la capacitación antes de otorgarle el acceso al Servidor y sistemas que
correspondan. Se deberá comunicar a todo el personal los cambios realizados en
materia de seguridad informática.
2. Seguridad físicaComprende la protección física de acceso físico a los Servidores, la
protección ambiental, el transporte, protección de los datos, el mantenimiento de
los equipos y de la documentación generada digitalmente.
Se debe establecer un perímetro de seguridad y áreas protegidas, al que
tendrán acceso restringido a personal no autorizado. Los usuarios deben ser
autorizados para el acceso al Departamento Sistemas, sala de backups, sala de
Mg. Laura Raquel Lavin Página 13
La Seguridad de la Información – Criterios o pautas de autoevaluación
comunicaciones, así como definición de los procedimientos de accesos a las
cajas de seguridad con la información sensitiva, etc. Deberá preverse el alcance
de las Áreas reservadas.
También habrá que identificar las áreas de suministro de energía. Las
áreas a proteger son las de alimentación y suministro de energía eléctrica, aire
acondicionado y todo otro sector importante para el correcto funcionamiento de
los sistemas de información. En tal caso sería deseable contratar un testeo
periódico profesional, sobre la carga o potencia a la que está sometido el
equipamiento, el estado de los tableros y sus llaves. Control de la canalización,
separación de cables eléctricos de los cables de red informática y telefónica, con
ductos correctamente canalizados. Todo con el visto bueno del Departamento
Sistemas.
Dado que el Área de Sistemas participa en la contratación de equipos y en
su instalación, participará también en la elaboración de informe periódico sobre el
estado del equipamiento, merituado conforme su obsolescencia para la labor que
cada agente debe desempeñar, a fin de sugerir su desafectación o reutilización en
otra Área.
3. Seguridad en el desarrollo y mantenimiento de los sistemasLos recursos humanos del Departamento Sistemas tienen el conocimiento
integral del Sistema del Organismo, por lo tanto son todos ellos los que deben
participar en el diseño, implementación e implantación de los controles que eviten
maniobras dolosas por parte de terceras personas que puedan operarlo el
mismo, en la Base de Datos, en el software de base, o en caso de producirse un
evento externo estar preparados para actuar con la precisión y rapidez que se
requiere.
El desarrollo de nuevos sistemas requiere de parte del iniciador el
conocimiento de del ciclo de la información lo que se desea sistematizar (ingreso
Mg. Laura Raquel Lavin Página 14
La Seguridad de la Información – Criterios o pautas de autoevaluación
– proceso-salida), así como el impacto de esta sistematización sobre todos los
usuarios. La solicitud al Área de Sistemas deber ser escrita, con el mayor detalle
a fin que la misma pueda volcar en lenguaje de desarrollo lo solicitado. Es
necesaria la interacción permanente y prefijar un cronograma de avances hasta la
finalización de la etapa de desarrollo y prueba del sistema. También requiere de la
comunicación a los que van a interactuar con dicho sistema durante la etapa de la
prueba a fin de realizar los ajustes pertinentes o generar nuevas ideas para una
aplicación más eficiente. El sistema implantado deberá ser objeto de
mantenimiento permanente a fin de ajustarlo a la realidad de la labor que asiste.
4. Seguridad de redesUna red informática es un conjunto de equipos conectados entre sí, cuya
principal función es transportar datos, compartir información, recursos a distancia,
procurando que la información sea segura, disponible, en forma rápida y
económica.
La red LAN (Local Área Network), es una red que puede abarcar todo un
edificio. La transmisión de los datos se puede realizar por medio de un cableado
coaxial estructurado para todos los pisos del edificio, de modo horizontal.
Funcionalmente la red está concebida bajo la modalidad “Cliente servidor”,
en la cual el usuario solicita la información al servidor de datos, quien da la
respuesta. Por otro lado la red de tipo “Privada”, requiere para su ingreso el uso
de claves para validar el usuario.
Las funciones que cumplen las redes son las de: una intranet y un internet.
Una intranet es un conjunto de equipos que comparten información entre usuarios
validados previamente. El internet en cambio es una red de alcance global, a la
que se accede a través de la Word mide web (KW) que utiliza un lenguaje y
protocolos de dominio abiertos y heterogéneos.
La responsabilidad de la administración de las redes de la AGPS le corresponde
al Departamento Sistemas.
