Você está na página 1de 62

Seguridad de la Informacin

Max Lazaro Taico Oficina Nacional de Gobierno Electrnico e Informtica PCM

Estrategia de Gobierno Electrnico Cambio de paradigma


Comercio Exterior

Ventanilla Unica de Servicios al Ciudadano y la Empresa

Internet

Justicia Propiedad Servicios Empresariales Empleo Salud / Seguridad Social Plataforma de interoperabilidad del estado

Cabinas / Telecentros

Otros medios de comunicacin

Servicios de Pago
Servicios de Identificacin

Ventanillas fsicas

Introduccin: Nuevos Escenarios

Introduccin: Internet

Modalidades de delitos informticos


FRAUDE, CLONACION DE TARJETAS Y HURTO DE FONDOS

Modalidades de delitos informticos


AMENAZAS POR E-MAIL

Modalidades de delitos informticos


EXTORSION

Modalidades de delitos informticos


PORNOGRAFIA INFANTIL

Modalidades de delitos informticos


CHANTAJE SEXUAL Y ECONOMICO

Modalidades de delitos informticos


OPERACIONES FINANCIERAS COMERCIALES FRAUDULENTAS POR INTERNET

Modalidades de delitos informticos


ACCESO NO AUTORIZADO A BASE DE DATOS

Modalidades de delitos informticos


INTRUSIONES (HACKING, CRACKING)

Acciones de la ONGEI

Acciones de la ONGEI
El gobierno peruano ha emitido desde el ao 2002 diferentes normas referidas a seguridad de la informacin, entre las cuales podemos resaltar las siguientes:
Modificacin de las normas y procedimientos tcnicos sobre contenidos de las pginas web. Normas tcnicas para el almacenamiento y respaldo de la informacin procesada por las entidades de la administracin pblica. Directiva sobre "Normas para el uso del servicio de correo electrnico en las entidades de la administracin pblica

Apoyo en seguridad de la Informacin

Actualmente la ONGEI apoya a las entidades pblicas en los siguientes principales servicios:
Anlisis de vulnerabilidades de los servidores Web de las Entidades Publicas. Boletines de Seguridad de la informacin Boletines de Alertas de Antivirus. Presentaciones tcnicas sobre seguridad. Consultoras y apoyo en recomendaciones tcnicas.

Anlisis de Vulnerabilidades
ONGEI Estaciones de Trabajo Firewall Red Intena

Servidores

Web Server

E-Mail Server

Anlisis de Vulnerabilidades en nmeros al 2009


Mes Enero Febrero Marzo Abril Mayo Junio Julio Agosto Septiembre Octubre Noviembre Diciembre Total 40 62 24 Alto 2 14 10 9 5 Bajo 4 20 9 15 14 Info 2 5 3 7 7

126

Estadstica General

Info; 24; 19%

Alto; 40; 32%

Alto Bajo

Bajo; 62; 49%

Info

Leyes y Reglamentos que regulan las Tecnologas de Informacin (TIC) en Per

I. Normatividad en General
1. 2. 3. 4. 5. La Constitucin Poltica del Per 1993 Ley 28237 - Cdigo Procesal Constitucional Normatividad Penal: Ley 27309 Ley que Incorpora los Delitos Informticos dentro del Cdigo Penal a. Cdigo Penal b. Cdigo Procesal Penal Normas Tributarias: a. Cdigo Tributario b. Decreto Supremo N 055-99-EF - Texto nico Ordenado de la Ley del Impuesto General a las Ventas e Impuesto Selectivo al Consumo. Normas Administrativas: a. Ley 27444 - Ley de Procedimiento Administrativo General b. Ley 27658 - Ley Marco de Modernizacin de la Gestin del Estado Leyes que regulan a los Sistemas Administrativos a. Ley 29158 Ley Orgnica del Poder Ejecutivo b. Decreto Legislativo - Ley de Contrataciones y Adquisiciones del Estado Otras normas: a. Ley 26497 Ley Orgnica del Registro Nacional de Identificacin y Estado Civil b. Decreto Supremo N 015-98-PCM - Reglamento de Inscripciones del Registro Nacional de Identificacin y Estado Civil. c. Decreto Legislativo N 822 - Ley de derechos de autor d. Cdigo de Consumidor e. Decreto Legislativo1049 Ley del Notariado.

