View
441
Download
2
Category
Preview:
DESCRIPTION
2° Congreso Internacional de Ingeniería - 24 y 25 de Octubre de 2013 - Bogotá D.C. - Universidad de Cundinamarca - Facultad de Ingeniería Conferencista Magistral: Jorge Fernando Bejarano Lobo
Citation preview
bbb
Acciones de MinTIC en Seguridad y Privacidad para
el Estado ColombianoOctubre de 2013
Nuestro objetivo
Elevar los niveles de seguridad y privacidad en el uso y
aprovechamiento de las T.I. en el Estado, mediante la formulación de
lineamientos y políticas que contribuyan a la calidad y confianza de
los servicios ofrecidos al ciudadano.Apoyamos el 5to. Principio básico del Plan Vive Digital: El Gobierno da ejemplo
Contexto…
Amenazas de seguridad
• +550 sitios (2011)• +500 sitios (2012)• +100 sitios (2013)
Ataques exitosos a entidades de gobiernoFuente: CSIRT PONAL
Baja sensibilidad
• +45% entidades del orden nacional no han adoptado un SGSIFuente: COLNODO –
Dic.2012
• +Malware• +Ingeniería social• +Móviles• +Cloud Computing• …
Poca articulación
entre Entidades
• Trabajos independientes
• Procedimientos sin articulación
• Falta de comunicación
Baja capacidad de respuesta
• Indisponibilidad prolongada
• Carencia de procedimientos
• Atención reactiva• T.H. poco capacitado
Fuente: DEATI
Complejidad heterogénea
• Debilidades organizacionales
• Múltiples plataformas y Sistemas de información
Nueva Estructura Min TICMediante el decreto 2618 de 2012 se crea el Viceministerio de TI
Despacho Ministro
Viceministro de Tecnologías y Sistemas de la Información
Dirección de Políticas y Desarrollo de Tecnologías de
la Información
Dirección de Estándares y Arquitectura de Tecnologías de la Información
Subdirección de Gestión Pública de TI
Subdirección de Seguridad y Privacidad de Tecnologías de la
Información
Dirección de Gobierno en Línea
Formular lineamientos
Sensibilizar y concientizar
Fomentar y reforzar la cooperación nacional e internacional
Asesorar y acompañar a las entidades en el SGSI
Promover la creación de perfiles - CISO
Objetivos de la Subdirección de Seguridad y Privacidad
Seguridad de la Información
Infraestructura crítica
Modelo de seguridad – Intranet
Gubernamental
Modelo de seguridad - Entidades
Acompañamiento y capacitaciónSensibilización
I+D+i
Cooperación Nacional e
Internacional
Monitoreo y evaluación
¿Qué frentes trabajamos?
Seguridad de la Información
Infraestructura crítica
Modelo de seguridad – Intranet
Gubernamental
Modelo de seguridad - Entidades
Acompañamiento y capacitaciónSensibilización
I+D+i
Cooperación Nacional e
Internacional
Monitoreo y evaluación
¿Qué frentes trabajamos?
¿Qué se está haciendo en cuanto a la infraestructura crítica?
Trabajando en equipo
Estrategia TOP 10
Seleccionar los 10 sistemas de información mas críticos en impacto cibernético para el país
•Definir metodología de selección.•¿Qué han hecho otros gobiernos?•Investigación sobre sectores críticos•Impacto económico•Impacto público social•Impacto medioambiental
Seguridad de la Información
Infraestructura crítica
Modelo de seguridad – Intranet
Gubernamental
Modelo de seguridad - Entidades
Acompañamiento y capacitaciónSensibilización
I+D+i
Cooperación Nacional e
Internacional
Monitoreo y evaluación
¿Qué frentes trabajamos?
¿Qué se está haciendo en cuanto a la Intranet Gubernamental?
Intranet Gubernamental
La Intranet Gubernamental – La nube privada para las entidades del estado
Qué es la Intranet Gubernamental
Está compuesta por una plataforma de Interoperabilidad y una Infraestructura Tecnológica (RAVEC, Centro de Datos y Centro de Contacto Ciudadano, administración de aplicaciones, mantenimiento de aplicaciones).
Intranet Gubernament
al
Compartir recursos
Intercambiar información
Realizar procesos y actividades
conjuntasDesarrollar trámites y
servicios en líneaFacilitar el acceso de todos los ciudadanos a su información y
servicios
Intranet GubernamentalEL Centro de Datos, es un esquema de Servicios Compartidos para lograr que los servicios del Estado sean más eficientes y que las entidades Estatales colombianas se acerquen a los ciudadanos a través de la tecnología, garantizando el uso de los más altos estándares de seguridad en el manejo de la información.
