seguridad - modelo de gestion documental mgd-rta
TRANSCRIPT
Modelo de Gestión Documental
Seguridad de la Información
12/11/2015 Dirección General de Tecnologías de la Información / INAI 1
Hiriam Eduardo Pérez Vidal
12/11/2015 Dirección General de Tecnologías de la Información / INAI 2
Contexto
8. Servicios de Archivo
3. AdministraciónElectrónica
6. Control de
Acceso
7. Control Físico y
Conservación
1. Política de
Gestión2. Gobierno
Abierto y
Transparencia
5. Valoración
5. Control
intelectual y
de
representació
n
Modelo de
Gestión
Documental
4. Control
Intelectual y
Representación
G03/D01/G. INTEROPERABILIDAD
G03/D02/G. SEGURIDAD DE LA INFORMACIÓN
G03/D03/G. ADMINISTRACIÓN DE LOS
DOCUMENTOS ELECTRÓNICOS
La administración electrónica consiste en la utilización de las TIC en
las organizaciones para mejorar la información y los serviciosofrecidos a los ciudadanos, orientar la eficacia y la eficiencia de la
gestión publica e incrementar sustantivamente la transparenciadel sector público y la participación de los ciudadanos.
Recomendaciones de seguridad de la información en el ámbito de laadministración electrónica
12/11/2015 Dirección General de Tecnologías de la Información / INAI 3
1. Política de seguridad
Confidencialidad
Integridad
Disponibilidad Autenticidad
Conservación
Trazabilidad
Carácteristicas fundamentales
PolíticaSeguridad Alta dirección
• Definición, objetivos y alcance• Compromiso directivo• Marco de referencia, objetivos de control
y evaluación de riegos• Principios, estándares y requerimientos
de seguridad• Responsabilidades
Aprobación
12/11/2015 Dirección General de Tecnologías de la Información / INAI 4
2. Organización
Compromiso del equipo directivo
Recursos Planes de concientización
Coordinación Asignación de roles
Auditorías externas periódicas
Identificación
Tratamiento
de riesgos
12/11/2015 Dirección General de Tecnologías de la Información / INAI 5
3. Responsabilidades de la seguridad
Roles y responsabilidades
TI es el custodio tecnológico no el responsable del contenido de la información durante su ciclo de vida
Áreas sustantivas -> dueñas del proceso y los datos
Personal activo Personal saliente
Cancelar cuentas y permisos
Devolver activos - > documentos de archivo
Capacitación procedimientos de seguridad
12/11/2015 Dirección General de Tecnologías de la Información / INAI 6
4. Seguridad física y ambiental
Seguridad perimetral Ingreso físico Control de acceso seguro
Amenazas internas y externas Áreas de acceso
12/11/2015 Dirección General de Tecnologías de la Información / INAI 7
5. Marco normativo
Requisitos legales
Propiedad intelectual
Datos Personales
Cumplimientos de estándares de seguridad
Auditoría de sistemas
Logs -> Quién, que, cuando
12/11/2015 Dirección General de Tecnologías de la Información / INAI 8
6. Activos
Inventario de activos
Responsable
Uso - > niveles de acceso
12/11/2015 Dirección General de Tecnologías de la Información / INAI 9
7. Seguridad de la Infraestructura
Outsourcing
Procedimientos y responsabilidades (site, administración, configuración)
Sistemas y servidores Mecanismos respaldos Monitoreo
Correo (spam, troyanos, phishing)
12/11/2015 Dirección General de Tecnologías de la Información / INAI 10
8. Control de acceso a los sistemas
Seguridad de la información
Los datos almacenados en los sistemas, tanto en su naturaleza como en
contenido serán tratados de forma confidencial por el proveedor por lo que
no podrán ser utilizados para fines distintos del contrato aplicable. Los
datos no podrán ser transferidos a terceros para su tratamiento.
En cuanto al uso de claves de acceso (usuarios, contraseñas, certificado
FIEL en su caso):
• Será responsabilidad de sus propietarios el buen uso y resguardo de
las mismas, respetando las disposiciones normativas de reserva y
confidencialidad de la información.
• Las claves de acceso son personales e intransferibles.
• El único certificado electrónico válido, es el que pertenece al usuario a
registrar en el sistema y que sea emitido por el SAT, archivo con
terminación .cer.
• La DGTI desconoce las contraseñas de los usuarios del sistema, ya
que estas se almacenan de forma cifrada en la base de datos.
VPN – acceso seguro y cifradoCertificados
12/11/2015 Dirección General de Tecnologías de la Información / INAI 11
9. Seguridad de sistemas de información
• Requisitos de seguridad que afectan a los sistemas
• Correcto tratamiento de las aplicaciones -> datos
• Controles criptográficos -> https
• Seguridad en los sistemas de archivos (FileSystem)
• Seguridad procesos de desarrollo y soporte a los aplicativos
• Identificar vulnerabilidades
• Indexado de buscadores (ggogle, bing, otros)https://www.owasp.org
12/11/2015 Dirección General de Tecnologías de la Información / INAI 12
10. Registro de incidencias
• Eventos de seguridad. Que ocurrió
• Gestión de incidentes. Como se atendió
Conocimiento
12/11/2015 Dirección General de Tecnologías de la Información / INAI 13
11. Continuidad del negocio
• Continuidad del negocio y evaluación del riesgo. Que pasa si se interrumpe el servicio
• Planes de continuidad. Que hacemos inmediatamente
• Marco referencial de los planes. Ejecutamos subplanes y en qué orden
• Pruebas, mantenimiento y reevaluación de los planes
Menor interrupción
Implica
Mas inversion
12/11/2015 Dirección General de Tecnologías de la Información / INAI 14
Niveles de madurez
Inicial
• Política de seguridad de la información
• Equipo organizacional de seguridad
• Seguridad física y ambiental de los activos
• Marco normativo
Intermedio
• Gestionar activos• Seguridad de la infraestructura• Control de acceso a sistemas• Integridad
Avanzado
• Registro de incidencias• Plan de la continuidad
12/11/2015 Dirección General de Tecnologías de la Información / INAI 15
Ejemplos
Desarrollo
AnálisisDiseño
ConstrucciónPruebas unitarias
Calidad
FuncionalIntegraciónRegresión
Liberación y Entrega
Transición y habilitación de la operación
PQACalidad Código
SW Productivo
Administración de Proyectos
Administración de la Configuración
Servicios de soporte
Administración de Cambios
Análisis de vulnerabilidades
Seguridad
Ciclo de vida del SW
12/11/2015 Dirección General de Tecnologías de la Información / INAI 16
Ejemplos
Análisis de vulnerabilidades