Scribd Logo
Unggah

Selamat datang di Scribd!

  • Seguridad y Privacidad

    Diunggah oleh

    Hey Suarz Lpz
    13 tayangan30 halaman
    Seguridad y privacidad

    Hak Cipta

    © © All Rights Reserved

    Format Tersedia

    PDF, TXT atau baca online dari Scribd

    Apakah menurut Anda dokumen ini bermanfaat?

    Apakah konten ini tidak pantas?

    Laporkan Dokumen Ini
    Seguridad y privacidad

    Hak Cipta:

    © All Rights Reserved
    Unduh sebagai PDF, TXT atau baca online dari Scribd
    Tandai sebagai konten tidak pantas
    13 tayangan30 halaman

    Seguridad y Privacidad

    Diunggah oleh

    Hey Suarz Lpz
    Seguridad y privacidad

    Hak Cipta:

    © All Rights Reserved
    Unduh sebagai PDF, TXT atau baca online dari Scribd
    Tandai sebagai konten tidak pantas
    dari 30

    Seguridad y Privacidad para

    Entidades del estado

    Antonio Carrillo
    Senén Niño
    Oscar E. Mondragón
    Subdirección de Seguridad y Privacidad de TI

    ✓ Objetivo: Elevar la confianza de los ciudadanos

    • Elevar los niveles de seguridad y privacidad en el uso y aprovechamiento de


    las T.I. en el Estado, mediante la formulación de lineamientos y políticas que
    contribuyan a la calidad y confianza de los servicios ofrecidos al ciudadano.
    CUMPLIMIENTO
    ¿Quiénes deben cumplir con la implementación del
    MSPI y demás componentes de GEL?
    DECRETO 1078 DE 2015 – TÍTULO 9 – CAPÍTULO 1 – SECCIÓN 1 – ART. 2.2.9.1.1.2

    “Serán sujetos obligados de las disposiciones contenidas en el presente capítulo las entidades
    que conforman la Administración Pública en los términos del artículo 39 de la Ley 489 de
    1998 y los particulares que cumplen funciones administrativas”.

    Parágrafo. La implementación de la estrategia de Gobierno en Línea en las Ramas Legislativa y


    Judicial, en los órganos de control, en los autónomos e independientes y demás organismos del
    Estado, se realizará bajo un esquema de coordinación y colaboración armónica en aplicación
    de los principios señalados en el artículo 209 de la Constitución Política.
    CUMPLIMIENTO
    ¿Quiénes deben cumplir con la implementación del
    MSPI y demás componentes de GEL?

    Art. 39. Ley 489/1998 “La Administración Pública se integra por los organismos que conforman
    la Rama Ejecutiva del Poder Público y por todos los demás organismos y entidades de
    naturaleza pública que de manera permanente tienen a su cargo el ejercicio de las actividades y
    funciones administrativas o la prestación de servicios públicos del Estado Colombiano”.
    ¿Qué entendemos por seguridad?

    Estado de tranquilidad, que nos indica que estamos libres de peligro, daño o riesgo.

    https://www.youtube.com/watch?v=ttIMNYzFK4M
    http://www.youtube.com/watch?v=yQGTo4lpgnY
    ¿Qué entendemos por información?

    Se refiere a un conjunto organizado de datos contenido en cualquier documento que los sujetos obligados generen,
    obtengan, adquieran, transformen o controlen. (Definición Ley 1712 de 2014)
    ¿Qué entendemos por privacidad?

    La privacidad asegura que los individuos puedan controlar que información puede ser recolectada y
    almacenada y también por quién y para quién puede ser publicada. (Definición tomada del libro “Computer Security
    Principles & Practice”)

    https://www.youtube.com/watch?v=9bGXtNxw_ok&t=51s
    ¿Qué es Seguridad y Privacidad de la
    Información?
    • Involucra • Disminuye

    Gobierno Riesgos

    Gestión Activos

    • Mantiene • Identifica

    La seguridad de la información tiene como fin la protección de la información y los sistemas, del
    acceso, uso, divulgación, interrupción o destrucción no autorizada. Los datos personales y demás
    información privada también hace parte de los activos de información por lo tanto es un aspecto
    que debe tenerse muy en cuenta dentro de la gestión de la seguridad en las entidades del estado.
    ESTRATEGIAS CREADAS POR LA
    SUBDIRECCIÓN DE SEGURIDAD Y
    PRIVACIDAD DE TI
    ACOMPAÑAMIENTO
    Estrategia - 2017

