La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Introducción…. EL GOBIERNO BRINDA SERVICIOS Seguridad Social Educación Seguridad Comunicación Salud …hay que re-pensar políticas de gestión de servicios.

Presentaciones similares


Presentación del tema: "Introducción…. EL GOBIERNO BRINDA SERVICIOS Seguridad Social Educación Seguridad Comunicación Salud …hay que re-pensar políticas de gestión de servicios."— Transcripción de la presentación:

1 Introducción…

2 EL GOBIERNO BRINDA SERVICIOS Seguridad Social Educación Seguridad Comunicación Salud …hay que re-pensar políticas de gestión de servicios on- line! Identidad

3 e-Govo-Govi-Gov Gobierno - Ciudadano ciberdelito ciberterrorismo Impericia (negligencia, desconocimiento, etc.) Infraestructuras Críticas Seguridad Información CiberseguridadIdentidadPrivacidad

4 Ciberdelincuente vs Hacker Delincuente vs Apasionado hacker : alguien que estudia formal o informalmente y se atreve a conocer mucho más allá de lo que los manuales de uso o configuración nos dicen.

5 … que ES privado y que HAGO público ? Nombre y Apellido: Pedro Janices DNI: Pasaporte: N Nacionalidad: Argentina Ocupación: empleado público Intereses: Tecnologías, seguridad, biometría PRIVACIDAD …SIBIOS, SUBE, y otras yerbas

6

7 Public Release CIITI 2012 / UAI / ROSARIO - ONTI Privacidad de datos: qué es lo que compartes?

8 Balanza ventajasriesgos habeas data difamación Estafas Falta de información velocidad distanciarelaciones ventajasriesgos habeas datadifamaciónestafasvelocidaddistanciarelaciones

9 Social Networks Más de 70 redes sociales Comunicarse x txtComunicarse x txt Mostrar fotografíasMostrar fotografías Mostrar videosMostrar videos Comentar viajes y turismoComentar viajes y turismo Buscar parejaBuscar pareja Comunicarse x vozComunicarse x voz Relación de negociosRelación de negocios Sumando los medios de comunicación que poseen blogs Compras y contratacionesCompras y contrataciones

10 nick domicilio Madurez de la clave de recupero IP de origen Tipo de browser opinione s Vínculos sociales Bio: facial y vocal nombres Fotos y videos RS-1 RS-2 RS-3 RS-X telefonía Tarjeta de Crédito Toda tu información digital Echelon 2.0 ?

11 211

12 Aprox 10 social networks concentran el 90% del trafico Al menos en 5 jurisdicciones (país base jurídico) diferentes Edad de registro varía de 13 a 18 años o por invitación NO poseen verificación de ID Comunicaciones interceptables Versiones mobile solo https en login o transferencia de imágenes de user NO declaran las políticas de guarda de datos personales y de los lugares de back-up de la información Solo se distingue un FACTOR de autenticación (PASSWORD) No hay verificación REAL de edad Manipulación de opiniones por saturación, bullying, etc. Colectan datos CEDIDOS como nombres, sexos, domicilios, TELEFONOS Generan perfiles de comportamiento, opiniones politicas, sexuales, adquisitivas, de ocio, etc.

13 211 Fotos/Videos Relaciones familiares Minería de datos y reacciones …un ejemplo Relaciones sociales Escuela, colegio, universidad Lugares frecuentados (gps) Vacaciones / viajes de negocios Nivel Económico horarios Ausencias menores Vehículos Rutas