6. 7. 8.

II. Normatividad Especfica


1. Regulacin sobre los rganos rectores en materia de Informtica y Gobierno Electrnico en el Per
a. b. c. Ley de Organizacin y Funciones del Instituto Nacional de Estadstica e Informtica, DECRETO LEGISLATIVO N 604. DECRETO SUPREMO N 043-2001-PCM, Aprueban el Reglamento de Organizacin y Funciones del INEI. DECRETO SUPREMO N 066-2003-PCM, Fusionan la Sub -Jefatura de Informtica del Instituto Nacional de Estadstica e Informtica - INEI y la Presidencia del Consejo de Ministros, a travs de su Secretara de Gestin Pblica. DECRETO SUPREMO N 063-2007-PCM, Decreto Supremo que aprueba el Reglamento de Organizacin y Funciones de la Presidencia del Consejo de Ministros.

d.

II. Normatividad Especfica


2. Documentos sobre Polticas Pblicas para el fomento de la Sociedad de Informacin y Gobierno Electrnico en el Per.
a. b. c. D.S. N 031-2006-PCM del 20 de junio del 2006, Plan de Desarrollo de la Sociedad de la Informacin en el Per La Agenda Digital Peruana. Resolucin Ministerial N 274-2006-PCM, la Presidencia del Consejo de Ministros aprob la Estrategia Nacional de Gobierno Electrnico. Decreto Supremo N 063-2007-PCM - Reglamento de Organizacin y Funciones de la Presidencia del Consejo de Ministros La Oficina Nacional de Gobierno Electrnico e Informtica (ONGEI) se encargada de dirigir como Ente Rector, el Sistema Nacional de Informtica, e implementa la Poltica Nacional de Gobierno Electrnico e Informtica RESOLUCION MINISTERIAL N 360-2009-PCM - Crean el Grupo de Trabajo denominado Coordinadora de Respuestas a Emergencias en Redes Teleinformticas de la Administracin Pblica del Per (Pe-CERT)

a.

3.

Norma Tcnica Peruana


a. RESOLUCIN MINISTERIAL N 246-2007-PCM - NTP-ISO/IEC 17799:2007

II. Normatividad Especfica


4. Correo Electrnico
a. b. c. d. e. Ley 28493 Ley que regula el uso del correo electrnico comercial no solicitado (SPAM). DECRETO SUPREMO N 031-2005-MTC - Aprueban el Reglamento de la Ley N 28493 que regula el envo del correo electrnico comercial no solicitado (SPAM). RESOLUCIN JEFATURAL N 088-2003-INEI Aprueban Directiva sobre "Normas para el uso del servicio de correo electrnico en las entidades de la Administracin Pblica DECRETO SUPREMO N 066-2001-PCM - Aprueban los "Lineamientos de Polticas Generales para promover la masificacin del acceso a Internet en el Per Ley 27419 Ley sobre Notificacin por Correo Electrnico

II. Normatividad Especfica


5. Software en la Administracin Pblica

a.

Ley 28612 Ley que norma el uso, adquisicin y adecuacin de software en la Administracin Pblica.

b.

DECRETO SUPREMO 024-2006-PCM - Reglamento de la Ley N 28612, Ley que norma el uso, adquisicin y adecuacin del software en la Administracin Pblica

II. Normatividad Especfica


6. Firmas y Certificados Digitales

a.

Ley N 27269 Ley de Firmas y Certificados Digitales, LEY N 27269

b.

DECRETO SUPREMO N 052-2008-PCM, Reglamento de la Ley de Firmas y Certificados Digitales

II. Normatividad Especfica


7.
a.

