ietei.com.arietei.com.ar/wordpress/wp-content/uploads/2014/xxiico… · web viewlos recursos...

XXII CONGRESO NACIONALTRIBUNALES DE CUENTAS, ORGANOS Y

ORGANISMOS DE CONTROL EXTERNO DE LA

REPUBLICA ARGENTINA

18-19 Y 20 DE SETIEMBRE – LA RIOJA- ARGENTINA

TEMA V: LA SEGURIDAD INFORMÁTICA –– PROPUESTA DE CRITERIOS O PAUTAS DE AUTOEVALUACION

ORGANISMO:

AUDITORIA GENERAL DE LA PROVINCIA DE SALTA

AUTOR: MG.LAURA RAQUEL LAVIN

La Seguridad de la Información – Criterios o pautas de autoevaluación

Índice

a) Objetivo de la investigación………………………………………….……….Pag.3

b) Introducción…………………………………………………………………….Pag.4

c) Componentes de la seguridad de la información……………...………..…Pag.7

d) La seguridad informática……………………………………….……………..Pag.8

e) Criterios para evaluar la seguridad de la información…………………....Pag.10

f) Tipos de seguridad………………………………………….….……….....….Pag.11

g) Propuesta de Autoevaluación de la confidencialidad………………..…..Pag.14

h) Propuesta de Autoevaluación de la integridad……………………………Pag.14

i) Propuesta de Autoevaluación de la accesibilidad………………………...Pag.15

j) Propuesta de Autoevaluación de la legalidad……………………………..Pag.15

k) Propuesta de Autoevaluación de la comparabilidad…………………..….Pag.17

l) Propuesta de Autoevaluación de la seguridad lógica…………………….Pag.17

m)Propuesta de Autoevaluación de la seguridad física……………………..Pag.20

n) Autoevaluación de la seguridad en el desarrollo

y mantenimiento………………………..…………………………………….…...Pag.22

o) Conclusiones…………………………………………………………………. Pag.24

Bibliografía…………………………………………………………………………Pág. 25

Mg. Laura Raquel Lavin Página 2


a) Objetivo de la investigación

La Auditoría General de la Provincia de Salta desde su creación ha apostado

a la creciente informatización de su actividad, para ello es parte de su política

institucional la informatización de todas las áreas de trabajo, dotando y

manteniendo el equipamiento y el software conforme los últimos avances técnicos

disponibles en el mercado, a fin de poner a disposición de los empleados las

herramientas necesarias para una labor eficiente. Dicho mantenimiento se realiza

respetando los requerimientos técnicos de cada sector de la institución.

Por otro lado utiliza la tecnología como vehículo de comunicación con la

comunidad por medio de su página web institucional: www.agpsalta.gov.ar y el

correo de contacto: [email protected]. En la página se puede apreciar la

información del accionar institucional actualizado, los informes de Auditoría

Definitivos para su conocimiento, la normativa que la rige y demás información de

utilidad. De modo interno se ha desarrollado una red intranet, la que contiene una

vasta información: normativa básica para la realización de auditorías, la

documentación digital de los legajos permanentes de auditoría, los cuales que se

van actualizando con la documentación que se obtiene vía institucional o en tarea

de campo, los Informes de Auditoría Publicados, los eventos de capacitación y su

material, etc. La red interna tiene mucha movilidad, para utilidad laboral y de

comunicación entre los integrantes.

El personal del Departamento Sistemas tuvo un perfil profesional y técnico

en TICS, desde sus inicios: Ingenieros Informáticos, programadores y técnicos en

informática, forman la planta del mismo.

En cuanto al equipamiento en el Presupuesto anual de la AGPS se prevé

una partida para la actualización del hardware, en base a un estudio previo sobre

la obsolescencia de los equipos y del software en base a la tecnología de punta

vigente y las solicitudes de actualización que presenta su personal.



En cuanto a los procedimientos necesarios para un buen desempeño

informático, la AGPS ha aplicado desde el inicio de su gestión acciones que

incluyen controles asociados y medidas de seguridad lógicas, físicas, de

desarrollo y mantenimiento etc., que aseguran la prestación continua del servicio

y medidas de contingencia, criterios que funcionan de hecho, sin que los

mismos consten en un cuerpo ordenado y aprobado. No contamos con un cuerpo

sistematizado, aprobado, comunicado de criterios de seguridad informática.

Es objetivo del presente trabajo parte del conocimiento y relevamiento actual

de las capacidades desarrolladas por la AGPS en materia de seguridad

informática, los riesgos y debilidades a que se encuentra expuesta y pretende

fundar las bases o criterios de Seguridad de la Información para la AGPS , los que

deberán formalizarse y aprobarse, así como su método de valoración para un

autocontrol.

El presente trabajo se ajusta a las normas dictadas por el IETEI para la

elaboración de trabajos científicos y ha sido puesto en conocimiento del

Presidente del Colegio de Auditores de la Auditoría General de la Provincia de

Salta.

b) Introducción Las TICs (tecnología de la información y comunicación) tienen que ver con la

aplicación de la tecnología utilizada para el tratamiento y transmisión de la

información, principalmente tiene que ver con la informática, la internet, las

telecomunicaciones. Hoy el uso de las TICs no para de crecer y de extenderse en

los países desarrollados, los que comparados con los países pobres crean la

llamada brecha digital y social, y las diferencias entre las generaciones.

