Auditoría de Tecnología de la Información

Universidad Señor de Sipán

Archive for the ‘ONGEI’ Category

Política de Seguridad

Posted by jdcaramutti en 1 junio, 2010

La PCM conciente de los riesgos tecnológicos actuales, al cual estan expuestos los activos de información de las diferentes organizaciones del sector público, el 25 de Agosto del 2007 emitió a través de la Resolución Ministerial 246-2007-PCM, el uso obligatorio de la NTP-ISO/IEC 17799:Código de Buenas Prácticas para la Gestión de la Seguridad de la Información.

Toda norma que regule la materia de seguridad de la información, tiene como finalidad asegurar los tres requisitos básicos:

  • Confidencialidad. Exclusivamente las personas autorizadas a disponer de la información pueden acceder a ella.
  • Integridad. La información ha de encontrarse operativa tal y como se encuentra en los sistemas de información. No ha de ser manipulada ni en su origen, ni en su destino, salvo por aquellas personas autorizadas.
  • Disponibilidad. El acceso continúo a la información, en cualquier momento, por aquellas personas autorizadas a tratar y disponer de aquella.

Los tres requisitos precedentes son los pilares para asegurar la información y cualquier proceso que haga uso de esta como por ejemplo, la normativa de firma electrónica, el funcionamiento del D.N.I. electrónico, las medidas de seguridad en materia de protección de datos de carácter personal, etc.

La NTP contempla diferentes aspectos a ser considerados en la elaboración de los planes de seguridad de la información:

  • Política de seguridad
  • Aspectos organizativos para la seguridad
  • Clasificación y control de activos
  • Seguridad ligada al personal
  • Seguridad física y del entorno
  • Gestión de comunicaciones y operaciones
  • Control de accesos
  • Desarrollo y mantenimiento de sistemas
  • Gestión de incidentes de seguridad de la información
  • Gestión de continuidad de negocio
  • Conformidad

Puedes encontrar mayor información en la NTP publicada en el banco de normas de la ONGEI

Alcances

Todas las instituciones públicas del Estado Peruano deberan considerar en materia de seguridad de la información lo siguiente:

  • Las instituciones deberán implementar sus planes de seguridad en base a la NTP-ISO/IEC 17799.
  • Las máximas autoridades de las instituciones deberán conformar un Comité de Seguridad de la Información integrado por representantes de las Direcciones Nacionales o Generales o equivalentes de la institución.
  • Las máximas autoridades de las instituciones deberán asignar las responsabilidades en materia de seguridad de la información a funcionarios de su planta.
  • Los planes de seguridad se reflejarán en los planes operativos informáticos de las instituciones(POI).

Ambito de aplicación de la Norma:

  • Segun Decreto Supremo N° 063-2007-PCM y Decreto Legislativo N° 604, la ONGEI es el órgano especializado que depende jerárquicamente del Presidente del consejo de Ministros encargada de dirigir, como ente rector, el Sistema Nacional de Informática y de implementar la política nacional de Gobierno Electrónico e Informático.
  • En este sentido el ámbito de aplicación incluye a todas las entidades del Gobierno Central, Organismos Públicos Descentralizados, Gobiernos Regionales, Direcciones Regionales y cualquier organización estatal no empresarial con:
    • Autonomía financiera
    • Personalidad jurídica
    • Patrimonio propio

Donde el Estado Nacional tenga el control mayoritario del patrimonio o de la formación de las decisiones.

Plazos:

La implementación de la Norma se dará de manera progresiva y teniendo como plazos los estipulados en la RM 244-2004-PCM el haber preparado su plan de implementación.

Modelo simplificado de Implementación

La aplicación de la Norma Técnica Peruana de Seguridad de la Información tiene que estar alineada a la misión, visión, y objetivos que persigue la organización. A partir de este análisis se tiene que aplicar un esquema de gestión de la seguridad de la información. Para lo cual se detalla a continuación un esquema simplificado de cómo debería de aplicarse la NTP-ISO/IEC 17799:2004 dentro de cualquier organización pública.
1. ETAPA I

Esta primera etapa consiste en analizar la misión, visión y objetivos de la organización.

Misión y Visión y Objetivos de la Organización.

La misión y visión dan el enfoque claro de lo que la organización debería plantearse en términos de seguridad de la información de manera general.

