Auditoria y Gestión de Seguridad Información Electoral E. Mafla Abril, 2017
Agenda Auditoria Gestión de seguridad Sistemas electorales Procesos electorales AUDITORIA Y GESTION DE SEGURIDAD: CNE 2017
Disciplinas de computación (ACM) Sistemas de información Tecnologías de información y comunicación Ingeniería de software Ciencias de la computación Ingeniería de computadoras PROCESAMIENTO COMUNICACIÓN ALMACENAMIENTO
Normativa Constitución Código de la democracia Otras leyes Derechos de elección, participación y control Sistema electoral Código de la democracia Gestión del sistema electoral ISO 17582 Otras leyes LCEFEMD LOTAIP
ISO 17582 Elaboración de registro y padrones y defunción de distritos Gestión de organizaciones políticas Logística electoral: paquetes, MJRV, recintos Sistema de votación Escrutinio y publicación de resultados Capacitación electoral Control de gasto Resolución de conflictos
Alta Disponibilidad
Alta Disponibilidad
Cadena de custodia
Cadena de custodia
Auditoria a la CNE Plan Integral de Auditoria 2013 y 2014 – Karaoke PPT 2017 Jefe de auditoria = coordinador de procesos electorales Equipo de auditoria = empleados del CNE “Observadores” de OP 4 subprocesos . . .
De: Seguimiento Elecciones 2017 <seguimientoelec2017@cne. gob De: Seguimiento Elecciones 2017 <seguimientoelec2017@cne.gob.ec> Enviado: domingo, 19 de febrero de 2017 17:03 Para: Seguimiento Elecciones 2017 Cc: Santiago Cahuasqui; Ivan Fernandez de Cordova; Diego Tello; Miguel; Paul Alejandro Rivera Martinez; Fernando Toledo; Juan Pablo Leon Aguilera; Vilma Marinelly Nunez Carreno Asunto: REVISIÓN CODIGO HASH Estimados Auditores (as) Acreditados (as) Presente.- De mi consideración: Conforme acta de reunión de trabajo de auditoría de hoy día 19 de febrero del 2017, realizada en las instalaciones del Consejo Nacional Electoral, Dirección Nacional de informática, en la que se cumplió con el evento de comprobación de hash; se acordó además realizar un “Control de calidad de la autenticidad del hash, aleatorio a partir de la 17h00, del servidor y una visita a un Recinto de Transmisión y Publicación de Actas. Considerando que no es recomendable interrumpir el proceso de escrutinios, el requerimiento de “Control de calidad de la autenticidad del hash, aleatorio a partir de la 17h00, del servidor y una visita a un Recinto de Transmisión y Publicación de Actas”, solicitado, no es pertinente realizarlo, evento que sería ejecutado como una revisión post electoral. Atentamente, Equipo de Auditroría CNE
ISO 27001:2013 A.5: Information security policies (2) A.6: Organization of information security (7) A.7: Human resource security (6) A.8: Asset management (10) A.9: Access control (14) A.10: Cryptography (2) A.11: Physical and environmental security (15) A.12: Operations security (14) A.13: Communications security (7) A.14: System acquisition, development, maintenance (13) A.15: Supplier relationships (5) A.16: Information security incident management (7) A.17: Information security aspects of BCM (4) A.18: Compliance; with internal / external requirements (8)
NIST SP 800-53 AC Access Control. AT Awareness and Training. AU Audit and Accountability. CA Security Assessment and Authorization. (historical abbreviation) CM Configuration Management. CP Contingency Planning. IA Identification and Authentication. IR Incident Response. MA Maintenance. MP Media Protection. PE Physical and Environmental Protection. PL Planning. PS Personnel Security. RA Risk Assessment. SA System and Services Acquisition. SC System and Communications Protection. SI System and Information Integrity. PM Program Management.
ISO 27017 – Controles en la nube 1 Roles y responsabilidades compartidas en la nube 5 Remoción de activos de clientes de servicios cloud 1 Segregación en entornos informáticos virtuales 2 Endurecimiento de la máquina virtual 5 La seguridad operacional 5 Seguimiento de los servicios en la nube 4 Alineación: gestión de seguridad de red virt y física