Mg. Laura Raquel Lavin Página 15
La Seguridad de la Información – Criterios o pautas de autoevaluación
g) Propuesta de autoevaluación: criterio de confidencialidad De este modo y siguiendo como marco orientativo de la Disposición Nº
06/2005 de la ONTI, la Confidencialidad es graduada de 0 a 3 conforme al nivel
de la misma y su acceso.
Información Pública Valor : 0
Información Reservada Valor: 1
Información Reservada Confidencial Valor: 2
Información Reservada Secreta Valor: 3
h) Propuesta de autoevaluación: criterio de integridad o completitud: Siguiendo el mismo marco orientativo de la Disposición Nº 06/2005 de la
ONTI, la integridad considerando el grado de impacto de las modificaciones no
autorizadas por parte de un tercero a la información de la organización, se podría
valorar:
Si las modificaciones no afectan sin
pérdida
Valor: 0
Si se ocasionara pérdidas leves Valor: 1
Si se ocasionara pérdidas significativas Valor: 2
Por último si las pérdidas ocasionadas
fueran sin reparación o pérdida grave
Valor: 3
i) Propuesta de autoevaluación: criterio de accesibilidad: Siguiendo el marco orientativo antes señalado, la inaccesibilidad se podría
evaluar:
Si la disponibilidad no afecta el Valor : 0
Mg. Laura Raquel Lavin Página 16
La Seguridad de la Información – Criterios o pautas de autoevaluación
desenvolvimiento del órgano.
Si temporalmente la accesibilidad se
afecta con una frecuencia semanal.
Valor: 1
Si temporalmente la accesibilidad se
afecta a diario.
Valor: 2
si la accesibilidad se afecta cada 1
hora.
Valor: 3
j) Propuesta de autoevaluación: criterio de legalidad Puede graduarse desde una valoración acerca del cumplimiento total de la
legislación vigente en materia informática. Los parámetros que se pueden utilizar
son:
Cumplimiento total Valor : 0
Incumplimientos parciales Valor 1
Incumplimientos graves Valor 2 o 3
Provinciales
-El Estatuto del empleado Público de Salta LEY Nº 5546 (modificada por Ley
6227) Promulgada el 27/02/80. Aprobar el Estatuto del Empleado Público para la
Provincia de Salta. B.O. Nº 10.941.
Art. 12.- Queda prohibido al empleado público comprendido en esta Ley, sin
perjuicio de lo que establezca la reglamentación:
f) Retirar y/o utilizar con fines particulares los bienes del Estado y los
documentos de las reparticiones públicas como así también utilizar los servicios
del personal bajo su orden dentro del horario de trabajo que el mismo tenga fijado.
Mg. Laura Raquel Lavin Página 17
La Seguridad de la Información – Criterios o pautas de autoevaluación
-Ley nº 7140 Marco para las Convenciones Colectivas de Trabajo del Sector
Público Provincial.
-Decreto nº 1333/01 Promulga con observación parcial el texto sancionado
por las Cámaras Legislativas como Ley de la Provincia nº 7140.
-Decreto nº 999/03 Convoca a Negociaciones Colectivas de Trabajo para el
Sector Público Provincial y crea la Comisión Negociadora Central, integrada por
representantes de Entidades Sindicales y del Poder Ejecutivo de la Provincia.
-Decreto nº 2615/05 Aprueba el Convenio Colectivo de Trabajo para el
Sector Público Provincial celebrado entre la Administración Pública Provincial y
sus empleados, representados por su entidad sindical con personería gremial.
Nacionales
-Ley Nacional Nº 25.188 de Ética en la Función Pública: obliga a las personas que
se desempeñen en la función pública a proteger y conservar la propiedad del
Estado y solo emplear sus bienes con los fines autorizados.
-Código de Ética de la función pública: Obliga a los funcionarios a proteger y
conservar los bienes del Estado y utilizar los que le fueran asignados para el
desempeño de sus funciones de manera racional, evitando su abuso, derroche o
desaprovechamiento.
-Decreto Nacional N° 378/2005 de Gobierno Electrónico indica entre sus
Considerandos “Que el Estado es el mayor ente productor/tomador de
información del país, por lo que resulta esencial la utilización de herramientas
tecnológicas para aumentar los niveles de transparencia de los actos públicos y
dar rápida respuesta a las necesidades y requerimientos de la población.”
-La ONTI Oficina Nacional de Tecnología de la Información dictó la Resolución
06/2005 mediante la cual establece un Modelo de Política de Seguridad de la
Información para Organismos de la Administración Pública Nacional.