Centro de Datos
Sitios Web de 1062 Alcaldías Municipales
9 Gobernaciones368 Sitios Web entre Concejos
Municipales, Asambleas Departamentales, Personerias,
Hospitales120 aplicaciones alojadas
Servicios Intranet Gubernamental
Múltiples servicios: • Transferencia de archivos,
acceso a aplicativos, portal único de contratación (PUC), portal del estado colombiano (PEC), sistema de información financiera (SIIF), ventanilla única de comercio exterior (VUCE), entre otras.
Facilita la interconexión con 120 entidades:• Todos los Ministerios.• Superintendencias.• Contraloría.• Procuraduría.• Fiscalía.• Organismos de Seguridad.
RAVEC
Servicios Intranet Gubernamental
Centro de Contacto
Ciudadano - CCC
Múltiples Canales
Atención, respuestas inmediatas y seguimiento
a las solicitudes de ciudadanos, empresas y
servidores públicos.
Campañas informativas de Gobierno en Línea y las
entidades que así lo requieran ( Ola Invernal,
Urna de Cristal , entre otras)
Alcance del Modelo de Seguridad – Intranet Gubernamental
Políticas y principios de
seguridad
Modelo de seguridad alineación
a la norma ISO 27001
Organización de la seguridad – Comité
de seguridad
Gestión de Riesgos alineado a la
Norma ISO 27005
Análisis de Impacto al
Servicio (BIA)
Segmentación en Zonas de Seguridad
Seguridad en profundidad -
Anillos de Seguridad
Análisis permanente de
Vulnerabilidades
Actualizaciones permanentes de
Seguridad
Auditorías internas y auditorías Externas
de Seguridad
Mejora continua (Revisiones
periódicas al modelo)
Infraestructura de Seguridad
Seguridad de la Información
Infraestructura crítica
Modelo de seguridad – Intranet
Gubernamental
Modelo de seguridad - Entidades
Acompañamiento y capacitaciónSensibilización
I+D+i
Cooperación Nacional e
Internacional
Monitoreo y evaluación
¿Qué se está haciendo en cuanto al modelo de gestión de seguridad para las entidades?
2013201120102008
Evolución del Modelo de Seguridad de la Información
Sistema Administrativo
Nacional de Seguridad de la Información –
GEL
Modelo de Seguridad de la Información – GEL Auditoria
Nuevo Modelo de Seguridad
de la Información –
Subdirección de Seguridad y Privacidad
(en construcción)
Modelo de Seguridad de la Información 2.0
Modelo Seguridad de la Información
- Entidades
ISO 27001:2005 va a cambiar
Lineamientos para la protección de
datos
Lineamientos para la preservación de
la información pública
Lineamientos Dispositivos
Móviles y BYODAlineación a
mejores prácticasFortalecimiento
de enfoque a Política Nacional
¿Porqué actualizar el modelo?
Incorporación de lineamientos para la preservación de la información pública ante situaciones de desastre
• Generar conciencia para mantener disponible la información critica del Estado, para cuando sea requerida.
• Preparar a las entidades en caso de eventos, incidentes e interrupciones que puedan afectar las funciones críticas de TI.
• Basado en estándares como ISO 27031, ITIL, COBIT y normativas locales.
Formulando lineamientos para dispositivos móviles y BYOD
• Tener políticas claras.• Generar conciencia en cuanto al uso
de estos dispositivos.• Basado en la NIST SP800-124.rev1,
asegurando dispositivos móviles COBIT 5 – ISACA, entre otros.
• Ofrecer un marco de referencia que las entidades puedan adoptar.
•Lista blanca de la SIC•Mejores prácticas (ej. Cloud Security Alliance)
Cloud Computing
•Caracterización de los datos•Términos de uso relacionados con los datos Privacidad
•Transmisiones a Encargados del Tratamiento – Contrato de transmisión
Transferencia internacional de datos
• Trazabilidad•Accountability
Responsabilidad
Aspectos a contemplar sobre Protección de Datos
Seguridad de la Información
Infraestructura crítica
Modelo de seguridad – Intranet
Gubernamental
Modelo de seguridad - Entidades
Acompañamiento y capacitaciónSensibilización
I+D+i
Cooperación Nacional e
Internacional
Monitoreo y evaluación
¿Qué se está haciendo en cuanto a Capacitación de servidores públicos?
Capacitación y sensibilizaciónDesde el año 2008 se han capacitado funcionarios del estado en seguridad de la información; tenemos lo siguiente:
Participación de entidades de los 24 sectores232 entidades participaron en las capitaciones
Decenas de jornadas de sensibilización6238 funcionarios capacitados a través de plataformas virtuales y seminarios.
Capacitaciones a Servidores Públicos en Seguridad de la Información
Seguridad de la Información
Infraestructura crítica
Modelo de seguridad – Intranet
Gubernamental
Modelo de seguridad - Entidades
Acompañamiento y capacitaciónSensibilización
I+D+i
Cooperación Nacional e
Internacional
Monitoreo y evaluación
¿Qué se está haciendo en cuanto a Sensibilización ciudadana?