Las TICs han transformado nuestra manera de trabajar, en particular en el

Sector Público en el que por una cuestión cultural durante un largo tiempo se

demostró una larga resistencia, ganando los beneficios de los resultados



logrados, liberándonos de las cargas más pesadas, optimizando nuestros

recursos y haciéndonos más productivos, frente a los costos de aprendizaje y

equipamiento. Gracias a ellas, somos capaces de producir mucho más, de mejor

calidad, invirtiendo mucho menos tiempo.

Haciendo historia no hace mucho, a partir de los años 90 vivimos cambios

positivos en la planificación, ejecución y control de la actividad pública, que hasta

entonces eran de elaboración personal y su registro de modo manual. Así la era

digital llegó a todos los rincones del planeta, achicando la mencionada brecha

digital, faltando bastante para lograr aún este objetivo fueron varios los actores

involucrados, autoridades y financiado especialmente con fondos nacionales y

ayudas internacionales, a fin de que

El Control Público dispone de diversos canales informáticos para lograr

comunicación, información y medios para lograr parte de las evidencias válidas y

suficientes mediante el uso de las TIC´s en:

Consultas por “on line” de la página web, sobre los datos primarios del

auditado.

Consultas “on line” respecto a las diferentes actuaciones administrativas. El

desarrollo a medida y aplicación de programas de seguimiento de

expedientes (Sistemas de Mesas de Entradas) en toda la Hacienda Pública

Estatal y para-Estatal, por medio de los cuales se agilizaron el registro de

diferentes trámites, la consulta del trámite por parte de los iniciadores, el

control interno y externo y la reducción los plazos de la gestión.

Consulta de las contrataciones públicas de modo informatizado

El registro digital del Presupuesto Anual de ingresos y gastos, su ejecución,

incluidas las Rendiciones de los fondos, tanto de los recursos propios como

de aquellos obtenidos vía préstamos de origen nacional o internacional, por

parte del organismo rector en esta materia que es la Oficina Provincial de

Presupuesto. Conocimiento de la gestión de la planificación, sanción y



ejecución trimestral presupuesto público.

Conocimiento sobre el registro e información de la deuda pública, etc.

La emisión de diversos documentos como: órdenes de compra, órdenes de

recepción, órdenes de pago, órdenes de consultas médicas, cheques,

remitos, recibos, etc. de modo digital, permite la consulta sobre los registros

pertinentes en el ente auditado.

El registro y control de stock de bienes de consumo adquiridos por la

Administración Pública de modo digital.

La implantación de la Cuenta Única del Tesoro (CUT) para eficientizar la

administración de los fondos del Estado.

El pago a proveedores mediante la transferencia bancaria directa de los

importes netos de servicios y bienes prestados, a las cuentas bancarias de

los proveedores, utilizando la Clave Bancaria Uniforme (CBU), en la mayoría

de los pagos.

La liquidación y el pago de sueldo, jubilaciones, subsidios, etc., vía la

acreditación en las “cuentas bancarias sueldo” de sus beneficiarios por parte

de los Organismos rectores Contaduría General de la Provincia y Tesorería

General.

El registro y control de la Obra Pública de modo descentralizado

La publicación de los llamados a Licitaciones y Contrataciones del Estado

en la web, a fin de lograr la mayor participación posible e igualdad entre los

oferentes.

La publicación de la normativa y actividad administrativa del Estado en el



Boletín Oficial “on line”.

La utilización buzones de sugerencias digitales, consultas y chat directo por

parte de los organismos, a fin de mejorar la gestión.

El uso de la información digital, permite lograr respaldo documental para la

realización de auditorías internas por parte de los organismos de control

primario (SAF- Servicios de Administración Financiera).

La grabación de llamadas telefónicas por razones de calidad.

La instalación y uso de cámaras de seguridad como medida de prevención y

actuación frente a actos delictivos o corrupción.

El uso de las redes sociales como mecanismo de autoevaluación de la

gestión política.

El voto electrónico utilizado en las últimas elecciones de autoridades

nacionales y provinciales

Hoy gozamos de todas las ventajas de la informatización de las tareas

rutinarias y no rutinarias, como herramienta fundamental para lograr la tan

anhelada eficacia, eficiencia y economía de la actividad pública, en las cuales el

gran desafío es vincular dichas tareas con el Sistema de Control , no solo

como retro alimentador de la actividad administrativa pública, sino como una

respuesta a la comunidad sobre los interrogantes que se plantean a la hora de

discutir acerca de la percepción y aplicación oportuna, ética y legal de los fondos

públicos. El vínculo debe estar estructurado sobre un suficiente nivel de confianza

respecto de la seguridad que infunde la información.



Abordar el tema de la Seguridad de la Información significa abrir un espacio

de discusión y a partir del mismo generar conciencia sobre la importancia de la

misma, para finalmente proponer al Control Público el dictado, aplicación y

control de las pautas, principios, criterios o normas de Seguridad de modo

institucional, fundamentalmente para su autoevaluación.

c) Componentes de la Seguridad de la Información Cuando una organización busca información oportuna para tomar

decisiones sobre riesgos y controles de manera rápida y exitosa, se pregunta:

¿Qué se debe medir?.¿Cómo medir?. Se necesita encontrar la forma de realizar

una valoración objetiva para lograr las mejoras y la forma de implantarlas.

El presente trabajo responde a ese interrogante, proponiendo cuáles son los

aspectos a medir, su valoración y cómo realizar a partir de los valores

consensuados, la autoevaluación del ente en materia de Seguridad de la

Información a partir de estas definiciones: componentes y tipos de seguridad

implantados.