Mg. Laura Raquel Lavin Página 18
La Seguridad de la Información – Criterios o pautas de autoevaluación
-La ArCERT , Coordinación de Emergencias en Redes de Tele información de la
Administración Pública Argentina emitió un Manual de Seguridad en redes.
Internacionales
Cobit 5 ISACA.
k) Propuesta de autoevaluación: criterio de confiabilidad Implica tener en cuenta parámetros tales como:
Fuente conocida Conocida: 0
Desconocida: 3
Relevancia que tiene para el tema a
ponderar
Relevante: 0
Irrelevante: 3
Alcance suficiente Suficiente: 0
Insuficiente: 3
Autoridad o identificación Con autoridad o identificación :0
Sin autoridad ni identificación:3
l) Propuesta de autoevaluación: seguridad lógica Comprenderá los siguientes tipos de controles y su valoración:
Controles automáticos, previa definición
de parámetros
Con controles Automáticos según
detalle: 0
Sin controles Automáticos : 3
Controles permanentes, previa
definición de parámetros
Con controles Permanentes según
detalle: 0
Sin controles Permanentes : 3
Controles manuales diarios, previa
definición de parámetros
Con controles diarios manuales
según detalle: 0
Sin controles diarios manuales : 3
Mg. Laura Raquel Lavin Página 19
La Seguridad de la Información – Criterios o pautas de autoevaluación
Controles manuales periódicos Con controles diarios periódicos,
según detalle: 0
Sin controles diarios periódicos,
según detalle: 3
Controles Automáticos
Actualización automática del software del Servidor: El sistema operativo
activa el servicios de actualizaciones automáticas, dando lugar a parches e
instalación desatendida, con el reinicio del servidor.
Control de ingreso y egreso. El ingreso a los Servidores de la Base de
datos e Internet comprende el acceso a los recursos físicos y lógicos en
condiciones de Confiabilidad, Independencia y Disponibilidad. El modo
acceso a la red interna o intranet debe realizarse mediante la utilización de
un usuario y contraseña personal, acceso a los recursos tecnológicos. Cada
uno de los empleados, al tener asignada una computadora de escritorio o
notebook, tiene asignado un IP y deben ser clasificados previamente según
el niveles de acceso y perfiles, conforme a las instrucciones recibidas de
cada Superior. La clasificación de los usuarios (empleados, directivos,
proveedores, terceros, etc.) conforme a los fines de los accesos y perfiles,
pretende definir el acceso de usuarios a equipamiento y datos, utilizando un
usuario sensitivo, para la realización de tareas críticas y evitar daños
accidentales o intencionales a la organización.
Controles permanentes
Validación de datos de entrada: previa definición del perfil del usuario,
este control permite tener seguridad en la validez de los datos ingresados.
Implica: control de secuencias, control de monto límite por operación y tipo
de usuario, control de rangos de valores posibles, control de paridad,
controles por oposición de modo que quien ingrese lo datos no pueda
Mg. Laura Raquel Lavin Página 20
La Seguridad de la Información – Criterios o pautas de autoevaluación
autorizarlo y viceversa. También se podrá incluir la validación errores en un
aplicativo.
Emisión de credenciales especiales para usuarios sensitivos y los
procedimientos a aplicar por parte de los usuarios sensitivos.
Definición del acceso a los diferentes tipos de archivos plataformas y
aplicaciones, según el nivel jerárquico o la calidad del trabajo asignado.
El acceso puede ser asignado solo a usuarios autorizados o general.
Alta de Usuarios nuevos y su clasificación en grupos de seguridad,
conforme a las instrucciones.
Creación de claves de seguridad, carpetas privadas, correos electrónicos
y accesos directos a Servidor de Datos Intranet y de Internet.
Capacitación individual relacionada con el uso del Servidor de datos
Intranet, carpetas privadas, compartidas, impresoras, etc.
Reasignación de usuarios y grupos de seguridad ante cambios en
funciones o de perfil o grupos.
Reseteo de la clave de acceso en caso de olvido de la misma.
Reactivación de cuentas de usuarios bloqueadas después de los 5(cinco)
intentos fallidos de acceso.
Control de baja de usuarios y backup de archivos a históricos
Controles diarios
Encendido de equipos o desconexión de periféricos
Buckup del histórico de usuarios antiguos o que no pertenecen ya al
organismo.
Revisión de cuotas de almacenamiento.
Revisión y limpieza de archivos temporales.
Detección por muestreo permanente, con la posterior y eliminación de
archivos no relacionados a tareas institucionales (música, películas, etc.),
dado el gran tráfico que generaron en la red.
