Acciones de MinTIC en Seguridad y privacidad de T.I. para el Estado

784 views
592 views

Published on

2° Congreso Internacional de Ingeniería - 24 y 25 de Octubre de 2013 - Bogotá D.C. - Universidad de Cundinamarca - Facultad de Ingeniería
Conferencista Magistral: Jorge Fernando Bejarano Lobo

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
784
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
23
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Acciones de MinTIC en Seguridad y privacidad de T.I. para el Estado

  1. 1. bbb
  2. 2. Acciones de MinTIC en Seguridad y Privacidad para el Estado Colombiano Octubre de 2013
  3. 3. Nuestro objetivo Elevar los niveles de seguridad y privacidad en el uso y aprovechamiento de las T.I. en el Estado, mediante la formulación de lineamientos y políticas que contribuyan a la calidad y confianza de los servicios ofrecidos al ciudadano. Apoyamos el 5to. Principio básico del Plan Vive Digital: El Gobierno da ejemplo
  4. 4. Contexto… Amenazas de seguridad • • • • • • +550 sitios (2011) • +500 sitios (2012) • +100 sitios (2013) Ataques exitosos a entidades de gobierno Fuente: CSIRT PONAL +Malware +Ingeniería social +Móviles +Cloud Computing … Baja capacidad de respuesta Baja sensibilidad Poca articulación entre Entidades • Indisponibilidad prolongada • Carencia de procedimientos • Atención reactiva • T.H. poco capacitado Fuente: DEATI Complejidad heterogénea • +45% entidades del orden nacional no han adoptado un SGSI Fuente: COLNODO – Dic.2012 • Trabajos independientes • Procedimientos sin articulación • Falta de comunicación • Debilidades organizacionales • Múltiples plataformas y Sistemas de información
  5. 5. Nueva Estructura Min TIC Mediante el decreto 2618 de 2012 se crea el Viceministerio de TI Despacho Ministro Viceministro de Tecnologías y Sistemas de la Información Dirección de Políticas y Desarrollo de Tecnologías de la Información Dirección de Estándares y Arquitectura de Tecnologías de la Información Subdirección de Gestión Pública de TI Subdirección de Seguridad y Privacidad de Tecnologías de la Información Dirección de Gobierno en Línea
  6. 6. Objetivos de la Subdirección de Seguridad y Privacidad Formular lineamientos Sensibilizar y concientizar Fomentar y reforzar la cooperación nacional e internacional Asesorar y acompañar a las entidades en el SGSI Promover la creación de perfiles - CISO
  7. 7. ¿Qué frentes trabajamos? Infraestructura crítica Modelo de seguridad – Intranet Gubernamental Monitoreo y evaluación Cooperación Nacional e Internacional Seguridad de la Información Modelo de seguridad Entidades Acompañamiento y capacitación I+D+i Sensibilización
  8. 8. ¿Qué frentes trabajamos? Infraestructura crítica Modelo de seguridad – Intranet Gubernamental Monitoreo y evaluación Cooperación Nacional e Internacional Seguridad de la Información Modelo de seguridad Entidades Acompañamiento y capacitación I+D+i Sensibilización
  9. 9. ¿Qué se está haciendo en cuanto a la infraestructura crítica?
  10. 10. Trabajando en equipo Identificación de infraestructura critica en conjunto con el colCERT Se han organizado mesas de trabajo con expertos - FEM. Sensibilización de altos directivos.
  11. 11. Estrategia TOP 10 Seleccionar los 10 sistemas de información mas críticos en impacto cibernético para el país • Definir metodología de selección. • ¿Qué han hecho otros gobiernos? • Investigación sobre sectores críticos • Impacto económico • Impacto público social • Impacto medioambiental
  12. 12. ¿Qué frentes trabajamos? Infraestructura crítica Modelo de seguridad – Intranet Gubernamental Monitoreo y evaluación Cooperación Nacional e Internacional Seguridad de la Información Modelo de seguridad Entidades Acompañamiento y capacitación I+D+i Sensibilización
  13. 13. ¿Qué se está haciendo en cuanto a la Intranet Gubernamental?
  14. 14. Intranet Gubernamental La Intranet Gubernamental – La nube privada para las entidades del estado
  15. 15. Qué es la Intranet Gubernamental Realizar procesos y actividades conjuntas Desarrollar trámites y servicios en línea Intercambiar información Compartir recursos Intranet Gubernamental Facilitar el acceso de todos los ciudadanos a su información y servicios Está compuesta por una plataforma de Interoperabilidad y una Infraestructura Tecnológica (RAVEC, Centro de Datos y Centro de Contacto Ciudadano, administración de aplicaciones, mantenimiento de aplicaciones).
  16. 16. Intranet Gubernamental EL Centro de Datos, es un esquema de Servicios Compartidos para lograr que los servicios del Estado sean más eficientes y que las entidades Estatales colombianas se acerquen a los ciudadanos a través de la tecnología, garantizando el uso de los más altos estándares de seguridad en el manejo de la información. 9 Gobernaciones Sitios Web de 1062 Alcaldías Municipales 368 Sitios Web entre Concejos Municipales, Asambleas Departamentales, Personerias, Hospitales Centro de Datos 120 aplicaciones alojadas
