Beruflich Dokumente
Kultur Dokumente
LUGAR: sala de juntas del edificio 27 4to Piso FECHA : viernes 29 de Abril de 10 a 11 horas
Agenda
1. Objetivos de la reunin 2. Antecedentes: breve descripcin de contexto, MAAGTIC e IIE 3. Descripcin del proceso para establecer el Sistema de Gestin de la Seguridad de los Sistemas Informticos (SGSI) 4. Normas de seguridad relacionadas con el SGSI 5. Estrategia para la implantacin del SGSI en el IIE 6. Resultados 7. Beneficios de implantar un SGSI
Objetivo
Describir el proceso para implantar el Sistema de Gestin de la Seguridad de los Sistemas Informticos, dentro del contexto del marco rector establecido por el MAAGTIC.
Antecedentes: Contexto
En Septiembre del 2009 el C. Presidente instruy a la SFP profundizar las acciones en materia de reforma regulatoria y derogar toda aquella normatividad cuya necesidad no quedara plenamente justificada, con el propsito de mejorar la eficiencia operativa gubernamental y elevar la calidad de los servicios ofrecidos al Ciudadano por las diversas dependencias y entidades de la APF. En consecuencia la SFP inici la simplificacin de la normatividad que enmarca la operacin de adquisiciones, arrendamientos y servicios; auditora, control, obra pblica, recursos financieros, recursos humanos / servicios personales, recursos materiales y servicios generales, tecnologas de la informacin y transparencia.
Por lo anterior, y buscando operar adems estrategias del Plan Nacional de Desarrollo (PND), el Programa Especial de Mejora a la Gestin (PMG) y la Agenda de Gobierno Digital (AGD), se emprendi la elaboracin de un Manual Administrativo de Aplicacin General en Materia de Tecnologas de la Informacin y Comunicaciones (MAAG-TIC).
Antecedentes: Contexto
Sustento del MAAG-TIC
Enero 2010
Antecedentes: Contexto
Modelo de Gobierno Digital Sustento del MAAG_TIC
Nivel 6
Nivel 5 Nivel 4
Nivel 3
Gobierno
Direccin
Establecimiento de la Estructura de Gobierno de TIC Planeacin Estratgica de TIC Determinacin de la Direccin Tecnolgica
Control
Admn. del Desempeo de TIC Cumplimiento Regulatorio Admn. de Riesgos de TIC
Organizacin Estrategia
Admn. de Proyectos
Admn. de Portafolio de Proyectos de TIC Admn. de Proyectos de TIC
Admn. de Procesos
Admn. de Servicios
Admn. del Portafolio de Servicios de TIC Diseo de Servicios de TIC
Admn. de Recursos
Admn. Financiera de TIC Admn. de Proveedores Adquisiciones de TIC
Nivel 2
Ejecucin Entrega
Transicin y Entrega
Admn. de Cambios Liberacin y Entrega Transicin y Habilitacin de la Operacin Admn. de la Configuracin
Operacin de Servicios
Operacin de la Mesa de Servicios Admn. de Servicios de Terceros Admn. de Niveles de Servicio Admn. de la Seguridad de la Informacin
Admn. de Activos
Operaciones
Admn. de la Operacin Admn. de Ambiente Fsico Mantenimiento de Infraestructura
Soporte
Nivel 1
Antecedentes: Contexto
El MAAGTIC fue publicado el 13 de julio de 2010 en el DOF. Entr en vigor el 10 de agosto de 2010 En la fecha de entrada en vigor, todas las instituciones presentaron un cronograma de inicio de actividades para la implantacin del MAAGTIC.
El MAAGTIC contiene las reglas, acciones y procesos que en materia de Tecnologas de la Informacin y Comunicaciones (TIC) debern observar de manera obligatoria, las dependencias y entidades de la Administracin Pblica Federal en Mxico y, cuando corresponda, la Procuradura General de la Repblica.
El MAAGTIC establece un marco rector de procesos fundamentado en las mejores prcticas de TIC.
Representacin del Sistema de Gestin que garantiza el funcionamiento eficiente y mejora continua de los procesos de TIC en cumplimiento con el MAAGTIC
35 aos de investigacin, innovando con energa
Determinacin de la situacin de la UTIC respecto a su cultura y definicin de la estrategia de cambio apropiada para la implementacin del proceso
Antecedentes: IIE
En el Plan Estratgico de TIC 2011 (PETIC 2011) del IIE, se tiene contemplados dos proyectos relacionados con el MAAGTIC: P081 Implementacin de los 30 procesos del MAAGTIC P082 Modelo de Seguridad de TIC
Descripcin del proceso para establecer el Sistema de Gestin de la Seguridad de los Sistemas Informticos (SGSI)
Objetivo general
Establecer un Sistema de Gestin de Seguridad de la Informacin (SGSI) que proteja la informacin de la Institucin contenida en medios electrnicos y sistema informticos, contra accesos y usos no autorizados, con la finalidad de conservar su confidencialidad, integridad y disponibilidad.