Consensuar valores mínimos y máximos que puedan ser representativos de

cada uno de los componentes y tipos de seguridad significa el estudio del ente en

cuanto a los principios, pautas o normas vigentes en el ente respecto a los

componentes y tipos de seguridad definidos como válidos.

La ISACA, cuyas siglas en inglés se traduce como Asociación de Auditoría y

Control de Sistemas de Información, es una asociación internacional que apoya y

patrocina el desarrollo de metodologías y certificaciones para la realización de

actividades auditoría y control en sistemas de información. Ha elaborado

estándares para la evaluación del Control Interno para los sistemas

computarizados, mediante una guía metodológica. Así surgen las mejores

prácticas como estándares internacionalmente aceptados, las que han ido



avanzando desde el año 1996 con COBIT 1 a 2012 con COBIT 5. Este estándar o

mejores prácticas es de acceso gratuito y de aplicación a organizaciones públicas,

privadas, pequeñas y grandes.

Adoptando lo establecido en el modelo de estándar internacional COBIT 5

(que a su vez toma la base de normas estándares ISO/IEC 15504 e ITIL) emitido

por ISACA (en su traducción Asociación de Auditoría y Control de Sistemas de

Información), como mejores prácticas generalmente aceptadas en materia de

seguridad de la información, la misma debiera basarse en tres componentes: la

gente, la organización y la tecnología.

Las personas: Los criterios, principios o normas de Seguridad de la

Información en su caso, serán de utilización y operación por parte de todos

los usuarios internos de la AGPS, o sea, las autoridades políticas, el

personal profesional, técnico, el personal administrativo y de maestranza,

de planta permanente, transitoria, contratado o de gabinete, cualquiera

fuere su nivel jerárquico, por lo que la implementación e implantación de

los criterios de Seguridad de la Información es responsabilidad de todos los

recursos humanos, dentro de los límites del Manual de Misiones y

Funciones y de las instrucciones impartidas por el superior jerárquico

correspondiente.

La organización de la Seguridad de la Información: Los administradores del

sistema de información, o sea el personal profesional y técnico del Área

Sistemas, son quienes deben aplicar los criterios que se aprueben sobre

Seguridad de la Información a toda la organización, la cual sería deseable

conste en un cuerpo de normas de aplicación obligatoria y conforme el

Manual de Misiones y Funciones.

La tecnología: alcance y propiedad: Las pautas, normas, principios o

criterios de Seguridad de la Información se deben aplicar a todo el ente,

sus recursos y procesos, internos y externos, de propiedad del ente o



generados a través de contratos o acuerdos con terceros cuya propiedad

es del ente. La responsabilidad en dicha aplicación será de la máxima

autoridad del ente y de allí continuando la línea jerárquica.

La información generada, accedida y procesada mediante los recursos

disponibles, es de propiedad de la institución y como tal se debe

resguardar a fin que la misma asegure la confidencialidad, integridad y

disponibilidad de la información.

d) La seguridad de la Información La Seguridad Informática ha tomado gran auge a partir de los cambios en

las condiciones de trabajo, los nuevos sistemas de comunicación y transmisión de

datos basados en redes y las variadas plataformas tecnológicas disponibles, todo

lo cual facilitó la tarea de interconectarnos aumentando la productividad, pero que

implicó no pocos problemas en términos de las amenazas para dichos sistemas.

Las principales amenazas o riesgos cuando hablamos de trasmisión de

datos mediante redes que minan la eficiencia y eficacia lograda por el avance

tecnológico generan atrasos y grandes pérdidas económicas a las

organizaciones, tales como:

pérdidas de información

robo de información

destrucción de equipos

destrucción de archivos digitales

las fallas de los sistemas

las debilidades de los sistemas aprovechados por la introducción de

códigos malignos por parte de agrupaciones, aficionados o

profesionales, por accidente o de modo intencional.

el uso de técnicas de intrusión e inutilización de discos mediante

virus frente a la importancia en volumen de datos



horas hombre de labor de control, que se pueden perder por la

acción o inacción en la mayoría de las veces, fallas humanas por

una inadecuada operación de parte de los usuarios

Por ello, para garantizar de modo razonable el acceso a la información por parte de las instituciones de Control y de terceros a quienes está destinada la información, surge la necesidad de implementar medidas de

Seguridad de la Información, que contengan decisiones sobre los activos a

proteger, la concientización sobre su valor y el modo de aplicarla.

Las medidas de Seguridad Informática deben formar parte de la Política general de un organismo.

e) Criterios para evaluar la Seguridad de la Información La ONTI, Oficina Nacional de Tecnología de la Información en su Modelo de

Política de Seguridad de la Información para organismos de la Administración

Pública Nacional, aprobado por Resolución Nº 06/2005, en su punto 2.1 define las

características que debe lograr la información para ser considerada segura:

Son tres los criterios básicos de una información segura:

1.- Confidencialidad: No cualquiera accede a la información interna sobre

los recursos informáticos de un ente. El criterio de confidencialidad tiene relación

con el debido resguardo de la información interna (activo informático) de todo

ente y el deber de confidencialidad de sus integrantes, por lo tanto el acceso a la

información interna debe ser autorizado por mecanismos correctos, para lo cual

se deben tomar las medidas que eviten el uso no autorizado de los recursos

informáticos. Protección contra la revelación no autorizada.



