La seguridad de la información en el Gobierno de Canadá

Ing. Bernard Boily, MBA

Presidente

Sedika Technologies

La seguridad de la información en el

Gobierno de Canadá

Agenda

2

1.Contexto

2.Roles y responsabilidades

en seguridad de la

información

3.El estándar de seguridad de

la información del

Gobierno de Canadá

4.Presentación de procesos

clave

5.Preguntas

Resumen de Sedika Technologies

Distribuidor mayorista de las soluciones de sensibilización en

seguridad de la información de Terranova en América latina y

el Caribe

Distribuidor exclusivo de los cursos y certificaciones de PECB

sobre los sistemas de gestión ISO en América latina y el

Caribe

– Implementador Líder ISO 27001

– Auditor Líder ISO 27001





3

Canadá

4

División de las responsabilidades

del gobierno

Gobierno federal – Defensa nacional

– El control de las fronteras

– Las relaciones exteriores

– Seguro de desempleo

– Sector bancario

– Impuesto federales

– Sistema postal

– La pesca

– Embarcaciones, ferrocarriles

– Telecomunicaciones

– Tierras y derechos de los aborígenes

– El derecho penal

Gobiernos de las diez provincias – La educación

– La salud

– Las carreteras

– Los municipios

– Derechos de propiedad y civiles

5

Gobierno de Canadá

Reina Isabel II

Gobernador General

Primer Ministro

Ministros

Departamentos

Agencias

Roles en seguridad de la

información

7

Departamentos

Treasury Board Secretaria (Secretaría

del Consejo del Tesoro)

CIO

Public Safety (Seguridad Pública)

CCIRC

RCMP (Policía Nacional)

National Defence

Fuerzas Armadas

Comunications Security

Establishment

Shared Services (Servicios

Compartidos)

Operaciones de Seguridad de TI

19 otros Departamentos

Consejo del Tesoro

El Consejo del Tesoro un Comité

ministerial encargado de los siguientes:

– Rendición de cuentas y ética

– Gestión financiera, de personal y

administrativa

– Contraloría

– Aprobación de los reglamentos

8

Secretaría del Consejo del Tesoro

El Secretaría del Consejo del Tesoro es la rama administrativa del Consejo del Tesoro

9

Departamentos



CIO


CCIRC

RCMP (Policia Nacional)

National Defence

Fuerzas Armadas

Comunication Security

Establishment


Compartidos)



Se encarga de los siguientes: – Órgano de dirección del gobierno

– Supervisión de las operaciones del gobierno federal en su conjunto

– Director general y el empleador de la administración pública federal

– Contraloría del gobierno

– Supervisión de las funciones de gestión financiera de los departamentos y agencias

– Preparación de políticas, estándares, directrices, etc. que se aplica en todos los departamentos y agencias

Políticas, estándares de la

Secretaría del Consejo del Tesoro

Todas son disponibles en el Internet: http://www.tbs-sct.gc.ca/pol/index-eng.aspx?tree=a2z

10

72 políticas

74 directivas

51 estándares

51 orientaciones

http://www.tbs-sct.gc.ca/pol/index-eng.aspx?tree=a2z





Relación con la seguridad de la

información y la continuidad del negocio

11

7 políticas

•Política de seguridad del gobierno Política de auditoría interna

•Política de uso aceptable de la red Política de protección de la privacidad

•Política de acceso a la información Política de teletrabajo

•Política de gestión de la información

3 directivas

•Directiva de gestión de la seguridad de los departamentos

•Directiva de gestión de identidad

•Directiva de los roles y funciones de gestión de la información

4 estándares

•Estándar de seguridad operacional - Gestión de la seguridad de la tecnología de la información (MITS)

•Estándar de identidad y aseguramiento de los credenciales

•Estándar de seguridad operacional – Programa de planificación de la continuidad del negocio

•Estándar operacional sobre la Ley de Seguridad de la Información (información clasificada SECRET)

1 orientación

•Orientación sobre las brechas de privacidad

Seguridad Pública

El Departamento de Seguridad Pública se encarga de para la protección de los Canadienses y ayuda a mantener una sociedad pacífica y segura.

