trámites en línea marco de seguridad - isaca.org · rol de agesic. gestión del programa...
TRANSCRIPT
Trámites en Línea
Marco de Seguridad
1
Ing. Santiago Paz
Ignacio Lagomarsino
2
ALCANCE
“La mejora permanente en la gestión pública cumplirá una
etapa trascendente en materia de gobierno electrónico cuando
en el año 2016, el 100 % de los trámites puedan ser iniciados
y seguidos mediante Internet e incluso desde los propios
teléfonos celulares desde los cuales podrán hasta efectuarse
los pagos correspondientes”.LSA
Dr. Tabaré Vázquez
Presidente de la República
1ª alocución en cadena nacional
Marzo 01 de 2015
3
ALCANCE
Administración Central.
Decreto 184/2015. “Trámites 100% en línea”
Apoyo técnico y económico
Otros interesados
Empresas Públicas
Intendencias
Organismo de 220
4
Punto de partida: Tramites en línea
70
30 20
80
Volumen transaccional Cantidad
Rol de Agesic
.
Gestión del Programa Trámites en línea
Rectoría de las iniciativas de trámites en línea
Control de la calidad de los servicios web (y móvil)
6
METAS
Inicio en línea de 20 trámites de la Administración Central
100% de los trámites
100% en línea
100% de los trámites con
inicio en línea
2016
2015
2020
7
Estrategia
• Formación de Equipo
• Estudio de Activos 1 • Evolución de Activos
• LAB de Innovación Social 2 • Modelado
• Relevamientos 3
• Implantación 4
Marco normativo
• Ley 18719 – Creación de la Dirección de seguridad
• Ley 18172 – Creación del CAHSI
• Ley 18362 – Creación del CERTuy
• Decreto 451/009 – Regulación del CERTuy
• Decreto 452/009 – Política de Seguridad de la Información
• Decreto 92/014 - Ciberseguridad
• Ley 18331: Protección de datos personales y acción de habeas data
• Ley 18381: Acceso a la información pública
Cometidos y potestades del CERTuy
Obligaciones del CERTuy
Obligaciones de los Organismos
Procedimiento tareas preventivas
Procedimiento de respuesta a incidentes
Regulación
CERTuy
Decreto 451/009
Objetivos anuales
Responsable Seguridad Información
Controles
Concientización del personal
Plan continuidad del negocio
Política gestión de riesgos
Política gestión de incidentes
Política de
Seguridad
Información
Decreto 452/009
Unificación de dominios
Uso de correo institucional
Datos de Uruguay en Uruguay
Ciberseguridad
Decreto 92/014
Infraestructura Existente
12
Generando confianza
• Facilidad de uso
Trámite corto y claro
Apoyo al usuario
Usabilidad/accesibilidad
Ingreso en etapas
Verificación de datos por el usuario
• Certezas
Información actualizada y centralizada
No repudio
Términos y condiciones de utilización
• Campaña de comunicación
Solución segura
• Diseño seguro
• Desarrollo seguro
• Despliegue seguro
• Arquitecturas y servicios circundantes
confiables y robustos
• Gestión continua de la seguridad
Gestión de activos
• Acuerdo de nivel de servicio
• Políticas de seguridad de la información
• Evaluación del riesgo tecnológico
• Indicadores de seguimiento
• Auditoría periódica
Trazabilidad
• Registro y no repudio
• Completitud e integridad de la información
• Generación de comprobantes
• Confidencialidad vs Transparencia en las consultas
Movilidad
• Factores de autenticación
• Medios de pago
• Campañas de sensibilización
Análisis de activos existentes
• Ethical hacking.
• Análisis de vulnerabilidades
• Análisis de infraestructura
18
Conclusiones
• Los análisis realizados a los activos existentes pierden
vigencia ante un mínimo cambio de contexto.
• La seguridad incluida desde la concepción genera
resultados más duraderos.
• La confianza es una necesidad básica y por tanto la
seguridad también lo es.
Próximos pasos: Relevamiento Primario
20
• Cumplimiento Normativo:
Datacenters,
Servidores de correo
Responsables de seguridad
• Trabajo en Gestión de seguridad:
Controles
Políticas
Procedimientos
• Comités de seguridad:
Actividad
Integrantes
Próximos Pasos: Definir Framework de
Seguridad
21
• Definir un subset de controles de la normativa standard ( i.e. ISO 27000 ) para ser implementados en una primera instancia en el estado uruguayo.
• Definir recomendaciones que sean pertinentes a la realidad de Uruguay.
Próximos Pasos: Plan de Auditoría
22
• Auditar Cumplimiento Normativo
• Auditar Gestión de seguridad
• Auditar Framework de seguridad