PowerPoint Presentation · Código Malicioso - Malware Ciberhacktivismo Fraude electrónico...
Transcript of PowerPoint Presentation · Código Malicioso - Malware Ciberhacktivismo Fraude electrónico...
Gestion Organizacional
Definir Estrategia
Protección de la
información
Procesos Misionales
la paz favorece la equidad y la educación, la equidad propicia la paz y la educación, y la educación genera condiciones de paz y
equidad.
Estrategia - Plan Nacional de desarrollo
Min TIC
Despacho Viceministerio de Tecnologías y Sistemas de la
Información
Dirección de Estándares y
Arquitectura de TI
Subdirección de Seguridad y
Privacidad de TI
Dirección de Políticas y Desarrollo de
Tecnologías de la Información
Dirección de Gobierno en Línea
Decreto 2618 de 2012
MSPTI
• Tramites y servicios a través de medios electrónicos
TIC para Servicios • Uso de las TIC
TIC para el Gobierno Abierto
• Planeación y gestión tecnológica
TIC para la Gestion • Protección de la
Información y los Sistemas de Información
Seguridad y Privacidad de la Información
Cumplimiento con la Estrategia de GEL
Normatividad Vigente
Código Único Disciplinario
• Articulo 34 (4-5)
• Articulo 35
Código penal colombiano
• Ley 1273 de 2009
Protección de datos
• Ley 1266 de 2008
• Ley 1581 de 2012
• Decreto 1377 de 2013
• Ley 1712 de 2014
Políticas publicas
• Ley 1341 de 2009
• Decreto 32 del 2013
• Circular 052
• Circular 042
• NTD – SIG 001:2011
• Resolución 305 CDS
Propiedad Industrial
• Ley 170 de 1994 - Organización Mundial de Comercio
• Ley 463 de 1998 – Tratado de cooperación de patentes
Comercio Electrónico y Firmas Digitales
• Ley 527 de 1999
• Decreto 1747 de 2000
• Resolución 26930 de 2000
• Decreto 2364 de 2012
• Circular externa 042 del 2012 (SFC)
Derechos de autor
• Decisión 351 de la C.A.N.
• Ley 23 de 1982
• Decreto 1360 de 1989
• Ley 44 de 1993
• Decreto 460 de 1995
• Decreto 162 de 1996
• Ley 545 de 1999
• Ley 565 de 2000
• Ley 603 de 2000
• Ley 719 de 2001
• Sistema Administrativo Nacional de Seguridad de la Información – GEL
2008
•Modelo de Seguridad de la Información – GEL Auditoria
2010 •Modelo de Seguridad de la Información 2.0 – GEL ISO 27001
2011
•Modelo de Seguridad de la Información –
• Subdirección de Seguridad y Privacidad
2013
Modelo de Seguridad de la Información
Implementación - Fases
Modelo de Seguridad de la Información
Diagnóstico
Planificación
Implementación
Gestión
Mejora continua
Modelo de Seguridad de la Información
Riesgo:
Es la posibilidad de que suceda algún evento que tendrá un impacto sobre los objetivos institucionales o del proceso. Se expresa en términos de probabilidad y consecuencias (Guía de Administración del Riesgo-DAFP). Según la Norma Técnica NTCGP 100:2009, el riesgo es “Toda posibilidad de ocurrencia de aquella situación que pueda afectar el desarrollo normal de las funciones de la entidad y el logro de sus objetivos”.
¿Gestionamos el Riesgo?
Estratégico.
De Imagen.
Operativo.
Financiero. Cumplimento.
Tecnológico.
Corrupción.
Mapas de Riesgos.
De Riesgos Institucional.
De Riesgos por Proceso.
Identificación - Capas
IC
CIBERSEGURIDAD
SEGURIDAD DE LA INFORMACION
SEGURIDAD
INFORMATICA
Estrategia - País
Cibercrimen Ciberterrorismo Código Malicioso
- Malware Ciberhacktivismo
Fraude electrónico
Economía underground
Software Ilegal Ingeniería Social
Computación móvil
Cloud Computing Redes Sociales Acceso no
autorizado a los sistemas
Conflicto de intereses
Funcionarios o Ex-funcionarios
molestos
Incumplimiento de las leyes y regulaciones
MDI
Vectores - CiberAtaques
Identificación, priorización y
catalogación de las
infraestructuras críticas.