2.- Integridad: Deben preverse las medidas para que la información

almacenada, procesada y en curso de elaboración, sea exacta y comprenda la

totalidad de la misma, evitándose pérdidas. Son elementos para evaluarla: la

precisión, la completitud y la validez.

3.- Disponibilidad: El hardware, el software y los datos almacenados deben

ser accesibles por todos los usuarios autorizados, toda vez que lo requieran. Se

deben tomar todas las medidas disponibles evitando o minimizando la

interrupción.

A ellos se pueden agregar otros nombrados por la Resolución 06/2005 de la

ONTI, que resultan importantes también:

4.- Autenticidad: la información debe ser válida en tiempo, forma y

distribución. Asimismo se garantiza el origen de la información, validando el

emisor para evitar suplantación de identidades.

5.- Auditabilidad: los eventos de un ente deben ser registrados para su

anterior o posterior control.

6.- Protección a la duplicación: toda transacción se realiza una sola vez, a

menos que se especifique lo contrario. Se debe impedir que se grabe una

operación para luego reproducirla y simular múltiples peticiones del mismo

remitente original.

7.- No repudio: se debe evitar que una entidad que haya enviado o recibido

información pueda alegar ante terceros que no la envió o no la recibió. Para eso

se generan y asignan número a todas las transacciones y se graban en audio.

8.- Legalidad: el uso de los recursos informáticos y de la información que

estos administran, debe enmarcarse en las leyes, normas internas,

reglamentaciones y disposiciones vigentes.



9.- Confiabilidad de la información: la información generada se considera

adecuada si es que puede sustentar la toma de decisiones y las actividades de

los órganos de control.

f) Tipos de Seguridad 1. Seguridad lógica

Comprenden las medidas a tomar en relación a los datos o información

generados. Las amenazas a que están expuestos tanto los activos físicos como

los intangibles (archivos, programas, etc.) son: daños, destrucción, uso no

autorizado, robos, copias o difusión. Las amenazas pueden vulnerar la seguridad

lógica, física.

Los Datos: El tipo de datos que se alojará en el Servidor de Datos, serán de

uso compartidos (públicos) y de uso privados (personales) del usuario. Tal

diferenciación y definición corresponde al Departamento Sistemas.

El personal del ente debe recibir capacitación y asistencia técnica sobre

seguridad de los recursos y de la información. El personal nuevo o ingresante

recibirá la capacitación antes de otorgarle el acceso al Servidor y sistemas que

correspondan. Se deberá comunicar a todo el personal los cambios realizados en

materia de seguridad informática.

2. Seguridad físicaComprende la protección física de acceso físico a los Servidores, la

protección ambiental, el transporte, protección de los datos, el mantenimiento de

los equipos y de la documentación generada digitalmente.

Se debe establecer un perímetro de seguridad y áreas protegidas, al que

tendrán acceso restringido a personal no autorizado. Los usuarios deben ser

autorizados para el acceso al Departamento Sistemas, sala de backups, sala de



comunicaciones, así como definición de los procedimientos de accesos a las

cajas de seguridad con la información sensitiva, etc. Deberá preverse el alcance

de las Áreas reservadas.

También habrá que identificar las áreas de suministro de energía. Las

áreas a proteger son las de alimentación y suministro de energía eléctrica, aire

acondicionado y todo otro sector importante para el correcto funcionamiento de

los sistemas de información. En tal caso sería deseable contratar un testeo

periódico profesional, sobre la carga o potencia a la que está sometido el

equipamiento, el estado de los tableros y sus llaves. Control de la canalización,

separación de cables eléctricos de los cables de red informática y telefónica, con

ductos correctamente canalizados. Todo con el visto bueno del Departamento

Sistemas.

Dado que el Área de Sistemas participa en la contratación de equipos y en

su instalación, participará también en la elaboración de informe periódico sobre el

estado del equipamiento, merituado conforme su obsolescencia para la labor que

cada agente debe desempeñar, a fin de sugerir su desafectación o reutilización en

otra Área.

3. Seguridad en el desarrollo y mantenimiento de los sistemasLos recursos humanos del Departamento Sistemas tienen el conocimiento

integral del Sistema del Organismo, por lo tanto son todos ellos los que deben

participar en el diseño, implementación e implantación de los controles que eviten

maniobras dolosas por parte de terceras personas que puedan operarlo el

mismo, en la Base de Datos, en el software de base, o en caso de producirse un

evento externo estar preparados para actuar con la precisión y rapidez que se

requiere.

El desarrollo de nuevos sistemas requiere de parte del iniciador el

conocimiento de del ciclo de la información lo que se desea sistematizar (ingreso



– proceso-salida), así como el impacto de esta sistematización sobre todos los

usuarios. La solicitud al Área de Sistemas deber ser escrita, con el mayor detalle

a fin que la misma pueda volcar en lenguaje de desarrollo lo solicitado. Es

necesaria la interacción permanente y prefijar un cronograma de avances hasta la

finalización de la etapa de desarrollo y prueba del sistema. También requiere de la

comunicación a los que van a interactuar con dicho sistema durante la etapa de la

prueba a fin de realizar los ajustes pertinentes o generar nuevas ideas para una

aplicación más eficiente. El sistema implantado deberá ser objeto de

mantenimiento permanente a fin de ajustarlo a la realidad de la labor que asiste.

4. Seguridad de redesUna red informática es un conjunto de equipos conectados entre sí, cuya

principal función es transportar datos, compartir información, recursos a distancia,

procurando que la información sea segura, disponible, en forma rápida y

económica.