Mg. Laura Raquel Lavin Página 21
La Seguridad de la Información – Criterios o pautas de autoevaluación
Evaluación del tráfico en la red. En caso de sobrecarga se puede sugerir
el bloqueo de acceso a diversos programas descarga de música, películas,
juegos y páginas de uso prohibido, los que con motivos laborales puede ser
desbloqueados
Detección de archivos duplicados.
Controles periódicos
Backup del Servidor: en dos etapas, en el día definido para tal acción. En
el día fijado por Departamento Sistemas y puesto en conocimiento de la
Gerencia General de Planificación. Comprenderá la definición del
procedimiento, la periodicidad y los medios de almacenamiento. El
Departamento Sistemas será responsable del resguardo de medios
removibles, cintas, discos, CD, cassettes e informes impresos, para
asegurar su utilidad.
Control de integridad y re indexación, inconsistencias de la base de datos
y las relaciones que generan. En el día fijado por Departamento Sistemas y
puesto en conocimiento de la Gerencia General de Planificación.
Revisión general de los Activos del servidor.
m) Propuesta de autoevaluación: Seguridad Física
Accesos a la sala de Sistemas Existe restricción: Valor 0
No existe restricción: Valor 3
Accesos a sistemas de alimentación y
suministro de energía
Existe restricción: Valor 0
No existe restricción: Valor 3
Acceso a cableados Existe restricción: Valor 0
No existe restricción: Valor 3
Mg. Laura Raquel Lavin Página 22
La Seguridad de la Información – Criterios o pautas de autoevaluación
Acceso al activo fijo Existe restricción: Valor 0
No existe restricción: Valor 3
Control de incendios etc. Existe control: Valor 0
No existe control: Valor 3
Se debe controlar los accesos a los perímetros de seguridad y áreas
protegidas, los que serán de acceso restringido a personal no autorizado.
Los usuarios deben ser autorizados para el acceso al Departamento
Sistemas, sala de backups, sala de comunicaciones, así como definición de los
procedimientos de accesos a las cajas de seguridad con la información
sensitiva, etc. Deberá preverse el alcance de las Áreas reservadas.
Se deberá prohibir comer, beber y fumar dentro de las instalaciones de
procesamiento de datos.
Se controlarán las Áreas de alimentación y suministro de energía eléctrica,
aire acondicionado y todo otro sector importante para el correcto
funcionamiento de los sistemas de información mediante un testeo periódico
profesional, sobre la carga o potencia a la que está sometido el equipamiento,
el estado de los tableros y sus llaves.
Se deberán prever controles de la canalización, separación de cables
eléctricos de los cables de red informática y telefónica, con ductos
correctamente canalizados.
Desafectación y Reutilización segura de Equipos. Deberá elaborarse y
poner a disposición del Área que administre el patrimonio del ente, un informe
periódico sobre el estado del equipamiento, merituado conforme su
obsolescencia para la labor que cada agente debe desempeñar, a fin de
sugerir su desafectación o reutilización en otra Área.
Controles contra incendio, humedad e inundación.
Mg. Laura Raquel Lavin Página 23
La Seguridad de la Información – Criterios o pautas de autoevaluación
Controles de ingreso de equipos de computación móvil, fotográficos, de
video, audio u otro equipamiento que registre información, a menos que
resulte autorizado por el personal el Área Sistemas y bajo su responsabilidad.
Se deben disponer de múltiples enchufes para evitar un único punto de
falla de energía.
Se debe contar con UPS para asegurar el apagado regulado. Los UPS
deben ser controlados periódicamente.
Se debe proveer de iluminación de emergencia en las salas donde se
encuentre el equipo
n) Propuesta de autoevaluación: desarrollo y mantenimiento de sistemas Las valoraciones se pueden elaborar teniendo en claro el ciclo de vida de
desarrollo a aplicar: con valor cero (0) para un desarrollo y mantenimiento óptimo
y valor tres (tres) cuando no se cumplen los criterios. Ya que es difícil proponer en
este caso una grilla de puntaje, detallo los elementos a tener en cuenta.
El desarrollo de sistemas comprende un ciclo de vida inicio, desarrollo,
interfaces y validación.
Por otro lado el mantenimiento de sistemas involucra: las redes, cableado,
monitoreo y registro y revisión de eventos o amenazas.
Etapa de inicio: fundamentalmente se debe estar seguro de la validez de los
datos a procesar. Conocer el ciclo de vida del proceso. Se deben separar los
ambientes de producción, prueba y ejecución vigente del nuevo sistema. El
recurso humano que trabaja en ejecución debe ser diferente al afectado a
desarrollo y prueba, para que actúe del control por oposición de intereses.
