Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • Buenas Practicas en Seguridad de La Informacion

    Enviado por

    MClaudia Pèrez Escalante
    8 visualizações17 páginas
    ingeniería DE SISTEMAS

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento
    ingeniería DE SISTEMAS

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    8 visualizações17 páginas

    Buenas Practicas en Seguridad de La Informacion

    Enviado por

    MClaudia Pèrez Escalante
    ingeniería DE SISTEMAS

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 17

    Buenas Prcticas en Seguridad de la Informacin

    Expositores
    Agencia para el Desarrollo del Gobierno de Gestin Electrnica y la Sociedad de la Informacin y del Conocimiento

    NDICE

    Buenas Prcticas en Seguridad de la Informacin

    Objetivo

    Productos

    Cronograma

    Como seguimos

    Contacto
    Agencia para el Desarrollo del Gobierno de Gestin Electrnica y la Sociedad de la Informacin y del Conocimiento

    BUENAS PRCTICAS en SEGURIDAD de la


    INFORMACIN
    Desde la AGESIC se est trabajando en varias iniciativas
    que buscan fortalecer la Seguridad de la Informacin en el
    Estado. Algunos ejemplos de esto son:

    CERTuy
    Proyecto de de implantacin de la familia de normas
    ISO/IEC 27001 en organismos de la administracin
    central
    Gua para la implementacin de la Ley de Proteccin de
    Datos Personales
    Agencia para el Desarrollo del Gobierno de Gestin Electrnica y la Sociedad de la Informacin y del Conocimiento

    BUENAS PRCTICAS en SEGURIDAD de la


    INFORMACIN
    Existe una realidad dispar en materia de seguridad
    de la informacin en el Estado Uruguayo.

    Contamos con organizaciones que tienen


    actualmente SGSI implantados, conforme a normas
    internacionalmente aceptadas.

    As como organismos que an no han identificado la


    importancia de estos temas.
    Agencia para el Desarrollo del Gobierno de Gestin Electrnica y la Sociedad de la Informacin y del Conocimiento

    OBJETIVO

    Mejorar la seguridad de la informacin en las


    dependencias Estatales.

    Facilitar herramientas que ayuden en la implantacin de


    buenas prcticas de seguridad de la informacin.

    Preservar la confidencialidad, integridad y disponibilidad


    de los Activos de informacin del Estado.
    Agencia para el Desarrollo del Gobierno de Gestin Electrnica y la Sociedad de la Informacin y del Conocimiento

    PRODUCTOS
    Directrices para la aplicacin de la Ley 18.331 segn la
    familia de Normas ISO/IEC 27000

    Catlogo de Normas de Seguridad de la Informacin

    Modelo de Poltica de Seguridad de la Informacin

    Escala de Clasificacin para Activos de Informacin

    Gestin de Riesgo de Sistemas de Informacin

    Incidentes de Seguridad (CERTuy)


    Agencia para el Desarrollo del Gobierno de Gestin Electrnica y la Sociedad de la Informacin y del Conocimiento

    DIRECTRIZ para la aplicacin Ley 18.331

    Con el objeto de facilitar a los directores de empresas pblicas y


    privadas la adopcin de la ley y su correspondiente reglamentacin, es
    que AGESIC elabor y pondr a disposicin una gua con el propsito
    de facilitar el desarrollo y cumplimiento de la normativa sobre
    proteccin de datos personales.

    Con esta directriz se pretende, en base a lo dispuesto por la Ley,


    acercar buenas prcticas aceptadas internacionalmente en materia de
    seguridad de la informacin a nuestras organizaciones y empresas.
    Es as que se establece una relacin directa de los principios
    desarrollados en la Ley contra los controles de la norma UNIT-ISO/IEC
    27002.
    Agencia para el Desarrollo del Gobierno de Gestin Electrnica y la Sociedad de la Informacin y del Conocimiento

    CATLOGO de NORMAS de SEGURIDAD de


    la INFORMACIN
    El Catlogo de Normas en Seguridad de la Informacin,
    contendr un conjunto mnimo de especificaciones, normas y
    publicaciones en materia de Seguridad de la Informacin.

    Los Organismos de la administracin pblica debern tomar


    como referencia las normas detalladas en este documento, a
    fin de gestionar la seguridad de la informacin en cada
    Organismo.
    Agencia para el Desarrollo del Gobierno de Gestin Electrnica y la Sociedad de la Informacin y del Conocimiento

    POLTICA de SEGURIDAD de la INFORMACIN

    Se ha elaborado un modelo de Poltica de Seguridad de la


    Informacin para los Organismos del Estado, con el fin
    recomendar la implementacin un Sistema de Gestin de
    Seguridad de la Informacin en la administracin pblica.

    Las Direcciones de los Organismos, sern quienes tengan el


    cometido de reconocer la importancia, de identificar y
    proteger los activos de informacin de cada Organismo a
    travs de la aprobacin y ejecucin de esta poltica.
    Agencia para el Desarrollo del Gobierno de Gestin Electrnica y la Sociedad de la Informacin y del Conocimiento

    POLTICA de SEGURIDAD de la INFORMACIN

    La Poltica de Seguridad de la Informacin, es de aplicacin


    obligatoria y deber ser conocida y cumplida por todo el
    personal de los Organismos, integrndose a la normativa
    bsica del Organismo, incluyendo su difusin previa, y la
    instrumentacin de las sanciones correspondientes por
    incumplimiento.
    Agencia para el Desarrollo del Gobierno de Gestin Electrnica y la Sociedad de la Informacin y del Conocimiento

    ESCALA de CLASIFICACIN de ACTIVOS de


    INFORMACIN
    Los Organismos del Estado deben tener conocimiento sobre los
    activos de informacin que posen, estos activos de informacin
    debern ser clasificados de acuerdo a su Confidencialidad,
    Integridad y Disponibilidad.