14

15 Al subir contenido o al enviarlo por otros medios a nuestros Servicios, concedes a X (y a sus colaboradores) una licencia mundial para usar, alojar, almacenar, reproducir, modificar, crear obras derivadas (por ejemplo, las que resulten de la traducción, la adaptación u otros cambios que realicemos para que tu contenido se adapte mejor a nuestros Servicios), comunicar, publicar, ejecutar o mostrar públicamente y distribuir dicho contenido. X usará los derechos que le confiere esta licencia únicamente con el fin de proporcionar, promocionar y mejorar los Servicios y de desarrollar servicios nuevos. EN LOS CASOS PERMITIDOS POR LA LEY, NI X NI SUS PROVEEDORES O DISTRIBUIDORES SERÁN RESPONSABLES DE LA PÉRDIDA DE BENEFICIOS, DE INGRESOS NI DE DATOS, NI DE PÉRDIDAS FINANCIERAS NI DE DAÑOS INDIRECTOS, ESPECIALES, DERIVADOS, EJEMPLARES NI PUNITIVOS. EN LA MEDIDA EN QUE LA LEY LO PERMITA, LA COBERTURA TOTAL DE X, ASÍ COMO LA DE SUS PROVEEDORES Y DISTRIBUIDORES, POR CUALQUIER RECLAMACIÓN RELACIONADA CON ESTAS CONDICIONES, INCLUIDA CUALQUIER GARANTÍA IMPLÍCITA, SE LIMITA AL IMPORTE QUE HAYAS PAGADO PARA USAR LOS SERVICIOS (O, SI X ASÍ LO DECIDE, A LA REANUDACIÓN DE LOS SERVICIOS). EN NINGÚN CASO, NI X NI SUS PROVEEDORES Y DISTRIBUIDORES SERÁN RESPONSABLES POR CUALQUIER PÉRDIDA O DAÑO QUE NO SEAN PREVISIBLES DE FORMA RAZONABLE. EN LOS CASOS PERMITIDOS POR LA LEY, NI X NI SUS PROVEEDORES O DISTRIBUIDORES SERÁN RESPONSABLES DE LA PÉRDIDA DE BENEFICIOS, DE INGRESOS NI DE DATOS, NI DE PÉRDIDAS FINANCIERAS NI DE DAÑOS INDIRECTOS, ESPECIALES, DERIVADOS, EJEMPLARES NI PUNITIVOS. EN LA MEDIDA EN QUE LA LEY LO PERMITA, LA COBERTURA TOTAL DE X, ASÍ COMO LA DE SUS PROVEEDORES Y DISTRIBUIDORES, POR CUALQUIER RECLAMACIÓN RELACIONADA CON ESTAS CONDICIONES, INCLUIDA CUALQUIER GARANTÍA IMPLÍCITA, SE LIMITA AL IMPORTE QUE HAYAS PAGADO PARA USAR LOS SERVICIOS (O, SI X ASÍ LO DECIDE, A LA REANUDACIÓN DE LOS SERVICIOS). EN NINGÚN CASO, NI X NI SUS PROVEEDORES Y DISTRIBUIDORES SERÁN RESPONSABLES POR CUALQUIER PÉRDIDA O DAÑO QUE NO SEAN PREVISIBLES DE FORMA RAZONABLE. Las leyes de California, EE.UU., excluyendo los conflictos de leyes de California, se aplicarán a cualquier controversia que surja o se relacione con las presentes condiciones o los Servicios. Todos los reclamos que surjan o se relacionen con las presentes condiciones o los Servicios se deberán presentar exclusivamente en los tribunales federales o estatales del Condado de Santa Clara, California, EE.UU., y usted y X aceptan someterse a la jurisdicción personal de dichos tribunales. Las leyes de California, EE.UU., excluyendo los conflictos de leyes de California, se aplicarán a cualquier controversia que surja o se relacione con las presentes condiciones o los Servicios. Todos los reclamos que surjan o se relacionen con las presentes condiciones o los Servicios se deberán presentar exclusivamente en los tribunales federales o estatales del Condado de Santa Clara, California, EE.UU., y usted y X aceptan someterse a la jurisdicción personal de dichos tribunales. Acerca de estas condiciones…. X puede modificar estas condiciones o las condiciones adicionales que se apliquen a un Servicio para, por ejemplo, reflejar cambios legislativos o en los Servicios. … las modificaciones que afecten a nuevas funciones de un Servicio o los cambios que se hagan por cuestiones legales entrarán en vigor de forma inmediata. Acerca de estas condiciones…. X puede modificar estas condiciones o las condiciones adicionales que se apliquen a un Servicio para, por ejemplo, reflejar cambios legislativos o en los Servicios. … las modificaciones que afecten a nuevas funciones de un Servicio o los cambios que se hagan por cuestiones legales entrarán en vigor de forma inmediata.