Identificación de los recursos dentro de los procesos de la organización

El análisis de las principales funciones dentro de los procesos de la organización nos permitirá identificar todos los recursos que interactúan en estos procesos, los cuales podemos clasificarlos de la siguiente manera:

Materiales y Tecnológicos
Los recursos materiales y tecnológicos involucrados.

Recursos Humanos
Los recursos humanos involucrados.

Como resultado de esta etapa se tiene que tener una matriz con las funciones y todos los recursos o activos de información involucrados dentro del proceso analizado.

2. ETAPA II

En esta etapa debemos de usar la información obtenida de la Etapa I, para implementar lo que se recomienda dentro de la NTP-ISO/IEC 17799.

Establecimiento de la Política de Seguridad de la organización.

Se establecerá la política general a nivel de toda la organización, a partir de esta política se desarrollarán las normativas internas y procedimientos específicos, para cada área dentro de la empresa con el fin de cumplir con la política general.

Efectuar un análisis de riesgos.

En base a los activos identificados en la Etapa I, se comenzará a elaborar un análisis de riesgos, con la finalidad de poder identificar las vulnerabilidades, amenazas e impacto de estos sobre los activos identificados.

En base a los controles establecidos para cada dominio de la Norma que permita establecer la Brecha

El análisis de riesgos nos permitirá priorizar cuales son los activos prioritarios a proteger, y en base a esto realizar una comparación de lo que ya se tiene implementado versus lo que falta implementar, como medidas de seguridad.

3. ETAPA III

En esta etapa se tiene que proyectar la implementación de lo que se necesita en términos de seguridad.

Documentación del Plan de Seguridad de la Información
Establecimiento del documento del plan a 1, 2 o 3 años.

Implementación del Plan de Seguridad dentro del POI
Lo que se tiene en el plan tiene que estar reflejado como un proyecto de TI adicional dentro del Plan Operativo Informático.

4. ETAPA IV

Una vez elaborados los pasos anteriores se definen como entregables los siguientes documentos:

  • Política de Seguridad
  • Análisis de riesgos
  • Brecha de lo implementado y lo que falta por implementar
  • Plan de Seguridad de la Información (reflejado en el POI)

Gestión de la Seguridad

Consideramos que la protección de la información se consigue mediante un conjunto de acciones coordinadas y planificadas consistentes en minimizar los riesgos y maximizar la eficiencia en los procesos de la organización. La información es uno de los activos más importantes de una empresa, por lo que la protección en ese ámbito ha de ser de prioritaria.
La norma ISO 27001 es un instrumento base para la gestión de la seguridad de la información, estructurándose en un conjunto de controles y de recomendaciones dirigido a los responsables de promover, implantar y mantener la seguridad en las entidades. Mediante ella las empresas pueden certificar sus Sistemas de gestión de Seguridad de la Información (SGSI). Un SGSI es un sistema de gestión que comprende la política, la estructura organizativa, los procedimientos, los procesos y los recursos necesarios para implantar la gestión de la seguridad de la información en función de los requisitos técnicos, legales y organizativos identificados en la organización.

Gestion del Riesgo

El análisis del riesgo es una de las fases cruciales para el desarrollo y operación de un SGSI. En esta fase la organización debe construir lo que será su “modelo de seguridad”, una representación de todos sus activos y las dependencias que estos presentan frente a otros elementos que son necesarios para su funcionamiento (edificios, suministros, sistemas informáticos, etc.) y su mapa de amenazas (una hipótesis de todo aquello que pudiera ocurrir y que tuviera un impacto para la organización).

El análisis de riesgos es como la visita del doctor donde nos identifica alguna enfermedad. Se realizan una serie de actividades como son: identificación de activos, identificación de amenazas, estimación de impactos y vulnerabilidades y con todo ello ya se puede calcular el riesgo.

Pero éste diagnóstico es válido sólo para ese momento puntual en el tiempo. No es algo estático sino que va a cambiar a lo largo del tiempo: nuevos activos, nuevas amenazas, modificación en la ocurrencia de las amenazas. Por tanto, cada año la organización debe replantearse su diagnóstico y cuestionarse si tiene nuevos sintomas o si los sintomas detectados han sido ya mitigados y se pueden tratar otras carencias de menor importancia. La mejora contínua afecta también al riesgo ya que si los niveles más altos se han solucionado, lo lógico es plantearse para el siguiente año atacar los siguientes menos altos.

Posted in ONGEI | Leave a Comment »

 
Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.