Estado de Seguridad Informática en el Sector Público

Anuncio
Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones Créditos Hannia Vega Viceministra de Telecomunicaciones Marcos Arroyo, Director de Planeación Dirección Responsable Elídier Moya, Gerencia de Redes Gerencia Responsable y Coordinación Alejandro Berrocal V, Gerencia de Redes Orlando Vega, Gerencia de Evolución Equipo Profesional Citación Recomendada Ministerio de Ambiente, Energía y Telecomunicaciones. (Octubre, 2011). Estado de Seguridad Informática en el Sector Público Costarricense. Costa Rica: MINAET Página 2 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones Índice Glosario de términos [1] ............................................................................................................... 4 1. Introducción ....................................................................................................................................... 7 1.1 Objetivos ................................................................................................................................ 8 1.1.1 Objetivo General .............................................................................................................. 8 1.1.2 Objetivos Específicos ..................................................................................................... 8 2. Marco Teórico .................................................................................................................................... 9 2.1 Seguridad de la Información ................................................................................................ 9 2.2 Importancia de seguridad informática en las instituciones públicas ................ 9 2.3 Estándares de seguridad informática ........................................................................... 11 2.3.1 Organizaciones de estándares de seguridad ..................................................... 11 2.4 Contraloría General de la República .............................................................................. 12 3. Metodología .................................................................................................................................... 15 3.1 Perfil de las de las instituciones participantes en el diagnóstico ................... 17 3.2 Método de consulta y recolección de información ................................................. 19 4. Seguridad Informática en el Sector público Costarricense ......................................... 21 4.1 Eventos informáticos ocurridos en las Instituciones Públicas, en el periodo de enero del 2010 a enero del 2011 ............................................................................................ 21 4.1.1 Detalle de eventos informáticos por tipo de institución pública .............. 26 4.1.1.5 Eventos informáticos en Instituciones Adscritas ........................................ 30 4.2 Elementos o herramientas informáticas implementadas en las Instituciones Públicas ............................................................................................................................................. 32 4.2.1 Detalle de herramientas informáticas por tipo de institución .................. 39 4.3 Implementación de medidas sobre gestión de la seguridad y manejo de contingencias .................................................................................................................................. 45 4.3.1 Detalle de gestión de seguridad y contingencia por tipo de institución 49 4.4 Sistemas de Seguridad Física implementados en instituciones públicas. .... 53 4.4.1 Detalle de sistemas de seguridad física por tipo de institución ................ 58 4.5 Presupuesto para Seguridad Informática .................................................................. 62 4.5.1 Detalle de presupuesto para seguridad informática por tipo de institución
.......................................................................................................................................................... 67 4.6 Cuadro resumen de resultados según la encuesta ................................................. 74 5. Conclusiones y Recomendaciones ........................................................................................ 76 5.1 Conclusiones ........................................................................................................................... 76 5. 2 Recomendaciones ................................................................................................................. 78 6. Referencias Bibliográficas ........................................................................................................ 79 7. Anexos ................................................................................................................................................ 81 7.1 Estándares de seguridad informática ........................................................................... 81 7.2 Instituciones Participantes ............................................................................................... 91 Página 3 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones Glosario de términos [1] Virus: Programa informático que se reproduce a sí mismo, indeseable y potencialmente peligroso, que altera el funcionamiento de los ordenadores. Troyano: Programa informático cuya ejecución tiene unos efectos imprevistos y, generalmente, insospechados para el usuario infectado. No se les puede denominar virus porque no se replican. Malware: Programa o parte de un programa que tiene un efecto malicioso en la seguridad de los sistemas. Este término engloba muchas definiciones como virus, gusanos, troyanos, spyware, etc. Spyware: Cualquier tipo de software que utiliza la conexión a Internet del usuario para enviar información sobre su actividad, misma que es utilizada por las empresas publicitarias para enviar propaganda de acuerdo a su actividad en la red. Hacker: Nombre que se da en el ámbito informático a un usuario con avanzados conocimientos y que dedica mucho tiempo a trabajar con los ordenadores. Originalmente se utilizaba el término para designar a una persona que escribe programas informáticos, destrozando (hacking) el código digital. Actualmente se utiliza comúnmente la palabra hacker se utiliza generalmente para designar a las personas que rompen los sistemas de seguridad informáticos. Equipo Terminal: Representa el equipo de acceso del cliente utilizado para solicitar y terminar servicios de conectividad asociados a la red. Spam: Correo electrónico no solicitado y enviado repetidamente. Es una forma de ataque a un usuario o servidor, basada en la saturación del servidor de correo y de las conexiones a Internet. Página 4 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones Firewall: [Pared, muro o barrera de fuego, cortafuegos]. Programa o equipo que separa a un equipo, una red local (LAN) o una red global (WAN) en dos o más partes, con propósitos de seguridad, limitando o supervisando los accesos a sus recursos. Plan de Continuidad de la Operación: Plan proactivo que busca asegurar que los productos o servicios continúen siendo entregados durante una interrupción no planeada. Políticas de Uso de Red: Directrices con el propósito de contribuir a proteger la red de datos de abusos internos y externos, de amenazas que pueden presentarse a través de Internet: Tiene como fin, además, fomentar el uso correcto y eficaz de los recursos. Política de Administración de Contraseñas: Serie de normas y protocolos a seguir para la gestión y creación de las contraseñas que este ha de utilizar en la mayoría de los procesos y operaciones que requieren de su autenticación. Administración Automática de la Seguridad: Se conocen también como Sistemas de Administración de Identidad, se utilizan para automatizar la emisión de reemplazos para contraseñas perdidas. Plan de Seguridad: Conjunto de decisiones que cubren la seguridad de los sistemas informáticos y que proporciona las bases para definir y delimitar responsabilidades para las diversas actuaciones técnicas y organizativas que se requerirán Plan de Manejo de Contingencias: Conjunto de procedimientos que permitan recuperar el estado normal de funcionamiento del sistema. El Plan implica un análisis de los posibles riesgos para reducir su posibilidad de ocurrencia y los procedimientos a seguir en caso que se presente un problema. Página 5 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones Sistema de Detención de Intrusos: Sistema compuesto generalmente de una consola de administración, sensores de red (físicos o lógicos) y sensores de host (instalados sobre el sistema operativo de los servidores institucionales. Tecnologías de Información y Telecomunicaciones TIC: Se refiere a todos los equipos relacionados con las tecnologías de información y telecomunicaciones utilizadas a nivel Institucional. Página 6 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones 1. Introducción El Viceministerio de Telecomunicaciones elaboró el primer Plan Nacional de Desarrollo de las Telecomunicaciones (PNDT) 2009-­‐2014 “Costa Rica: un país en la senda digital”, y se emitió el 15 de mayo del 2009. El PNDT, tal y como lo establece la normativa, es un instrumento de orientación general que señala las principales líneas de políticas, objetivos, acciones estratégicas y metas que deben guiar el desarrollo de las telecomunicaciones, como impulsor de la Sociedad de la Información y el Conocimiento en Costa Rica. Uno de los ejes contenidos en el mencionado plan, es el de Telecomunicaciones. En este eje existen un número de acciones a cumplir, referidas a la línea estratégica Seguridad de las Telecomunicaciones. El objetivo específico de esta línea es: “Garantizar la seguridad física y lógica de las redes de telecomunicaciones”. Por otra parte, el avance y uso cada vez mayor de las tecnologías de la información y comunicación, requiere el desarrollo de medidas que permitan aprovecharlas al máximo, así como garantizar su utilización de forma segura por parte de los usuarios. De ahí que la seguridad de la información que transita por los medios electrónicos, se ha convertido en uno de los principales retos de las autoridad públicas en esta materia. A propósito de lo señalado en el Plan, el Viceministerio de Telecomunicaciones realizó una investigación de las instituciones públicas, con respecto a la seguridad de la información de sus redes; con el objetivo de brindar un diagnóstico del estado actual de las instituciones públicas, en materia de seguridad. Este se considera un primer insumo para alcanzar la meta 1.2.a) del Plan Nacional de Desarrollo de las Telecomunicaciones, que corresponde a crear un “Plan Rector de Continuidad de las Operaciones” que dicte las medidas de seguridad física y lógica de las redes y servicios. Página 7 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones En el marco teórico que conforma el documento se brinda una definición del concepto de seguridad informática, realizando un repaso de los principales estándares internacionales en este tema e indicando la normativa que actualmente se aplica en Costa Rica. El documento se encuentra dividido en cinco partes. La primera se refiere a los eventos informáticos ocurridos en las instituciones públicas, la segunda detalla los elementos o herramientas informáticas implementadas por éstas, la tercera refiere a la implementación de las medidas para la gestión de la seguridad y el manejo de contingencias. La cuarta presenta los sistemas de seguridad física implementados, y la última se refiere al presupuesto destinado para la seguridad informática por parte de las instituciones públicas. 1.1 Objetivos 1.1.1 Objetivo General Diagnosticar el estado de la Seguridad Informática, en las instituciones públicas costarricenses. 1.1.2 Objetivos Específicos § Identificar el ataque o incidente informático que ocurre con mayor frecuencia en las instituciones públicas. § Determinar el porcentaje de instituciones públicas que poseen herramientas, políticas y planes relacionados con la seguridad informática. § Identificar las medidas sobre gestión de la seguridad y manejo de contingencias que están siendo usadas por las instituciones públicas, y en qué porcentaje. § Determinar los sistemas de Seguridad física que se implementan en las instituciones públicas. § Determinar el presupuesto que dedican las instituciones públicas para aspectos relacionados con la seguridad informática. Página 8 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones 2. Marco Teórico 2.1 Seguridad de la Información La seguridad informática es una disciplina que tiene como principios básicos proteger la confidencialidad, integridad y disponibilidad de la información, implementando estrategias que cubran los procesos, en donde la información es un activo primordial para una organización. Es importante considerar la seguridad informática tanto desde el punto de vista físico como desde el lógico. La seguridad física se refiere a la seguridad de los componentes mismos de un equipo informático (Hardware), y la seguridad lógica se refiere a la seguridad de la información y los programas almacenados en un equipo o una red de datos. 