Title: Diapositiva 1
1V CONGRESO MUNDIAL DE DERECHO INFORMÁTICO REPÚBLIC
A DOMINICANA Seguridad de la Información en la
Administración Pública de la República Argentina
Oficina Nacional de Tecnologías de
Información Dr. Fernando Maresca Octubre 2005
2Temas
- Objetivos de la ONTI
- Actividades de la ONTI vinculadas a la seguridad
- ArCERT
- Comité Internacional contra el Terrorismo (OEA)
3Oficina Nacional de Tecnologías de Información
- Objetivos
- Formular políticas e implementar procesos de
desarrollo e innovación tecnológica para la
transformación y modernización del Estado - Promover la integración de nuevas tecnologías, su
compatibilidad e interoperabilidad y promover la
estandarización tecnológica
4Actividades vinculadas a la seguridad ...
- Estándares Tecnológicos para la Administración
- Foro Permanente de Responsables Informáticos
- Infraestructura de Firma Digital
- ArCERT
5(No Transcript)
6Foro de Responsables Informáticos
- Grupos de Trabajo
- INTEROPERABILIDAD
- APLICACIONES TRANSVERSALES
- SOFTWARE LIBRE
7Firma Digital Funciones ONTI
- Intervenir en el otorgamiento de licencias
habilitantes para acreditar a los certificadores
de Firma Digital - Ejercer las funciones de AC de FD para el Sector
Público Nacional - Fiscalizar el cumplimiento de las normas legales
y reglamentarias en lo referente a la actividad
de los certificadores licenciados
8Seguridad Informática ArCERT
- CERT Computer Emergency Response Team / CSIRT
Computer Security Incident Response Teams - Objetivos- Incrementar los niveles de
seguridad informática en el SP.- Representar al
gobierno en Foros Internacionales - Único de su tipo en Argentina
- Miembro del FIRST (Forum of Incident Response and
Security Teams)
9La Cuestión Cómo protejo la Información del
organismo?
10Importancia de la información
INFORMACION ACTIVO
Ingeniería Social Man-in-the-middle Phishing Defac
ement Spoofing Backdoors Escaneo de
puertos Catástrofe Trashing Código
malicioso Robo Fraude informático Eavesdropping Ex
ploits
Confidencialidad Integridad Disponibilidad
más Autenticidad Auditabilidad Prote
cción a la duplicación No repudio Legalidad Confia
bilidad de la información
11SITUACIÓN DE LA GESTIÓN Y ORGANIZACIÓN
INFORMÁTICA EN EL SPN
El 69 de los Organismos carece de procedimientos
de control para el desarrollo y mantenimiento de
sistemas
- Riesgos
- Modificaciones no autorizadas sobre los Sistemas
- Falta de documentación
- Implementación de Sistemas no probados
69
12SITUACIÓN DE LA GESTIÓN Y ORGANIZACIÓN
INFORMÁTICA EN EL SPN
El 69 de los Organismos carece de procedimientos
aprobados para las tareas de administración de
seguridad.
- Riesgos
- Accesos no autorizados a la información o los
recursos del Organismo - Inexactitud o falta de confiabilidad de los datos
o Sistemas - Falta de disponibilidad de la información o
recursos necesarios
69
13SITUACIÓN DE LA GESTIÓN Y ORGANIZACIÓN
INFORMÁTICA EN EL SPN
El 74 de los Organismos carece de un plan para
afrontar contingencias.
- Riesgos
- Interrupciones a la continuidad operativa del
Organismo, con el consiguiente perjuicio al
ciudadano
74
14SITUACIÓN DE LA GESTIÓN Y ORGANIZACIÓN
INFORMÁTICA EN EL SPN
El 59 de los Organismos carece de
procedimientos documentados para la generación de
back ups.
- Riesgos
- Pérdidas de información
- Falta de continuidad operativa del Organismo
- Dependencia del personal que se encarga de la
tarea
59
15Qué se puede hacer para elevar los umbrales de
seguridad?
16Decisión Administrativa Iniciativa en la APN
Mes 2
Mes 3
Mes 5
Mes 6
Mes 1
Mes 4
Septiembre 2003 La ONTI convoca a distintos
Organismos de la Administración Pública para
conocer sus opiniones sobre estrategias de
seguridad.
Surge la necesidad de que los Organismos cuenten
con una Política de Seguridad escrita.
Se conforma un grupo de trabajo para la redacción
de un Modelo de Política de Seguridad.
Se acuerda basarse en la norma ISO/IRAM 17799
17Decisión Administrativa Iniciativa en la APN
Se redacta el Modelo y se somete a la
consideración de los Organismos Nacionales.
Se publica la página de Políticas de ArCERT
WWW.ARCERT.GOV.AR/POLITICA
Diciembre 2004 La Jefatura de Gabinete de
Ministros aprueba la DA 669/2004.
Se comienza la difusión de la norma y el Modelo
18Modelo de Política - Estructura
Seguridad Organizativa
Seguridad Lógica
ESTRATÉGICO
Política de Seguridad
Seguridad Física
Organización de la Seguridad
Seguridad Legal
TÁCTICO
Clasificación y Control de Activos
Control de Accesos
Cumplimiento
OPERATIVO
Seguridad del Personal
Seguridad Física Y Ambiental
Desarrollo y Mantenimiento de Sistemas
Gestión de Comunicaciones y Operaciones
Continuidad de las Actividades
19ArCERT en el ámbito internacional
COMITÉ INTERNACIONAL CONTRA EL TERRORISMO (OEA)
Julio de 2003. Buenos Aires. Argentina Se
advierte la gravedad de las amenazas cibernéticas
y se reconoce la necesidad de cooperación y
coordinación entre organismos del Sector Público
y Privado
Abril de 2004. Otawa. Canada. Documento
Recomendaciones para el establecimiento de una
Red Interamericana de Monitoreo y Alerta Se
dicta la Resolución AG/RES 2004 (XXXIV-0/04)
Adoptada por la OEA en la Cuarta Sesión Plenaria
del 8 de Junio de 2004.
20ArCERT en el ámbito internacional
Objetivo Crear una red hemisférica de puntos de
contacto nacionales que funcione 7 x 24 para
responder rápidamente a crisis, incidentes y
peligros relacionados con la seguridad cibernética
Acciones Recomendadas - Censo de CERTs
existentes y relevamiento de sus
características - Determinar un punto de contacto
en cada país - Impulso para la creación de
CERTs - Compendio de mejores prácticas - Sistema
permanente de asistencia recíproca e intercambio
de información.
21Muchas Gracias....