  17. 17. Servicios Intranet Gubernamental Múltiples servicios: •Transferencia de archivos, acceso a aplicativos, portal único de contratación (PUC), portal del estado colombiano (PEC), sistema de información financiera (SIIF), ventanilla única de comercio exterior (VUCE), entre otras. RAVEC Facilita la interconexión con 120 entidades: •Todos los Ministerios. •Superintendencias. •Contraloría. •Procuraduría. •Fiscalía. •Organismos de Seguridad.
  18. 18. Servicios Intranet Gubernamental Atención, respuestas inmediatas y seguimiento a las solicitudes de ciudadanos, empresas y servidores públicos. Múltiples Canales Centro de Contacto Ciudadano - CCC Campañas informativas de Gobierno en Línea y las entidades que así lo requieran ( Ola Invernal, Urna de Cristal , entre otras)
  19. 19. Alcance del Modelo de Seguridad – Intranet Gubernamental Políticas y principios de seguridad Modelo de seguridad alineación a la norma ISO 27001 Organización de la seguridad – Comité de seguridad Gestión de Riesgos alineado a la Norma ISO 27005 Análisis de Impacto al Servicio (BIA) Segmentación en Zonas de Seguridad Seguridad en profundidad Anillos de Seguridad Análisis permanente de Vulnerabilidades Actualizaciones permanentes de Seguridad Auditorías internas y auditorías Externas de Seguridad Mejora continua (Revisiones periódicas al modelo) Infraestructura de Seguridad
  20. 20. Infraestructura crítica Modelo de seguridad – Intranet Gubernamental Monitoreo y evaluación Cooperación Nacional e Internacional Seguridad de la Información Modelo de seguridad Entidades Acompañamiento y capacitación I+D+i Sensibilización
  21. 21. ¿Qué se está haciendo en cuanto al modelo de gestión de seguridad para las entidades?
  22. 22. Evolución del Modelo de Seguridad de la Información 2008 Sistema Administrativo Nacional de Seguridad de la Información – GEL 2010 Modelo de Seguridad de la Información – GEL Auditoria 2011 Modelo de Seguridad de la Información 2.0 2013 Nuevo Modelo de Seguridad de la Información – Subdirección de Seguridad y Privacidad (en construcción)
  23. 23. ¿Porqué actualizar el modelo? Lineamientos para la preservación de la información pública Lineamientos Dispositivos Móviles y BYOD Lineamientos para la protección de datos ISO 27001:2005 va a cambiar Alineación a mejores prácticas Modelo Seguridad de la Información - Entidades Fortalecimiento de enfoque a Política Nacional
  24. 24. Incorporación de lineamientos para la preservación de la información pública ante situaciones de desastre • Generar conciencia para mantener disponible la información critica del Estado, para cuando sea requerida. • Preparar a las entidades en caso de eventos, incidentes e interrupciones que puedan afectar las funciones críticas de TI. • Basado en estándares como ISO 27031, ITIL, COBIT y normativas locales.
  25. 25. Formulando lineamientos para dispositivos móviles y BYOD • Tener políticas claras. • Generar conciencia en cuanto al uso de estos dispositivos. • Basado en la NIST SP800124.rev1, asegurando dispositivos móviles COBIT 5 – ISACA, entre otros. • Ofrecer un marco de referencia que las entidades puedan adoptar.
  26. 26. Aspectos a contemplar sobre Protección de Datos Cloud Computing Privacidad • Lista blanca de la SIC • Mejores prácticas (ej. Cloud Security Alliance) • Caracterización de los datos • Términos de uso relacionados con los datos Transferencia internacional de datos • Transmisiones a Encargados del Tratamiento – Contrato de transmisión Responsabilidad • Trazabilidad • Accountability
  27. 27. Infraestructura crítica Modelo de seguridad – Intranet Gubernamental Monitoreo y evaluación Cooperación Nacional e Internacional Seguridad de la Información Modelo de seguridad Entidades Acompañamiento y capacitación I+D+i Sensibilización
  28. 28. ¿Qué se está haciendo en cuanto a Capacitación de servidores públicos?
  29. 29. Capacitación y sensibilización Desde el año 2008 se han capacitado funcionarios del estado en seguridad de la información; tenemos lo siguiente: Participación de entidades de los 24 sectores 232 entidades participaron en las capitaciones Decenas de jornadas de sensibilización 6238 funcionarios capacitados a través de plataformas virtuales y seminarios.
  30. 30. Capacitaciones a Servidores Públicos en Seguridad de la Información
  31. 31. Infraestructura crítica Modelo de seguridad – Intranet Gubernamental Monitoreo y evaluación Cooperación Nacional e Internacional Seguridad de la Información Modelo de seguridad Entidades Acompañamiento y capacitación I+D+i Sensibilización
  32. 32. ¿Qué se está haciendo en cuanto a Sensibilización ciudadana?