La red LAN (Local Área Network), es una red que puede abarcar todo un

edificio. La transmisión de los datos se puede realizar por medio de un cableado

coaxial estructurado para todos los pisos del edificio, de modo horizontal.

Funcionalmente la red está concebida bajo la modalidad “Cliente servidor”,

en la cual el usuario solicita la información al servidor de datos, quien da la

respuesta. Por otro lado la red de tipo “Privada”, requiere para su ingreso el uso

de claves para validar el usuario.

Las funciones que cumplen las redes son las de: una intranet y un internet.

Una intranet es un conjunto de equipos que comparten información entre usuarios

validados previamente. El internet en cambio es una red de alcance global, a la

que se accede a través de la Word mide web (KW) que utiliza un lenguaje y

protocolos de dominio abiertos y heterogéneos.

La responsabilidad de la administración de las redes de la AGPS le corresponde

al Departamento Sistemas.



g) Propuesta de autoevaluación: criterio de confidencialidad De este modo y siguiendo como marco orientativo de la Disposición Nº

06/2005 de la ONTI, la Confidencialidad es graduada de 0 a 3 conforme al nivel

de la misma y su acceso.

Información Pública Valor : 0

Información Reservada Valor: 1

Información Reservada Confidencial Valor: 2

Información Reservada Secreta Valor: 3

h) Propuesta de autoevaluación: criterio de integridad o completitud: Siguiendo el mismo marco orientativo de la Disposición Nº 06/2005 de la

ONTI, la integridad considerando el grado de impacto de las modificaciones no

autorizadas por parte de un tercero a la información de la organización, se podría

valorar:

Si las modificaciones no afectan sin

pérdida

Valor: 0

Si se ocasionara pérdidas leves Valor: 1

Si se ocasionara pérdidas significativas Valor: 2

Por último si las pérdidas ocasionadas

fueran sin reparación o pérdida grave

Valor: 3

i) Propuesta de autoevaluación: criterio de accesibilidad: Siguiendo el marco orientativo antes señalado, la inaccesibilidad se podría

evaluar:

Si la disponibilidad no afecta el Valor : 0



desenvolvimiento del órgano.

Si temporalmente la accesibilidad se

afecta con una frecuencia semanal.

Valor: 1

Si temporalmente la accesibilidad se

afecta a diario.

Valor: 2

si la accesibilidad se afecta cada 1

hora.

Valor: 3

j) Propuesta de autoevaluación: criterio de legalidad Puede graduarse desde una valoración acerca del cumplimiento total de la

legislación vigente en materia informática. Los parámetros que se pueden utilizar

son:

Cumplimiento total Valor : 0

Incumplimientos parciales Valor 1

Incumplimientos graves Valor 2 o 3

Provinciales

-El Estatuto del empleado Público de Salta LEY Nº 5546 (modificada por Ley

6227) Promulgada el 27/02/80. Aprobar el Estatuto del Empleado Público para la

Provincia de Salta. B.O. Nº 10.941.

Art. 12.- Queda prohibido al empleado público comprendido en esta Ley, sin

perjuicio de lo que establezca la reglamentación:

f) Retirar y/o utilizar con fines particulares los bienes del Estado y los

documentos de las reparticiones públicas como así también utilizar los servicios

del personal bajo su orden dentro del horario de trabajo que el mismo tenga fijado.



-Ley nº 7140 Marco para las Convenciones Colectivas de Trabajo del Sector

Público Provincial.

-Decreto nº 1333/01 Promulga con observación parcial el texto sancionado

por las Cámaras Legislativas como Ley de la Provincia nº 7140.

-Decreto nº 999/03 Convoca a Negociaciones Colectivas de Trabajo para el

Sector Público Provincial y crea la Comisión Negociadora Central, integrada por

representantes de Entidades Sindicales y del Poder Ejecutivo de la Provincia.

-Decreto nº 2615/05 Aprueba el Convenio Colectivo de Trabajo para el

Sector Público Provincial celebrado entre la Administración Pública Provincial y

sus empleados, representados por su entidad sindical con personería gremial.

Nacionales

-Ley Nacional Nº 25.188 de Ética en la Función Pública: obliga a las personas que

se desempeñen en la función pública a proteger y conservar la propiedad del

Estado y solo emplear sus bienes con los fines autorizados.

-Código de Ética de la función pública: Obliga a los funcionarios a proteger y

conservar los bienes del Estado y utilizar los que le fueran asignados para el

desempeño de sus funciones de manera racional, evitando su abuso, derroche o

desaprovechamiento.

-Decreto Nacional N° 378/2005 de Gobierno Electrónico indica entre sus

Considerandos “Que el Estado es el mayor ente productor/tomador de

información del país, por lo que resulta esencial la utilización de herramientas

tecnológicas para aumentar los niveles de transparencia de los actos públicos y

dar rápida respuesta a las necesidades y requerimientos de la población.”

-La ONTI Oficina Nacional de Tecnología de la Información dictó la Resolución

06/2005 mediante la cual establece un Modelo de Política de Seguridad de la

Información para Organismos de la Administración Pública Nacional.



-La ArCERT , Coordinación de Emergencias en Redes de Tele información de la

Administración Pública Argentina emitió un Manual de Seguridad en redes.