Portales
DECRETO SUPREMO N 060-2001-PCM Crean el "Portal del Estado Peruano" como Sistema Interactivo de Informacin a los Ciudadanos a travs de Internet. DECRETO SUPREMO N 019-2007-PCM - se establece el uso de la Ventanilla nica del Estado a travs del Portal de Servicios al Ciudadano y Empresas y se crea el Sistema Integrado de Servicios Pblicos Virtuales

b.

II. Normatividad Especfica


8. Microformas Fedatarios Informticos
a. Decreto Legislativo 681 - (Microformas / Fedatarios Informticos) Dictan normas que regulan el uso de tecnologas avanzadas en materia de archivo de documentos e informacin tanto respecto a la elaborada en forma convencional cuanto la producida por procedimientos informticos en computadoras. Decreto Legislativo 827 (Microformas / Fedatarios Informticos) Amplan los alcances del D. Legislativo N 681 a las entidades pblicas a fin de modernizar el sistema de archivos oficiales

b.

II. Normatividad Especfica


9. Participacin de Notarios en Constitucin de Empresas en Lnea:
a. D.S. N 058-2007-PCM (Dictan disposiciones referidas a la participacin de los Notarios en el servicio de constitucin de empresas a travs del Sistema Integrado de Servicios Pblicos Virtuales de la Ventanilla nica del Estado) R. N 159-2007-SUNAT (Establecen disposiciones para la inscripcin en el RUC y entrega del Cdigo de Usuario y de la clave SOL a los sujetos constituidos a travs de la Ventanilla nica del Estado) R.M. N 137-2008-PCM (Establecen requisitos y condiciones para que notarios participen en el servicio de constitucin de empresas a travs del Sistema Integrado de Servicios Pblicos Virtuales (SISEV)).

b.

c.

Poltica de Seguridad para el Sector Pblico

Con fecha 23 de julio del 2004 la PCM a travs de la ONGEI, dispone el uso obligatorio de la Norma Tcnica Peruana NTP ISO/IEC 17799:2004 EDI. Tecnologa de la Informacin: Cdigo de Buenas Prcticas para la Gestin de la Seguridad de la Informacin en entidades del Sistema Nacional de Informtica. Se Actualiz el 25 de Agosto del 2007 con la Norma Tcnica Peruana NTP ISO/IEC 17799:2007 EDI.

Marco de las recomendaciones


La NTP-ISO 17799 es una compilacin de recomendaciones para las prcticas exitosas de seguridad, que toda organizacin puede aplicar independientemente de su tamao o sector. La NTP fue redactada para que fuera flexible y no induce a las organizaciones que la cumplan al pie de la letra, se deja a estas dar una solucin de seguridad de acuerdo a sus necesidades. Las recomendaciones de la NTP-ISO 17799 son neutrales en cuanto a la tecnologa. La norma discute la necesidad de contar con Firewalls, pero no profundiza sobre los tipos de Firewalls y cmo se utilizan.

En este sentido La Norma Tcnica Peruana ISO 17799, se emite para ser considerada en la implementacin de estrategias y planes de seguridad de la informacin de las Entidades Pblicas. La NTP NO exige la certificacin, pero si la consideracin y evaluacin de los principales dominios de acuerdo a la realidad de cada organizacin.

Cuales son los temas o dominios a considerar dentro de un plan de Seguridad?

Los 11 dominios de control de ISO 17799 1. Poltica de seguridad: Se necesita una poltica que refleje las expectativas de la organizacin en materia de seguridad, a fin de suministrar administracin con direccin y soporte. La poltica tambin se puede utilizar como base para el estudio y evaluacin en curso. Aspectos organizativos para la seguridad: Sugiere disear una estructura de administracin dentro la organizacin, que establezca la responsabilidad de los grupos en ciertas reas de la seguridad y un proceso para el manejo de respuesta a incidentes.

2.

3.

Clasificacin y Control de Activos: Inventario de los recursos de informacin de la organizacin y con base en este conocimiento, debe asegurar que se brinde un nivel adecuado de proteccin. Seguridad de Recursos Humanos: Necesidad de educar e informar a los empleados actuales y potenciales sobre lo que se espera de ellos en materia de seguridad y asuntos de confidencialidad. Implementa un plan para reportar los incidentes.