16 Según un informe que Facebook remitió a la SEC estadounidense, la red social tiene 83 millones de cuentas apócrifas, de los 995 millones de perfiles registrados que posee. Es decir, un 8,3%. La empresa clasifica los perfiles falsos en tres categorías: duplicados, las inclasificables e indeseables. Y admite tener 4,8% de usuarios con cuentas duplicadas, algo prohibido en los términos del servicio que el usuario firma; alrededor de 10 millones de cuentas indeseables (perfiles usados para fines prohibidos, por ejemplo, envío de spam) y una buena porción de inclasificables, que son las pertenecientes a empresas, mascotas o productos de usuarios, y que deberían estar como "páginas". Estos datos no son una buena noticia para los anunciantes, y tampoco para Facebook que, en el mismo informe, afirma que la publicidad es lo que mantiene su infraestructura. La compañía calcula que tiene 552 millones de usuarios que acceden diariamente. Según un informe que Facebook remitió a la SEC estadounidense, la red social tiene 83 millones de cuentas apócrifas, de los 995 millones de perfiles registrados que posee. Es decir, un 8,3%. La empresa clasifica los perfiles falsos en tres categorías: duplicados, las inclasificables e indeseables. Y admite tener 4,8% de usuarios con cuentas duplicadas, algo prohibido en los términos del servicio que el usuario firma; alrededor de 10 millones de cuentas indeseables (perfiles usados para fines prohibidos, por ejemplo, envío de spam) y una buena porción de inclasificables, que son las pertenecientes a empresas, mascotas o productos de usuarios, y que deberían estar como "páginas". Estos datos no son una buena noticia para los anunciantes, y tampoco para Facebook que, en el mismo informe, afirma que la publicidad es lo que mantiene su infraestructura. La compañía calcula que tiene 552 millones de usuarios que acceden diariamente.

17 m/privacystatement/es- ar/core/default.aspx Argentina En Inglés m/privacy/default.aspx

18 Localización (anónima) del dispositivo Menores de 13 años, adoptaran medidas para eliminar los datos (14 a 17?) Usuarios internacionales (no figura Latinoamérica) 21/mayo/2012 Otros Terceros… léanlo ustedes…

19 Quien tiene mas datos tuyos?

20 OBJETIVO La información a recabar deberá estar en el marco de competencias y responsabilidades del organismo que los requiere OBJETIVO PROPORCIONALIDAD La cantidad de datos, el método y la duración del almacenamiento deben ser los apropiados PROPORCIONALIDAD CALIDAD La calidad de los datos deben ser los correctos para los propósitos en los que quieren utilizarse CALIDAD TRANSPARENCIA Debe informarse a la persona de los que se toman los datos la forma de obtención, el almacenamiento y los métodos en que seran auditados TRANSPARENCIA Cuanto y porque? Marco de datos coleccion (privacidad)

21 V 6.00

22 Infraestructura Crítica Ciberseguridad Infraestructura de Información Amenaza Cibernetica Protección Son aquellas instalaciones, redes, servicios y equipos físicos y de tecnología de la información situado en el Sector Público Nacional, Organismos Provinciales u Organismos Privados cuya interrupción o destrucción pueden tener una repercusión importante en la salud, la seguridad, la información, la integridad física o el bienestar económico y social de los ciudadanos o en el eficaz funcionamiento de las instituciones estatales y las administraciones públicas. procesar, transmitir, recibir y/o almacenar información por vía electrónica Este término entiende al marco básico de los sistemas de información cuyos activos se basan en procesar, transmitir, recibir y/o almacenar información por vía electrónica, incluyendo dispositivos electrónicos, dispositivos de comunicaciones y todo otro hardware, software o dato asociados a estos. reducir al mínimo Refiere a las normas, procesos y acciones de seguridad que permiten a las organizaciones practicar técnicas para reducir al mínimo el número de ataques a infraestructuras informáticas. sea cual fuera su finalidad Es cualquier acción que pueda resultar en un acceso no autorizado, exfiltración, manipulación o menoscabo de la integridad, confidencialidad o disponibilidad de un sistema de información o la información que se almacena, o es procesado o esta en transito en un sistema de información electrónico, sea cual fuera su finalidad. mejorando la seguridad capacidad de recuperación Son las acciones llevadas a cabo para garantizar, defender y/o reducir las vulnerabilidades de un sistema de información, así como mitigar las amenazas de Ciberseguridad, mejorando la seguridad de la información y la capacidad de recuperación de los sistemas de información y los activos asociados.

23 Conocimiento en la problemática internacional que nos afecta Participación en los grupos de debate en problemáticas especificas Presentación del Proyecto ICIC (Res/JGM 580/2011) ARGENTINA Sede del encuentro de más de 43 países

24 Resolución JGM 580/2011 Marco regulatorio específico que favorece la identificación y protección de las infraestructuras estratégicas y críticas así como mejorar la ciberseguridad. Consta de 18 objetivos, entre ellos: Colaborar con el sector privado para elaborar en conjunto políticas de resguardo de la seguridad digital con actualización constante Establecer prioridades y planes estratégicos para liderar el abordaje de la ciberseguridad Investigar nuevas tecnologías y herramientas en materia de seguridad informática Elaborar un informe anual de la situación en materia de ciberseguridad, a efectos de su publicación abierta y transparente Monitorear los servicios que el Sector Público Nacional brinda a través de la red de Internet y aquellos que se identifiquen como Infraestructura Crítica para la prevención de posibles fallas de Seguridad. Mas….

