describimos como son afectados las regiones naturales del peru por la ola de ...
Seguridad datos ciudadanos e-Administración
1. ¿Están seguros nuestros datos? Javier Cao Avellaneda Director Técnico Área Seguridad de la Información
2. Agenda Problemática de seguridad en la e-Administración Medidas de seguridad del ENS Sinergias de cumplimiento en materia de seguridad
3. ¿Están seguros los datos de los ciudadanos? Para hablar de seguridad debemos responder a tres cuestiones: ¿En qué contexto o situación?- Escenario de batalla ¿Protegidos frente a qué? – Amenazas ¿Protegidos de quién? – Enemigos
11. Daños a la información DISPONIBILIDAD CONFIDENCIALIDAD INTERRUPCIÓN INTERCEPTACIÓN FABRICACIÓN MODIFICACIÓN AUTENTICACIÓN y TRAZABILIDAD INTEGRIDAD
12. ¿Qué puede pasar?- Amenazas ALTERACIÓN DE INFORMACIÓN FRAUDE O ENGAÑO VULNERABILIDADES HACKING o DoS FRAUDE O ENGAÑO SUPLANTACION DE IDENTIDAD (PHISHING) MALWARE CAIDA DE SERVICIOS TI MALWARE
13. ¿Quiénes son los enemigos? La mayoría de la gente asumirá que todo es seguro hasta que se les muestren evidencias significativas de lo contrario, lo inverso de lo que sugiere una aproximación razonable.
23. " Éxitos conocidos " … En las últimas semanas, varios ataques de la delincuencia informática han alterado los sistemas informáticos que permiten a los países gestionar sus cuotas nacionales en relación a la emisión de gases de CO₂ de acuerdo a convenios internacionales (el Protocolo de Kioto y el sistema europeo). Se basa en la gestión de derechos y su adquisición permite poder emitir el equivalente de una tonelada de dióxido de carbono durante un período determinado.Utilizando estas credenciales, los delincuentes informáticos han podido durante meses comercializar estos derechos. Durante los últimos 18 meses, el fraude en el mercado de emisiones de CO ₂ ha causado una pérdida fiscal de 5 mil millones de euros. Dicho acceso también sería útil para los mayores emisores de dióxido de carbono, los países podían manipular los contingentes internacionales para reducir sus penas. El siguiente diagrama de Europol (EuropeanLawEnforcement Agency), explica cómo se diseño el fraude. Fraude: 5.000 millones de euros. http://www.europol.europa.eu/index.asp?page=news&news=pr091209.htm http://news.bbc.co.uk/2/hi/technology/8497129.stm
24.
25.
26.
27.
28.
29. Agenda Problemática de seguridad en la e-Administración Medidas de seguridad del ENS Sinergias de cumplimiento en materia de seguridad
30.
31.
32. Medidas de seguridad a desplegar ¿Quién lo hará? Procesos de seguridad Medidas concretas
37. ALTOLAS MEDIDAS SE INCREMENTAN EN BASE AL PRINCIPIO DE PROPORCIONALIDAD.
38. Valoración del impacto Sede elecrtónica Tramites administrativos Pagos Contabilidad Dirección RR.HH. M A M M M A M A A M A M M M M M M B M B B A M A B M M B B A M B B A M M M A M M M A M M A A B M B B M C D1 I
39. Elementos de la seguridad Medidas de seguridad Salvaguardas Amenazas Incendio Corte Eléctrico Fallecimiento empleado Virus Fuga de datos Impacto Vulnerabilidades = x Daños Posibilidad RIESGO
40. = x Daños Posibilidad RIESGO Vulnerabilidad Impacto RIESGO Error de programación. 3 Compromiso de información ANALISIS DE RIESGOS 1 = Malware. 2 Avería o corte de suministro. 2 3 2 4 2 2 6 3 2 8 4 4 C D1 1 3 5 3 4 3 1 2 3 2 4 3 3 9 5 3 4 3 2 4 6 4 8 6 I 2 Fuego 2
41.
42.
43.
44. Estrategia de las medidas RIESGO Prevención INCIDENTE Detección Represión DAÑOS Corrección RECUPERACIÓN Recuperación
45. Agenda Problemática de seguridad en la e-Administración Medidas de seguridad del ENS Sinergias de cumplimiento en materia de seguridad
46. Necesidad de la normalización “- ¿Puedo estar tranquilo? La información que procesamos es crítica y necesita unas mínimas medidas de seguridad.” “- No se preocupe.Nuestra empresa dispone de las medidas de seguridad necesarias para proteger su información”
47. Marco internacional ISO 27001: Especificación para la construcción de un SGSI. Especifica los REQUISITOS para ESTABLECER, IMPLANTAR, DOCUMENTAR y EVALUAR un SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN de acuerdo con la Norma ISO /IEC 27002 dentro del CONTEXTO de los RIESGOS identificados por la ORGANIZACIÓN. ISO 27002: Buenas prácticas para la gestión de la seguridad. Define los objetivos de control (finalidades) y controles de seguridad (contramedidas) a utilizar para reducir y/o mitigar riesgos. Define 11 bloques de control, 39 objetivos y 133 controles.
48. Marco internacional UNE-ISO/IEC 27001:2005 R.D. 3/2010 ESQUEMA NACIONAL DE SEGURIDAD R.D. 1720/2007 RD LOPD INFORMACIÓN Información de servicios e-Administración Medida de seguridad Datos de carácter personal
50. UNE-ISO/IEC 27001:2007 R P M R P A D D ISO 27001:2005 SGSI ESPECIFICACIÓN ISO 27001 Procedimientos SGSI Documentos SGSI Auditorias Registros SGSI CONTROLES ISO 27002 ISO 27002:2005 Procedimientos seguridad Procesos Medidas Registros seguridad ACTIVOS
51.
52. Implantar los controles- Definir la Política de Seguridad - Establecer categorías - Realizar el análisis de riesgos - Seleccionar los controles - Realizar auditorias del ENS - Adoptar acciones correctivas - Adoptar acciones preventivas
53. Auditoría única dentro del SGSI Con un sistema de gestión de la seguridad de la información, es viable la unificación del esfuerzo de auditoría para revisar, en una única vez, el cumplimiento de: R.D. 1720/2007, RDLOPD. R.D. 3/2010, ENS. UNE-ISO/IEC 27001:2007
54. Conclusiones El ENS establece un conjunto suficiente de garantías si: Se implanta ANTES de poner en marcha las sedes electrónicas. Se audita su correcto funcionamiento por personal cualificado. Se diferencia
55. El enemigo no avisa. ¡ GRACIAS!. Más información en: http://seguridad-de-la-informacion.blogspot.com