Diapositiva 1

1
SINTyS Jujuy Unidad Coordinadora Provincial
Modelo de Política de Seguridad de la Información
en los Organismos de la Administración Pública
Seminario de Seguridad Informática 26 de
Noviembre de 2008
2
Qué es?
El SINTyS es el Sistema de Identificación
Nacional Tributario y Social, creado por el
Decreto 812/98 y ratificado por Ley N 25.400.
Funciona en el ámbito del Consejo Nacional de
Coordinación de Políticas Sociales de Presidencia
de la Nación.
Su objeto, es coordinar el intercambio de
información, de carácter tributario y social,
sobre personas físicas y jurídicas, entre las
jurisdicciones y organismos de la Administración
Pública Nacional, Provincial y Municipal.

3
Por qué es necesario?
Información fragmentada, inconsistente y
discontinua.
No existe una base accesible de identificación de
personas.
Los organismos cuentan con escasa información
para la toma de decisiones.
SINTyS Una iniciativa del Estado, para superar
esta desarticulación.

4
Qué hace?
Promueve la identificación unívoca y homogénea de
las personas.
Promueve la adopción de estándares de intercambio
de información gubernamental para lograr
criterios uniformes y preestablecidos.
Promueve el acceso a los atributos sociales y
fiscales mediante la coordinación del intercambio
de información.

No es un organismo de control No genera
información!!!
5
Temario

• Introducción
• Marco Teórico
• Qué se debe garantizar?
• Contra quién se debe proteger la información?
• Cuáles son las amenazas?
• Políticas de Seguridad
• Boletín de Seguridad
• Conclusiones

6
La seguridad informática no debe ser un asunto
sólo para el Área de Tecnología Informática, sino
que requiere además la participación de todas
las personas vinculadas al proyecto SINTyS en la
educación continua y la práctica prudente de
computación. Se trata de una responsabilidad
compartida basada en un plan de Políticas de
Seguridad y una buena coordinación. La
seguridad en sistemas de información puede
definirse como la protección contra ladrones de
información, accesos no autorizados, uso o
modificación de información, abusos de los
sistemas instalados, daños y pérdidas debido a
virus informáticos, como así mismo a factores
previsibles como imprevisibles que atenten contra
la información. Antes de la existencia de
Internet los problemas de seguridad informática
ya existían. Ahora, con la interconexión de los
sistemas a la red, se suman mayores dificultades
y en mayor escala.

7
En la medida en que crece dramáticamente el
número de usuarios de Internet, crece también la
posibilidad de ser víctima de algún incidente
relacionado con la seguridad. Otro factor que
influye en aumentar el riesgo, es la velocidad
con que cambia la tecnología. Muchos paquetes
comerciales son lanzados al mercado con defectos
de seguridad que pueden ser explotados por
atacantes (hackers), defectos que usualmente son
desconocidos para los usuarios y al ser divulgada
la vulnerabilidad y su correctivo es improbable
que se actúe para solucionarla. Entonces, existe
un gran número de vulnerabilidades latentes en el
hardware y software de los sistemas de
información.

8

9
Confidencialidad Se garantiza que la información
es accesible sólo a aquellas personas autorizadas
a tener acceso a la misma. Integridad Se
salvaguarda la exactitud y totalidad de la
información y los métodos de procesamiento. Disp
onibilidad Se garantiza que los usuarios
autorizados tienen acceso a la información y a
los recursos relacionados con la misma, toda vez
que se requiera.

10
Organismos Gubernamentales son cada vez mas
dependientes de sus Sistemas y Servicios de
Información. Por lo tanto, podemos afirmar que
son cada vez mas vulnerables a las amenazas
concernientes a su seguridad.

• Crecimiento exponencial de las Redes y Usuarios
  Interconectados
• Profusión de las BD On-Line
• Inmadurez de las Nuevas Tecnologías
• Alta disponibilidad de Herramientas
  Automatizadas de Ataques
• Nuevas Técnicas de Ataque Distribuido (EjDDoS)
• Técnicas de Ingeniería Social

11

12
Definición Conjunto de normas y procedimientos
documentados y comunicados, que tienen por
objetivo minimizar los riesgos informáticos mas
probables.

13

• Definición
• Conjunto de Normas y Procedimientos documentados
  y comunicados, cuyo objetivo es recuperar
  operatividad mínima en un lapso de tiempo
  adecuado a la misión del sistema afectado, ante
  emergencias generadas por los riesgos
  informáticos.
• Los factores que involucra, al igual que las
  Políticas de Seguridad, son los siguientes

• Cumplimiento de Tareas por parte de personas
  involucradas

14

• Dado el natural conflicto entre usabilidad y
  seguridad, cómo restringimos sin
• generar tensiones internas en la organización?
• Comunicando! El equipo de seguridad mantiene
  informado a todo el equipo
• del SINTyS acerca de las medidas tomadas.
• Además, como parte de los compromisos asumidos al
  inicio de la contratación de cada asesor, este
  deberá leer y firmar un documento de Políticas de
  Uso Aceptable con un anexo normativo de
  confidencialidad.

15
Seguridad Informática

• El programa procesa información de criticidad
  variable, generada por otros organismos (SINTyS
  NO genera información)

• Nuclea a más de 700 bases de organismos
  nacionales, provinciales y municipales

• Esto impone máxima responsabilidad en el
  procesamiento, almacenamiento y transmisión de la
  información

Marco Regulatorio
Ley 25.326 (protección de datos personales)
Ley 24.766 (confidencialidad de información)

Leyes que establecen las incumbencias de los
organismos
16
Proceso de Integración de BD e Intercambio de
Información con Organismos de la Administración
Pública Provincial y la UCP SINTyS Jujuy
Organismo

Organismo
17
Validación de datos identificatorios Se realiza
el cruce de la base de datos con el Padrón de
AFIP, ANSES, Padrón Electoral y Padrón de
Ciudadanos. El resultado de este cruce es la
verificación de los datos identificatorios de las
personas como son CUIT, Tipo Documento, Número
de Documento, Denominación, Género y Fecha de
Nacimiento.

18
Cómo se devuelve la información intercambiad con
el SINTyS?

• La UCP entrega al organismo
• Una nota con información general de los
  resultados del intercambio.
• Un CD el cual se encuentra protegido por una
  clave de seguridad.
• Un sobre cerrado que se entrega por aparte con la
  clave que permite la apertura del CD.

19
SINTyS Central

20

• Para ser efectiva, la seguridad informática
  dentro del Organismo requiere de una política y
  un compromiso total.
• El análisis de riesgo es un proceso cíclico y
  continuo que involucra al área de tecnologías de
  la información y la administración.
• Se aplica tanto a los activos críticos como a
  nivel organizacional, hasta alcanzar el nivel de
  seguridad adecuado.
• Logra concientizar a la organización sobre la
  importancia de la seguridad informática.
• Hoy en día existen tecnologías y herramientas
  que van adquiriendo un mayor grado de maduración
  y nos permiten implementar políticas de seguridad
  y mantener sistemas informáticos en forma segura.

21
SINTyS Central

• Responsable Guillermo Marro
• Componente Infraestructura Central
• Área Seguridad Informática.

UCP SINTyS Jujuy

22
Consultas?
Muchas gracias por su atención!
www.sintys.gov.ar
Senador Pérez 319, 4º Piso, Dpto. A (CP 4.600)
San Salvador de Jujuy - Argentina Tel. (0388)
44221401