Etapa de desarrollo: se deben contemplar validaciones a fin de evitar fallas de
procesamiento o vicios, tales como:
Mg. Laura Raquel Lavin Página 24
La Seguridad de la Información – Criterios o pautas de autoevaluación
control de secuencias o de fallas de procesos
control de cambios de datos por funciones de incorporación o eliminación
mediante aplicativos.
control de anomalías generadas por las aplicaciones.
verificación de la integridad de registros o archivos.
control del orden en que se ejecutan los aplicativos, etc.
Interfaces y validación de datos de salidas: Comprende las salidas de datos de
las aplicaciones y el control o conciliación de cuentas. para asegurar el
procesamiento de todos los datos.
Mantenimiento en la Administración de las Redes
La arquitectura de cableado de la red de datos debe asegurar tanto en el Servidor
de datos de intranet, como el Servidor de Internet, el cumplimiento de las
siguientes premisas:
la integridad de la información ingresada y procesada.
la confidencialidad, que no pueda acceder quien no se encuentra
autorizado.
la protección de los sistemas conectados contra ataques internos o
externos
el control uniforme de toda la estructura.
Mantenimiento en el cableado
El cableado de electricidad y de comunicaciones que transporta datos debe ser
protegido de daños mediante:
El cumplimiento de los requisitos técnicos vigentes en Argentina.
No atravesando áreas públicas.
Separando cables de energía de los cables de comunicaciones.
Mantenimiento por monitoreo del Sistema
Mg. Laura Raquel Lavin Página 25
La Seguridad de la Información – Criterios o pautas de autoevaluación
Se deberán prever procedimientos, los cuales responderán a un
cronograma aprobado y autorizado por parte del Superior Jerárquico del
Departamento Sistemas, para monitorear el uso de las instalaciones de
procesamiento de la información, para garantizar que los usuarios sólo estén
desempeñando actividades que hayan sido autorizados explícitamente.
Todos los empleados deben ser informados sobre el alcance preciso del uso
de los recursos informáticos y se les advertirá cuáles son las actividades que
pueden ser objeto de control y monitoreo.
Mantenimiento en el Registro y revisión de eventos o amenazas
Se deberá implementar un registro de amenazas y revisión
automática, que incluya un informe de las amenazas detectadas contra los
sistemas y los métodos utilizados. La periodicidad de este registro será definida
por el superior jerárquico del Departamento Sistemas.
Para ello:
Se asignarán funciones en materia de Seguridad de la información
Se deberán separar las funciones de revisión de las actividades que
están siendo monitoreadas.
Los controles de acceso deberán evitar:
la desactivación de la herramienta de registro.
la alteración de mensajes de registro.
la edición o supresión de registros.
la saturación del soporte donde se graba el registro.
la falla en los registros de eventos.
la sobre escritura de un registro.
Mg. Laura Raquel Lavin Página 26
La Seguridad de la Información – Criterios o pautas de autoevaluación
o) Conclusiones
Transitando el siglo XXI con el acelerado cambio tecnológico, la relevancia
del uso de la misma y la necesidad de pautas, criterios o normas de seguridad
informática en el funcionamiento de cualquier organización, sin importar su
tamaño, es absolutamente incuestionable e indiscutida. Las amenazas
comprenden un amplio rango entre la ineficiencia organizacional a las pérdidas
económicas y de imagen institucional importantes. A pesar de ello, existen
dificultades al intentar mostrarles a los usuarios su aporte de valor.
No basta el diseño y todos los controles que debieran preverse para lograr
garantizar la Seguridad de la Información de una institución, sino también:
se han propuesto algunos de los tantos que trabajando en equipo se
pueden lograr)
la concientización sobre sus ventajas y beneficios,
conocer los riesgos de olvidar sistematizar su uso
contar con el aporte de los usuarios para su mantenimiento
la decisión política de su implantación, puesta en marcha y control.
