Diapositiva 1

1
Política de Seguridad de la Información para el
Sector Público Decisión Administrativa
669/2004 Marzo de 2005
2
Contenido
Seguridad de la Información Decisión
Administrativa Iniciativa en la
APN Contenido Comité de Seguridad Responsable
de Seguridad Modelo de Política Por qué
utilizar un estándar internacional? Por qué
basarse en la norma ISO/IRAM 17799 Estructura Im
plicancias legales Presentación
SIGEN Conclusión Próximos pasos
3
Seguridad de la Información
4
Seguridad de la Información
INFORMACION ACTIVO
Ingeniería Social Man-in-the-middle Phishing Defac
ement Spoofing Backdoors Escaneo de
puertos Catástrofe Trashing Código
malicioso Robo Fraude informático Eavesdropping Ex
ploits
Confidencialidad Integridad Disponibilidad
más Autenticidad Auditabilidad Prote
cción a la duplicación No repudio Legalidad Confia
bilidad de la información
5
Decisión Administrativa
6
Decisión Administrativa Iniciativa en la APN
Septiembre 2003 La ONTI convoca a distintos
Organismos de la Administración Pública para
conocer sus opiniones sobre estrategias de
seguridad.
Surge la necesidad de que los Organismos cuenten
con una Política de Seguridad escrita.
Se conforma un grupo de trabajo para la redacción
de un Modelo de Política de Seguridad.
Se acuerda basarse en la norma ISO/IRAM 17799
7
Decisión Administrativa Iniciativa en la APN
Se redacta el Modelo y se somete a la
consideración de los Organismos Nacionales.
Se publica la página de Políticas de ArCERT
www.arcert.gov.ar/politica
Diciembre 2004 La Jefatura de Gabinete de
Ministros aprueba la DA 669/2004.
Se comienza la difusión de la norma y el Modelo
8
Decisión Administrativa - Contenido

• Qué ?
• Dictar o adecuar la Política de Seguridad de la
  Información.
• Conformar un Comité de Seguridad de la
  Información.
• Asignar las responsabilidades en materia de
  Seguridad de la Información.

9
Decisión Administrativa - Contenido

• Quiénes ? Ley 24.156- Art. 8 - Inc. a) y c)
• Administración Nacional.
• La Administración Central.
• Los Organismos Descentralizados (incluidos los de
  la Seguridad Social).
• Entes Públicos excluidos del punto anterior
• Cualquier Organización estatal no empresarial con
  autarquía financiera, personería jurídica y
  patrimonio propio, donde el Estado Nacional tenga
  el control mayoritario del patrimonio o de la
  formación de decisiones.

10
Decisión Administrativa - Contenido
Cuándo ? Dentro de los 180 días hábiles de
aprobado el Modelo de Política.
11
Decisión Administrativa - Contenido
Cómo ? En base al Modelo de Política de
Seguridad a ser aprobada por la Subsecretaría de
la Gestión Pública
12
Decisión Administrativa Comité de Seguridad
Las máximas autoridades de los Organismos deberán
conformar, en sus ámbitos, un Comité de Seguridad
de la Información integrado por representantes de
las Direcciones Nacionales o Generales o
equivalentes del Organismo.
13
Decisión Administrativa Comité de Seguridad

• Objetivos Políticos
• Aprobar las principales iniciativas para
  incrementar la seguridad de la información.
• Proponer las responsabilidades generales en
  materia de seguridad de la información
• Garantizar que la seguridad sea parte del proceso
  de planificación de la información.
• Promover la difusión y apoyo a la seguridad de la
  información dentro del Organismo.

14
Decisión Administrativa Comité de Seguridad

• Objetivos Prácticos
• Revisar y proponer la Política de Seguridad de la
  Información.
• Acordar y aprobar metodologías y procesos
  específicos.
• Evaluar y coordinar la implementación de
  controles específicos.
• Coordinar el proceso de administración de la
  continuidad de la operatoria del Organismo.
• Monitorear cambios significativos en los riesgos.
• Tomar conocimiento y supervisar la investigación
  y monitoreo de los incidentes relativos a la
  seguridad

15
Decisión Administrativa Comité de Seguridad
Coordinador del Comité de Seguridad El Comité de
Seguridad de la Información, será coordinado por
el Subsecretario o su equivalente en cada área
Ministerial o Secretaría de la Presidencia de la
Nación o por el funcionario designado por las
máximas autoridades de cada organismo
descentralizado, que tenga a su cargo las áreas
de apoyo.
16
Decisión Administrativa Comité de Seguridad
Responsabilidades sobre la Seguridad Las máximas
autoridades de los Organismos deberán asignar las
funciones relativas a la seguridad de sus
sistemas de información a un funcionario de su
planta dentro del plazo de CIENTO OCHENTA (180)
días hábiles de aprobada la Política de Seguridad
Modelo.
17
El Modelo de Política
18
Modelo de Política Por qué utilizar un
estándar
internacional ?