25 Sector Público Nacional y Organismos interjurisdiccionale s Identificación y protección de las infraestructuras estratégicas y críticas de:

26 Research y Prevención Relevamiento y Monitoreo Respuesta a Incidentes Concientización y Capacitación

27 CON ADHESIÓN SIN ADHESIÓN TIPOS DE SERVICIO

28 EVALUACIÓN DE DATACENTERS MEJORA CONTINUA Cuál es la visión? Definir la Meta Dónde estamos ahora? Evaluar el nivel de Madurez Dónde queremos estar? Definir el Objetivo Cómo hacemos para llegar? Definir el Proyecto Llegamos?Llegamos? Evaluar el nivel de Madurez Cómo mantenemos el impulso?

29 Reconocer donde tenemos problemas es el primer paso para solucionarlo

30 Identificación y análisis de las infraestructuras críticas de información Coordinación de planes de acción, prevención y monitoreo con organismos públicos y privados. Generación de un marco metodológico para el control de la correcta administración de la información de las Infraestructuras Críticas.

31 EElecEElec GENERACION TRANSPOR TE DISTRIBUCION RComRCom INTERNACIONA L REGIONAL LOCAL

32

33 Prevenir es más inteligente que reparar

34 NIVEL 0 Se realizan los análisis en forma periódica para organizaciones, adheridas o no. Se compone de análisis de infraestructura base expuesta a internet: Dominios, Servicios y Direcciones. ADHESIÓ N NIVEL 1 EXPLORACION MEDIA: Detección temprana de vulnerabilidades o fallas en los sistemas analizados. NIVEL 2 EXPLORACION ALTA: ejecutando procesos especializados, sin riesgos de disponibilidad para el servicio. NIVEL 3 Este nivel es intento de IMPACTO DESTRUCTIVO El sistema NO deberá ser el PRODUCTIVO, será un análogo a un ataque real al sistema. Asimismo se brinda una consultoría Especializada en la problemática.

35 EVALUACIÓN DE DATACENTERS ICIC/DC-2012

36 TEMAS DE EVALUACIÓN 1. Protección contra incendios 2. Protección contra daños de agua 3. Electricidad y comunicaciones 4. Aire acondicionado 5. Controles de acceso 6. Mantenimiento general 7. Cableado y redundancia 8. Organización y personal 9. Equipamiento 10. Resguardo y recuperación 11. Medios Magnéticos 12. Operación del Data Center 13. Redes y conectividad 14. Administración de equipos

37 EVALUACIÓN DE DATACENTERS NIVEL DE MADUREZ

38 Conocer que ocurrió para que no vuelva a suceder

39 Atención y coordinación de los incidentes de seguridad ocurridos en redes teleinformáticas Repositorio de información de eventos de seguridad ocurridos a nivel provincial, nacional y mundial Cooperación con unidades de redes informáticas del Sector Público Nacional, provincial y privado

40 Informes en base al research propio Informes de equipos de similar naturaleza Informes en base a informes de las empresas Registrar, analizar, coordinar, documentar e incorporar a la base de conocimiento Organismo de seguridad competente en judicializar el incidente (Fuerza de Seguridad Interna o Externa según competencia) BD C

41 Concientizar y capacitar como ejes de la prevención

42 CIUDADANOS Concientización en el uso seguro de herramientas digitales Informes y alertas sobre riesgos en el uso de herramientas digitales Generación de materiales de concientización (videos, papers, etc.) Acciones presenciales en establecimientos educativos. Guías y recomendaciones de buenas prácticas

43 ORGANISMOS PÚBLICOS Y PRIVADOS Desarrollo de alianzas estratégicas de capacitación en políticas de seguridad Informes y alertas sobre riesgos en el uso de herramientas digitales Charlas de concientización y prevención en el uso responsable de herramientas digitales Guías y recomendaciones de buenas prácticas

44 POLÍTICA DE SEGURIDAD ICIC/PS-2012

45 Cuatro capítulos introductorios, con los términos generales y el establecimiento de la Evaluación y el Tratamiento de los riesgos introductorios, con los términos generales y el establecimiento de la Evaluación y el Tratamiento de los riesgos Once capítulos que abarcan las diferentes cláusulas, aspectos o dominios de la seguridad de la información. Se presentan de manera sistemática y consistente. POLÍTICA DE SEGURIDAD ICIC 2012