    Con el fin de garantizar que los activos de informacin reciban un


    apropiado nivel de proteccin, de clasificar la informacin para
    sealar su sensibilidad y criticidad y de definir niveles de proteccin
    y medidas de tratamiento acordes a su clasificacin. Es que AGESIC
    recomendar una escala de clasificacin para los activos de
    informacin de los Organismos Estatales.
    Agencia para el Desarrollo del Gobierno de Gestin Electrnica y la Sociedad de la Informacin y del Conocimiento

    GESTIN de RIESGO de SISTEMAS de


    INFORMACIN
    Evaluacin de Riesgos, es la evaluacin de las amenazas y
    vulnerabilidades relativas a la informacin y a las instalaciones de
    procesamiento de la misma, la probabilidad de que ocurran y su
    potencial impacto en la operatoria de los Organismos.

    Administracin de Riesgos, es el proceso de identificacin, control


    y minimizacin o eliminacin, a un costo aceptable, de los riesgos
    de seguridad que podran afectar a la informacin. Dicho proceso
    es cclico y debe llevarse a cabo en forma peridica.

    AGESIC recomendar una Metodologa y una Herramienta para la


    Gestin de Riesgo en los Organismos del Estado.
    Agencia para el Desarrollo del Gobierno de Gestin Electrnica y la Sociedad de la Informacin y del Conocimiento

    INCIDENTES de SEGURIDAD (CERTuy)


    Con el objetivo de establecer los lineamientos generales para la
    gestin de incidentes de seguridad de la informacin y
    teniendo como nico punto de contacto el CERTuy (Centro
    Nacional de Respuesta a Incidentes en Seguridad Informtica).
    AGESIC propondr:

    Poltica de Gestin de Incidentes de Seguridad


    Recomendaciones sobre Gestin de Incidentes
    Modelo de Plan de Gestin de Incidentes de Seguridad
    Plantillas para el Registro de Incidentes de Seguridad de la
    Informacin
    Recomendaciones de prcticas Forenses (recoleccin y
    tratamiento)
    Agencia para el Desarrollo del Gobierno de Gestin Electrnica y la Sociedad de la Informacin y del Conocimiento

    CRONOGRAMA
    FASES PRODUCTO INICIO FIN
    Etapa: 1 Directriz para la implementacin de la Ley 18331 mar-09 Set 09
    Etapa: 2 Catlogo de normas de Seguridad de la Informacin mar-09 Set 09
    Etapa: 3 Modelo de Poltica de Seguridad de la Informacin abr-09 Set 09
    Etapa: 4 Escala de clasificacin de activos de Informacin jun-09 Set 09
    Etapa: 5 Metodologa de Gestin de Riesgo de SI recomendada para el Estado ago-09 oct-09
    Etapa: 6 Informe Herramienta para la Gestin del Riesgo Set 09 oct-09
    Etapa: 7 Poltica de Gestin de Incidentes de Seguridad oct-09 oct-09
    Etapa: 8 Recomendaciones sobre Gestin de Incidente oct-09 dic-09
    Etapa: 9 Modelo de Plan de Gestin de Incidentes de Seguridad oct-09 dic-09
    Etapa: 10 Plantillas de Registro de Incidentes oct-09 dic-09
    Etapa: 11 Talleres Marco de Seguridad de la Informacin para el Estado oct-09 dic-09
    Etapa: 12 Recomendaciones Prcticas Forenses (recoleccin y tratamiento) oct-09 dic-09
    Agencia para el Desarrollo del Gobierno de Gestin Electrnica y la Sociedad de la Informacin y del Conocimiento

    COMO SEGUIMOS

    Los documentos relacionados a este proyecto estarn


    disponibles en el sitio de AGESIC www.agesic.gub.uy en
    su versin imprimible desde Diciembre del 2009.

    A partir de eso se desarrollarn actividades de difusin y


    capacitacin que permitirn a los organismos y empresas
    interesadas profundizar en cada uno de los conceptos.
    Agencia para el Desarrollo del Gobierno de Gestin Electrnica y la Sociedad de la Informacin y del Conocimiento

    INFORMACIN de CONTACTO

    Por informacin sobre este proyecto consultar en:

    normasti@agesic.gub.uy
    Agencia
    Agencia para
    para el
    el Desarrollo
    Desarrollo del
    del Gobierno
    Gobierno de
    de Gestin
    Gestin Electrnica
    Electrnica y
    y la
    la Sociedad
    Sociedad de
    de la
    la Informacin
    Informacin y
    y del
    del Conocimiento
    Conocimiento

    Preguntas?

    Esperamos tus comentarios, aportes y


    sugerencias.
    consultas@agesic.gub.uy

    Muchas gracias !!
    www.agesic.gub.uy

    Você também pode gostar