Politicas públicas de seguridad de la informaciónEstratégia de Cyberseguridad 1. Marco jurídico...
Transcript of Politicas públicas de seguridad de la informaciónEstratégia de Cyberseguridad 1. Marco jurídico...
Politicas públicas de seguridad de la información
Setiembre 2011
1
Ing. Santiago Paz
AGENDA
2
Agenda
• Contexto y Concepto
• Estrategia y marcos de referencia
• Desarrollo en Uruguay
• Contexto Regional
Gobierno
Ciudadanos
Gobierno ElectrónicoSector Privado
Seguridad de la Información
3
CONFIANZA
El Gobierno Electrónico necesita de Seguridad en las TIC
4
Estratégia de Cyberseguridad
1. Marco jurídico
2. Técnicas y procedimientos
3. Marco Institucional
4. Desarrollo de capacidades
5. Cooperación Institucional
4
Consejo Asesor en Seguridad Informática
• Se crea por ley (18.172)en al año 2007 para
asesorar en políticas y estrategias en
seguridad Informática
• Tiene representación de los órganos de
gobierno involucrados en seguridad:
� Ministerio del Interior
� Ministerio de Defensa
� Presidencia de la Republica
� Universidad de la Republica
� Empresa Nacional de Telecomunicaciones
• Genera ACEPTACION en las decisiones
estratégicas
5
Centro Nacional de Respuesta a Incidentes en Seguridad Informática (CERT-uy)
• Se crea por ley (18362) en el año 2008, regulado por el decreto 451/09
• Tiene como cometidos: -Centralizar y coordinar la respuesta a incidentes en seguridad informática en sistemas críticos del Estado
• Difundir mejores prácticas en Seguridad Informática
• Realizar actividades preventivas
6
Privacidad y Transparencia
• En 2008 se promulgaron las leyes de privacidad y transparencia (18.331 y 18.381)
• En ambos casos se crearon Unidades Reguladoras con Independencia Técnica
• En 2010 se dicto un informe favorable por la UE para la adecuación de Uruguay en privacidad
7
8
Ley de Firma Electrónica
• Ley 18.600:
� Firma Electrónica
� Firma Electrónica avanzada
• Infraestructura Nacional de Certificación Electrónica
� Unidad de Certificación
Electrónica
‒ Consejo Asesor
9
Marco Institucional
• CERTuy
• Unidad de Datos Personales
• Unidad de Acceso a la
Información Pública
• Unidad de Certificación
Electrónica
• Dirección de Seguridad de
la Información
9
AGESIC
Dirección de
Seguridad de la
Información
CERTuy
Normas y
Fiscalización en
TI
Gob. TI
UrcDP UAIP
UCEConsejo de
Seguridad
Gestión, Gobernabilidad
• Modelo de Madurez de Gobierno Electrónico (primera evaluación en 2009)
• Decreto de obligatoriedad de política de seguridad de la información (Dec. 452/09)
• Políticas y guías de referencia
10
11
Desarrollo de capacidades
• Gestión del Conocimiento
� Capacitación
� Becas
� Comunidades de práctica
• Fondos Concursables
• Consultorías de Seguridad
de la Información
11
Cronología en Seguridad de la Información
12
-> Ley de Protección de Datos Personales
-> Ley de Acceso a la Información Publica
-> Consejo Honorario de Seguridad Informática2007
-> Se crea el CERTuy2008
-> Políticas de Seguridad de la Información Obligatorias (dec 452/09)2009
-> Ley de Documento y Firma Electrónica (ley 18600)
2010 -> Se adquiere y comienza la instalación de la PKI Uruguay (INCE)
2011 -> Unidad de Certificación Electrónica-> Se implementa la PKI Uruguay
La Región
• Colombia: Conpes 3701
• Argentina: Programa Nacional de Infraestructuras Críticas de Información y Ciberseguridad
• USA: Ley Federal de Administración de Seguridad de la Información
• Estrategia Interamericana Integral de Seguridad Cibernética // Programa CICTE OEA
13
14
15
Desafíos
16
• Agregar valor desde la seguridad
• Usabilidad vs. Seguridad
• Cyberdelitos
• Alinear esfuerzos
Preguntas
17