4.

5.

Seguridad fsica y del Entorno: Responde a la necesidad de proteger las reas, el equipo y los controles generales.

6.

Gestin de Comunicaciones y Operaciones: Los objetivos de esta seccin son:


Asegurar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la informacin. Minimizar el riesgo de falla de los sistemas. Proteger la integridad del software y la informacin. Conservar la integridad y disponibilidad del procesamiento y la comunicacin de la informacin. Garantizar la proteccin de la informacin en las redes y de la infraestructura de soporte. Evitar daos a los recursos de informacin e interrupciones en las actividades de la institucin. Evitar la prdida, modificacin o uso indebido de la informacin que intercambian las organizaciones.

7. Control de accesos: Establece la importancia de monitorear y controlar el acceso a la red y los recursos de aplicacin como proteccin contra los abusos internos e intrusos externos.
8. Adquisicin, Desarrollo y Mantenimiento de los sistemas: Recuerda que en toda labor de la tecnologa de la informacin, se debe implementar y mantener la seguridad mediante el uso de controles de seguridad en todas las etapas del proceso.

9.

Gestin de Incidentes de la Seguridad de la informacin Asegurar que los eventos y debilidades en la seguridad de la informacin sean comunicados de manera que permitan una accin correctiva a tiempo.

10. Gestin de Continuidad del Negocio Aconseja estar preparado para contrarrestar las interrupciones en las actividades de la empresa y para proteger los procesos importantes de la empresa en caso de una falla grave o desastre.
11. Cumplimiento: Evitar brechas de cualquier ley civil o criminal, estatutos, obligaciones regulatorias o contractuales y de cualquier requerimiento de seguridad.

Beneficios de la norma tcnica ISO 17799

Una organizacin que adopte la Norma Tcnica Peruana ISO 17799 tiene mayores ventajas frente a los que no la adopten:
Mayor seguridad en la organizacin. Planeacin y manejo de la seguridad ms efectivos. Alianzas comerciales y e-commerce ms seguras. Mayor confianza en el cliente. Auditoras de seguridad ms precisas y confiables. Menor Responsabilidad civil

Implementando Seguridad de la Informacin


Enfoque General

La seguridad en Internet ha sido siempre considerada como un problema de ingeniera, y las organizaciones tratan de resolverlo utilizando tecnologa. Este enfoque es incorrecto: la tecnologa est fallando y la situacin est empeorando. Lo que realmente necesitamos son mejores modelos de procesos, no mejor tecnologa.

ALCANCE DE LA SEGURIDAD
RH Dedicados Entrenamiento Seguridadpensamiento y prioridad Educacin de empleados Planeacin de seguridad Prevencin Deteccin Reaccin

Personas

Procesos

Tecnologa

Tecnologa de punta Estandar, encripcin, proteccin Funcionalides de producto Herramientas de Seguridad y productos

ANALISIS DE RIESGOS

Conceptos:

Que proteger?
Acceso a Informacin comprometida o confidencial
Planes de negocio, nominas, contratos, listados passwords, informacin de clientes.

Acceso a Informacin valiosa


Documentacin, desarrollos de I+D, histricos y archivos.

Acceso a Inversiones e infraestructura


Configuraciones, logs, backups, bbdd, webs, intranets, Acceso a servidores, electrnica y hardware costoso.

Peligros contra la confidencialidad.


Accesos no autorizados a informacin confidencial Accesos pblicos a informacin confidencial, por error, mala configuracin o descuido. Suplantacin de usuarios. Acceso a servicios confidenciales (correo, bbdd, servidores de acceso, etc). Instalacin de caballos de troya. Acceso fsico a material restringido.