  33. 33. • Es la Política Nacional de Uso Responsable de las TIC del MinTIC. • Tenemos un compromiso como usuarios: – Hacer y promover usos responsables, productivos, creativos, respetuosos y seguros de las TIC. – Mejorar nuestra calidad de vida y la de todos los colombianos
  34. 34. Infraestructura crítica Modelo de seguridad – Intranet Gubernamental Monitoreo y evaluación Cooperación Nacional e Internacional Seguridad de la Información Modelo de seguridad Entidades Acompañamiento y capacitación I+D+i Sensibilización
  35. 35. ¿Qué se está haciendo en cuanto a I+D+i?
  36. 36. Iniciativa I + D + i – Nodo de Innovación de Ciberseguridad Industria • Academia Estado Agenda Estratégica de Innovación • • • Es un espacio que facilita la interacción entre entidades de gobierno, instituciones académicas y empresas del sector privado. Se elaboró conjuntamente una agenda estratégica del nodo de innovación El Estado destinó recursos para financiar proyectos presentados por la academia y el sector privado para buscar soluciones innovadoras a problemas reales. Se busca crear una cultura de innovación y relaciones de confianza entre los actores.
  37. 37. Gestión integrada de riesgos e incidentes de naturaleza cibernética Identificación, autenticación y autorización Aseguramiento de aplicaciones y ambientes móviles en el gobierno Educación, formación divulgación en ciberseguridad Principios rectores de ciberseguridad Vectores de desarrollo TIC para el sector defensa http://vivedigital.gov.co/idi/ndi-ciberseguridad/
  38. 38. Infraestructura crítica Modelo de seguridad – Intranet Gubernamental Monitoreo y evaluación Cooperación Nacional e Internacional Seguridad de la Información Modelo de seguridad Entidades Acompañamiento y capacitación I+D+i Sensibilización
  39. 39. ¿Qué estamos haciendo en Cooperación nacional e internacional y alianzas?
  40. 40. Contribuir en la definición de estándares y buenas practicas. Convenio Budapest • El 18 de enero de 2013, el Ministerio de Relaciones Exteriores de Colombia, solicitó su adhesión a la convención de Europa sobre cibercriminalidad (CETS No. 185). Partnering for Cyber Resilience • El 12 de septiembre de 2012 se firmó el convenio. • El 14 de marzo del presente año, el Ministerio realizó la primera mesa de trabajo con mas de 40 lideres de diferentes sectores.
  41. 41. Organización de los Estados Americanos - OEA Sección Económica Departamento de Estado - Embajada Americana Korea Internet & Security Agency - KISA
  42. 42. Creando Alianzas Empresas de TI Asobancaria CCP colCERT
  43. 43. colCERT – Grupo de Respuesta a Emergencias Cibernéticas de Colombia Concientizar sobre la importancia de la gestión de incidentes cibernéticos Capacitar y asesorar a las entidades, en la implementación de un CSIRT
  44. 44. CCP – Centro Cibernético Policial Concientizar sobre la importancia de la gestión de la evidencia digital forense Capacitar y asesorar a las entidades, en la implementación de procedimientos para el manejo de evidencia digital forense
  45. 45. Asobancaria Alianza público privada que permita fortalecer las acciones encaminadas al uso responsable de las tecnologías de la información particularmente en la utilización de los portales transaccionales de los bancos. 1. Educación Financiera 2. Uso responsable de las TIC 3. Comercio Electrónico
  46. 46. Empresas de TI Alianza para la capacitación y formación de Gestores de la Seguridad de la Información Riesgos desde la perspectiva humana Gestión de Incidentes Sistema de Gestión de la Seguridad de la Información Computo forense Estándares y buenas prácticas
  47. 47. .CO Internet NAP Colombia - CCIT (en desarrollo) Alianzas para participar y apoyar esfuerzos, actividades y procesos que contribuyan a mantener, preservar y mejorar condiciones de seguridad, integridad y estabilidad. Análisis de riesgos Gestión de Incidentes Fortalecimiento de capacidades Coordinación de acciones con las entidades Sensibilización Lineamientos (Ej.DNS)
  48. 48. Actividades conjuntas Grupo de entidades de respuesta a Incidentes de Seguridad Informática Antes Durante Después • Advertencias • Planeación • Preparación • Acuerdos • Monitoreo • Identificación • Evaluación • Atención • Análisis • Seguimiento • Lineamientos • Fortalecimiento
  49. 49. Infraestructura crítica Modelo de seguridad – Intranet Gubernamental Monitoreo y evaluación Cooperación Nacional e Internacional Seguridad de la Información Modelo de seguridad Entidades Acompañamiento y capacitación I+D+i Sensibilización
  50. 50. ¿Qué se está haciendo en cuanto a monitoreo y evaluación?
  51. 51. Monitoreo y evaluación Evaluación y seguimiento en el marco de la estrategia GEL Formulario Único de Reporte Nuevo esquema de monitoreo Acompañamiento especializado

×