Internacionales

Cobit 5 ISACA.

k) Propuesta de autoevaluación: criterio de confiabilidad Implica tener en cuenta parámetros tales como:

Fuente conocida Conocida: 0

Desconocida: 3

Relevancia que tiene para el tema a

ponderar

Relevante: 0

Irrelevante: 3

Alcance suficiente Suficiente: 0

Insuficiente: 3

Autoridad o identificación Con autoridad o identificación :0

Sin autoridad ni identificación:3

l) Propuesta de autoevaluación: seguridad lógica Comprenderá los siguientes tipos de controles y su valoración:

Controles automáticos, previa definición

de parámetros

Con controles Automáticos según

detalle: 0

Sin controles Automáticos : 3

Controles permanentes, previa

definición de parámetros

Con controles Permanentes según

detalle: 0

Sin controles Permanentes : 3

Controles manuales diarios, previa

definición de parámetros

Con controles diarios manuales

según detalle: 0

Sin controles diarios manuales : 3



Controles manuales periódicos Con controles diarios periódicos,

según detalle: 0

Sin controles diarios periódicos,

según detalle: 3

Controles Automáticos

Actualización automática del software del Servidor: El sistema operativo

activa el servicios de actualizaciones automáticas, dando lugar a parches e

instalación desatendida, con el reinicio del servidor.

Control de ingreso y egreso. El ingreso a los Servidores de la Base de

datos e Internet comprende el acceso a los recursos físicos y lógicos en

condiciones de Confiabilidad, Independencia y Disponibilidad. El modo

acceso a la red interna o intranet debe realizarse mediante la utilización de

un usuario y contraseña personal, acceso a los recursos tecnológicos. Cada

uno de los empleados, al tener asignada una computadora de escritorio o

notebook, tiene asignado un IP y deben ser clasificados previamente según

el niveles de acceso y perfiles, conforme a las instrucciones recibidas de

cada Superior. La clasificación de los usuarios (empleados, directivos,

proveedores, terceros, etc.) conforme a los fines de los accesos y perfiles,

pretende definir el acceso de usuarios a equipamiento y datos, utilizando un

usuario sensitivo, para la realización de tareas críticas y evitar daños

accidentales o intencionales a la organización.

Controles permanentes

Validación de datos de entrada: previa definición del perfil del usuario,

este control permite tener seguridad en la validez de los datos ingresados.

Implica: control de secuencias, control de monto límite por operación y tipo

de usuario, control de rangos de valores posibles, control de paridad,

controles por oposición de modo que quien ingrese lo datos no pueda



autorizarlo y viceversa. También se podrá incluir la validación errores en un

aplicativo.

Emisión de credenciales especiales para usuarios sensitivos y los

procedimientos a aplicar por parte de los usuarios sensitivos.

Definición del acceso a los diferentes tipos de archivos plataformas y

aplicaciones, según el nivel jerárquico o la calidad del trabajo asignado.

El acceso puede ser asignado solo a usuarios autorizados o general.

Alta de Usuarios nuevos y su clasificación en grupos de seguridad,

conforme a las instrucciones.

Creación de claves de seguridad, carpetas privadas, correos electrónicos

y accesos directos a Servidor de Datos Intranet y de Internet.

Capacitación individual relacionada con el uso del Servidor de datos

Intranet, carpetas privadas, compartidas, impresoras, etc.

Reasignación de usuarios y grupos de seguridad ante cambios en

funciones o de perfil o grupos.

Reseteo de la clave de acceso en caso de olvido de la misma.

Reactivación de cuentas de usuarios bloqueadas después de los 5(cinco)

intentos fallidos de acceso.

Control de baja de usuarios y backup de archivos a históricos

Controles diarios

Encendido de equipos o desconexión de periféricos

Buckup del histórico de usuarios antiguos o que no pertenecen ya al

organismo.

Revisión de cuotas de almacenamiento.

Revisión y limpieza de archivos temporales.

Detección por muestreo permanente, con la posterior y eliminación de

archivos no relacionados a tareas institucionales (música, películas, etc.),

dado el gran tráfico que generaron en la red.



Evaluación del tráfico en la red. En caso de sobrecarga se puede sugerir

el bloqueo de acceso a diversos programas descarga de música, películas,

juegos y páginas de uso prohibido, los que con motivos laborales puede ser

desbloqueados

Detección de archivos duplicados.

Controles periódicos

Backup del Servidor: en dos etapas, en el día definido para tal acción. En

el día fijado por Departamento Sistemas y puesto en conocimiento de la

Gerencia General de Planificación. Comprenderá la definición del

procedimiento, la periodicidad y los medios de almacenamiento. El

Departamento Sistemas será responsable del resguardo de medios

removibles, cintas, discos, CD, cassettes e informes impresos, para

asegurar su utilidad.

Control de integridad y re indexación, inconsistencias de la base de datos

y las relaciones que generan. En el día fijado por Departamento Sistemas y

puesto en conocimiento de la Gerencia General de Planificación.

Revisión general de los Activos del servidor.

m) Propuesta de autoevaluación: Seguridad Física

Accesos a la sala de Sistemas Existe restricción: Valor 0

No existe restricción: Valor 3

Accesos a sistemas de alimentación y

suministro de energía

Existe restricción: Valor 0


Acceso a cableados Existe restricción: Valor 0




Acceso al activo fijo Existe restricción: Valor 0


Control de incendios etc. Existe control: Valor 0

No existe control: Valor 3

Se debe controlar los accesos a los perímetros de seguridad y áreas

protegidas, los que serán de acceso restringido a personal no autorizado.