2.2 Importancia de seguridad informática en las instituciones públicas Actualmente las entidades del Estado, instituciones financieras, centros de enseñanzas, instituciones de salud y empresas privadas, entre otros, acumulan una gran cantidad de información sobre sus empleados, clientes, productos y servicios; que son fundamentales para su organización. Dicha información está amenazada por el aumento de la delincuencia informática, que pone en riesgo a las bases de datos de las organizaciones. Por lo tanto, es necesario contar con mecanismos apropiados con el fin de recolectar, tratar y almacenar dicha información y no poner en peligro la continuidad de las operaciones o del negocio. En países de Latinoamérica como Perú, México y Argentina se están elaborando normas y documentos en materia de seguridad informática, basados primordialmente en los estándares desarrollados por Organización Internacional para la Estandarización (ISO) y el Instituto Británico de Estándares (BSI). Un ejemplo Página 9 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones concreto es el estándar ISO/IEC 17799 que está siendo utilizado como base para el desarrollo de las normas: [2] -­‐NTP-­‐ ISO/IEC 17799: 2004 EDI del Perú -­‐ISO/IRAM 17799 de la Argentina -­‐NMX-­‐I-­‐041/01-­‐NYCE-­‐2005 de México En Costa Rica, el Instituto de Normas Técnicas de Costa Rica (INTECO) ha realizado la emisión del estándar ISO/IEC 27000, desarrollando la norma INTE-­‐ISO/IEC 27000:2010. Por otra parte, las organizaciones implementan Sistemas para la Gestión de Seguridad de la Información (SGSI), con el fin de contar con herramientas para la gestión de la seguridad de la organización. Estos sistemas cuentan con una adecuada plataforma de procesos que gestiona eficientemente la accesibilidad de la información, buscando asegurar la confidencialidad, integridad y disponibilidad de los activos de información, minimizando a su vez los riesgos de seguridad de la misma. [2]. Los SGSI ayudan a la organización a conocer los riesgos a los que está sometida su información y los gestiona mediante una sistemática metodología definida, documentada y conocida por todos; que se revisa y mejora constantemente. Cabe mencionar que proteger la información confidencial de una institución o entidad es un requisito del negocio, por lo tanto, la seguridad debe ser un proceso continuo de mejora, en donde las políticas y controles establecidos para la protección de la información sean revisados y actualizados periódicamente. Además, es importante contar con un plan de riesgos que identifique las acciones que permitan reducirlos y, en el mejor de los casos eliminarlos. Página 10 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones “Garantizar un nivel de protección total es virtualmente imposible, incluso en el caso de disponer de un presupuesto ilimitado. El propósito de un sistema de gestión de la seguridad de la información es, por tanto, garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías.” [3] Finalmente, en Costa Rica, la Contraloría General de la República se ha encargado de generar directrices y políticas en el tema de la seguridad de la información para las instituciones públicas, las cuales se desarrollarán en el apartado 2.4. del presente documento. 2.3 Estándares de seguridad informática Con el aumento mundial de la delincuencia informática, la cual pone en riesgo toda la información de una institución, se han realizado esfuerzos para conformar mecanismos o herramientas que sirven para minimizar los impactos de la ciberguerra. [4] Estos mecanismos comprenden un conjunto de normas, estándares o regulaciones, así como los Sistemas para la Gestión de Seguridad de la Información (SGSI), los cuales están desarrollados y certificados por diferentes entes internacionales especialistas en la materia. 2.3.1 Organizaciones de estándares de seguridad Como se mencionó anteriormente, existen organizaciones o entes internacionales que poseen documentos o estándares certificables a nivel de seguridad informática. Cada uno de ellos tiene una estructura específica de alcances, metodologías, marcos Página 11 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones referencias, modelos de auditoría y métricas de cumplimiento propios. Entre las organizaciones que desarrollan y certifican los SGSI se pueden citar a: •
ISO/IEC •
COBIT ISACA/ITGI •
ITIL Certification Management Board (ICMB) •
NIST •
UIT Serie X En el anexo 1, se analizan con más detalle los estándares de seguridad de la información mencionados. 2.4 Contraloría General de la República Con el fin de que cada institución pública del país, bajo la supervisión de la CGR, considere dentro de su organización estratégica, una adecuada administración de TIC que ayude a alcanzar sus metas y objetivos, el órgano fiscalizador elaboró y publicó la resolución "Normas Técnicas para la Gestión y Control de las Tecnologías de Información (N-­‐2-­‐2007-­‐CO-­‐DFOE)", emitida el 7 de junio del 2007 en el diario oficial La Gaceta No. 119 del 21 de junio 2007. [5]. Dicha resolución, en el artículo 3 establece lo siguiente: "Esta normativa es de acatamiento obligatorio para la Contraloría General de la República y las instituciones y órganos sujetos a su fiscalización, que prevalecerán sobre cualquier disposición en contrario que emita la Administración. Asimismo, que su inobservancia generará las responsabilidades que correspondan de conformidad con el marco jurídico que resulte aplicable" La norma N-­‐2-­‐2007-­‐CO-­‐DFOE señala una serie de requerimientos generales de carácter institucional y de acatamiento obligatorio, pretendiendo hacer viable la administración desconcentrada de las tecnologías de información y comunicación, para lograr una mayor agilidad y oportunidad en el desarrollo de los proyectos y Página 12 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones procesos informáticos. La norma se basa en algunos elementos de los estándares COBIT y el estándar internacional ISO 27001, relacionado con la seguridad de la información. El cuadro 1, muestra la estructura de la norma. 1.1 1.2 1.3 1.4 1.5 1.6 1.7 2.1 2.2 2.3 2.4 2.5 3.1 3.2 3.3 3.4 4.1 4.2 4.3 4.4 4.5 4.6 Cuadro 1: Estructura de la Norma N-­‐2-­‐2007-­‐CO-­‐DFOE de la CGR
Capítulo I Normas de aplicación general Marco estratégico de TI Gestión de la calidad Gestión de riesgos Gestión de la seguridad de la información 1.4.1 Implementación de un marco de seguridad de la información 1.4.2 Compromiso del personal con la seguridad de la información 1.4.3 Seguridad física y ambiental 1.4.4 Seguridad en las operaciones y comunicaciones 1.4.5 Control de acceso 1.4.6 Seguridad en la implementación y mantenimiento de software e infraestructura tecnológica 1.4.7 Continuidad de los servicios de TI Gestión de proyectos Decisiones sobre asuntos estratégicos de TI Cumplimiento de obligaciones relacionadas con la gestión de TI Capítulo II Planificación y organización Planificación de las tecnologías de información Modelo de arquitectura de información Infraestructura tecnológica Independencia y recurso humano de la Función de TI Administración de recursos financieros Capítulo III Implementación de tecnologías de información Consideraciones generales de la implementación de TI Implementación de software Implementación de infraestructura tecnológica Contratación de terceros para la implementación y mantenimiento de software e infraestructura Capítulo IV Prestación de servicios y mantenimiento Definición y administración de acuerdos de servicio Administración y operación de la plataforma tecnológica Administración de los datos Atención de requerimientos de los usuarios de TI Manejo de incidentes Administración de servicios prestados por terceros Capítulo V Seguimiento Página 13 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones 5.1 Seguimiento de los procesos de TI 5.2 Seguimiento y evaluación del control interno en TI 5.3 Participación de la Auditoría Interna Fuente: CGR. [5].
De acuerdo a lo estipulado en el numeral 1.4, donde se establece que la institución debe documentar e implementar una política de seguridad de la información y los procedimientos correspondientes, asignar los recursos necesarios para lograr los niveles de seguridad requeridos y considerar lo que establece esa normativa; la Contraloría emitió la resolución “Directrices sobre Seguridad y Utilización de Tecnologías de Información y Comunicaciones (R-­‐CO-­‐61-­‐2007)”, el día siete de diciembre del dos mil siete. Página 14 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones 3. Metodología A continuación se describe la metodología utilizada para recolectar la información del presente estudio. La metodología fue utilizada para generar dos documentos adicionales, ya publicados por la Rectoría (www.telecom.go.cr). El primero de ellos refiere al estado de preparación de las instituciones públicas costarricenses para la migración a IPv61. El segundo referente a la conectividad de las instituciones públicas y la infraestructura actualmente disponible en ellas2. El proceso de investigación conllevó el realizar la consulta a 77 instituciones públicas de las cuales se obtuvo respuesta de 74, para obtener un porcentaje de respuesta del 96.10%3. Destaca la participación de la totalidad de las instituciones pertenecientes al Sistema Bancario, a los Ministerios del Gobierno Central y la categoría de otras instituciones públicas. Para la selección de las instituciones que participaron en la investigación, se buscó que éstas fueran representativas del sector público. 1
Disponible en línea en http://www.telecom.go.cr/index.php/publicaciones2/doc_download/277-­‐
ipv6-­‐costa-­‐rica 2
Disponible en línea en http://www.telecom.go.cr/index.php/en-­‐contacto-­‐con-­‐el-­‐
usuario/documentos/doc_download/330-­‐conectividad-­‐a-­‐internet-­‐en-­‐instituciones-­‐publicas
3 Ver Anexo 2: Instituciones Participantes. Página 15 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones Gráfico 3.1. Porcentaje de Respuesta según tipo de institución. Universidades 75% Adscritas 92% 95% Autónomas Sistema Bancario 100% Ministerios 100% 100% Otras 0% 20% 40% 60% 80% 100% Porcentaje de respuesta Fuente: Elaboración propia, basado en resultados de la Encuesta: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios.” Marzo 2011 [6]. Seguidamente se agrega la ficha técnica de la encuesta que se realizó a las instituciones públicas. Ficha Técnica Producto: Encuesta a Instituciones Públicas del Sector Costarricense Título: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios” Instituciones encuestadas: 74 públicas Fecha de consulta: febrero a marzo 2011 Fecha de recolección de datos: XXX 2011 Análisis de datos obtenidos: xxxxx 2011 Lugar: San José, Costa Rica Consulta realizada: por Internet El gráfico 3.2 muestra el porcentaje por tipo de institución pública, de las 74 que participaron en la encuesta. Página 16 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones Gráfico 3.2. Porcentaje de participación por institución que participó en la encuesta. Adscritas 16% Ministerios 24% Otras 19% Autónomas 29% Universidades 4% Sistema Bancario 8% Fuente: Elaboración propia, basado en resultados de la Encuesta: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios.” Marzo 2011 [6]. 3.1 Perfil de las de las instituciones participantes en el diagnóstico El cuestionario elaborado para la recolección de información, se dirigió a los jefes de Informática o de Tecnologías de la Información. De las 74 instituciones, se obtuvo respuesta de parte de las Jefaturas en un 93.2%. Página 17 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones Gráfico 3.1.1. Información recibida según tipo de Informante. 7% Jefaturas Otros 93% Fuente: Elaboración propia, basado en resultados de la Encuesta: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios.” Marzo 2011 [6]. Así mismo, se pudo determinar que el 70% de los informantes poseen más de 2 años de encontrarse en el puesto, por lo cual la información recabada sobre acciones realizadas en años anteriores, corresponden a periodos donde los encargados son las mismas personas. Página 18 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones Gráfico 3.1.2. Antigüedad laboral de los informantes en el Puesto. 30% Menos de 2 años De 2 años a menos 5 años Más de cinco años 53% 17% Fuente: Elaboración propia, basado en resultados de la Encuesta: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios.” Marzo 2011 [6]. 3.2 Método de consulta y recolección de información La Rectoría de Telecomunicaciones elaboró un cuestionario de 16 preguntas, dividido en 3 secciones. La primera de ellas denominada “Identificación”, conformado por preguntas sobre datos de la persona que completaba el cuestionario. [6] La segunda sección indaga sobre datos de la conectividad de las instituciones para los años 2009 y 2010; además de las velocidades de conexión, también se consulta sobre la cantidad de computadoras y cuenta de correo electrónicos para los colaboradores. La tercera sección reúne las preguntas sobre IPv6 y medidas de Seguridad Informática adoptadas. Dicho formulario se encontraba disponible en la página de Internet de la Rectoría de Telecomunicaciones. Los informantes (Jefes de Informática) de las instituciones públicas participantes, fueron contactados por Página 19 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones medio de carta, enviada vía fax y correo electrónico. El período de cumplimentación del cuestionario se extendió a lo largo de tres semanas. Página 20 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones 4. Seguridad Informática en el Sector público Costarricense Los gráficos e información presentada a continuación dan cuenta del estado actual de la seguridad informática en el sector público costarricense. En ellos se evidencia, entre otros aspectos, cuál ha sido el ataque o incidente informático que ha ocurrido con mayor frecuencia en las instituciones públicas. 4.1 Eventos informáticos ocurridos en las Instituciones Públicas, en el periodo de enero del 2010 a enero del 2011 El gráfico 4.1.1, muestra que la presencia de virus, troyanos, malware y spyware ha sido el mayor evento informático ocurrido dentro de las instituciones públicas (80%). El segundo evento en ocurrencia fue el robo de equipos terminales, lo cual podría considerarse un indicador de problemas en la seguridad física de las instituciones. Adicionalmente, resalta la existencia de un porcentaje considerable (alrededor de 15%) que mencionan no haber tenido ningún problema, lo cual podría obedecer a adecuadas políticas de seguridad, o bien, al desconocimiento de los mismos. Página 21 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones Gráfico 4.1.1. Eventos informáticos ocurridos en Instituciones Públicas