12

Departamentos



CIO


CCIRC


National Defence

Fuerzas Armadas


Establishment


Compartidos)



Muy similar al departamento de Homeland Security de los EEUU y tiene acuerdos con este departamento

Encargado de la sensibilización de los Canadienses a la seguridad de la información en línea

Sitio web: www.getcybersafe.gc.ca

Se encarga de la promoción del mes de la seguridad cibertécnica (octubre)

http://www.getcybersafe.gc.ca/

Canadian Cyber Incident Response

Centre (CCIRC)

Centro Canadiense de

Respuestas a Incidentes

Cibernéticos

15

Departamentos



CIO


CCIRC


National Defence

Fuerzas Armadas


Establishment


Compartidos)



Esta unidad es responsable de supervisar las amenazas y coordinar la respuesta nacional a cualquier incidente de seguridad cibernética.

Su objetivo es la protección de la infraestructura crítica nacional contra incidentes cibernéticos, que incluye el Gobierno de Canadá.

Parte de FIRST (Forum of Incidente Response and Security Team), www.first.org, una organización internacional de respuestas a incidentes de seguridad.

http://www.first.org/

Comunications Security

Establishment

Unidad de seguridad de

las comunicaciones

16

Departamentos



CIO


CCIRC


National Defence

Fuerzas Armadas


Establishment


Compartidos)



Roles principales (desde Septiembre 2001)

Adquisición de información e inteligencia extranjera (similar al NSA)

Especializada en criptografía

Asesoramiento, orientación y servicios para ayudar a garantizar la protección de la información electrónica y de las infraestructuras de información de importancia para el Gobierno de Canadá

Asistencia técnica y operativa a las agencias de seguridad federal (RCMP y otros) en el desempeño de sus funciones legales

Apoyo a la seguridad de la

información del CSE

Servicios de criptografía para proteger la información sensible

Orientación a la seguridad de la tecnología de la información de productos comerciales

Evaluación de productos de seguridad

Emisión de alertas, boletines, directivas sobre la seguridad de la tecnología de la información

17


Compartidos)

Nuevo departemento creado en 2011 con más de 6,000 funcionarios

18

Departamentos



CIO


CCIRC


National Defence

Fuerzas Armadas


Establishment


Compartidos)



Historia

Tradicionalmente, cada departamento y agencia del Gobierno de Canadá ha establecido sus propios servicios y infraestructura de TI

Fragmentación grandísima que es muy costoso de mantener y administrar

Complexidad de la infraestructura

Más de 100 sistemas de correo electrónico diferentes, en gran medida incompatibles

Casi 500 centros de datos, con capacidad no en adecuación con la demanda

Cientos de redes de telecomunicaciones no coordinadas


Compartidos)

Objetivos – Mejorar eficiencia

– Reducir costos

– Asegurar capacidad de mantener las capacidad de los diferentes departamentos

– Mejorar seguridad

Mediante – Migración de todos los sistemas de correo electrónico

a una sola plataforma

– Consolidación de 485 centros de datos en solamente siete

– Creación de una única infraestructura de red de telecomunicaciones compartida

– Estandarización y consolidación de la adquisición de hardware y software de los dispositivos de tecnología

19


Agrupación de los especialistas de operaciones de seguridad de TI en un solo grupo

20

Departamentos



CIO


CCIRC


National Defence

Fuerzas Armadas


Establishment


Compartidos)



Roles

Gestión de los firewalls

Gestión de los anti-virus

Gestión de los otros dispositivos de seguridad

Copias de seguridad

Gestión de los derechos de acceso

Gestión de los parches

Implementación e integración de herramientas y productos de seguridad

Monitoreo de seguridad 24-7 (en proceso)

Departamentos

19 otros

Departamentos

21

Departamentos



CIO


CCIRC


National Defence

Fuerzas Armadas


Establishment


Compartidos)