    Cabezas de
    Sector
    Nacional 24 Sectores
    Entidades
    Adscritas y
    MinTIC Vinculadas
    32
    Gobernaciones
    Territorial
    1135
    Municipios
    MODELO DE
    SEGURIDAD Y
    PRIVACIDAD DE LA
    INFORMACION
    Modelo de Seguridad y Privacidad de la
    Información

    •Sistema 2010 •Modelo de Seguridad 2013 •Modelo de Seguridad


    Administrativo de la Información 2.0 y Privacidad TI –
    Nacional de Seguridad •Modelo de Seguridad – GEL ISO 27001 •Modelo de Seguridad Ajustes conforme a
    de la Información – de la Información – y Privacidad TI – ISO 27001:2013 – 21
    GEL GEL - Auditoria Subdirección de Guías Anexas.
    Seguridad y
    Privacidad

    2008 2011 2016


    MSPI - Guías
    http://www.mintic.gov.co/gestionti/615/w3-propertyvalue-
    7275.html

    MSPI

    INSTRUMENTO 21 GUIAS
    ¿PARA QUE SIRVE?

    ¿COMO ERA?
    Responsabilidad Social
    #Percepciones
    #Errores Comunes

    Compartir el usuario o la contraseña

    Abrir archivos adjuntos de correo de origen desconocido

    Utilizar el correo de la organización para enviar “SPAM”

    Instalar software no autorizado

    Subir a la nube, información de trabajo

    Conectarse a una red vía telefónica o Wireless mientras se está conectado a la LAN.

    Navegar en sitios “peligrosos”


    #Percepciones
    Nuestra Entidad no es blanco de ataques.

    No existe nada en la Entidad que valga la pena que se roben.

    Las amenazas son solo externas.

    Tenemos instalado un Firewall… entonces estamos protegidos

    Estamos gastando más que suficiente en seguridad.

    Si pasa algo, podemos asumir la pérdida

    Después de una falla siempre podemos restaurar el sistema

    Los problemas ocasionados por los virus siempre son menores.

    Todos los problemas se solucionan comprando equipos.


    AMENAZAS Y VULNERABILIDADES

    Escalamiento de privilegios
    Password cracking
    Redes Sociales Puertos vulnerables abiertos Exploits
    Man in the middle
    Violación de la privacidad

    Servicios de log inexistentes o que no son chequeados

    Denegación de servicio Backups inexistentes


    Destrucción de equipamiento
    Últimos parches no instalados
    Instalaciones default
    Desactualización Keylogging Port scanning

    Hacking de Centrales Telefónicas


    + AMENAZAS Y VULNERABILIDADES

    Spamming
    Violación de contraseñas
    Captura de PC desde el exterior
    Incumplimiento de leyes y regulaciones
    Virus Ingeniería social
    Mails anónimos con agresiones Programas “bomba, troyanos”
    Interrupción de los servicios Destrucción de soportes documentales
    Robo o extravío de notebooks, palms
    Acceso clandestino a redes
    Robo de información
    Acceso indebido a documentos impresos
    Intercepción de comunicaciones voz y
    Indisponibilidad de información clave
    wireless
    Falsificación de información
    para terceros Agujeros de seguridad de redes conectadas
    Suplantación de Identidad - Phishing
    Suplantación de Identidad - Phishing
    Sextorsión
    #Seguridad por Oscuridad
    ACCIONES

    ¿COMO NOS
    PROTEGEMOS?
    #Recomendaciones
    Mantener
    actualizado el Aseguramiento del Protección en el
    Spam
    sistema operativo y sistema operativo correo electrónico
    las aplicaciones

    Seguridad en la Seguridad en redes Seguridad en redes


    Phishing
    navegación sociales P2P

    Seguridad en Seguridad en
    mensajería dispositivos
    instantánea removibles
    Estrategias Nivel País
    “Si piensas que la Tecnología
    puede solucionar tus Problemas
    de Seguridad, está claro que ni
    entiendes los Problemas ni
    entiendes la Tecnología.”

    Bruce Schneier
    Gracias
    ¡Estamos construyendo el
    Gobierno más eficiente y
    transparente con el uso de las TIC!

    Anda mungkin juga menyukai