Peligros contra la integridad


Modificacin indebida de datos (fallo de permisos) Falta de integridad (borrado o modificacin) de datos. Imposibilidad de identificar fuente de datos. Fallo en la integridad de bases de dato (corrupcion). Modificacin en archivos de sistema (configuraciones, logs, etc) Destruccin o corrupcin de backups. Virus. Acceso fsico a material restringido.

Peligros contra la disponibilidad.


Caida de servicios externos. (DoS) Agotamiento de recursos (ancho de banda, disco, socket, etc). (DoS o mala config.) Fallo de infraestructuras generales de red (routing, switches, etc). (DoS, fallo, mala configuracin o sabotaje) Destruccin de configuraciones o servicios. (DoS o Sabotaje) Acceso fsico a infraestructura bsica. Sabotaje.

Costo Econmico
A partir de este entendimiento se podr gestionar la seguridad.
Solo importa cuando suceden los problemas de seguridad. Ajustar la ecuacin del riesgo hasta que le interese e importe a la alta direccin.

Dimensiones de la Seguridad

Confidencialidad

Disponibilidad

Integridad

Qu es Seguridad de la Informacin

Dimensiones crticas de Secreto impuesto de acuerdo la informacin


Informacin
E D T
E-commerce Informacin (dimensiones)
Prevenir Divulgacin no autorizada de Activos de Informacin

con polticas de seguridad SINO: Fugas y filtraciones de informacin; accesos no autorizados; prdida de confianza de los dems (incumplimiento de leyes y Autenticidad de compromisos)hace uso de datos o quien
servicios

Trazabilidad del uso


de servicios (quin, cundo) o datos (quien y que hace)

Prevenir Cambios no autorizados en Activos de Informacin

No repudio
(Compromisos)

6 +5

Confiabilidad Prevenir (Inform.) D 7x24x365 Destruccin no autorizada de


Activos de Informacin

Validez y Precisin de informacin y Acceso en tiempo correcto y confiable a sistemas. SINO: Informacin manipulada, incompleta,datos y recursos. corrupta y por lo tanto mal desempeo de SINO: Interrupcin de Servicios o Baja Productividad funciones

Identificar Activos Identificar Amenazas Determinar Vulnerabilidades e

Impactos
Cuantificacin Finan. y no Finan. por tiempo de interrupcin

Anlisis de Riesgos Anlisis de Impacto Anlisis de Necesidades

Evaluacin de Riesgos

Visin Global del Enfoque de Seguridad


Interpretacin y Clasificacin de Riesgos Identificacin y Estimacin de acciones para: Actividades Preventivas Actividades Correctivas Actividades para la Reanudacin y Continuidad del negocio

Requerimientos para Minimizar Impacto


Elaboracin de Planes

1-8
Plan de Seguridad de la Informacin

ISO 17799

Plan de Continuidad Plan de Contingencias Plan de Recuperacin de desastres del Negocio


Plan de respuesta a incidentes

Identificacin y Seleccin de los Mejores Mecanismos de Seguridad Especificaciones de los Mecanismos de seguridad a Implantar. Planificacin del proceso de Implantacin Concientizacin del personal en la Seguridad.

Respuestas inmediatas ante eventos que originen prdida de datos o interrupcin de las operaciones. Especificaciones del Plan de Accin a tomar de acuerdo al tipo de evento: Grupos de Trabajo y responsabilidades, definicin de Recursos, niveles de Contingencia, escenarios de Contingencia. Activacin de la Contingencia.

Inventario de Procesos del Negocio. Identificacin de Procesos Crticos Especificaciones de los mecanismos de Accin a seguir para la continuidad Plan de Recuperacin de los estados de Seguridad

Revisin de la Estrategia

10
Mejora Continua

Revisin del Plan Actual

Revisin de Programas

Pruebas del Plan Actual

Los 11 Dominios de la NTP ISO 17799 - 2007


Cumplimiento
Gestin de la continuidad

Poltica de seguridad

Organizacin de la Seguridad
Gestin de Activos

Gestin de incidentes
Desarrollo y
mantenimiento

integridad

Confidencialidad

Informacin
Seguridad del personal disponibilidad
Seguridad fsica y medioambiental