Deputy Minister

Oficial de seguridad

Coordinador de seguridad de TI

Equipo de seguridad (20 –

60 personas)

CIO Assistant Deputy

Ministers

Responsibilidades clave

Deputy Minister

– Establecimiento y aprobación del programa

de seguridad del departamento

DSO

– Gestión del programa de seguridad del

departamento

22

Responsabilidades clave del

Coordinador de seguridad de TI

Establecer y administrar un programa de seguridad informática del departamento

Revisar y recomendar la aprobación de las políticas de seguridad de TI del departamento

Trabajar en estrecha colaboración con los directores de prestación de servicios a fin de garantizan el cumplimiento de sus necesidades de seguridad de TI

Vigilar el cumplimiento del departamento con el Mananagement Information Technology Security Standard

Promover la seguridad de TI en el departamento

Establecer un proceso eficaz de gestionar los incidentes de seguridad de TI, y vigilar su cumplimiento

23

Responsabilidades clave del

Equipo de seguridad de TI

Generar políticas e implementar políticas de seguridad

Gestionar el programa de sensibilización a la seguridad de la información

Identificar y certificar nuevas tecnologías

Certificar nuevos sistemas

Soportar el desarrollo de aplicaciones seguras

Auditoría

24

Políticas y estándares clave

25

Política de seguridad del gobierno Política de gestión de la información

Estándar de seguridad operacional Gestión de la seguridad de la tecnología de la información (MITS)

Requiere que los departamentos y agencias tengan una estrategia de seguridad de TI

Requiere que los departamentos y agencias protejan la información durante todo su ciclo de vida

• Elaborado en 2004 (Antes de ISO 27001) • Sustituye el estándar de seguridad de la

tecnología de la información (1995) • Define los requisitos mínimos de los

departamentos y agencias

Principios del MIST

26

• Los departementos deben ver la seguridad de TI como una necesidad de negocio.

La prestación de servicios requiere la seguridad de TI

• Los departamentos deben ser conscientes de las crecientes amenazas de seguridad y vulnerabilidades y deben comprender cómo manejar sus programas de seguridad de TI para responder.

Las prácticas de seguridad de TI necesitan reflejar los

cambios del entorno

• Los departamentos tienen que reconocer que las decisiones de seguridad que toman pueden afectar a otras organizaciones.

El gobierno de Canadá es una entidad única.

• Los departamentos deben combinar personas, procesos y tecnologías y trabajar juntos de manera concertada para lograr un alto nivel de seguridad.

Trabajando juntos para apoyar la seguridad de TI

• Las decisiones deben tomarse sobre la base de la gestión de riesgos que reconoce los impactos potenciales en el departamento , y al gobierno en su conjunto y de sensibilidad y criticidad de los activos que poseen

La toma de decisiones requiere una gestión continua del riesgo

Requisitos del MIST

Definición de roles en relación a la seguridad de la información

Desarrollo de políticas de seguridad de departamento

Lista de controles de seguridad – Seguridad en el desarrollo de sistemas

– Categorización e identificación de activos de información

– Gestión de vulnerabilidades

– Gestión de incidentes

– Continuidad del negocio

– Auditoría

– Sensibilización a la seguridad

– Controles de detección

– Identificación y autentificación

– Criptografía

– Antivirus,

– Etc.

27

Nivel de control requerido

Controles del MIST definen los controles

mínimos a cumplir

El proceso de gestión de riesgo determinará

los controles adicionales a implementar

– Marco para la gestión del riesgo

– Guía para la gestión integrada del riesgo http://www.tbs-sct.gc.ca/tbs-sct/rm-gr/guides/girm-ggir01-

eng.asp

– Guía de gestión de riesgo de seguridad de la

tecnología de la información

28

http://www.tbs-sct.gc.ca/tbs-sct/rm-gr/guides/girm-ggir01-eng.asp











Comparación MITS y ISO 27001

29

Planificar

Fuente: PURCELL, Jim. Improving the Management of Information Security in Canadian Government Departments: Taking Lessons from the ISO/IEC 27001 Standard to Make Continuous, Incremental, and Enduring Improvements, SANS Institute, 2009, 69 p.