100% Empleados robando información digital o permitiendo accesos a dicha información sin autorización. Presencia de virus, troyanos, malware, spyware y demás en su red. 80% 60% Sus sistemas siendo atacados por parte de hackers. 40% Pérdida accidental o robo de los sistemas de respaldo. 20% Pérdida accidental o robo de equipos terminales. 0% Ninguna de las anteriores. Fuente: Elaboración propia, basado en resultados de la Encuesta: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios.” Marzo 2011 [6]. A continuación se presenta el desglose de los datos obtenidos referentes a la presencia de virus por institución. En este caso, 100% de las universidades han enfrentando problemas de virus, lo que puede considerarse natural por la diversidad de usuarios que atienden; mientras que sólo el 71% de las autónomas registran este tipo de eventos. Página 22 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones Gráfico 4.1.2. Presencia de virus, troyanos, malware, spyware dentro las Redes de las Instituciones Públicas. Promedio 80% Universidades 100% Otras 86% Sistema Bancario 83% Ministerios 83% Adscritas 75% Autónomas 71% Fuente: Elaboración propia, basado en resultados de la Encuesta: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios.” Marzo 2011 [6]. Los gráficos 4.1.3, 4.1.4, 4.1.5 y 4.1.6 que se muestran a continuación, presentan un mayor detalle de la información. Concretamente, se muestran los porcentajes de incidencia de eventos en cada tipo de institución pública. De los gráficos se destaca que en las universidades, se encuentran los mayores porcentajes de incidencia de eventos informáticos. Además, el menor evento que presentan las instituciones públicas es el robo de información digital o accesos sin autorización por parte de los empleados (9%). Página 23 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones Gráfico 4.1.3. Porcentaje del incidente “empleados robando información digital o accediendo a información sin autorización”, en cada tipo de institución pública. 33% 17% 14% 9% 7% 0% Fuente: Elaboración propia, basado en resultados de la Encuesta: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios.” Marzo 2011 [6]. Gráfico 4.1.4. Porcentaje del incidente “sistemas atacados por hackers”, en cada tipo de institución pública. 67% 22% 17% 14% 15% 10% 0% Página 24 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones Fuente: Elaboración propia, basado en resultados de la Encuesta: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios.” Marzo 2011 [6]. Gráfico 4.1.5. Porcentaje del incidente “pérdida accidental o robo de los sistemas de respaldo”, en cada tipo de institución pública. 19% 17% 17% 12% 0% 0% 0% Fuente: Elaboración propia, basado en resultados de la Encuesta: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios.” Marzo 2011 [6]. Página 25 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones Gráfico 4.1.6. Porcentaje del incidente “pérdida accidental o robo de equipos terminales”, en cada tipo de institución pública. 66,7% 50,0% 42,9% 37,8% 41,7% 17% 14% Fuente: Elaboración propia, basado en resultados de la Encuesta: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios.” Marzo 2011 [6]. 4.1.1 Detalle de eventos informáticos por tipo de institución pública A continuación se presenta, para cada categoría de institución pública, la información detallada con respecto a los eventos informáticos registrados. 4.1.1.1 Eventos informáticos en Ministerios El gráfico 4.1.7, muestra los eventos informáticos ocurridos en ministerios, donde se muestra que la seguridad lógica y física se ha visto afectada, tanto por los virus en el sistema como por los robos de equipos terminales. Página 26 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones Gráfico 4.1.7. Eventos informáticos registrados en Ministerios. Presencia de virus, troyanos, malware, spyware y demás en su red. 83% Pérdida accidental o robo de equipos terminales. 50% Sus sistemas siendo atacados por parte de hackers. 22% Pérdida accidental o robo de los sistemas de respaldo. 17% 11% Ninguna de las anteriores. Empleados robando información digital o permitiendo accesos a dicha información sin autorización. 0% Fuente: Elaboración propia, basado en resultados de la Encuesta: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios.” Marzo 2011 [6]. 4.1.1.2 Eventos informáticos en Instituciones Autónomas En el gráfico 4.1.8, se muestra que en las instituciones autónomas, se registraron todos los eventos contra la seguridad informática que fueron consultados en la encuesta, lo cual indica que la seguridad de sus sistemas de información es un asunto al que se le debe continuar brindando atención, tiempo y esfuerzo para mantenerlos seguros. Página 27 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones Gráfico 4.1.8. Eventos informáticos registrados en Instituciones Autónomas. Presencia de virus, troyanos, malware, spyware y demás en su red. 71% Pérdida accidental o robo de equipos terminales. 43% Pérdida accidental o robo de los sistemas de respaldo. 19% Ninguna de las anteriores. 19% Empleados robando información digital o permitiendo accesos a dicha información sin autorización. Sus sistemas siendo atacados por parte de hackers. 14% 10% Fuente: Elaboración propia, basado en resultados de la Encuesta: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios.” Marzo 2011 [6]. 4.1.1.3 Eventos informáticos en Instituciones Bancarias En el gráfico 4.1.9, se muestran los porcentajes de los eventos registrados en las instituciones bancarias. Se resalta que la presencia de virus y troyanos, son los eventos más importantes. Los bancos presentan porcentajes menores de los otros incidentes, en comparación con las otras instituciones encuestadas. Además, cabe mencionar que no reportan acceso a información sin autorización, ni robos de información a nivel de sistemas de respaldo, lo que evidencia que este tipo de instituciones han implementado procesos y estándares de buenas prácticas que les permiten brindar mayores niveles de seguridad a su información. Los buenos resultados podrían atribuirse a que a nivel financiero, la SUGEF emitió el “Reglamento sobre la gestión de la Tecnología de la Información”, publicado en el diario oficial La Gaceta N°50 del jueves 12 de marzo del 2009, donde faculta al Superintendente General de Entidades Financieras para emitir lineamientos Página 28 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones generales y de cumplimiento obligatorio por parte de las entidades financieras de Costa Rica, sobre la gestión de TI. (Dicho reglamento está basado en el marco de referencia de buenas prácticas para el control de TI, COBIT 4.0). [7]. Gráfico 4.1.9. Eventos informáticos registrados en el Sistema Bancario. Presencia de virus, troyanos, malware, spyware y demás en su red. 83% Sus sistemas siendo atacados por parte de hackers. 17% Pérdida accidental o robo de equipos terminales. 17% Ninguna de las anteriores. 17% Empleados robando información digital o permitiendo accesos a dicha información sin autorización. Pérdida accidental o robo de los sistemas de respaldo. 0% 0% Fuente: Elaboración propia, basado en resultados de la Encuesta: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios.” Marzo 2011 [6]. 4.1.1.4 Eventos informáticos en Universidades El gráfico 4.1.10 muestra que la presencia de virus, troyano, malware y spyware es el evento que se ha presentado en todas las universidades que conformaron la encuesta. Además, se muestra que los eventos relacionados con seguridad física y lógica también presentan porcentajes altos de incidencia en este tipo de institución. Página 29 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones Gráfico 4.1.10. Eventos informáticos registrados en Universidades. Presencia de virus, troyanos, malware, spyware y demás en su red. 100% Sus sistemas siendo atacados por parte de hackers. 66,67% Pérdida accidental o robo de equipos terminales. 66,67% Empleados robando información digital o permitiendo accesos a dicha información sin autorización. 33,33% Pérdida accidental o robo de los sistemas de respaldo. 0,00% Ninguna de las anteriores. 0,00% Fuente: Elaboración propia, basado en resultados de la Encuesta: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios.” Marzo 2011 [6]. 4.1.1.5 Eventos informáticos en Instituciones Adscritas En el gráfico 4.1.11, se muestran los porcentajes de los eventos registrados en las instituciones adscritas, donde la presencia de virus y la pérdida o robo de terminales son los incidentes informáticos más acontecidos. Página 30 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones Gráfico 4.1.11. Eventos informáticos registrados en Instituciones Adscritas. Presencia de virus, troyanos, malware, spyware y demás en su red. 75% Pérdida accidental o robo de equipos terminales. 41,67% Empleados robando información digital o permitiendo accesos a dicha información sin autorización. 16,67% Pérdida accidental o robo de los sistemas de respaldo. 16,67% 8,33% Ninguna de las anteriores. Sus sistemas siendo atacados por parte de hackers. 0% Fuente: Elaboración propia, basado en resultados de la Encuesta: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios.” Marzo 2011 [6]. Página 31 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones 4.2 Elementos o herramientas informáticas implementadas en las Instituciones Públicas Con la encuesta se obtuvo información respecto a los elementos informáticos, herramientas, políticas y planes implementados en las instituciones públicas con el fin de proteger su red de ataques. Los siguientes gráficos presentan en detalle la situación actual. Nuevamente es importante hacer notar que es el sistema bancario el más preparado en el ámbito de la seguridad, pues todas sus instituciones cuentan con planes de continuidad de operación, políticas de uso de red para los empleados, administración automática de la seguridad y políticas de administración de contraseñas y nombres de usuarios. El gráfico 4.2.1. muestra los porcentajes de las instituciones que implementaron elementos informáticos relacionados a planes y políticas de seguridad, en sus redes, donde se resalta que las políticas de administración de contraseñas y nombres de usuario son las más implementadas en las instituciones públicas. Página 32 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones Gráfico 4.2.1. Porcentaje de Instituciones que implementaron elementos informáticos en sus
redes. (Planes y políticas)
100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% Plan de continuidad Políticas de uso de de la operación. red para los empleados Ministerios Autónomas Administración automática de la seguridad Sistema Bancario Universidades Políticas de administración de contraseñas y nombres de usuario. Otras Adscritas Fuente: Elaboración propia, basado en resultados de la Encuesta: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios.” Marzo 2011 [6]. A continuación se muestran los porcentajes de las instituciones que implementaron elementos informáticos relacionados a infraestructura y programas de seguridad informática en sus redes. (Gráfico 4.2.2). Tal como puede apreciarse en el gráfico, prácticamente la totalidad de las instituciones cuentan con software que permita controlar el spam, spyware, malware y virus, así como con un firewall; sin embargo, el porcentaje disminuye cuando se consulta por sistemas de detección de intrusos. Página 33 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones Gráfico 4.2.2. Porcentaje de Instituciones que implementaron elementos informáticos en sus redes. (Infraestructura y programas) 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% Control de spam Protección contra (correo no spyware, maleware, deseado). viruses etc Ministerios Autónomas Muro de Fuego Sistema Bancario Universidades Sistemas de Detección de intrusos (IDS ) Otras Adscritas Fuente: Elaboración propia, basado en resultados de la Encuesta: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios.” Marzo 2011 [6]. El gráfico 4.2.3, muestra que la implementación de controles de spam y protecciones contra spyware, maleware, virus, etc., son las herramientas informáticas que más se presentan en las instituciones públicas (96%). A pesar de que ésta es la medida más básica de seguridad, debido a la gran cantidad de amenazas existentes, hay ministerios y autónomas que aún no han implementado herramientas para prevenirlos. Dentro las instituciones que presentaron mayor implementación de estas herramientas, se encuentran las correspondientes al sistema bancario y las universidades. Este dato es congruente con lo mostrado en el gráfico 4.1.2, donde las universidades y las instituciones bancarias presentaban gran porcentaje de incidencia en la presencia de virus, troyanos, malware, spyware, etc.; se evidencia que dichas instituciones han realizado esfuerzos para contrarrestar lo mostrado. Página 34 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones Gráfico 4.2.3. Porcentajes de Instituciones que implementaron un control de spam y protección de virus, spyware, etc. Control de spam (correo no deseado). Protección contra spyware, maleware, viruses etc 100% 100% 100% 100% 94% 94% 100% 100% 96% 96% 95% 95% 93% 93% Fuente: Elaboración propia, basado en resultados de la Encuesta: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios.” Marzo 2011 [6]. Los gráficos 4.2.4, 4.2.5, 4.2.6, 4.2.7, 4.2.8 y 4.2.9 mostrados a continuación, presentan el porcentaje de las instituciones que implementaron políticas para la protección de sus redes de datos. Resalta el hecho de que el 59% de las instituciones públicas cuentan con un plan de continuidad de las operaciones, que las universidades no cuentan con políticas de uso de red para sus funcionarios y que las políticas de administración de nombres de usuarios y contraseñas constituyen una de las políticas más extendidas. Página 35 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones Gráfico 4.2.4. Porcentaje de Instituciones que implementaron la herramienta “Plan de continuidad de la operación” para protección de la información. 100% 64% 61% 59% 52% 50% 33% Fuente: Elaboración propia, basado en resultados de la Encuesta: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios.” Marzo 2011 [6]. Gráfico 4.2.5. Porcentaje de Instituciones que implementaron la herramienta “políticas de uso de red para los empleados” para protección de la información. 100% 86% 83% 77% 75% 64% 0% Página 36 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones Fuente: Elaboración propia, basado en resultados de la Encuesta: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios.” Marzo 2011 [6]. Gráfico 4.2.6. Porcentaje de Instituciones que implementaron la herramienta “administración automática de la seguridad” para protección de la información. 83% 67% 67% 61% 50% 50% 33% Fuente: Elaboración propia, basado en resultados de la Encuesta: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios.” Marzo 2011 [6]. Gráfico 4.2.7. Porcentaje de Instituciones que implementaron la herramienta “políticas de administración de contraseñas y nombres de usuarios” para protección de la información. Página 37 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones 100% 95% 92% 88% 86% 78% 67% Fuente: Elaboración propia, basado en resultados de la Encuesta: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios.” Marzo 2011 [6]. Gráfico 4.2.8. Porcentaje de Instituciones que implementaron la herramienta “muro de fuego” para protección de la información. 100% 100% 100% 94% 92% 90% 79% Página 38 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones Fuente: Elaboración propia, basado en resultados de la Encuesta: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios.” Marzo 2011 [6]. Gráfico 4.2.9 Porcentaje de Instituciones que implementaron la herramienta “sistemas de detección de intrusos (IDS)” para protección de la información. 