Los usuarios deben ser autorizados para el acceso al Departamento

Sistemas, sala de backups, sala de comunicaciones, así como definición de los

procedimientos de accesos a las cajas de seguridad con la información

sensitiva, etc. Deberá preverse el alcance de las Áreas reservadas.

Se deberá prohibir comer, beber y fumar dentro de las instalaciones de

procesamiento de datos.

Se controlarán las Áreas de alimentación y suministro de energía eléctrica,

aire acondicionado y todo otro sector importante para el correcto

funcionamiento de los sistemas de información mediante un testeo periódico

profesional, sobre la carga o potencia a la que está sometido el equipamiento,

el estado de los tableros y sus llaves.

Se deberán prever controles de la canalización, separación de cables

eléctricos de los cables de red informática y telefónica, con ductos

correctamente canalizados.

Desafectación y Reutilización segura de Equipos. Deberá elaborarse y

poner a disposición del Área que administre el patrimonio del ente, un informe

periódico sobre el estado del equipamiento, merituado conforme su

obsolescencia para la labor que cada agente debe desempeñar, a fin de

sugerir su desafectación o reutilización en otra Área.

Controles contra incendio, humedad e inundación.



Controles de ingreso de equipos de computación móvil, fotográficos, de

video, audio u otro equipamiento que registre información, a menos que

resulte autorizado por el personal el Área Sistemas y bajo su responsabilidad.

Se deben disponer de múltiples enchufes para evitar un único punto de

falla de energía.

Se debe contar con UPS para asegurar el apagado regulado. Los UPS

deben ser controlados periódicamente.

Se debe proveer de iluminación de emergencia en las salas donde se

encuentre el equipo

n) Propuesta de autoevaluación: desarrollo y mantenimiento de sistemas Las valoraciones se pueden elaborar teniendo en claro el ciclo de vida de

desarrollo a aplicar: con valor cero (0) para un desarrollo y mantenimiento óptimo

y valor tres (tres) cuando no se cumplen los criterios. Ya que es difícil proponer en

este caso una grilla de puntaje, detallo los elementos a tener en cuenta.

El desarrollo de sistemas comprende un ciclo de vida inicio, desarrollo,

interfaces y validación.

Por otro lado el mantenimiento de sistemas involucra: las redes, cableado,

monitoreo y registro y revisión de eventos o amenazas.

Etapa de inicio: fundamentalmente se debe estar seguro de la validez de los

datos a procesar. Conocer el ciclo de vida del proceso. Se deben separar los

ambientes de producción, prueba y ejecución vigente del nuevo sistema. El

recurso humano que trabaja en ejecución debe ser diferente al afectado a

desarrollo y prueba, para que actúe del control por oposición de intereses.

Etapa de desarrollo: se deben contemplar validaciones a fin de evitar fallas de

procesamiento o vicios, tales como:



control de secuencias o de fallas de procesos

control de cambios de datos por funciones de incorporación o eliminación

mediante aplicativos.

control de anomalías generadas por las aplicaciones.

verificación de la integridad de registros o archivos.

control del orden en que se ejecutan los aplicativos, etc.

Interfaces y validación de datos de salidas: Comprende las salidas de datos de

las aplicaciones y el control o conciliación de cuentas. para asegurar el

procesamiento de todos los datos.

Mantenimiento en la Administración de las Redes

La arquitectura de cableado de la red de datos debe asegurar tanto en el Servidor

de datos de intranet, como el Servidor de Internet, el cumplimiento de las

siguientes premisas:

la integridad de la información ingresada y procesada.

la confidencialidad, que no pueda acceder quien no se encuentra

autorizado.

la protección de los sistemas conectados contra ataques internos o

externos

el control uniforme de toda la estructura.

Mantenimiento en el cableado

El cableado de electricidad y de comunicaciones que transporta datos debe ser

protegido de daños mediante:

El cumplimiento de los requisitos técnicos vigentes en Argentina.

No atravesando áreas públicas.

Separando cables de energía de los cables de comunicaciones.

Mantenimiento por monitoreo del Sistema



Se deberán prever procedimientos, los cuales responderán a un

cronograma aprobado y autorizado por parte del Superior Jerárquico del

Departamento Sistemas, para monitorear el uso de las instalaciones de

procesamiento de la información, para garantizar que los usuarios sólo estén

desempeñando actividades que hayan sido autorizados explícitamente.

Todos los empleados deben ser informados sobre el alcance preciso del uso

de los recursos informáticos y se les advertirá cuáles son las actividades que

pueden ser objeto de control y monitoreo.

Mantenimiento en el Registro y revisión de eventos o amenazas

Se deberá implementar un registro de amenazas y revisión

automática, que incluya un informe de las amenazas detectadas contra los

sistemas y los métodos utilizados. La periodicidad de este registro será definida

por el superior jerárquico del Departamento Sistemas.

Para ello:

Se asignarán funciones en materia de Seguridad de la información

Se deberán separar las funciones de revisión de las actividades que

están siendo monitoreadas.

Los controles de acceso deberán evitar:

la desactivación de la herramienta de registro.

la alteración de mensajes de registro.

la edición o supresión de registros.

la saturación del soporte donde se graba el registro.

la falla en los registros de eventos.

la sobre escritura de un registro.



o) Conclusiones

Transitando el siglo XXI con el acelerado cambio tecnológico, la relevancia

del uso de la misma y la necesidad de pautas, criterios o normas de seguridad

informática en el funcionamiento de cualquier organización, sin importar su

tamaño, es absolutamente incuestionable e indiscutida. Las amenazas

comprenden un amplio rango entre la ineficiencia organizacional a las pérdidas

económicas y de imagen institucional importantes. A pesar de ello, existen

dificultades al intentar mostrarles a los usuarios su aporte de valor.

