Seguridad de la

Informacin
GERENCIA DE INFORMTICA Y TECNOLOGA ELECTORAL
Asistentes de Cmputo Descentralizado
Agosto de 2014

Contenido

Marco normativo
Definiciones previas
Seguridad de la informacin
Estructura para la seguridad de la informacin
Poltica y objetivos de seguridad de la informacin
Sistema de Gestin de Seguridad de la Informacin
Incidentes de seguridad de la informacin
Buenas prcticas en seguridad de la informacin

Saberes previos

Qu es informacin?
Seguridad de la informacin = a seguridad informtica?
Qu es un Sistema de Gestin de Seguridad de la Informacin?

Por qu es importante mantener la seguridad de la informacin en

la ODPE?

Objetivos

Conocer conceptos bsicos sobre Seguridad de la Informacin y

Sistema de Gestin de Seguridad de la Informacin (SGSI).
Difundir y concientizar sobre la Poltica y los Objetivos de Seguridad de
la Informacin.
Establecer los criterios para identificar y registrar incidentes de
seguridad de la informacin en el presente proceso electoral
Sensibilizar sobre buenas prcticas en seguridad de la informacin.

Marco Normati

Resolucin Ministerial N 129-2012-PCM. Norma Tcnica

Peruana

NTP-ISO/IEC

27001:2008

EDI

Tecnologa

de

Informacin. Tcnica de seguridad. Sistemas de gestin de

seguridad de la Informacin. Requisitos.
Resolucin Jefatural N 260-2013-J/ONPE. La cual aprueba la
Poltica de Seguridad de la Informacin y los objetivos de
seguridad de la Informacin.

Definiciones Previa

Qu es Informacin ?
Segn diccionario :
es un conjunto de datos que
lleva un mensaje
es un activo que, como otros
activos importantes del negocio,
tiene valor para la organizacin y
requiere en consecuencia una
proteccin adecuada

Blah!

Definiciones Previa

Activo
Algo que tiene valor para la organizacin .

Amenaza
Una causa potencial de un incidente no deseado, que puede resultar en
dao para un sistema u organizacin.

Definiciones Previa
Vulnerabilidad
Debilidades de seguridad asociadas con
los activos de informacin que pueden
ser aprovechados por una o ms
amenazas.
Control
Herramienta de la gestin de riesgo,
incluyendo polticas, procedimientos ,
directrices, prcticas o estructuras
organizacionales, las cuales pueden ser
de naturaleza administrativa, tcnica,
de gestin o legal

Definiciones Previa
Riesgo
La probabilidad que una amenaza pueda explotar
una vulnerabilidad particular

Impacto
Es la consecuencia de la materializacin
de una amenaza sobre un activo .

Definiciones Previa
ACTIVO

AMENAZA

VULNERABILIDAD

Local de la ODPE

Actos de vandalismo

Ausencia de vigilancia policial

Local de la ODPE

Incendio

Presencia de material inflamable

Servidor Nacin

Falla de hardware

Ausencia de mantenimiento

Estacin de
digitacin

Acceso
autorizado

Software
Electoral
Software
Electoral

Cdigo
malicioso
(virus)
Abuso de privilegios
de acceso

Antivirus desactualizado

Digitador

Renuncia

Falta de incentivos

Digitador

Error humano

Falta de capacitacin

Acta electoral

Modificacin

Ausencia de precinto de seguridad

Jefe de ODPE

Extorsin

Conflicto de intereses

no

Contrasea de inicio de sesin fcil de

predecir

No existe segregacin de funciones

Seguridad de la Informac
La propiedad por la que la informacin
no se pone a disposicin o se revela a
individuos, entidades o procesos no
autorizados.

E
AM

Confidencialidad

S
ZA
NA

Proteger con
CONTROLES

Informacin

VULNERABILIDADES

Activo
Disponibilidad
La propiedad de ser accesible y
utilizable
por
una
entidad
autorizada.
Preservar la CONFIDENCIALIDAD, INTEGRIDAD y

Integridad
La propiedad de
proteger
la
exactitud
y completitud de los
activos.
DISPONIBILIDAD de la informacin; adems,

pueden ser involucradas otras caractersticas como la autenticacin,

fiabilidad. (ISO/ IEC 17799 : 2005 )

responsabilidad, no repudio y

Amenazas
Ultimo parches no instalados
Spamming

Violacin de contraseas
Trafico de informacin
Conmocin Social
Actos Vandalismo
Acceso clandestino a redes
Indisponibilidad de los resultados
electorales
Error en el ingreso de datos
Alteracin de actas electorales
Robo de actas electorales

Puertos vulnerables abiertos

Amenazas

Programas bomba, troyanos

Virus

Acceso indebido a documentos impresos

Falla de hardware y software
Instalaciones default
Indisponibilidad de los servicios de TI
Denegacin de servicios

Intercepcin de comunicaciones voz y wireless

Vulnerabilidades

Inadecuado compromiso de la direccin.