30

Hacer

Fuente: Ibid.


31

Verificar

Fuente: Ibid.


32

Actuar

Fuente: Ibid.

Procesos clave

33

Clasificación de los activos

Gestión de riesgos de seguridad de TI

Desarrollo de sistemas de información seguros

Sensibilización a la seguridad de la información

Clasificación de los activos de

información

3 categorías:

– Pública • Información no personal o no de interés nacional

• Publicado para uso público

– Protegida • Expuesta puede causar daños a una persona o a

una organización

– Clasificada • Expuesta puede causar daños al interés nacional

de Canadá

34

Información protegida

3 niveles

35

Daño limitado

Daño grave

Daño excepcionalmente grave

• Número de empleado, proveedor, cliente

• Firma • Fecha de nacimiento • Organigrama • Procedimiento interno

• Número de seguro social • Combinación de información

personal o Número de teléfono no listado o Fecha de nacimiento o Número de tarjeta de crédito o Dirección no listada

Información clasificada

3 niveles

36

Gestión de información protegida y

clasificada

Existe reglas para

– Marcado y etiquetado

– Gestión de Registro

– Almacenamiento

– Control de las llaves

– Usuario de

computadora portátil

– Acondicionamiento y

envío

– Retirada temporal

– Reproducción

– Reclasificación

– Desclasificación

– Retención

– Destrucción

– Violación de seguridad

– Comunicación verbal y

de mensaje

37

http://ssi-iss.tpsgc-pwgsc.gc.ca/msi-ism/ch5/mnpltn-hndlng-eng.html












Gestión de riesgo de seguridad de

la tecnología de la información

Relacionado a la política de gestión de riesgo del gobierno

Information Security Guidance 33 emitido por el Comunications Security Establishment.

Documentos sin clasificación y muy reciente (noviembre del 2012) – http://www.cse-cst.gc.ca/its-sti/publications/itsg-csti/itsg33-overview-apercu-

eng.html

– http://www.cse-cst.gc.ca/documents/publications/itsg-csti/itsg33-ann1-eng.pdf


– http://www.cse-cst.gc.ca/documents/publications/itsg-csti/itsg33-ann4-1-eng.pdf




38

http://www.cse-cst.gc.ca/its-sti/publications/itsg-csti/itsg33-overview-apercu-eng.html













http://www.cse-cst.gc.ca/documents/publications/itsg-csti/itsg33-ann1-eng.pdf


















http://www.cse-cst.gc.ca/documents/publications/itsg-csti/itsg33-ann4-1-eng.pdf










































Actividades de gestión de riesgos de TI

de los departamentos

39

Fuente: Comunications Security Establishment Canada. I ITSG-33, Annex 1 – Departmental IT Security Risk Management Activities, Nov. 2012, 56 p.

Definición de los requisitos de seguridad de

TI et de los controles de TI

Definir el alcance de las actividades de gestión de riesgos de seguridad de TI

Identificar las necesidades de negocios para la Seguridad

Clasificar la seguridad de las actividades de negocio de los departamentos

Definir la metodología de evaluación de los riesgos y amenazas

Hacer la evaluación de los riesgos y amenazas de TI del departamento

Especificar los objetivos de control de seguridad

Desarrollar los perfiles de control de seguridad

40

Controles de seguridad de TI

41

Fuente: Communications Security Establishment Canada. ITSG-33, Annex 3 – Security Control Catalogue, Nov. 2012, 150 p.

• Lista de 153 controles de seguridad

• Basado en U.S. NIST Special Publication 800-53 rev. 3

• Controles no obligatorios e implementados de acuerdo a la evaluación de los riesgos y amenazas de TI

• Recomendaciones de selección según el perfil de riesgo y la clasificación de la información

Proceso de desarrollo de sistemas de

información seguros

Definido en el Information Security Guidance 33, Anexo 2 emitido por el Comunications Security Establishment.