Control de accesos Gestin de comunicaciones y operaciones

Los 11 Dominios de ISO 17799 - 2007)


Organizacional

1. Politique de 1. Poltica de scurit seguridad 2. Scurit de 2. Seguridad de la lorganisation organizacin 3. Classification et 3. Clasificacin y contrle des control de los actifs activos Contrle des 7. Control de accs accesos

10. Conformit 10. Continuidad 4. Scurit dudel personal Seguridad personnel 8. Desarrollo y mantenimiento de los sistemas 8. Dveloppement et maintenance 11. Cumplimiento 5. Scurit physique et Seguridad fsica y environnementale medioambiental

9. Gestin de 6. Gestin de las Incidentes 6. Gestion des 9. Gestion de la telecomunicaciones y operaciones communications et oprations continuit

Operacional

Gestin de la Seguridad de la Informacin SGSI (ISO 27001)


FASE II
1) Identificar opciones para Gestionar los Riesgos Seleccionar e implementar Cont. Determinar Organizacin de Seguridad; Comits de Seg. Preparar e implementar Plan de Continuidad Entrenamiento al Personal Declaracin de Aplicabilidad 1) 2) 3) 4)

FASE I
Definir Poltica y Alcance Identificar Riesgos para gestionarlos Analizar las Brechas Plan de Implementacion

2) 3)

4) 5)

FASE III
1) 2) 3) Monitorear y Revisar SGSI Verificar controles implementados Cumplimientos legales y tcnicos

1) 2)

* PDCA en ingles

Estrategia para implementar el SGSI en los procesos u Organizacin


ENTREGABLES DEL PRODUCTO: 1. Documento de Poltica de Seguridad de la Informacin 2. Documento de identificacin de los riesgos. 3. Informe de la Identificacin y evaluacin el tratamiento de los riesgos. 4. Anlisis de Brechas. 5. Procedimientos para actualizar el manual de Seguridad
VALOR AGREGADO: Herramientas para la Implementacin y Gestin

ENTREGABLES DEL PROYECTO: 1. Acta de Constitucin 2. Declaracin del Alcance 2. Plan de Gestin 3. Plan de G. Cambios 4. Plan de G. Comunic 5. Plan de G. Riesgos

Patrocinador

Gerente del Proyecto Equipo del Proyecto

Stakeholders

Entregables de la NTP-ISO/IEC 17799 ( Documentos )

Anlisis de Riesgos
Poltica de Seguridad Institucional Anlisis de riesgos Vs. NTP-ISO/IEC 17799 (Brecha)

Plan Implementaci n de los controles de seguridad

Implementacin Gradual y Priorizada

Importancia de la seguridad
Muchas organizaciones tienen polticas de seguridad, la mayora de las mismas incluso entrenan a sus funcionarios y empleados, pero muy pocas implantan una cultura de conciencia en seguridad que fomenta la identificacin y reporte de problemas de seguridad.

La Seguridad Informtica es Fcil: Con el 20% de esfuerzo se puede lograr el 80% de resultados
Actividades sencillas pero constantes son las que evitan la mayora de los problemas. Se debe de trabajar en crear MECANISMOS de seguridad que usan las TECNICAS de seguridad adecuadas segn lo que se quiera proteger.

Todo intento por formalizar cualquier tarea o aspecto relacionado con la seguridad debe tratar como mnimo de responder a tres preguntas:
Qu: objetivo, requisito o regulacin que se quiere satisfacer o cumplir (lo que hay que lograr). Quin: responsable de la tarea o encargado de que se cumpla (el encargado de hacerlo posible). Cmo: descripcin de las actividades que darn con la consecucin del objetivo o requisito (lo que haya que hacer para conseguirlo).

NO OLVIDAR .. La Seguridad es un Proceso Continuo

ALERTAR

PROTEGER

CONTROL PROACTIVO

ADMINISTRAR

RESPONDER

www.ongei.gob.pe

mlazaro@pcm.gob.pe
Muchas gracias..