colCERT
CCOC
CIBERDEFENSA DE LAS
INFRAESTRUCTURAS
CRÍTICAS DE COLOMBIA
Heterogeneidad
Complejidad
Interdependencia
Ejemplos de Sectores Críticos
Protección de Infraestructura Critica
Colombia – 7.237 - .gov.co
Fuente: .CO – Febrero IG – Año 2014
9103
3500
1289 547
402
369 350 338
261
242 221 179 132 102 100 93
93
91 73 67 66
60 44
42 36 35 31 31 27 27 26 26 24 23 23 22 21 20 19 19 18 18 17 16 16 14 13 13 12 12 11 11 10 10 9 8 6 6 6 6 5 5 5 4 4 4 4 4 4 4 4 4 4 4 3 3 3 3 3 3 2 2 2 2 2 2 2 2 2 2 1 1 1 1 1 1 1 1 1
Colombia Estados Unidos Francia AlemaniaBelgica Rusia Reino Unido United StatesChina Paises Bajos Holanda UcraniaAnonymous Proxy Taiwan Germany CanadaJapon Thailandia España SuizaVenezuela Italia Hong Kong United KingdomMexico Indonesia Australia BrasilChile Arabia Saudita Peru PoloniaDinamarca Portugal Rumania Proxy anonimoArgentina Interna Suecia New ZelandiaNoruega Ecuador Icelandia GreciaRepublic of Korea Austria Korea IndiaLetonia Turkia Singapur BielorrusiaIsrael Luxemburgo Filipinas MalasiaNepal Panama Iran AsiaGuatemala Uruguay Macedonia Puerto Rico(en blanco) Vietnam Slovakia SerbiaNew Caledonia Moldovia Macao Republica ChecaCzech Republic Cyprus Finlandia OCEANIABulgaria Republica Dominicana Irlandia Costa RicaKazajistán Croacia Cuba Seychelles
Incidentes:
18512
Fuente:
IG
+ 2000 sitios web
Funcionarios en general
Directivos
Administradores - Seguridad y/o de TI La seguridad como una inversión y no como un gasto
Seguridad de la información y su impacto en los objetivos del negocio
Cuerpos de respuesta a incidentes de Seguridad
Roles y responsabilidades
Acompañamiento, Formación y Sensibilización
Corporación Colombia Digital
Ejecución del Contrato Interadministrativo N° 000376 de 2015 el cual tiene por objeto Contratar
Servicios de acompañamiento especializado al
Ministerio TIC en la implementación de las
iniciativas: Fortalecimiento de la Gestión de TI en el estado y la Estrategia de Gobierno en línea
Despliegue del Acompañamiento de Gobierno en Línea 2015
Informar
Entender
Ubicar
Actuar
Acompañamiento
Acompañamiento Territorial - Distrito
Iniciativa MinTIC
Servicios técnicos y administrativos, para la ejecución de pruebas de
vulnerabilidad, test de intrusión, identificación de brecha en 16
entidades del estado.
Realizar la ejecución de un instrumento (lista de chequeo) este
instrumento debe contemplar como mínimo los dominios A5, A6, A7, A8,
A11 de la Norma ISO 27001 y la implementación de las fases del
modelo de seguridad de la información (Planear, Hacer, Verificar,
Actuar).
Pruebas de seguridad informática – controles. Para identificar el
alcance de las pruebas técnicas se debe analizar el Mapa de procesos
de la entidad para:
Identificación de dos procesos misionales.
Identificación de un proceso catalogado como Infraestructura
Critica.
Entidades territoriales SECTOR ENTIDAD NACIONAL ENTIDAD TERRITORIAL
SALUD
Ministerio de salud y protección social
Secretaria De Salud Distrital
Superintendencia nacional de salud
Instituto nacional de vigilancia de medicamentos y alimentos
JUSTICIA
Ministerio de justicia y del derecho
Secretaria De Gobierno Distrital
Agencia nacional de defensa jurídica del estado
Unidad de servicios penitenciarios y carcelarios
AGRICULTURA
Ministerio de agricultura y desarrollo rural
Secretaria Del Hábitat
Unidad administrativa especial de gestión de restitución de tierras despojadas
Instituto colombiano agropecuario
EDUCACIÓN
Ministerio de educación nacional Secretaria de Educación Distrital
ICETEX
Fondo de desarrollo de la educación superior
Gracias
JULIO CESAR MANCIPE CAICEDO
Asesor Despacho viceministra TI
Líder de Seguridad de la Información - GEL
Viceministerio de TI
@jota_ce32