Diapositiva 1

1
V CONGRESO MUNDIAL DE DERECHO INFORMÁTICO REPÚBLIC
A DOMINICANA Seguridad de la Información en la
Administración Pública de la República Argentina
Oficina Nacional de Tecnologías de
Información Dr. Fernando Maresca Octubre 2005
2
Temas

• Objetivos de la ONTI
• Actividades de la ONTI vinculadas a la seguridad
• ArCERT
• Comité Internacional contra el Terrorismo (OEA)

3
Oficina Nacional de Tecnologías de Información

• Objetivos
• Formular políticas e implementar procesos de
  desarrollo e innovación tecnológica para la
  transformación y modernización del Estado
• Promover la integración de nuevas tecnologías, su
  compatibilidad e interoperabilidad y promover la
  estandarización tecnológica

4
Actividades vinculadas a la seguridad ...

• Estándares Tecnológicos para la Administración
• Foro Permanente de Responsables Informáticos
• Infraestructura de Firma Digital
• ArCERT

5
(No Transcript)
6
Foro de Responsables Informáticos

• Grupos de Trabajo
• INTEROPERABILIDAD
• APLICACIONES TRANSVERSALES
• SOFTWARE LIBRE

7
Firma Digital Funciones ONTI

• Intervenir en el otorgamiento de licencias
  habilitantes para acreditar a los certificadores
  de Firma Digital
• Ejercer las funciones de AC de FD para el Sector
  Público Nacional
• Fiscalizar el cumplimiento de las normas legales
  y reglamentarias en lo referente a la actividad
  de los certificadores licenciados

8
Seguridad Informática ArCERT

• CERT Computer Emergency Response Team / CSIRT
  Computer Security Incident Response Teams
• Objetivos- Incrementar los niveles de
  seguridad informática en el SP.- Representar al
  gobierno en Foros Internacionales
• Único de su tipo en Argentina
• Miembro del FIRST (Forum of Incident Response and
  Security Teams)

9
La Cuestión Cómo protejo la Información del
organismo?
10
Importancia de la información
INFORMACION ACTIVO
Ingeniería Social Man-in-the-middle Phishing Defac
ement Spoofing Backdoors Escaneo de
puertos Catástrofe Trashing Código
malicioso Robo Fraude informático Eavesdropping Ex
ploits
Confidencialidad Integridad Disponibilidad
más Autenticidad Auditabilidad Prote
cción a la duplicación No repudio Legalidad Confia
bilidad de la información
11
SITUACIÓN DE LA GESTIÓN Y ORGANIZACIÓN
INFORMÁTICA EN EL SPN
El 69 de los Organismos carece de procedimientos
de control para el desarrollo y mantenimiento de
sistemas

• Riesgos
• Modificaciones no autorizadas sobre los Sistemas
• Falta de documentación
• Implementación de Sistemas no probados

69
12
SITUACIÓN DE LA GESTIÓN Y ORGANIZACIÓN
INFORMÁTICA EN EL SPN
El 69 de los Organismos carece de procedimientos
aprobados para las tareas de administración de
seguridad.

• Riesgos
• Accesos no autorizados a la información o los
  recursos del Organismo
• Inexactitud o falta de confiabilidad de los datos
  o Sistemas
• Falta de disponibilidad de la información o
  recursos necesarios

69
13
SITUACIÓN DE LA GESTIÓN Y ORGANIZACIÓN
INFORMÁTICA EN EL SPN
El 74 de los Organismos carece de un plan para
afrontar contingencias.

• Riesgos
• Interrupciones a la continuidad operativa del
  Organismo, con el consiguiente perjuicio al
  ciudadano

74
14
SITUACIÓN DE LA GESTIÓN Y ORGANIZACIÓN
INFORMÁTICA EN EL SPN
El 59 de los Organismos carece de
procedimientos documentados para la generación de
back ups.

• Riesgos
• Pérdidas de información
• Falta de continuidad operativa del Organismo
• Dependencia del personal que se encarga de la
  tarea

59
15
Qué se puede hacer para elevar los umbrales de
seguridad?
16
Decisión Administrativa Iniciativa en la APN
Mes 2
Mes 3
Mes 5
Mes 6
Mes 1
Mes 4
Septiembre 2003 La ONTI convoca a distintos
Organismos de la Administración Pública para
conocer sus opiniones sobre estrategias de
seguridad.
Surge la necesidad de que los Organismos cuenten
con una Política de Seguridad escrita.
Se conforma un grupo de trabajo para la redacción
de un Modelo de Política de Seguridad.
Se acuerda basarse en la norma ISO/IRAM 17799
17
Decisión Administrativa Iniciativa en la APN
Se redacta el Modelo y se somete a la
consideración de los Organismos Nacionales.
Se publica la página de Políticas de ArCERT
WWW.ARCERT.GOV.AR/POLITICA
Diciembre 2004 La Jefatura de Gabinete de
Ministros aprueba la DA 669/2004.
Se comienza la difusión de la norma y el Modelo
18
Modelo de Política - Estructura
Seguridad Organizativa
Seguridad Lógica
ESTRATÉGICO
Política de Seguridad
Seguridad Física
Organización de la Seguridad
Seguridad Legal
TÁCTICO
Clasificación y Control de Activos
Control de Accesos
Cumplimiento
OPERATIVO
Seguridad del Personal
Seguridad Física Y Ambiental
Desarrollo y Mantenimiento de Sistemas
Gestión de Comunicaciones y Operaciones
Continuidad de las Actividades
19
ArCERT en el ámbito internacional
COMITÉ INTERNACIONAL CONTRA EL TERRORISMO (OEA)
Julio de 2003. Buenos Aires. Argentina Se
advierte la gravedad de las amenazas cibernéticas
y se reconoce la necesidad de cooperación y
coordinación entre organismos del Sector Público
y Privado
Abril de 2004. Otawa. Canada. Documento
Recomendaciones para el establecimiento de una
Red Interamericana de Monitoreo y Alerta Se
dicta la Resolución AG/RES 2004 (XXXIV-0/04)
Adoptada por la OEA en la Cuarta Sesión Plenaria
del 8 de Junio de 2004.
20
ArCERT en el ámbito internacional
Objetivo Crear una red hemisférica de puntos de
contacto nacionales que funcione 7 x 24 para
responder rápidamente a crisis, incidentes y
peligros relacionados con la seguridad cibernética
Acciones Recomendadas - Censo de CERTs
existentes y relevamiento de sus
características - Determinar un punto de contacto
en cada país - Impulso para la creación de
CERTs - Compendio de mejores prácticas - Sistema
permanente de asistencia recíproca e intercambio
de información.
21
Muchas Gracias....