Personal no capacitado y concientizado.
Inadecuada asignacin de responsabilidades.
Ausencia de polticas/ procedimientos.
Ausencia de controles fsicos y/o lgicos
Ausencia de reportes de incidentes y vulnerabilidades.
Inadecuado seguimiento y monitoreo de los controles.
Ausencia de vigilancia policial
Antivirus desactualizado
Ausencia de mantenimiento preventivo y correctivo
Compartir contraseas
Crear contraseas dbiles

Controles
Clasificacin de Controles de Seguridad

Control
Tcnico
Control
Gerencial

Control
Adminis
trativo

Control
Legal

Estructura para la Seguridad

de la Informacin
Jefatura Nacional
(JN)
Comit de Gestin de
Seguridad de la Informacin
(CGSI)

Oficial de Seguridad de la
Informacin (OSI)
Colaborador
rganos de la
ONPE

(Especialista en Seguridad)

Colaborador
(Especialista en Seguridad)

rganos
desconcentrados
(ORC)
rganos
Descentralizados
(ODPE)

Entre sus funciones estn:

- Revisar y proponer a la Jefatura
Nacional, las polticas, normas,
controles,
procedimientos
y
responsabilidades
generales,
asociados a la seguridad de la
Informacin, para su respectiva
aprobacin.
- Revisar las iniciativas para
incrementar la seguridad de la
informacin, propuestas por el
Comit Operativo de Seguridad
de la Informacin, o por un rea
en particular de la ONPE. Estas
propuestas sern elevadas a la
Jefatura Nacional para su
posterior aprobacin.

Comit Operativo de
Seguridad de la
Informacin (COSI)

Polticas y objetivos de seguridad

de la informacin
Incentivar la participacin del
personal
a travs de
la
sensibilizacin en las buenas
prcticas de seguridad de la
informacin.

Cumplimiento de
los requisitos
legales u otros
documentos
normativos

La continuidad de
los servicios que
brindamos

Promocin de una
cultura en
Seguridad de la
Informacin

La proteccin de la
informacin

O
B
J
E
T
I
V
O
S

Asegurar la revisin continua de

la efectividad de los controles
de Seguridad de la Informacin
implementados en la ONPE.

Asegurar la continuidad de los

servicios
mediante
el
tratamiento de los incidentes
y eventos de Seguridad de la
Informacin
en
tiempo
oportuno.

 A quien compete la Seguridad de la

Informacin en una organizacin?
Gerentes de la
Organizacin

Personal de TI

La SI es
tarea de
todos

Personal en General

Auditores Internos,
OCI

Sistema de Gestin de Seguridad

de la Informacin (SGSI)
El Sistema de Gestin de la Seguridad de la Informacin (SGSI) es la
parte del sistema de gestin global basada en un enfoque de riesgos del
negocio, para establecer, implementar, operar, monitorear, revisar,
mantener y mejorar la seguridad de la informacin.

PARTES INTERESADAS
Requerimientos y Expectativas

PARTES INTERESADAS
Seguridad de la Informacin
Administrada

SGSI

Sistema de Gestin de Seguridad

de la Informacin (SGSI)
Establecer el SGSI

Mantener y
mejorar el
SGSI

Implementar el
SGSI

SGSI

Monitorear y revisar
el SGSI

Mapa de proces

Beneficios de un SGSI

Proteccin de la Confidencialidad, Integridad y Disponibilidad de los

resultados electorales.
Proteccin de los activos de la ODPE.
Gestin de los riesgos para el desarrollo de procesos electorales.
Garantiza la continuidad de las operaciones en el cmputo de
resultados.
Mejora la imagen y confianza de la ONPE ante los dems
organismos electorales y ciudadana en general.

Incidentes de seguridad

Qu es la gestin de incidente?
Proceso para detectar, comunicar, evaluar , responder hacer frente
y aprender de incidentes de seguridad de la informacin.
Que es un incidente de seguridad de la informacin?
Una serie de eventos no deseados que tiene una probabilidad
significativa de comprometer operaciones
del negocio y
amenazar la seguridad de la informacin.
Cmo reportar un incidente?
Llamando al centro de soporte
Informtico
Mediante un correo electrnico

Incidentes de seguridad

Incidente

Divulgacin no autorizado de informacin confidencial.

Robo o prdida del material electoral (acta electoral, lista de electores,
hologramas, etc).
Ataque o infeccin por cdigo malicioso (virus, gusano, troyano, etc.).
Actos de vandalismo en la ODPE.
Robo de equipos informticos.
Prdida de las telecomunicaciones.
Sesin abierta de algn empleado.
Ingreso de personal no autorizado al rea de procesamiento.
Robo de la barra del pozo de puesta a tierra.
Ingreso de equipos informticos no autorizado al rea de
procesamiento.

Polticas Especificas
Basadas en el ISO 27002
Polticas generales de
seguridad de la informacin
Organizacin de la Seguridad

Seguridad de recursos Humanos

Gestin de Comunicaciones
y Operaciones
Gestin de
incidentes de seguridad
Seguridad organizativa

Clasificacin de activos
de informacin
Seguridad Fsica y Ambiental

Control de acceso

Adquisicin ,desarrollo y
Mantenimiento de sistemas
de informacin

Gestin de la
continuidad del negocio
Seguridad lgica

Seguridad fsica

Cumplimiento de la
normativa legal
Seguridad legal

OD02-GSIE-TI-Manual de polticas de seguridad de informacin para el

sistema de computo electoral

Seguridad de la
Informacin

BUENAS PRACTICAS DE
SEGURIDAD DE LA
INFORMACIN

Correo
electrnico

Contraseas seguras

Antivirus

Protege tu informacin

Protege tu informacin

Protege tu informacin

Protege tu informacin

Uso del fotocheck

Preguntas finales

Cmo garantizamos el cumplimiento de la seguridad de la

informacin?
Qu hacemos si se caen los servidores de base de datos del CDP?

As como los centros de cmputo tienen su lugar de contingencia A

dnde operamos si la Sede Principal no est disponible?

Deshabilitamos los servicios innecesarios y cambiamos la

configuracin por defecto de los servidores y equipos de
comunicaciones?

Hacemos que tu voto

cuente