seguridad - modelo de gestion documental mgd-rta

Modelo de Gestión Documental

Seguridad de la Información

12/11/2015 Dirección General de Tecnologías de la Información / INAI 1

Hiriam Eduardo Pérez Vidal


Contexto

8. Servicios de Archivo

3. AdministraciónElectrónica

6. Control de

Acceso

7. Control Físico y

Conservación

1. Política de

Gestión2. Gobierno

Abierto y

Transparencia

5. Valoración

5. Control

intelectual y

de

representació

n

Modelo de

Gestión

Documental

4. Control

Intelectual y

Representación

G03/D01/G. INTEROPERABILIDAD

G03/D02/G. SEGURIDAD DE LA INFORMACIÓN

G03/D03/G. ADMINISTRACIÓN DE LOS

DOCUMENTOS ELECTRÓNICOS

La administración electrónica consiste en la utilización de las TIC en

las organizaciones para mejorar la información y los serviciosofrecidos a los ciudadanos, orientar la eficacia y la eficiencia de la

gestión publica e incrementar sustantivamente la transparenciadel sector público y la participación de los ciudadanos.

Recomendaciones de seguridad de la información en el ámbito de laadministración electrónica


1. Política de seguridad

Confidencialidad

Integridad

Disponibilidad Autenticidad

Conservación

Trazabilidad

Carácteristicas fundamentales

PolíticaSeguridad Alta dirección

• Definición, objetivos y alcance• Compromiso directivo• Marco de referencia, objetivos de control

y evaluación de riegos• Principios, estándares y requerimientos

de seguridad• Responsabilidades

Aprobación


2. Organización

Compromiso del equipo directivo

Recursos Planes de concientización

Coordinación Asignación de roles

Auditorías externas periódicas

Identificación

Tratamiento

de riesgos


3. Responsabilidades de la seguridad

Roles y responsabilidades

TI es el custodio tecnológico no el responsable del contenido de la información durante su ciclo de vida

Áreas sustantivas -> dueñas del proceso y los datos

Personal activo Personal saliente

Cancelar cuentas y permisos

Devolver activos - > documentos de archivo

Capacitación procedimientos de seguridad


4. Seguridad física y ambiental

Seguridad perimetral Ingreso físico Control de acceso seguro

Amenazas internas y externas Áreas de acceso


5. Marco normativo

Requisitos legales

Propiedad intelectual

Datos Personales

Cumplimientos de estándares de seguridad

Auditoría de sistemas

Logs -> Quién, que, cuando


6. Activos

Inventario de activos

Responsable

Uso - > niveles de acceso


7. Seguridad de la Infraestructura

Outsourcing

Procedimientos y responsabilidades (site, administración, configuración)

Sistemas y servidores Mecanismos respaldos Monitoreo

Correo (spam, troyanos, phishing)


8. Control de acceso a los sistemas

Seguridad de la información

Los datos almacenados en los sistemas, tanto en su naturaleza como en

contenido serán tratados de forma confidencial por el proveedor por lo que

no podrán ser utilizados para fines distintos del contrato aplicable. Los

datos no podrán ser transferidos a terceros para su tratamiento.

En cuanto al uso de claves de acceso (usuarios, contraseñas, certificado

FIEL en su caso):

• Será responsabilidad de sus propietarios el buen uso y resguardo de

las mismas, respetando las disposiciones normativas de reserva y

confidencialidad de la información.

• Las claves de acceso son personales e intransferibles.

• El único certificado electrónico válido, es el que pertenece al usuario a

registrar en el sistema y que sea emitido por el SAT, archivo con

terminación .cer.

• La DGTI desconoce las contraseñas de los usuarios del sistema, ya

que estas se almacenan de forma cifrada en la base de datos.

VPN – acceso seguro y cifradoCertificados


9. Seguridad de sistemas de información

• Requisitos de seguridad que afectan a los sistemas

• Correcto tratamiento de las aplicaciones -> datos

• Controles criptográficos -> https

• Seguridad en los sistemas de archivos (FileSystem)

• Seguridad procesos de desarrollo y soporte a los aplicativos

• Identificar vulnerabilidades

• Indexado de buscadores (ggogle, bing, otros)https://www.owasp.org

https://www.owasp.org/


10. Registro de incidencias

• Eventos de seguridad. Que ocurrió

• Gestión de incidentes. Como se atendió

Conocimiento


11. Continuidad del negocio

• Continuidad del negocio y evaluación del riesgo. Que pasa si se interrumpe el servicio

• Planes de continuidad. Que hacemos inmediatamente

• Marco referencial de los planes. Ejecutamos subplanes y en qué orden

• Pruebas, mantenimiento y reevaluación de los planes

Menor interrupción

Implica

Mas inversion


Niveles de madurez

Inicial

• Política de seguridad de la información

• Equipo organizacional de seguridad

• Seguridad física y ambiental de los activos

• Marco normativo

Intermedio

• Gestionar activos• Seguridad de la infraestructura• Control de acceso a sistemas• Integridad

Avanzado

• Registro de incidencias• Plan de la continuidad


Ejemplos

Desarrollo

AnálisisDiseño

ConstrucciónPruebas unitarias

Calidad

FuncionalIntegraciónRegresión

Liberación y Entrega

Transición y habilitación de la operación

PQACalidad Código

SW Productivo

Administración de Proyectos

Administración de la Configuración

Servicios de soporte

Administración de Cambios

Análisis de vulnerabilidades

Seguridad

Ciclo de vida del SW


Ejemplos

Análisis de vulnerabilidades


Retroalimentación

¡Intercambiemos!

seguridad - modelo de gestion documental mgd-rta

Technology