Documentos sin clasificación y muy reciente (noviembre del 2012) – http://www.cse-cst.gc.ca/documents/publications/itsg-csti/itsg33-ann2-eng.pdf

42










Desarrollo de sistemas - Iniciación

43

Fuente: Communications Security Establishment Canada. ITSG-33, Annex 2 – Information System Security Risk Management Activities, Nov. 2012, 104 p.

Desarrollo de sistemas – Desarrollo o

adquisición

44 Fuente: Ibid.

Desarrollo de sistemas – Integración

y instalación

45 Fuente: Ibid.

Sensibilización a la seguridad de la

información

Requisitos del MITS desde 2004

Parte integral de los controles del “Security Control Catalogue” del Canadian Security Establisment

Control preventivo percibido como un elemento esencial del desarrollo de una cultura de seguridad

“Mayor protección de la información es tener usuarios finales bien educados”

Programa continuo con personal dedicado 100% a este esfuerzo en los departamentos

46

Puntos clave del programa de

sensibilización

Audiencia – Usuarios finales

– Gerentes

– Personal técnico de TI

– Desarrolladores de aplicaciones y sistemas

Objetivos – Mayor conciencia de los problemas y las prácticas de

seguridad de la información

– Mejora de los hábitos de seguridad de la información

– Reducción del perfil de riesgo corporativo

– Cumplimiento con los políticas y estándares del gobierno

47

Elementos del programa

Sitio web dedicado a la seguridad de la información

Plan de comunicación

Cursos en línea

Cursos presenciales (anteriormente)

Herramientas de comunicaciones – Posters, Boletines, Videos

Desarrollo de reportes

Desarrollo de métricas

48

Semana de la seguridad

49

Cursos en línea

Curso basado en los requisitos de la política de seguridad del gobierno y del MITS

Curso dedicado al gobierno federal

Curso personalizado en cada departamento y agencia

– Riesgos son diferentes

– Requisitos son diferentes

– Vocabulario es diferente

50

Contenido del curso en línea

Seguridad de la gestión de la información

• Gestión de información sensible

• Ley de acceso a la información y privacidad

• La clasificación de la información

• Marcado y etiquetado

Seguridad del personal

• Investigación de seguridad del personal

• La seguridad en la contratación

51

Seguridad de tecnología de la información

• Conceptos principales de seguridad de la información

• Gestión de riesgos y amenazas

• El uso de Internet

• El correo electrónico

• Las contraseñas

• Los códigos maliciosos

• Los medios portátiles

• Trabajo móvil seguro

• La ingeniería social

Seguridad física

• El control de accesos

• Almacenamiento

• Transporte y transmisión de información sensible

• Destrucción de información o activos sensible

• Los usuarios móviles

• Investigación de incidentes de seguridad

¿Por qué tanto esfuerzo?

Mantener la relación de la confianza entre los Canadienses y el Gobierno de Canadá

Asegurar que los Canadienses perciben que la protección de sus informaciones se toman muy en serio

Dar la confianza a los Canadienses que sus datos personales son bien protegidas

Aumentar el nivel de seguridad de la información en relación al incremento de los datos de los ciudadanos.

52

Observaciones finales – factores

clave de éxito

Definir con claridad el “estado final” que se desea lograr en 5 a 10 años

Hacer el análisis de brechas para llegar a este estado final

Asegurar que los estrategias, programas y planes son coherentes con la consecución de este estado final

Identificar un responsable que garantice la integración de los diferentes planes y estrategias

Se necesita un jefe, de lo contrario puede haber piezas que faltan

53

¿Preguntas?

54

¡Gracias por su tiempo!

Teléfono: +1 .514.349.2663

[email protected]

La seguridad de la información en el Gobierno de Canadá

Business

Transcript of La seguridad de la información en el Gobierno de Canadá