100% 78% 73% 76% 67% 64% 33% Fuente: Elaboración propia, basado en resultados de la Encuesta: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios.” Marzo 2011 [6]. 4.2.1 Detalle de herramientas informáticas por tipo de institución A continuación se presenta, para cada categoría de institución pública, la información detallada con respecto a las herramientas informáticas registradas. 4.2.1.1 Herramientas informáticas implementadas en Ministerios El gráfico 4.2.10, muestra el porcentaje de los ministerios que cuentan con diferentes tipos de herramientas informáticas, según la encuesta. Del gráfico se obtiene que en la mayoría de los ministerios, para proteger sus redes de información, se están Página 39 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones implementando herramientas enfocadas en evitar intromisiones a la red, correos no deseados y virus. Cabe destacar que solo el 61% de los ministerios encuestados presenta planes de continuidad de operaciones, los cuales constituyen una herramienta fundamental en caso de un desastre, catástrofe natural o ataque informático. Gráfico 4.2.10. Porcentaje de Ministerios, con diferentes tipos de herramientas informáticas. Muro de Fuego 94% Protección contra spyware, maleware, viruses etc 94% Control de spam (correo no deseado). 94% Políticas de uso de red para los empleados 83% Sistemas de Detección de intrusos (IDS ) 78% Políticas de administración de contraseñas y nombres de usuario. 78% 67% Administración automática de la seguridad Plan de continuidad de la operación. 61% Fuente: Elaboración propia, basado en resultados de la Encuesta: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios.” Marzo 2011 [6]. 4.2.1.2 Herramientas informáticas implementadas en Instituciones Autónomas En el gráfico 4.2.11, se muestra que en la mayoría de las instituciones autónomas, las herramientas informáticas que más se implementan son las referidas al control de spam, protección de virus y políticas de administración de contraseñas y nombres de usuario. También cale destacar que solo el 52% de las autónomas, implementan planes de continuidad del negocio, al igual que en los ministerios. Gráfico 4.2.11. Porcentaje de Instituciones Autónomas, con diferentes tipos de herramientas informáticas. Página 40 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones Protección contra spyware, maleware, viruses etc 95% Control de spam (correo no deseado). 95% Políticas de administración de contraseñas y nombres de usuario. 95% Muro de Fuego 90% Políticas de uso de red para los empleados 86% Sistemas de Detección de intrusos (IDS ) 76% Administración automática de la seguridad 67% Plan de continuidad de la operación. 52% Fuente: Elaboración propia, basado en resultados de la Encuesta: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios.” Marzo 2011 [6]. 4.2.1.3 Herramientas informáticas implementadas en Instituciones Bancarias En el gráfico 4.2.12, se muestran los porcentajes de instituciones del sistema bancario que tienen implementado herramientas informáticas, destacando que es el sector que presentó la mayor utilización de estas herramientas según la encuesta. Esto, tal como se comentó anteriormente, probablemente guarda relación con la SUGEF y el “Reglamento sobre la gestión de la Tecnología de la Información”, publicado en el diario oficial La Gaceta N°50 del jueves 12 de marzo del 2009. Página 41 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones Gráfico 4.2.12. Porcentaje del Sistema Bancario, con diferentes tipos de herramientas informáticas. Sistemas de Detección de intrusos (IDS ) 100% Muro de Fuego 100% Protección contra spyware, maleware, viruses etc 100% Control de spam (correo no deseado). 100% Políticas de administración de contraseñas y nombres de usuario. 100% Políticas de uso de red para los empleados 100% Plan de continuidad de la operación. 100% Administración automática de la seguridad 83% Fuente: Elaboración propia, basado en resultados de la Encuesta: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios.” Marzo 2011 [6]. 4.2.1.4 Herramientas informáticas implementadas en Universidades El gráfico 4.2.13, muestra el porcentaje de universidades que cuentan con herramientas informáticas, según la encuesta. Del gráfico se obtiene que en todas las universidades se han implementando herramientas enfocadas a evitar intromisiones a la red, correos no deseados y virus. Sin embargo, existe un bajo porcentaje de universidades donde se implementen IDS, administración automática de la seguridad y un plan de continuidad de operación. Además, se recalca que no implementan políticas de uso de redes para los empleados. Página 42 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones Gráfico 4.2.13. Porcentaje de Universidades, con diferentes tipos de herramientas informáticas.
Muro de Fuego 100% Protección contra spyware, maleware, viruses etc 100% Control de spam (correo no deseado). 100% Políticas de administración de contraseñas y nombres de usuario. 67% Sistemas de Detección de intrusos (IDS ) 33% Administración automática de la seguridad 33% Plan de continuidad de la operación. 33% Políticas de uso de red para los empleados 0% Fuente: Elaboración propia, basado en resultados de la Encuesta: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios.” Marzo 2011 [6]. 4.2.1.5 Herramientas informáticas implementadas en Instituciones Adscritas y Otras Instituciones En el gráfico 4.2.14, se muestra que en las instituciones adscritas que participaron en la encuesta, el 50% de ellas no cuenta con plan de continuidad de las operaciones dentro de su organización ni políticas de uso de red para los empleados. Página 43 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones Gráfico 4.2.14. Porcentaje de Instituciones Adscritas, con diferentes tipos de herramientas informáticas. Muro de Fuego 100% Protección contra spyware, maleware, viruses etc 100% Control de spam (correo no deseado). 100% Políticas de administración de contraseñas y nombres de usuario. 92% Políticas de uso de red para los empleados 75% Sistemas de Detección de intrusos (IDS ) 67% Administración automática de la seguridad 50% Plan de continuidad de la operación. 50% Fuente: Elaboración propia, basado en resultados de la Encuesta: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios.” Marzo 2011 [6]. El gráfico 4.2.15, muestra el porcentaje de otras instituciones que participaron en la encuesta, con diferentes herramientas informáticas. Gráfico 4.2.15. Porcentaje de Otras Instituciones, con diferentes tipos de herramientas informáticas. Página 44 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones Protección contra spyware, maleware, viruses etc 93% Control de spam (correo no deseado). 93% Políticas de administración de contraseñas y nombres de usuario. 86% Muro de Fuego 79% Sistemas de Detección de intrusos (IDS ) 64% Políticas de uso de red para los empleados 64% Plan de continuidad de la operación. 64% Administración automática de la seguridad 50% Fuente: Elaboración propia, basado en resultados de la Encuesta: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios.” Marzo 2011 [6]. 4.3 Implementación de medidas sobre gestión de la seguridad y manejo de contingencias Se consultó sobre las diferentes medidas de gestión de la seguridad y el manejo de contingencias que han implementado las instituciones. El resultado de las medidas implementadas se muestra en el gráfico 4.3.1. Nuevamente las instituciones del sector bancario son las que más medidas ha implementado. Página 45 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones Gráfico 4.3.1. Porcentaje de Instituciones que tienen medidas para la gestión de la seguridad y manejo de contingencias.
100% Se cuenta con un plan de seguridad 90% 80% Existe un responsable que coordine las medidas de seguridad establecidas 70% 60% Existe un plan de manejo de contingencias. 50% 40% Se han incluido en el mismo los aspectos relacionados con las comunicaciones 30% 20% 10% Realiza el seguimiento del plan de su seguridad personal de la empresa. 0% Ninguna de las anteriores Fuente: Elaboración propia, basado en resultados de la Encuesta: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios.” Marzo 2011 [6]. Los gráficos 4.3.2, 4.3.3, 4.3.4, 4.3.5 mostrados a continuación, presentan el porcentaje de las instituciones que implementaron diversas medidas sobre la gestión de seguridad y contingencias, según la encuesta. En los gráficos se evidencia que las instituciones del sistema bancario son las que mejor se encuentran en el tema de las medidas para la gestión de seguridad y contingencias, motivados probablemente por lo sensible que es la información financiera. El seguimiento del plan de seguridad del personal de la empresa, es la medida que menos se implementa en las instituciones públicas (30%). De hecho, llama la atención que en ninguna de las instituciones universitarias se sigue esta medida. Gráfico 4.3.2. Porcentaje de Instituciones que implementaron la medida de “se cuenta con un plan de seguridad“, para gestión de seguridad y contingencias. Página 46 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones 67% 44% 38% 33% 35% 21% 17% Fuente: Elaboración propia, basado en resultados de la Encuesta: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios.” Marzo 2011 [6]. Gráfico 4.3.3. Porcentaje de Instituciones que implementaron la medida de “existe un responsable que coordine las medidas de seguridad establecidas“, para gestión de seguridad y contingencias. 100% 57% 53% 56% 42% 36% 33% Fuente: Elaboración propia, basado en resultados de la Encuesta: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios.” Marzo 2011 [6]. Página 47 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones Gráfico 4.3.4. Porcentaje de Instituciones que implementaron la medida de “existe un plan de manejo de contingencias“, para gestión de seguridad y contingencias. 100% 67% 57% 47% 43% 33% 28% Fuente: Elaboración propia, basado en resultados de la Encuesta: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios.” Marzo 2011 [6]. Gráfico 4.3.5. Porcentaje de Instituciones que implementaron la medida de “realiza el seguimiento del plan de su seguridad del personal de la empresa“, para gestión de seguridad y contingencias. 50% 48% 33% 30% 14% 8% 0% Página 48 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones Fuente: Elaboración propia, basado en resultados de la Encuesta: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios.” Marzo 2011 [6]. 4.3.1 Detalle de gestión de seguridad y contingencia por tipo de institución A continuación se presenta, para cada categoría de institución pública, la información detallada con respecto a las herramientas informáticas registradas. 4.3.1.1 Medidas de Gestión de Seguridad y Contingencias en Ministerios El gráfico 4.3.6, muestra el porcentaje de ministerios que tienen implementadas medidas de gestión de seguridad y contingencias. La mayoría de los ministerios cuenta con un responsable que coordine las medidas de seguridad establecidos, sin embargo, las otras medidas implementadas tienen porcentajes muy bajos, siendo el más bajo, el plan de manejo de contingencias. Gráfico 4.3.6. Porcentaje de Ministerios con medidas de gestión de la seguridad y manejo de contingencias. Existe un responsable que coordine las medidas de seguridad establecidas 56% Se cuenta con un plan de seguridad 44% Se han incluido en el mismo los aspectos relacionados con las comunicaciones 33% Realiza el seguimiento del plan de su seguridad personal de la empresa. 33% Ninguna de las anteriores 33% Existe un plan de manejo de contingencias. 28% Fuente: Elaboración propia, basado en resultados de la Encuesta: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios.” Marzo 2011 [6]. Página 49 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones 4.3.1.2 Medidas de Gestión de Seguridad y Contingencias en Instituciones Autónomas El gráfico 4.3.7, muestra que en las instituciones autónomas, las medidas que más se implementan son las referidas a la existencia del plan de manejo de contingencias y un responsable que coordine las medidas de seguridad establecidas. Cabe resaltar que el 33% de las instituciones no cuenta con ninguna medida de gestión. Gráfico 4.3.7. Porcentaje de Instituciones Autónomas con medidas de gestión de la seguridad y manejo de contingencias. Existe un responsable que coordine las medidas de seguridad establecidas 57% Existe un plan de manejo de contingencias. 57% Realiza el seguimiento del plan de su seguridad personal de la empresa. 48% Se cuenta con un plan de seguridad 38% Se han incluido en el mismo los aspectos relacionados con las comunicaciones 38% 33% Ninguna de las anteriores Fuente: Elaboración propia, basado en resultados de la Encuesta: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios.” Marzo 2011 [6]. 4.3.1.3 Medidas de Gestión de Seguridad y Contingencias en Instituciones Bancarias En el gráfico 4.3.8, se muestra que en las instituciones del sistema bancario encuestadas, se implementaron en un 100% las medidas relacionadas a la seguridad, contingencias y comunicaciones, siendo este sector el que mayor implementación tiene, en comparación con las otras instituciones encuestadas. Página 50 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones Gráfico 4.3.8. Porcentaje de Sistema Bancario con medidas de gestión de la seguridad y manejo de contingencias. Existe un responsable que coordine las medidas de seguridad establecidas 100% Existe un plan de manejo de contingencias. 100% Se han incluido en el mismo los aspectos relacionados con las comunicaciones 100% Se cuenta con un plan de seguridad 67% Realiza el seguimiento del plan de su seguridad personal de la empresa. Ninguna de las anteriores 50% 0% Fuente: Elaboración propia, basado en resultados de la Encuesta: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios.” Marzo 2011 [6]. 4.3.1.4 Medidas de Gestión de Seguridad y Contingencias en Universidades En el gráfico 4.3.9, se puede apreciar que las universidades tienen muy pocas medidas implementadas sobre planes de seguridad; además, se muestra que en ninguna de las universidades encuestadas, se le da seguimiento al plan de su seguridad personal de la empresa ni cuenta con un plan de comunicaciones. Página 51 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones Gráfico 4.3.9. Porcentaje de Universidades con medidas de gestión de la seguridad y manejo de contingencias.
