Politicas públicas de seguridad de la información

Setiembre 2011

1

Ing. Santiago Paz

AGENDA

2

Agenda

• Contexto y Concepto

• Estrategia y marcos de referencia

• Desarrollo en Uruguay

• Contexto Regional

Gobierno

Ciudadanos

Gobierno ElectrónicoSector Privado

Seguridad de la Información

3

CONFIANZA

El Gobierno Electrónico necesita de Seguridad en las TIC

4

Estratégia de Cyberseguridad

1. Marco jurídico

2. Técnicas y procedimientos

3. Marco Institucional

4. Desarrollo de capacidades

5. Cooperación Institucional

4

Consejo Asesor en Seguridad Informática

• Se crea por ley (18.172)en al año 2007 para

asesorar en políticas y estrategias en

seguridad Informática

• Tiene representación de los órganos de

gobierno involucrados en seguridad:

� Ministerio del Interior

� Ministerio de Defensa

� Presidencia de la Republica

� Universidad de la Republica

� Empresa Nacional de Telecomunicaciones

• Genera ACEPTACION en las decisiones

estratégicas

5

Centro Nacional de Respuesta a Incidentes en Seguridad Informática (CERT-uy)

• Se crea por ley (18362) en el año 2008, regulado por el decreto 451/09

• Tiene como cometidos: -Centralizar y coordinar la respuesta a incidentes en seguridad informática en sistemas críticos del Estado

• Difundir mejores prácticas en Seguridad Informática

• Realizar actividades preventivas

6

Privacidad y Transparencia

• En 2008 se promulgaron las leyes de privacidad y transparencia (18.331 y 18.381)

• En ambos casos se crearon Unidades Reguladoras con Independencia Técnica

• En 2010 se dicto un informe favorable por la UE para la adecuación de Uruguay en privacidad

7

8

Ley de Firma Electrónica

• Ley 18.600:

� Firma Electrónica

� Firma Electrónica avanzada

• Infraestructura Nacional de Certificación Electrónica

� Unidad de Certificación

Electrónica

‒ Consejo Asesor

9

Marco Institucional

• CERTuy

• Unidad de Datos Personales

• Unidad de Acceso a la

Información Pública

• Unidad de Certificación

Electrónica

• Dirección de Seguridad de

la Información

9

AGESIC

Dirección de

Seguridad de la

Información

CERTuy

Normas y

Fiscalización en

TI

Gob. TI

UrcDP UAIP

UCEConsejo de

Seguridad

Gestión, Gobernabilidad

• Modelo de Madurez de Gobierno Electrónico (primera evaluación en 2009)

• Decreto de obligatoriedad de política de seguridad de la información (Dec. 452/09)

• Políticas y guías de referencia

10

11

Desarrollo de capacidades

• Gestión del Conocimiento

� Capacitación

� Becas

� Comunidades de práctica

• Fondos Concursables

• Consultorías de Seguridad

de la Información

11

Cronología en Seguridad de la Información

12

-> Ley de Protección de Datos Personales

-> Ley de Acceso a la Información Publica

-> Consejo Honorario de Seguridad Informática2007

-> Se crea el CERTuy2008

-> Políticas de Seguridad de la Información Obligatorias (dec 452/09)2009

-> Ley de Documento y Firma Electrónica (ley 18600)

2010 -> Se adquiere y comienza la instalación de la PKI Uruguay (INCE)

2011 -> Unidad de Certificación Electrónica-> Se implementa la PKI Uruguay

La Región

• Colombia: Conpes 3701

• Argentina: Programa Nacional de Infraestructuras Críticas de Información y Ciberseguridad

• USA: Ley Federal de Administración de Seguridad de la Información

• Estrategia Interamericana Integral de Seguridad Cibernética // Programa CICTE OEA

13

14

15

Desafíos

16

• Agregar valor desde la seguridad

• Usabilidad vs. Seguridad

• Cyberdelitos

• Alinear esfuerzos

Preguntas

17