• A la hora de desarrollar una política o norma a
  ser implementada para estandarizar los procesos y
  controles, es recomendable
• Indagar sobre los diferentes estándares que
  ofrece el mercado.
• Evaluar la entidad u organización emisora de los
  estándares en cuanto a su trayectoria,
  reconocimiento en el dictado de estándares, etc.
• Investigar sobre las implementaciones efectuadas
  del estándar y sus resultados.
• Analizar el contenido de los estándares con una
  visión técnica.
• Determinar la aplicabilidad de los estándares al
  modelo de realidad propio.
• Seleccionar el estándar que mejor cumple con las
  expectativas.
• Alinearse al estándar seleccionado.

Mes 1
19
Modelo de Política Por qué basarse en la
norma ISO/IRAM
17799 ?

• Aumento de los niveles de seguridad en las
  Organizaciones
• Planificación de actividades
• Mejora continua
• Posicionamiento estratégico
• Cumplimiento de normativas y reglamentaciones
• Posicionamiento en un esquema comparativo en
  materia de
• seguridad con otras organizaciones

Es por ello que el Modelo de Política de
Seguridad de la Información se basa en la norma
ISO/IRAM 17799.
Esto NO implica que se requiera la certificación
por parte de los Organismos en dicha norma.
20
Modelo de Política - Estructura

• 3 Capítulos de Introducción
• Introducción
• Términos y definiciones
• Política de Seguridad de la información
• 9 Capítulos de Contenido de las distintas áreas
• Organización de la Seguridad
• Clasificación y Control de Activos
• Seguridad del Personal
• Seguridad Física y Ambiental
• Gestión de Comunicaciones y Operaciones
• Control de Accesos
• Desarrollo y Mantenimiento de Sistemas
• Administración de la Continuidad de las
  Actividades del Organismo
• Cumplimiento

21
Implicancias legales

• Cumplimiento de requisitos legales, normativos y
  contractuales
• Derechos de Propiedad Intelectual (Ley 11.723)
• Protección de los registros del Organismo
• Ética en el Ejercicio de la Función Pública.
  Ley 25.188
• Código de Ética de la Función Pública
• Código Penal Art. 255
• Ley N 24.624. Artículo 30
• Decisión Administrativa 43/96
• Protección de datos personales (Ley 25.326)
  Habeas Data
• Uso de recursos
• Ley Marco de Regulación de Empleo Público
  Nacional (Ley 25.164)
• Convenio Colectivo de Trabajo General
• Ética en el Ejercicio de la Función Pública
  (Ley 25.188)
• Código de Ética de la Función Pública
• Uso de Firma Digital (Ley 25.506)

22
Conclusión
23
Conclusión
Qué implica la aprobación de la Decisión
Administrativa?

• El desarrollo de una Política de Seguridad en
  cada Organismo.
• La asignación de responsabilidades en materia de
  seguridad dentro del Organismo.
• La concientización respecto de la criticidad de
  la seguridad de la información.
• La participación de todas las áreas sustantivas
  del organismo.
• El aumento del nivel de seguridad en los
  Organismos.
• El cumplimiento de normas y leyes vigentes.

SI
24
Conclusión
Qué no implica la aprobación de la Decisión
Administrativa?
NO

• La generación de erogaciones adicionales
• La necesidad de incorporar personal adicional
• El requisito de certificar la norma ISO/IRAM
  17799

25
Próximos pasos
26
Próximos pasos
Aprobación del Modelo de Política
Se prevé la aprobación del Modelo de Política de
Seguridad de la Información para la
Administración Pública aproximadamente para el
mes de Abril del corriente. A partir de dicha
fecha de aprobación, comenzarán a registrarse los
180 días hábiles de plazo establecidos en la
Decisión Administrativa para la
redacción/adecuación de la Política de Seguridad
de cada Organismo.
27
Próximos pasos
Cursos de Capacitación y Asistencia
Se ha planificado el dictado de cursos de
capacitación en el desarrollo de una Política de
Seguridad de la Información para el apoyo a los
Organismos en el cumplimiento de la Decisión
Administrativa.
28
Próximos pasos
Publicación de Documentación adicional
Se prevé publicar en el sitio de políticas,
documentación adicional al Modelo, como ser
modelos de procedimientos, los cuales podrán ser
utilizados por los Organismos. Asimismo se
buscará crear un espacio colaborativo en el cual
cada Organismo pueda aportar documentación
desarrollada para fines propios, de manera que
otros puedan también aprovecharlo.
29
Presentación SIGEN
30
SITUACIÓN DE LA GESTIÓN Y ORGANIZACIÓN
INFORMÁTICA EN EL SPN
El 29 de los Organismos no ha asignado las
funciones de desarrollo y procesamiento a
responsables independientes