No basta el diseño y todos los controles que debieran preverse para lograr

garantizar la Seguridad de la Información de una institución, sino también:

se han propuesto algunos de los tantos que trabajando en equipo se

pueden lograr)

la concientización sobre sus ventajas y beneficios,

conocer los riesgos de olvidar sistematizar su uso

contar con el aporte de los usuarios para su mantenimiento

la decisión política de su implantación, puesta en marcha y control.

Por ello estoy convencida que mientras se edifica la conciencia sobre estos

temas, avanzar es lo que nos debe ocupar, ya que : “Lo mejor es enemigo de lo

bueno”, una de las tantas frases célebres de dice Voltaire, seudónimo de François

Marie Arouet , filósofo y escritor francés , quien nos deja como enseñanza el

hecho que, cuando deseamos progresar como en este caso, asumiendo como

propios principios de Seguridad Informática, que ya han sido tratados y

plasmados por otros organismos y entidades para prever riesgos en el manejo de

la información, debemos tener una actitud flexible primero hacia el conocimiento



y posteriormente hacia la gestión de la implementación e implantación de un

Sistema, que por cierto podrá ser perfectible siempre.Mg. Laura Raquel Lavín

Gerente General de PlanificaciónAuditoría General de la Provincia de Salta



Bibliografía:

Curso de Especialización en Auditoria y Tecnología de la Información

(CATI2). SIGEN 2012.Ref.Prof Marina Varela. Pablo Rotondo.

ISO 27002

ICIC Programa Nacional de Infraestructura Críticas de Información y

Ciberseguridad.

Modelo de Política de Seguridad de la Información para Organismos de

la Administración Pública Nacional. Versión 1Julio 2.005. ONTI Oficina

Nacional de Tecnología de la Información.

Manual de Seguridad en Redes- ArCERT .Sub Secretaría de

Tecnologías Informáticas. Secretaría de la Función Pública.

Resolución Nº 48/05 SiGEN.

Seguridad de la Información- Dirección de Tecnologías Informáticas de

Catamarca.

Política de Seguridad de la Información. Universidad Politécnica de

Cartagena.

Curso Especialización en control y auditoría de la tecnología de la

Información 2.012.

Seguridad de los Sistemas Operativos. Universidad de Neuquén.

Borghello, Cristian. Un asunto de Seguridad Nacional. www.segu-

Info.com.ar.

Sergio Sperat : Todo lo que Ud. quería saber sobre Cobit 5.

http://estratega.org/site/articulos/

Borrador de Procedimientos para el Departamento Sistemas de la

AGPS.

LEY Nº 5546 “El Estatuto del empleado Público de Salta” (modificada

por Ley 6227) Promulgada el 27/02/80. Estatuto del Empleado Público

para la Provincia de Salta. B.O. Nº 10.941.


http://www.segu-Info.com.ar/

http://www.segu-Info.com.ar/


LEY Nº 7140 “Marco para las Convenciones Colectivas de Trabajo del

Sector Público Provincial”.

Decreto nº 1333/01.Promulga con observación parcial el texto

sancionado por las Cámaras Legislativas como Ley de la Provincia nº

7140.

Decreto nº 999/0.Convoca a Negociaciones Colectivas de Trabajo para

el Sector Público Provincial y crea la Comisión Negociadora Central,

integrada por representantes de Entidades Sindicales y del Poder

Ejecutivo de la Provincia.

Decreto nº 2615/05. Aprueba el Convenio Colectivo de Trabajo para el

Sector Público Provincial celebrado entre la Administración Pública

Provincial y sus empleados, representados por su entidad sindical con

personería gremial.

Decreto Nº 378/2005 Plan Nacional de Gobierno Electrónico.

Ley Nacional Nº 25.188 de Ética en la Función Pública: obliga a las

personas que se desempeñen en la función pública a proteger y

conservar la propiedad del Estado y solo emplear sus bienes con los

fines autorizados.

Código de Ética de la función pública: Obliga a los funcionarios a

proteger y conservar los bienes del Estado y utilizar los que le fueran

asignados para el desempeño de sus funciones de manera racional,

evitando su abuso, derroche o desaprovechamiento.

Jean Marc Royer “Seguridad en la informática de empresa: riesgos,

amenazas, prevención y soluciones.” Barcelona 2004

Cobit (Control Objetives for Information). Versiones 4 a 5

Ley 26388. Modifica el Código Penal en la tipificación de delitos

informáticos.

Ley 11723. Propiedad intelectual. Régimen legal.



Ley 25.036 modifica la ley 11723, incluye la protección al desarrollo de

programas fuentes y objeto, la compilación de datos y otros materiales.

Penaliza la defraudación de derechos de propiedad intelectual.

Ley 26653 de accesibilidad a páginas web. Es la ONTI la que debe

diseñar las normas y requisitos de accesibilidad.

Resolución 69/2011 de la Secretaria de Gabinete establece la Guía de

accesibilidad para sitios web del Sector Público Nacional.


ietei.com.arietei.com.ar/wordpress/wp-content/uploads/2014/xxiico… · web viewlos recursos...

Documents