• Es la Política Nacional de Uso Responsable de las TIC del MinTIC.
• Tenemos un compromiso como usuarios: – Hacer y promover usos responsables, productivos, creativos,
respetuosos y seguros de las TIC.– Mejorar nuestra calidad de vida y la de todos los colombianos
Seguridad de la Información
Infraestructura crítica
Modelo de seguridad – Intranet
Gubernamental
Modelo de seguridad - Entidades
Acompañamiento y capacitaciónSensibilización
I+D+i
Cooperación Nacional e
Internacional
Monitoreo y evaluación
¿Qué se está haciendo en cuanto a I+D+i?
Industria
Academia
Estado
Agenda
Estratégica de Innova
ción
Iniciativa I + D + i – Nodo de Innovación de Ciberseguridad
• Es un espacio que facilita la interacción entre entidades de gobierno, instituciones académicas y empresas del sector privado.
• Se elaboró conjuntamente una agenda estratégica del nodo de innovación
• El Estado destinó recursos para financiar proyectos presentados por la academia y el sector privado para buscar soluciones innovadoras a problemas reales.
• Se busca crear una cultura de innovación y relaciones de confianza entre los actores.
Vectores de desarrollo
Principios rectores de
ciberseguridad
Educación, formación
divulgación en ciberseguridad
Gestión integrada de riesgos e incidentes
de naturaleza cibernética
Identificación, autenticación y
autorizaciónAseguramiento de
aplicaciones y ambientes móviles
en el gobiernoTIC para el sector
defensa
http://vivedigital.gov.co/idi/ndi-ciberseguridad/
Seguridad de la Información
Infraestructura crítica
Modelo de seguridad – Intranet
Gubernamental
Modelo de seguridad - Entidades
Acompañamiento y capacitaciónSensibilización
I+D+i
Cooperación Nacional e
Internacional
Monitoreo y evaluación
¿Qué estamos haciendo en Cooperación nacional e internacional y alianzas?
Contribuir en la definición de estándares y buenas practicas.
Convenio Budapest• El 18 de enero de 2013, el Ministerio de
Relaciones Exteriores de Colombia, solicitó su adhesión a la convención de Europa sobre cibercriminalidad (CETS No. 185).
Partnering for Cyber Resilience• El 12 de septiembre de 2012 se firmó el convenio.• El 14 de marzo del presente año, el Ministerio
realizó la primera mesa de trabajo con mas de 40 lideres de diferentes sectores.
Organización de los Estados Americanos - OEA
Sección Económica Departamento de Estado - Embajada Americana
Korea Internet & Security Agency - KISA
Creando Alianzas
colCERT
colCERT – Grupo de Respuesta a Emergencias Cibernéticas de Colombia
CCP – Centro Cibernético Policial
Asobancaria
1. Educación Financiera
2. Uso
responsable de las TIC
3.Comercio
Electrónico
Alianza público privada que permita fortalecer las acciones encaminadas al uso responsable de las tecnologías de la información particularmente en la utilización de los portales transaccionales de los bancos.
Empresas de TI
Riesgos desde la perspectiva
humana
Gestión de Incidentes
Computo forense
Sistema de Gestión de la Seguridad de
la Información
Estándares y buenas
prácticas
Alianza para la capacitación y formación de Gestores de la Seguridad de la Información
.CO Internet NAP Colombia - CCIT
(en desarrollo)
Análisis de riesgos
Gestión de Incidentes
Fortalecimiento de
capacidades
Coordinación de acciones con las
entidades
Sensibilización
Lineamientos (Ej.DNS)
Alianzas para participar y apoyar esfuerzos, actividades y procesos que contribuyan a mantener, preservar y mejorar condiciones de seguridad, integridad y estabilidad.
Actividades conjuntas Grupo de entidades de respuesta a Incidentes de Seguridad Informática
Antes• Advertencias• Planeación• Preparación• Acuerdos
Durante• Monitoreo• Identificación• Evaluación• Atención
Después• Análisis• Seguimiento• Lineamientos• Fortalecimiento
Seguridad de la Información
Infraestructura crítica
Modelo de seguridad – Intranet
Gubernamental
Modelo de seguridad - Entidades
Acompañamiento y capacitaciónSensibilización
I+D+i
Cooperación Nacional e
Internacional
Monitoreo y evaluación
¿Qué se está haciendo en cuanto a monitoreo y evaluación?
Monitoreo y evaluación
Evaluación y seguimiento en el
marco de la estrategia GEL
Formulario Único de Reporte
Nuevo esquema de monitoreo
Acompañamiento especializado
Recommended