46 POLÍTICA DE SEGURIDAD ICIC 2012 ESTRUCTURA Capítulos Introductorios Capítulos Cláusulas 1.Introducción 2.Términos y Definiciones 3.Estructura de la Política Modelo 4.Evaluación y Tratamiento de Riesgos 5.Política de Seguridad 6.Organización 7.Clasificación de Activos 8.Recursos Humanos 9.Seguridad Física Ambiental 10.Gestión de Comunicaciones /Operaciones 11.Gestión de Accesos 12.Adquisición, Desarrollo y Mantenimiento de Sistemas 13.Gestión de Incidentes de Seguridad 14.Gestión de la Continuidad 15.Cumplimiento Políticas x cláusula Objetivo = resultado deseado Controles = para mitigar riesgos Políticas x cláusula Objetivo = resultado deseado Controles = para mitigar riesgos Política de Seguridad

47 ALGUNOS RESULTADOS…

48 CIUDADANOS RESULTADOS CUANTITATIVOS OCTUBRE – DICIEMBRE 2011 NÚMERO DE ACCIONES 50 CANTIDAD TOTAL DE CHICOS 6894 CANTIDAD TOTAL DE DOCENTES Y DIRECTIVOS 300

49 EVALUACIÓN DE DATACENTERS 11 ACCIONES Puntos de Mejora- Organización: Políticas de SeguridadPolíticas de Seguridad Roles y responsabilidades RRHHRoles y responsabilidades RRHH Plan de ContinuidadPlan de Continuidad Acuerdos con ProveedoresAcuerdos con Proveedores Procesos y procedimientosProcesos y procedimientos Matriz de RiesgosMatriz de Riesgos

50 EVALUACIÓN DE DATACENTERS

51 CHEQUEOS GAP 27 ACCIONES Evaluación: 3 grupos de testeos3 grupos de testeos 15 ítems mínimos a cumplir15 ítems mínimos a cumplir Se contempla DNS y SPFSe contempla DNS y SPF 29,6 % en riesgo ALTO29,6 % en riesgo ALTO 66,7 %en riesgo MEDIO66,7 %en riesgo MEDIO 03,7 % SIN RIESGO03,7 % SIN RIESGO

52 CON ADHESIÓN Análisis Nivel 0 Evaluación de Datacenters y gestión de mejoras Análisis Proactivos Asistencia en el armado de las Políticas de Seguridad Capacitación y Concientización Concientización en la prevención y en el uso responsable de herramientas digitales en establecimientos educativos SIN ADHESIÓN PersonalPersonal TécnicoTécnico GerencialGerencial JurídicoJurídico Nivel 2 Nivel 1 Nivel 3 Articulación de la información de incidentes Análisis y recomendaciones de las ICI Evaluación de Datacenters Análisis de las ICI

53 CREACION DEL GRUPO DE EXPERTOS EN SEGURIDAD INFORMATICA Y EN LEGISLACION DE SEGURIDAD INFORMATICA Colaboración en la confección de propuestas de normas sobre delitos informáticos 2do objetivo: 1er objetivo: 3er objetivo: Colaboración en las propuestas de marcos, regulaciones, procesos e información tecnológica en la materia Colaboración en la generación de contenido de concientización y capacitación

54 Creación de ICIC´s Provinciales Articulación y CoordinaciónArticulación y Coordinación Asistencia Técnica y LaboratoriosAsistencia Técnica y Laboratorios Capacitación de CapacitadoresCapacitación de Capacitadores Buenas PrácticasBuenas Prácticas Intercambio de InformaciónIntercambio de Información Intercambio de Materiales de ConcientizaciónIntercambio de Materiales de Concientización

55 LA SEGURIDAD LA HACEMOS ENTRE TODOS GOBIERNO - UNIVERSIDAD - EMPRESAS

56 GRACIAS ! WWW. ICIC.GOB.AR OFICINA NACIONAL DE TECNOLOGIAS DE INFORMACION (ONTI) SUBSECRETARIA DE TECNOLOGIAS DE GESTION JEFATURA DE GABINETE DE MINISTROS 2012 r


Descargar ppt "Introducción…. EL GOBIERNO BRINDA SERVICIOS Seguridad Social Educación Seguridad Comunicación Salud …hay que re-pensar políticas de gestión de servicios."

Presentaciones similares


Anuncios Google