67% Existe un plan de manejo de contingencias. Se cuenta con un plan de seguridad 33% Existe un responsable que coordine las medidas de seguridad establecidas 33% Ninguna de las anteriores 33% Fuente: Elaboración propia, basado en resultados de la Encuesta: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios.” Marzo 2011 [6]. 4.3.1.5 Medidas de Gestión de Seguridad y Contingencias en Instituciones Adscritas El gráfico 4.3.10, muestra el porcentaje de instituciones adscritas que cuentan con medidas de gestión de la seguridad y contingencias, donde se evidencia que la mayor medida implementada es la existencia de un responsable de la seguridad, establecida en un porcentaje del 42%. Página 52 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones Gráfico 4.3.10. Porcentaje de Instituciones Adscritas con medidas de gestión de la seguridad y manejo de contingencias. Existe un responsable que coordine las medidas de seguridad establecidas 42% Existe un plan de manejo de contingencias. 33% Se cuenta con un plan de seguridad Se han incluido en el mismo los aspectos relacionados con las comunicaciones Realiza el seguimiento del plan de su seguridad personal de la empresa. Ninguna de las anteriores 17% 8% 8% 8% Fuente: Elaboración propia, basado en resultados de la Encuesta: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios.” Marzo 2011 [6]. 4.4 Sistemas de Seguridad Física implementados en instituciones públicas. El gráfico 4.4.1 muestra el resultado de la encuesta sobre los diferentes sistemas de seguridad física, que tienen implementados las instituciones públicas para proteger su red de datos. Página 53 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones Gráfico 4.4.1. Porcentaje de Instituciones que cuentan en sus redes sistemas seguridad física.
100% 90% Filtros , estabilizadores, supresores y/o demás dispositivos para controlar la calidad del suministro eléctrico Fuentes de alimentación redundantes para los equipos de red 80% 70% 60% 50% Sistemas de Alimentación ininterrumpida. 40% 30% 20% Sistemas de monitoreo para el consumo y la continuidad del servicio eléctrico. 10% 0% Control de acceso sísico a los dispositivos de red. Fuente: Elaboración propia, basado en resultados de la Encuesta: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios.” Marzo 2011 [6]. El gráfico 4.4.2, muestra que los sistemas de alimentación ininterrumpida son las medidas de seguridad física que mayormente se tienen implementadas en las instituciones públicas (86%), encabezando la lista las del sector bancario y las universidades con 100%, según la encuesta. Página 54 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones Gráfico 4.4.2. Porcentaje de instituciones públicas que tienen instalados “sistemas de alimentación interrumpida”. 100% 100% 93% 86% 83% 78% 86% Fuente: Elaboración propia, basado en resultados de la Encuesta: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios.” Marzo 2011 [6]. Los gráficos 4.4.3, 4.4.4, 4.4.5, 4.4.6 mostrados a continuación, presentan el porcentaje de las instituciones que implementaron diversas medidas sobre seguridad física de sus redes de información, según la encuesta. Las instituciones del sistema bancario son las que presentan mayor implementación de estas medidas, en general. Adicionalmente, los sistemas de monitoreo para el consumo y continuidad del servicio eléctrico es el que muestra menor porcentaje de implementación en las instituciones públicas, con un 19%. Los sistemas de monitoreo del uso continuo y continuo de la electricidad sirven para realizar análisis de eficiencia energética, y sirven como insumo para desarrollar políticas internas de mejoras continuas, con el propósito de no interrumpir el servicio eléctrico de la institución. Gráfico 4.4.3. Porcentaje de Instituciones que implementaron “filtros, estabilizadores, supresores y/o demás dispositivos para controlar la calidad del suministro eléctrico” Página 55 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones para mantener la seguridad física en sus redes. 100% 86% 67% 64% 70% 58% 0% Fuente: Elaboración propia, basado en resultados de la Encuesta: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios.” Marzo 2011 [6]. Gráfico 4.4.4. Porcentaje de Instituciones que implementaron “fuentes de alimentación redundantes para los equipos de red” para mantener la seguridad física en sus redes. 100% 100% 81% 64% 61% 70% 50% Página 56 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones Fuente: Elaboración propia, basado en resultados de la Encuesta: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios.” Marzo 2011 [6]. Gráfico 4.4.5. Porcentaje de Instituciones que implementaron “sistemas de monitoreo para el consumo y la continuidad del servicio eléctrico” para mantener la seguridad 50% 29% 24% 19% 8% 6% 0% física en sus redes. Fuente: Elaboración propia, basado en resultados de la Encuesta: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios.” Marzo 2011 [6]. Página 57 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones Gráfico 4.4.6. Porcentaje de Instituciones que implementaron “controles de acceso físico a los dispositivos de red” para mantener la seguridad física en sus redes. 100% 67% 67% 64% 64% 56% 50% Fuente: Elaboración propia, basado en resultados de la Encuesta: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios.” Marzo 2011 [6]. 4.4.1 Detalle de sistemas de seguridad física por tipo de institución A continuación se presenta, para cada categoría de institución pública, la información detallada con respecto a los sistemas de seguridad física registrados. 4.4.1.1 Sistemas de Seguridad física implementados en Instituciones Autónomas y Ministerios El gráfico 4.4.7, muestra el porcentaje de instituciones autónomas y ministerios que tienen implementados sistemas de seguridad física, según la encuesta. Se puede apreciar que ambas instituciones presentan el mismo comportamiento, sin embargo, las instituciones autónomas tienen mayor porcentaje de implementación que los ministerios. El mayor porcentaje de implementación se encuentra en los sistemas referidos a la alimentación ininterrumpida, sistemas de redundancia eléctrica y dispositivos para mejorar la calidad del servicio eléctrico; por otro lado, lo que Página 58 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones presenta menor implementación son los sistemas de monitoreo para consumo y continuidad del servicio eléctrico. Gráfico 4.4.7. Porcentaje de Instituciones Autónomas y Ministerios que implementaron sistemas de seguridad física. Autónomas Ministerios 86% 78% Tienen instalados Sistemas de Alimentación ininterrumpida. Filtros , estabilizadores, supresores y/o demás dispositivos para controlar la calidad del suministro eléctrico 86% 67% 81% Tienen instaladas fuentes de alimentación redundantes para los equipos de red 61% 67% Control de acceso sísico a los dispositivos de red. 56% 24% Sistemas de monitoreo para el consumo y la continuidad del servicio eléctrico. 6% Fuente: Elaboración propia, basado en resultados de la Encuesta: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios.” Marzo 2011 [6]. 4.4.1.2 Sistemas de Seguridad implementados en Instituciones Bancarias El gráfico 4.4.8, muestra que las instituciones del sistema bancario encuestadas presentan el mayor porcentaje de implementación de medidas de seguridad física. Sin embrago, resalta el hecho de que el monitoreo sigue siendo la medida menos implementada en las instituciones públicas. Gráfico 4.4.8. Porcentaje del Sistema Bancario que implementó sistemas de seguridad física. Página 59 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones Control de acceso sísico a los dispositivos de red. 100% Tienen instalados Sistemas de Alimentación ininterrumpida. 100% Tienen instaladas fuentes de alimentación redundantes para los equipos de red 100% Filtros , estabilizadores, supresores y/o demás dispositivos para controlar la calidad del suministro eléctrico 100% Sistemas de monitoreo para el consumo y la continuidad del servicio eléctrico. 50% Fuente: Elaboración propia, basado en resultados de la Encuesta: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios.” Marzo 2011 [6]. 4.4.1.3 Sistemas de Seguridad implementados en Universidades En el gráfico 4.4.9 se muestra el porcentaje de universidades que han implementado sistemas de seguridad física en sus redes. Los sistemas de alimentación ininterrumpida y la redundancia de la alimentación eléctrica están presentes en todas las universidades. Sin embargo, destaca que los sistemas de monitoreo y los dispositivos que ayudan a la calidad del servicio de la energía eléctrica no se han implementado en ninguna de las universidades encuestadas. Página 60 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones Gráfico 4.4.9. Porcentaje de Universidades que implementan sistemas de seguridad física. Tienen instalados Sistemas de Alimentación ininterrumpida. 100% Tienen instaladas fuentes de alimentación redundantes para los equipos de red 100% Control de acceso sísico a los dispositivos de red. 67% Sistemas de monitoreo para el consumo y la continuidad del servicio eléctrico. 0% Filtros , estabilizadores, supresores y/o demás dispositivos para controlar la calidad del suministro eléctrico 0% Fuente: Elaboración propia, basado en resultados de la Encuesta: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios.” Marzo 2011 [6]. 4.4.1.4 Sistemas de Seguridad implementados en Instituciones Adscritas y Otras Instituciones Los gráficos 4.4.10 y 4.4.11 muestran los porcentajes de instituciones adscritas y en otras instituciones encuestadas, que cuentan con sistemas de seguridad física. Del gráfico se desprende que el mayor porcentaje se presenta en los sistemas de alimentación ininterrumpida, y el menor, en los sistemas de monitoreo. Gráfico 4.4.10. Porcentaje de Instituciones Adscritas que implementa sistemas de seguridad física. Página 61 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones Tienen instalados Sistemas de Alimentación ininterrumpida. 83% Filtros , estabilizadores, supresores y/o demás dispositivos para controlar la calidad del suministro eléctrico 58% Control de acceso sísico a los dispositivos de red. 50% Tienen instaladas fuentes de alimentación redundantes para los equipos de red 50% Sistemas de monitoreo para el consumo y la continuidad del servicio eléctrico. 8% Fuente: Elaboración propia, basado en resultados de la Encuesta: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios.” Marzo 2011 [6]. Gráfico 4.4.11. Porcentaje Otras Instituciones que implementan sistemas de seguridad física. Tienen instalados Sistemas de Alimentación ininterrumpida. 93% Control de acceso sísico a los dispositivos de red. 64% Tienen instaladas fuentes de alimentación redundantes para los equipos de red 64% Filtros , estabilizadores, supresores y/o demás dispositivos para controlar la calidad del suministro eléctrico 64% Sistemas de monitoreo para el consumo y la continuidad del servicio eléctrico. 29% Fuente: Elaboración propia, basado en resultados de la Encuesta: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios.” Marzo 2011 [6]. 4.5 Presupuesto para Seguridad Informática Página 62 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones Para brindar seguridad es necesario adquirir e implementar un conjunto de buenas prácticas dentro de las instituciones. Adicionalmente, es necesario capacitar el personal y adquirir hardware y software que permita llevar a cabo las tareas relacionadas a este tema. A continuación se presenta una serie de gráficos e información que muestran el presupuesto que dedican las instituciones públicas para aspectos relacionados con la seguridad informática. El gráfico 4.5.1 señala el porcentaje del monto del presupuesto anual que destinan las instituciones públicas, en el tema de seguridad informática, para el año 2010. Gráfico 4.5.1. Porcentaje de instituciones de acuerdo al presupuesto destinado a seguridad informática (colones). 