• Riesgos
• Ausencia de control por oposición de intereses
• Posiblidad de eludir los controles y validaciones
  incorporados en los sistemas

29
31
SITUACIÓN DE LA GESTIÓN Y ORGANIZACIÓN
INFORMÁTICA EN EL SPN
El 69 de los Organismos carece de procedimientos
de control para el desarrollo y mantenimiento de
sistemas

• Riesgos
• Modificaciones no autorizadas sobre los Sistemas
• Incorrecta administración de prioridades
• Falta de aplicación de estándares de programación
  y documentación
• Implementación de Sistemas no probados

69
32
SITUACIÓN DE LA GESTIÓN Y ORGANIZACIÓN
INFORMÁTICA EN EL SPN
El 69 de los Organismos carece de procedimientos
aprobados para las tareas de administración de
seguridad.

• Riesgos
• Accesos no autorizados a la información o los
  recursos del Organismo
• Inexactitud o falta de confiabilidad de los datos
  o Sistemas
• Falta de disponibilidad de la información o
  recursos necesarios

69
33
SITUACIÓN DE LA GESTIÓN Y ORGANIZACIÓN
INFORMÁTICA EN EL SPN
El 74 de los Organismos carece de un plan para
afrontar Contingencias.

• Riesgos
• Interrupciones a la continuidad operativa del
  Organismo, con la consiguiente imagen negativa e
  incumplimiento de la misión asignada

74
34
SITUACIÓN DE LA GESTIÓN Y ORGANIZACIÓN
INFORMÁTICA EN EL SPN
El 59 de los Organismos carece de
procedimientos documentados para la generación de
back ups.

• Riesgos
• Pérdidas de información
• Falta de continuidad operativa del Organismo
• Dependencia del personal que se encarga de la
  tarea

59
35
Preguntas más frecuentes
36
Preguntas más frecuentes
Cada Organismo debe aprobar una única Política
de Seguridad, que abarque a todas sus
dependencias?

• Cada Organismo puede
• Dictar una única Política de Seguridad de la
  Información que sea de cumplimiento obligatorio
  por todas las dependencias bajo su incumbencia o
• Dictar una política de alto nivel, que contenga
  lineamientos generales para todo el Organismo
  (administración central y sus dependencias),
  sobre cuya base luego cada división dicte sus
  propias Políticas de Seguridad de la Información
  independientes (siempre alineadas a la política
  global del Organismo), o
• Dictar una Política de Seguridad de la
  Información para el Organismo y para algunas de
  sus dependencias, y requerir al resto de ellas
  que redacten sus propias políticas (alineadas a
  la política global del Organismo)
• En todos los casos, las Políticas de Seguridad
  de la Información que se desarrollen deben
  adecuarse al Modelo que oportunamente se apruebe.

37
Preguntas más frecuentes
Cada Organismo debe aprobar una única Política
de Seguridad, que abarque a todas sus
dependencias?
Administración Central
Administración Central
a
b
c
Administración Central
Sec. A
Sec. A
Sec. A
Sec. B
Sec. B
Sec. B
Sec. C
Sec. C
Sec. C
La elección de cualquiera de estas alternativas
debe ser evaluada por cada Organismo, siempre
cuidando que se cubra la totalidad de sus
recursos de información
38
Preguntas más frecuentes
Si un Organismo decide que cada dependencia
redacte su propia Política, cómo se conforma el
Comité de Seguridad?
El Comité de Seguridad está conformado por la
máxima autoridad del Organismo, y representantes
de cada Dirección. Desde un punto de vista
práctico, los objetivos del Comité de Seguridad
tienen una relación muy directa con los
contenidos y las áreas involucradas en la
redacción de la Política
a
b
c
39
Preguntas más frecuentes
Las responsabilidades de seguridad de la
información recaen en el Responsable de Seguridad
Informática?
En el Modelo de Política intervienen una serie de
actores cada uno de los cuales posee una serie
de funciones y responsabilidades que deben
explicitarse y asignarse de acuerdo a lo que
plantea el Modelo y adaptándolo a la realidad de
cada Organismo. Estos son
Máxima autoridad del Organismo
Propietario de la Información
Responsable del Área Legal
Comité de Seguridad
Responsable de Unidad Organizativa
Responsable del Área de RRHH
Coordinador del Comité de Seguridad
Responsable del Área Informática
Responsable del Área de Administración
Responsable de Seguridad Informática
Unidad de Auditoría Interna
Todo el personal del Organismo
40
MUCHAS GRACIAS !!! Sugerencias y Preguntas
www.arcert.gov.ar/politica