Por ello estoy convencida que mientras se edifica la conciencia sobre estos
temas, avanzar es lo que nos debe ocupar, ya que : “Lo mejor es enemigo de lo
bueno”, una de las tantas frases célebres de dice Voltaire, seudónimo de François
Marie Arouet , filósofo y escritor francés , quien nos deja como enseñanza el
hecho que, cuando deseamos progresar como en este caso, asumiendo como
propios principios de Seguridad Informática, que ya han sido tratados y
plasmados por otros organismos y entidades para prever riesgos en el manejo de
la información, debemos tener una actitud flexible primero hacia el conocimiento
Mg. Laura Raquel Lavin Página 27
La Seguridad de la Información – Criterios o pautas de autoevaluación
y posteriormente hacia la gestión de la implementación e implantación de un
Sistema, que por cierto podrá ser perfectible siempre.Mg. Laura Raquel Lavín
Gerente General de PlanificaciónAuditoría General de la Provincia de Salta
Mg. Laura Raquel Lavin Página 28
La Seguridad de la Información – Criterios o pautas de autoevaluación
Bibliografía:
Curso de Especialización en Auditoria y Tecnología de la Información
(CATI2). SIGEN 2012.Ref.Prof Marina Varela. Pablo Rotondo.
ISO 27002
ICIC Programa Nacional de Infraestructura Críticas de Información y
Ciberseguridad.
Modelo de Política de Seguridad de la Información para Organismos de
la Administración Pública Nacional. Versión 1Julio 2.005. ONTI Oficina
Nacional de Tecnología de la Información.
Manual de Seguridad en Redes- ArCERT .Sub Secretaría de
Tecnologías Informáticas. Secretaría de la Función Pública.
Resolución Nº 48/05 SiGEN.
Seguridad de la Información- Dirección de Tecnologías Informáticas de
Catamarca.
Política de Seguridad de la Información. Universidad Politécnica de
Cartagena.
Curso Especialización en control y auditoría de la tecnología de la
Información 2.012.
Seguridad de los Sistemas Operativos. Universidad de Neuquén.
Borghello, Cristian. Un asunto de Seguridad Nacional. www.segu-
Info.com.ar.
Sergio Sperat : Todo lo que Ud. quería saber sobre Cobit 5.
http://estratega.org/site/articulos/
Borrador de Procedimientos para el Departamento Sistemas de la
AGPS.
LEY Nº 5546 “El Estatuto del empleado Público de Salta” (modificada
por Ley 6227) Promulgada el 27/02/80. Estatuto del Empleado Público
para la Provincia de Salta. B.O. Nº 10.941.
Mg. Laura Raquel Lavin Página 29
La Seguridad de la Información – Criterios o pautas de autoevaluación
LEY Nº 7140 “Marco para las Convenciones Colectivas de Trabajo del
Sector Público Provincial”.
Decreto nº 1333/01.Promulga con observación parcial el texto
sancionado por las Cámaras Legislativas como Ley de la Provincia nº
7140.
Decreto nº 999/0.Convoca a Negociaciones Colectivas de Trabajo para
el Sector Público Provincial y crea la Comisión Negociadora Central,
integrada por representantes de Entidades Sindicales y del Poder
Ejecutivo de la Provincia.
Decreto nº 2615/05. Aprueba el Convenio Colectivo de Trabajo para el
Sector Público Provincial celebrado entre la Administración Pública
Provincial y sus empleados, representados por su entidad sindical con
personería gremial.
Decreto Nº 378/2005 Plan Nacional de Gobierno Electrónico.
Ley Nacional Nº 25.188 de Ética en la Función Pública: obliga a las
personas que se desempeñen en la función pública a proteger y
conservar la propiedad del Estado y solo emplear sus bienes con los
fines autorizados.
Código de Ética de la función pública: Obliga a los funcionarios a
proteger y conservar los bienes del Estado y utilizar los que le fueran
asignados para el desempeño de sus funciones de manera racional,
evitando su abuso, derroche o desaprovechamiento.
Jean Marc Royer “Seguridad en la informática de empresa: riesgos,
amenazas, prevención y soluciones.” Barcelona 2004
Cobit (Control Objetives for Information). Versiones 4 a 5
Ley 26388. Modifica el Código Penal en la tipificación de delitos
informáticos.
Ley 11723. Propiedad intelectual. Régimen legal.
Mg. Laura Raquel Lavin Página 30
La Seguridad de la Información – Criterios o pautas de autoevaluación
Ley 25.036 modifica la ley 11723, incluye la protección al desarrollo de
programas fuentes y objeto, la compilación de datos y otros materiales.
Penaliza la defraudación de derechos de propiedad intelectual.
Ley 26653 de accesibilidad a páginas web. Es la ONTI la que debe
diseñar las normas y requisitos de accesibilidad.
Resolución 69/2011 de la Secretaria de Gabinete establece la Guía de
accesibilidad para sitios web del Sector Público Nacional.
Mg. Laura Raquel Lavin Página 31