80% 70% 60% 50% 40% Menos de 5 millones 30% Más de 5 a 20 millones Más de 20 a 50 millones 20% Más de 50 millones 10% 0% Fuente: Elaboración propia, basado en resultados de la Encuesta: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios.” Marzo 2011 [6]. Página 63 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones Los gráficos 4.5.2, 4.5.3, 4.5.4, 4.5.5, muestran el porcentaje por tipo de instituciones públicas, que destinaron cierto monto de su presupuesto en colones a la seguridad informática. Las instituciones adscritas se ubican mayoritariamente en la franja de menos de 5 millones. En las que invierten entre 5 y 20 millones se encuentran los ministerios y las universidades. En el rango de 20 a 50 millones y en el de más de 50 millones de colones, el mayor porcentaje se presenta en las instituciones autónomas y las instituciones del sistema bancario, respectivamente. Gráfico 4.5.2. Porcentaje de Instituciones que destinaron menos de 5 millones de colones del presupuesto TIC, para seguridad informática. 50% 33% 21% 14% 0% 0% Fuente: Elaboración propia, basado en resultados de la Encuesta: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios.” Marzo 2011 [6]. Gráfico 4.5.3. Porcentaje de Instituciones que destinaron entre 5 a 20 millones de colones del presupuesto TIC, para seguridad informática. Página 64 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones 33% 33% 29% 25% 24% 0% Fuente: Elaboración propia, basado en resultados de la Encuesta: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios.” Marzo 2011 [6]. Gráfico 4.5.4, Porcentaje de Instituciones que destinaron entre 20 y 50 millones de colones del presupuesto TIC, para seguridad informática. 19% 11% 8% 7% 0% 0% Fuente: Elaboración propia, basado en resultados de la Encuesta: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios.” Marzo 2011 [6]. Página 65 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones Gráfico 4.5.5. Porcentaje de Instituciones que destinaron más de 50 millones de colones del presupuesto TIC, para seguridad informática. 67% 39% 36% 33% 33% 8% Fuente: Elaboración propia, basado en resultados de la Encuesta: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios.” Marzo 2011 [6]. Presupuestos para seguridad informática en Instituciones Públicas El gráfico 4.5.6 muestra el porcentaje de instituciones públicas que destinan parte de su presupuesto, para seguridad informática según los rangos establecidos. Cabe resaltar que el 34% de las instituciones públicas destinan más de 50 millones de colones, y el 26% destina entre 5 a 20 millones. Gráfico 4.5.6. Porcentaje de instituciones públicas con montos del presupuesto en colones que se destina a seguridad informática. Página 66 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones No informa, 11% Más de 20 a 50 millones, 11% Más de 50 millones, 34% Más de 5 a 20 millones, 26% Menos de 5 millones, 19% Fuente: Elaboración propia, basado en resultados de la Encuesta: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios.” Marzo 2011 [6]. 4.5.1 Detalle de presupuesto para seguridad informática por tipo de institución A continuación se presenta, para cada categoría de institución pública, la información detallada con respecto al presupuesto para seguridad informática. 4.5.1.1 Presupuestos para seguridad informática en Ministerios El gráfico 4.5.7 muestra que en los ministerios encuestados, el mayor presupuesto TIC que se destina a la seguridad informática es de 50 millones, seguido por presupuestos entre 5 a 20 millones. Cabe destacar que ninguno de los ministerios da un monto menor de 5 millones de colones en el tema de seguridad informática. Página 67 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones Gráfico 4.5.7. Porcentaje de ministerios con montos del presupuesto en colones que se destina a seguridad informática. No informa, 17% Más de 50 millones, 39% Más de 20 a 50 millones, 11% Más de 5 a 20 millones, 33% Fuente: Elaboración propia, basado en resultados de la Encuesta: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios.” Marzo 2011 [6]. 4.5.1.2 Presupuestos para seguridad informática en Instituciones Autónomas En el gráfico 4.5.8 se muestra el monto del presupuesto destinado a la seguridad informática por parte de las instituciones autónomas. La mayoría de ellas invierten más de 50 millones de colones, sin embargo, existen algunas instituciones que destinan menos de 5 millones en el tema de seguridad informática. Página 68 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones Gráfico 4.5.8. Porcentaje de instituciones autónomas con montos del presupuesto en colones que se destina a seguridad informática. No informa, 10% Menos de 5 millones, 14% Más de 50 millones, 33% Más de 20 a 50 millones, 19% Más de 5 a 20 millones, 24% Fuente: Elaboración propia, basado en resultados de la Encuesta: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios.” Marzo 2011 [6]. 4.5.1.3 Presupuestos para seguridad informática en Instituciones Bancarias El gráfico 4.5.9 muestra el monto del presupuesto destinado a la seguridad informática por parte del sistema bancario. Se recalca que la mayoría de los bancos invierten más de 50 millones de colones anuales, siendo las instituciones encuestadas que más porcentaje destinan en seguridad informática. No obstante, existen algunas entidades bancarias que invierten menos de 5 millones en seguridad informática al año. Página 69 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones Gráfico 4.5.9. Porcentaje de instituciones del sistema bancario con montos del presupuesto en colones que se destina a seguridad informática. Menos de 5 millones, 33% Más de 50 millones, 67% Fuente: Elaboración propia, basado en resultados de la Encuesta: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios.” Marzo 2011 [6]. 4.5.1.4 Presupuestos para seguridad informática en Universidades El gráfico 4.5.10 indica la ubicación de las universidades participantes en la encuesta, de acuerdo al monto que destinan a la seguridad informática, destacándose la existencia de igual proporción de universidades con montos de 50 millones y con rangos de 5 a 20 millones de colones destinados para a este tema. Página 70 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones Gráfico 4.5.10. Porcentaje de universidades con montos del presupuesto en colones que se destina a seguridad informática. Más de 50 millones, 33% No informa, 33% Más de 5 a 20 millones, 33% Fuente: Elaboración propia, basado en resultados de la Encuesta: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios.” Marzo 2011 [6]. 4.5.1.5 Presupuestos para seguridad informática en Instituciones Adscritas y Otras Instituciones Los gráficos 4.5.11 y 4.5.12 muestran los porcentajes de las instituciones adscritas y otras instituciones que destinan diferentes montos de su presupuesto para la seguridad informática de su institución. Según el gráfico, el 50% de las instituciones adscritas invierten menos de 5 millones de colones en seguridad. Y, en el caso de la mayoría de otras instituciones encuestadas, se destinan más de 50 millones de colones a seguridad. Página 71 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones Gráfico 4.5.11. Porcentaje de instituciones adscritas con montos del presupuesto en colones que se destina a seguridad informática. No informa, 8% Más de 20 a 50 millones, 8% Más de 50 millones, 8% Menos de 5 millones, 50% Más de 5 a 20 millones, 25% Fuente: Elaboración propia, basado en resultados de la Encuesta: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios.” Marzo 2011 [6]. Gráfico 4.5.12. Porcentaje de otras instituciones con montos del presupuesto en colones que se destina a seguridad informática. No informa, 7% Más de 50 millones, 36% Más de 20 a 50 millones, 7% Menos de 5 millones, 21% Más de 5 a 20 millones, 29% Fuente: Elaboración propia, basado en resultados de la Encuesta: “Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios.” Marzo 2011 [6]. Página 72 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones Página 73 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones 4.6 Cuadro resumen de resultados según la encuesta El cuadro siguiente muestra los resultados generales de la encuesta realizada. Resultados de la encuesta con porcentajes por Instituciones Públicas Eventos informáticos registrados entre enero 2010 y enero 2011 Presencia de virus, troyanos, malware, spyware y demás en su red. Pérdida accidental o robo de equipos terminales. Porcentaje 79.73% 37.838% Sistemas atacados por parte de hackers. 14.865% Pérdida accidental o robo de los sistemas de respaldo. Empleados robando información digital o permitiendo accesos a dicha información sin autorización. Elementos o herramientas informáticas implementadas Control de spam (correo no deseado). Protección contra spyware, maleware, viruses etc Muro de Fuego Políticas de administración de contraseñas y nombres de usuario. Políticas de uso de red para los empleados Sistemas de Detección de Intrusos (IDS) Administración automática de la seguridad Plan de continuidad de la operación. Medidas de Gestión de la seguridad y manejo de contingencias Responsable de coordinar las medidas de seguridad establecidas Plan de Manejo de Contingencias Plan de Seguridad Comunicaciones dentro del Plan de Manejo de Contingencias Seguimiento del Plan de Seguridad Sistemas de Seguridad Física Sistemas de alimentación interrumpida Filtros, estabilizadores, supresores para calidad de servicio eléctrico Fuentes de alimentación redundantes en equipos de red Control de acceso físico a dispositivos de red Monitoreo de consumo y continuidad del servicio eléctrico Presupuesto destinado a seguridad Más de 50 millones Entre 5 y 20 millones Menos de 5 millones de colones Entre 20 y 50 millones 12% 9.459% Página 74 Porcentaje 96% 96% 92% 88% 77% 73% 61% 59% Porcentaje 53% 47% 35% 34% 30% Porcentaje 86% 70% 70% 64% 19% Porcentaje 34% 26% 19% 11% Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones Página 75 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones 5. Conclusiones y Recomendaciones 5.1 Conclusiones 1. El 79% de las instituciones públicas han presentado en sus redes informáticas, la presencia de virus, troyanos, malware y spyware, siendo este evento informático el de mayor incidencia, principalmente en las universidades y en las instituciones del sistema bancario. Adicionalmente, se determinó que el 96% de las instituciones públicas, implementa controles contra spam, spyware, malware y virus, para proteger sus redes de información. 2. El evento informático que se presenta con menor frecuencia en las instituciones públicas (9), corresponde al robo de información digital o accesos sin autorización por parte de los empleados públicos. Suplementariamente, se determinó que el 73% de las instituciones públicas tienen implementado en sus redes, Sistemas de Identificación de Intrusos IDS, lo que hace suponer que los robos de información son bajos, debido a la utilización de esta herramienta. 3. Las instituciones autónomas y las universidades son los entes públicos que han presentado mayores problemas de seguridad informática en el período comprendido entre enero 2010 enero 2011. Los ataques que más destacan son: la presencia de virus y la pérdida o robos de terminales. 4. Las instituciones del sistema bancario presentan mayores porcentajes en cuanto al uso de herramientas informáticas para salvaguardar la seguridad física y lógica de sus redes de información. En buena media, a ello han contribuido directivas tales como: los lineamientos de cumplimiento obligatorio emitidos por la SUGEF, en el Reglamento sobre la Gestión de la Tecnología de Información, publicado en el Diario Oficial “La Gaceta” 50 del 12 de Marzo del 2009. Página 76 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones 5. Las instituciones autónomas, bancarias y ministerios son los entes donde se implementan mayores políticas, planes y herramientas relacionados con la seguridad informática. En las universidades el uso de estas herramientas es el que presenta menor implementación. 