Terminologa
Seguridad de la informacin Gestin de la Seguridad de Informacin Sistema de Gestin de la Seguridad de Informacin (SGSI) Poltica La capacidad de preservacin de la confidencialidad, integridad y disponibilidad de la informacin. Proceso que asegura la Confidencialidad, Integridad y Disponibilidad de la informacin, datos y servicios de TI de una organizacin. Conjunto de polticas, estndares, procedimientos, herramientas y personas organizadas que implementan, operan, monitorean, revisan, mantienen y mejoran la seguridad de la informacin. Documento formal que contiene las intenciones y expectativas de gestin. Las Polticas se utilizan para dirigir las decisiones, y asegurar un desarrollo e implementacin coherente y apropiado de los Procesos, Estndares, Roles, Actividades, Infraestructura de TI, etc. Poltica que gobierna la visin de la Organizacin a la Gestin de la Informacin de Seguridad. Cualquier elemento que posea un valor para la organizacin. Los siguientes son algunos tipos de activos: Informacin Software Fsicos (computadora) Servicios Personas (credenciales, habilidades, experiencia) Intangibles (reputacin e imagen) La caracterstica o propiedad por cual la informacin est disponible o se presenta a individuos o procesos autorizados. Mantener la exactitud y correccin de la informacin y sus mtodos de proceso. La caracterstica o propiedad de la informacin, de permanecer accesible para su uso cuando lo requieran individuos o procesos autorizados. La debilidad en la seguridad de la informacin dentro de una organizacin que potencialmente permite que una amenaza afecte a un activo de TIC. Medios para gestionar riesgo, incluyen polticas, procedimientos, guas, prcticas o estructuras organizacionales las cuales pueden ser tcnicas, administrativas, de gestin o legales. Declaracin que describe que es lo que se va a lograr como resultado de implantar controles.
Factores crticos
Factores crticos
Indicadores
Productos
1. Documentar los componentes del SGSI el formato 1 del MAAGTIC 2. Documentar el programa de implantacin, llenando el formato 2 del MAAGTIC 3. Documentar el Informe de la implantacin del Sistema de Gestin de Seguridad Informtica, llenando el formato 3 del MAAGTIC 4. Documentar el Informe de evaluacin del Sistema de Gestin de la Seguridad Informtica, llenando el formato 4 del MAAGTIC 5. Documentar el Informe de accin correctiva y preventiva, llenando el formato 5 del MAAGTIC 6. Documentar el Informe de seguimiento de acciones correctivas y preventivas, llenando el formato 6 del MAAGTIC
Metodologa propuesta para Implantacin SGSI segn ISO/IEC 27001 (1/4) Gua Proceso Planificar
Estableciendo el alcance del SGSI
Para establecer y gestionar un Sistema de Gestin de la Seguridad de la Informacin en base a ISO 27001, se utiliza el ciclo continuo PDCA, tradicional en los sistemas de gestin de la calidad.
Capacitacin y sensibilizacin
Implementando un programa de manejo de incidentes de seguridad de informacin Administrando los recursos
Metodologa propuesta para Implantacin SGSI segn ISO/IEC 27001 (3/4) Gua Proceso Verificar
Monitoreo Chequeo rutinario Self-policing procedures
Revisiones Haciendo Auditorias internas del SGSI Ejecutando revisiones administrativas Midiendo el SGSI Analizando tendencias Controlando documentacin y registros
Detectar debilidades
Proponer controles
Comunicaciones
Seguridad
Implementar controles
Resultados
2010 (CFE) Se realiz un procedimiento para la implantacin del SGSI para la Subgerencia de Tecnologas de la Informacin (STI) de la Subgerencia de Generacin (SDG) de la CFE.
Proyectos pendientes
2011 (CFE) Se implantar este procedimiento en la STI. Se les acompaar en la configuracin de una herramienta llamada Security Information & Event Manager (SIEM) la cual proporciona datos precisos sobre las amenazas de seguridad: - La severidad de un ataque - Importancia de los activos afectados - La identidad del atacante - La credibilidad de las fuentes de datos - Identificacin de la conducta anormal