6. A nivel público, las instituciones del sistema bancario utilizan las mejores medidas de gestión de la seguridad, comunicaciones y manejo de contingencias. 7. La medida del seguimiento del plan de seguridad del personal de la empresa, es la que menos se implementa en las instituciones públicas (30%). Las universidades no siguen esta medida. 8. El seguimiento del plan de seguridad es la medida que menos desarrollan las instituciones públicas. Solo el 50% de las instituciones bancarias lo implementa, siendo éstas las que obtuvieron mayor porcentaje. 9. En términos de seguridad física, los sistemas de alimentación ininterrumpida, son las medidas que mayor incidencia presentan en las instituciones públicas (86%). Las universidades y el sistema bancario presentan un 100% en implementación de estas medidas. Además, los sistemas de monitoreo del consumo y de la continuidad del servicio son los que menos se presentan en las instituciones públicas, 19%. 10. El 34% de las instituciones públicas destinan más de 50 millones de colones de su presupuesto anual para seguridad informática. El 26% destina entre 5 a 20 millones, el 19% menos de 5 millones y el 11% entre 20 y 50 millones de colones. Las instituciones públicas que más presupuesto invierten en seguridad informática son las que pertenecen al sistema bancario. Página 77 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones 5. 2 Recomendaciones 1. Se recomienda enviar los resultados obtenidos en este estudio a las instituciones que formaron parte de la muestra, con el afán de brindar un panorama general respecto al estado de la Seguridad Informática en las instituciones del gobierno. Adicionalmente, se recomienda hacer el documento de conocimiento público, con la finalidad de promover el análisis y el diálogo en éste tema. 2. Se recomienda que, anualmente, desde el Viceministerio se recopile y distribuya información referente a buenas prácticas internacionales y novedades en materia de seguridad informática, de manera que sirva como referencia a las instituciones. 3. Se recomienda mantener un monitoreo periódico alrededor de la seguridad informática; y hacerlo extensivo al resto de las instituciones públicas, tarea que puede ser llevada a cabo en el marco de los establecido en el Plan Nacional de Desarrollo (PND), donde se encomienda a MICIT “Promover el establecimiento de un centro nacional encargado del monitoreo, alerta y reacción ante amenazas a la seguridad informática”. Todo con la finalidad de contar con información actualizada y confiable sobre las fortalezas y debilidades existentes. Página 78 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones 6. Referencias Bibliográficas [1] Asesoría Informática -­‐ Diccionario Términos y definiciones informáticas. -­‐ Servicios Profesionales TI -­‐ México. Consulta en línea 18/09/2011. Disponible: http://www.asesoriainformatica.com/definiciones.htm [2] Viceministerio de Telecomunicaciones. Informe Técnico IT-­‐GR-­‐2010-­‐013. Sistemas de Gestión de Seguridad de la Información – Estándares, Normas y recomendaciones. San José, Costa Rica., 28 de mayo de 2010 [3] Portal ISO 27001 en español. ISO27001 – Sistema de Gestión de Seguridad de la Información SGSI. Consulta en línea 18/09/2011. Disponible: http://www.iso27000.es/sgsi.html [4] McAfee. Informe sobre Criminología Virtual de McAfee –Ciberdelincuencia y ciberley 2009. Consulta en línea 18/09/2011. Disponible: http://www.movistar.es/on/io/es/tienda/seguridad-­‐
internet/pdf/informe_sobre_criminologia_virtual.pdf [5] Contraloría General de la República. Resolución "Normas Técnicas para la Gestión y Control de las Tecnologías de Información (N-­‐2-­‐2007-­‐CO-­‐DFOE)", emitida el 7 de junio del 2007 en el diario oficial La Gaceta No. 119 del 21 de junio 2007. San José, Costa Rica. [6] Viceministerio de Telecomunicaciones. Encuesta: Conexión de las Instituciones Públicas a Internet por medio de banda ancha y disposición de acceso inalámbrico a Internet para los usuarios de los servicios. San José, Costa Rica. Marzo 2011. [7] Superintendencia General de Entidades Financieras (SUGEF). Reglamento sobre la Gestión de la Tecnología de Información. Publicado en el Diario Oficial “La Gaceta” 50 del 12 de Marzo del 2009. San José, Costa Rica. Página 79 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones Página 80 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones 7. Anexos 7.1 Estándares de seguridad informática 1. Estándar ISO/IEC 27000 La familia del estándar ISO/IEC 27000 se desarrolló en el año 1999 y se encuentra basada en el la norma británica BS-­‐7799 del Instituto Británico de Estándares (BSI por sus siglas en inglés, British Standards Institution) publicada en 1995. [2]. En el cuadro 1, se muestra los principales estándares de la familia 27000 y su descripción general. Cuadro 1: Principales estándares de la familia ISO/IEC 27000 relacionadas a la seguridad de la información Familia ISO/IEC 27000 Título Estándar: año publicación ISO/IEC 27000:2009 Sistemas de gestión de la seguridad de la información -­‐ Información general y vocabulario ISO/IEC 27001:2005 Sistemas de gestión de la seguridad de la información -­‐ Requisitos ISO/IEC 27002:2005 Código de buenas prácticas para la gestión de seguridad de la información ISO/IEC 27003:2010 Sistemas de gestión de la seguridad de la información -­‐ Directrices ISO/IEC 27004:2009 Gestión de la seguridad de la información – Medición ISO/IEC 27005:2008 Gestión de los riesgos de la Página 81 Descripción Define el vocabulario estándar empleado en la familia 27000 (definición de términos y conceptos) Especifica los requisitos a cumplir para implantar un SGSI Recomendaciones sobre qué medidas tomar para asegurar los sistemas de información de una organización Proporciona una guía de implementación de la norma ISO/IEC 27001 Especifica los criterios de medición y gestión para lograr la mejora continua y eficacia de un SGSI Gestión de riesgos de Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones seguridad de la información ISO/IEC 27006:2007 Requisitos para entidades que auditan y certifican los sistemas de gestión de la seguridad de la información ISO/IEC 27007 Guía de auditoría de un SGSI, Pendiente como complemento a lo publicación especificado en ISO 19011 ISO/IEC 27008 Guía de auditoría de los Pendiente controles seleccionados en el publicación marco de implantación de un SGSI. ISO/IEC 27010 Guía para la gestión de la Pendiente seguridad de la información en publicación comunicaciones inter-­‐
sectoriales ISO/IEC 27011:2008 Guía de interpretación de la implementación y gestión de la seguridad de la información en organizaciones del sector de telecomunicaciones basada en ISO/IEC 27002 conocida como ITU X.1051 ISO/IEC FCD 27031 Guía para continuidad del Pendiente negocio para las TIC publicación ISO/IEC CD 27032 Pendiente publicación ISO/IEC 27033-­‐
1:2009 ISO/IEC CD 27034-­‐1 ISO/IEC CD 27035 Pendiente Guía de ciber-­‐seguridad Guía para la seguridad de las Redes Guía de seguridad en aplicaciones Gestión de incidentes en la seguridad de la información Página 82 seguridad de la información (recomendaciones, métodos y técnicas para evaluación de riesgos de seguridad) Proporciona una guía para el proceso de acreditación de las entidades de certificación de los SGSI Guía de actuación para auditar los SGSI, conforme ISO 190011 Proporciona una guía para auditar los controles de seguridad de la norma ISO 27002 Proporciona una guía para sector de las comunicaciones y sistemas de interconexión Proporciona una guía para la gestión de la seguridad de la información específica para telecomunicaciones Proporciona una guía de continuidad de negocio en lo relativo a tecnologías de la información y comunicaciones Guía relativa a la ciber-­‐
seguridad Norma dedicada a la seguridad en redes Guía de seguridad en aplicaciones Proporciona una guía de gestión de incidentes de Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones publicación Fuente: [2]. seguridad de información Entre los estándares de la familia ISO/IEC 27000 más importantes, se encuentra el 27001 denominado: “Sistema de Gestión de la Seguridad de la Información-­‐ Requisitos”; la cual dicta los requisitos a cumplir para implementar un SGSI, y el estándar 27002, que es una “Guía de buenas prácticas para la gestión de la seguridad de la información”. Estos dos estándares se han considerado como base para establecer un marco de política de seguridad en diferentes países. A continuación se detallan cada uno de los estándares ISO/IEC indicados. 1.1 Estándar ISO/IEC 27001 El ISO/IEC 27001 es el concepto central sobre el que se construye el Sistema de Gestión de Seguridad de la Información. Dicho estándar fue publicado en 2005 y representa un compendio de los criterios de cumplimiento de los diferentes puntos de control que una organización debe seguir para establecer, implementar, operar, monitorear, mantener, auditar y mejorar un SGSI. El ISO 27001 está pensado para ser implementado en conjunto con el 27002, de modo que éste sirva como base en el diseño de un Sistema de Gestión de Seguridad de la Información y el primero funja como certificación de que el sistema implantado cumple con las normas requeridas por el estándar. En el cuadro 2 se muestra la estructura del estándar del ISO/IEC 27001 Cuadro 2: Estructura del estándar ISO/IEC 27001 Estructura documento ISO/IEC 27001 Apartado Descripción Introducción Generalidades e introducción al método PDCA (Plan-­‐Do-­‐Check-­‐Act). Campo de aplicación Se especifica el objetivo, la aplicación y el Página 83 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones tratamiento de exclusiones. Referencias normativas Normas que sirven de referencia. Términos y definiciones Descripción de los términos más usados en la norma. Sistema de gestión de la Cómo establecer, implementar, monitorizar, seguridad de la información revisar, mantener y mejorar el SGSI; requerimientos de documentación y su control. Responsabilidad de la En cuanto a compromiso con el SGSI, provisión de dirección/gerencia recursos y formación y concienciación del personal. Auditorías internas del SGSI Cómo realizar las auditorías internas de control. Revisión gerencial del SGSI Cómo gestionar el proceso de revisión constante del SGSI Mejoramiento del SGSI Mejora continua, acciones correctoras y acciones preventivas. Fuente: [2]. 1.2 Estándar ISO/IEC 27002 Este estándar es una guía de buenas prácticas, que describe los objetivos de control y mecanismos recomendables en cuanto a la seguridad de la información. El estándar 27002 se publicó en 2007 y es una actualización del estándar ISO 17799, el cual fue desarrollado en el año 2005 y basado en la norma británica BS 7799. El estándar describe las recomendaciones sobre las medidas necesarias para asegurar los sistemas de información de una organización, además detalla los objetivos de control (para garantizar la seguridad de la información) y especifica los controles recomendables a implantar. En el cuadro 3 se muestra la estructura del estándar mencionado. Cuadro 3: Estructura del estándar ISO/IEC 27002 Estructura documento ISO/IEC 27002 Dominio o área de control Descripción Introducción Conceptos generales de seguridad información y SGSI. Campo de aplicación Se especifica el objetivo de la norma. Página 84 de la Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones Términos y definiciones Estructura del estándar Evaluación y tratamiento del riesgo Política de seguridad Aspectos organizativos de la seguridad de la información Gestión de activos Seguridad ligada a los recursos humanos Seguridad física y ambiental Gestión de comunicaciones y operaciones Control de acceso Adquisición, desarrollo y mantenimiento de los sistemas Gestión de incidente de seguridad de la información Gestión de la continuidad del negocio Cumplimiento Términos más usados en la norma. Descripción de la estructura de la norma. Indicaciones sobre cómo evaluar y tratar los riesgos de seguridad de la información. Documento de política de seguridad y su gestión. Organización interna; organización externa. Responsabilidad sobre los activos; clasificación de la información. Anterior al empleo; durante el empleo; finalización o cambio de empleo. Áreas seguras; seguridad de los equipos. Procedimientos y responsabilidades de operación; gestión de servicios de terceras partes; planificación y aceptación del sistema; protección contra software malicioso; backup; gestión de seguridad de redes; utilización de soportes de información; intercambio de información y software; servicios de comercio electrónico; monitorización. Requisitos de negocio para el control de accesos; gestión de acceso de usuario; responsabilidades del usuario; control de acceso en red; control de acceso al sistema operativo; control de acceso a las aplicaciones e informaciones; informática y conexión móvil. Requisitos de seguridad de los sistemas de información; procesamiento correcto en aplicaciones; controles criptográficos; seguridad de los ficheros del sistema; seguridad en los procesos de desarrollo y soporte; gestión de vulnerabilidades técnicas. Comunicación de eventos y puntos débiles de seguridad de la información; gestión de incidentes y mejoras de seguridad de la información. Aspectos de la seguridad de la información en la gestión de continuidad del negocio. Con los requisitos legales; políticas de seguridad y estándares de conformidad y conformidad técnica; Página 85 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones consideraciones sobre la auditoría de sistemas de información. Fuente: [2]. 2. COBIT Otros de los modelos internacionales adoptados por organizaciones y empresas aplicados a la seguridad de la información, es el estándar de Objetivos de Control para la Información y Tecnologías Relacionadas (COBIT por sus siglas en inglés, Control Objectives for Information and related Technology). El modelo es un conjunto de mejores prácticas para el manejo de la información y fue creado por la Asociación para la Auditoría y Control de Sistemas de Información (ISACA por sus siglas en inglés, Information Systems Audit and Control Association) y el Instituto de Administración de las Tecnologías de la información (ITGI por sus siglas en inglés, IT Governance Institute) en 1992. A partir del año 2000 el desarrollo y las actualizaciones del modelo COBIT ha sido responsabilidad del ITGI. [2]. El ITGI desarrolló la versión COBIT 4.1, la cual es una actualización principal en el estándar internacional, que ofrece un conjunto de prácticas internacionales aceptadas de forma general, el cual permite a las organizaciones aumentar su valor en la tecnología de la información y ayuda a reducir los riesgos. Esta versión contempla de manera integral, el ciclo de vida de la información que va desde la Planeación y Organización hasta el Monitoreo, pasando por la adquisición, implementación y soporte de los sistemas de información. [2]. El modelo COBIT se aplica a temas de gobernabilidad, control, aseguramiento, seguridad y auditorías de las Tecnologías de Información y Comunicaciones (TIC). Prácticamente funciona como un marco de gobierno de la información de una organización. Con un alcance más amplio que los estándares antes mencionados en el informe, el COBIT describe los objetivos de control necesarios, para asegurar que la información de la organización satisfaga las cuatro áreas de enfoque: administración de riesgos, Página 86 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones medición de resultados, alineación con las estrategias del negocio y la aportación de valor. El Sistema Específico de Valoración del Riesgo Institucional SEVRI de la Contraloría General de la República, se basa en el marco de referencia COBIT. 3. ITIL La OGC (Office of Goverment Commerce) del Gobierno Británico Unido, ha desarrollado desde el año 1980, el modelo de seguridad de la Biblioteca de Infraestructura de Tecnologías de Información conocida como ITIL por sus siglas en inglés. El ITIL fue utilizado inicialmente como una guía para el Gobierno Británico, pero es aplicable a cualquier tipo de organización. La ITIL es un marco de trabajo compuesto de buenas prácticas en materia de la prestación de los servicios de tecnologías de la información (TI) y la preservación de la seguridad de la información, con el fin de ayudar a las organizaciones a lograr calidad y eficiencia en las operaciones de TI. [2]. Los procedimientos del ITIL son independientes del proveedor y han sido desarrollados para servir como guía que abarque toda infraestructura, desarrollo y operaciones de TI. Las librerías que comprende la ITIL se dividen en dos áreas principales, la administración de los servicios de TI y las Guías Operativas. Además, incluye los siguientes apartados: entrega de servicios, soporte de los servicios, administración de la seguridad, vinculación con las funciones de negocio, administración de las aplicaciones, administración de los activos de Software y planeación para la implementación de la administración del servicio. Página 87 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones Es práctica usual que se haga uso de ITIL en compañía de algún otro modelo más amplio (como COBIT), con el fin de fortalecer la función de servicio de TI en la que ITIL sin duda, cuenta con una mayor profundidad. 4. NIST [2]. El Instituto Nacional de Normas y Tecnología (NIST por sus siglas en inglés, National Institute of Standards) es una agencia de la Administración de Tecnología del Departamento de Comercio de los Estados Unidos, cuya misión es promover la innovación y la competencia industrial en Estados Unidos mediante avances en mediciones, normas y tecnología de forma que mejoren la estabilidad económica. Unas de las áreas que ha desarrollado el NIST es la de tecnologías de la información, principalmente en el énfasis de la seguridad de la información, creando la serie 800 en el año 1990. La serie 800 del NIST desarrolla una serie de documentos de interés general sobre Seguridad de la Información, y es resultado del esfuerzo de industrias, gobiernos y organizaciones académicas para todos los interesados en la seguridad. La serie 800 presenta alrededor de 131 documentos publicados desde 1995 hasta la fecha. Entre los principales contenidos referidos a la seguridad se tienen: •
Control de Accesos. •
Auditoría y Responsabilidades. •
Concienciación y Formación. •
Certificación, Acreditación y Evaluación de la Seguridad. •
Gestión de configuraciones. •
Planes de Contingencia. •
Identificación y Autenticación. •
Respuesta ante incidentes. •
Mantenimiento. Página 88 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones •
Protección de dispositivos. •
Seguridad del Personal. •
Protección física y medioambiental. •
Planificación. •
Evaluación del Riesgo. •
Protección de Sistemas y Comunicaciones. •
Integridad de Sistemas e Información. •
Adquisición de Servicios y Sistemas. 5. Normas de la Unión Internacional de Telecomunicaciones (UIT) En los trabajos de normalización, la UIT elabora normas técnicas (conocidas como Recomendaciones) que facilitan la utilización de los servicios y sistemas de telecomunicaciones. La UIT desarrolló la serie X, la cual describe las normas sobre redes de datos y comunicación entre sistemas abiertos y seguridad. En el cuadro 4, se muestran las principales recomendaciones de las UIT relacionas al tema de seguridad. Para mayores referencias puede consultar la referencia [2]. Cuadro 4: Principales recomendaciones de la UIT relacionadas a la seguridad de la información. Serie X UIT UIT Serie X. Redes de datos y comunicación entre sistemas abiertos y seguridad. Rangos Descripción Recomendaciones X.1 – X.199 Redes de datos públicas X.200 – X.299 Interconexión de sistemas abiertos UIT-­‐ X.300 – X.399 Interoperación entre redes UIT-­‐ X.400 – X.499 Sistemas de tratamiento de mensajes UIT-­‐ X.500 – X.599 Directorio UIT-­‐ X.600 – X.699 Gestión de redes de interconexión de sistemas abiertos y aspectos de sistemas UIT-­‐ X.700 – X.799 Gestión de interconexión de sistemas abiertos UIT-­‐ X.800 – X.849 Seguridad Página 89 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones UIT-­‐ X.850 – X.899 UIT-­‐ X.900 – X.999 UIT-­‐ X.1000 X.1099 UIT-­‐ X.1100 X.1199 UIT-­‐ X.1200 X.1299 UIT-­‐ X.1300 X.1399 UIT-­‐ X.1500 X.1598 Fuente: [2]. Aplicaciones de interconexión de sistemas abiertos Procesamiento distribuido abierto – Información y seguridad de la red – Aplicaciones de seguridad y servicios – Seguridad del ciberespacio – Aplicaciones de seguridad y servicios – Intercambio de información de ciberespacio Página 90 Estado de Seguridad Informática en el sector público costarricense 2011 Rectoría de Telecomunicaciones 7.2 Instituciones Participantes Academia Nacional de Ciencias (ANC) Instituto Costarricense de Ferrocarril (INCOFER) Ministerio de Vivienda Asamblea Legislativa. Instituto Costarricense de Puertos del Pacífico (INCOP) Instituto Costarricense de Turismo (ICT) Procuraduría General de la República (PGR) Poder Judicial Instituto de Desarrollo Agrario (IDA) Instituto de Fomento y Asesoría Municipal (IFAM) Radiográfica Costarricense S.A. Refinadora Costarricense de Petróleo S.A. (RECOPE) Patronato Nacional de Infancia (PANI) Tribunal Supremo de Elecciones (TSE) Autoridad Reguladora de los Servicios Públicos (ARESEP) Banco Central de Costa Rica( BCCR) Banco Crédito Agrícola de Cartago (BCAC) Banco de Costa Rica (BCR) Banco Hipotecario de la Vivienda (BANHVI) Banco Nacional de Costa Rica (BNCR) Banco Popular y de Desarrollo Comunal (BPDC) Caja Costarricense de Seguro Social (CCSS) Compañía Nacional de Fuerza y Luz S.A. (CNFL) Consejo de Seguridad Vial (COSEVI) Consejo de Transporte Público (CTP) Consejo Nacional de Concesiones (CNC) Consejo Nacional de la Persona Adulta Mayor (CONAPAM) Consejo Nacional de la Producción (CNP) Consejo Nacional de Rectores (CONARE) Consejo Nacional de Rehabilitación y Educación Especial (CNREE) Consejo Nacional de Vialidad (CONAVI) Consejo Nacional para Investigaciones Científicas y Tecnológicas (CONICT) Contraloría General de la República (CGR) Defensoría de los Habitantes Dirección General de Aviación Civil (CETAC) Dirección General de Migración y Extranjería (DGME) Dirección General del Archivo Nacional Empresa de Servicios Públicos de Heredia S.A. (ESPH) Instituto Costarricense de Acueductos y Alcantarillados (AyA) Instituto Costarricense de Electricidad (ICE) Instituto Costarricense del Deporte (ICODER) Instituto Costarricense de Pesca y Acuicultura (INCOPESCA) Instituto Mixto de Ayuda Social (IMAS) Instituto Nacional de Aprendizaje (INA) Instituto Nacional de Estadísticas y Censo (INEC) Instituto Nacional de Fomento Cooperativo (INFOCOOP) Instituto Nacional de las Mujeres (INAMU) Instituto Nacional de Seguros (INS) Instituto Nacional de Vivienda y Urbanismo (INVU) Instituto Tecnológico de Costa Rica (ITCR) Junta Administradora de Servicios Eléctricos de Cartago (JASEC) Ministerio de Agricultura y Ganadería Ministerio de Ambiente, Energía Telecomunicaciones ( MINAET) Ministerio de Ciencia Tecnología (MICIT) Instituciones sin respuesta: a.
b.
y c.
Ministerio de Comercio Exterior (COMEX) Ministerio de Cultura y Juventud (MCJ) Ministerio de Economía, Industria y Comercio (MEIC) Ministerio de Educación Pública (MEP) Ministerio de Justicia y Paz Ministerio de Hacienda Ministerio Obras Públicas y Transportes (MOPT) Ministerio de Planificación Nacional y Política Económica (MIDEPLAN) Ministerio de la Presidencia Ministerio de Trabajo y Seguridad Social (MTSS) Ministerio de Relaciones Exteriores y Culto (MREC) Ministerio de Salud Ministerio de Seguridad Pública. (MSP) Secretaría Técnica Nacional Ambiental (SETENA) Sistema Nacional de las Áreas de Conservación (SINAC) Sistema Nacional de Bibliotecas (SINABI) Sistema Nacional de Radio y Televisión S.A. (SINART) Universidad Estatal a Distancia (UNED) Universidad Nacional (UNA) Página 91 Consejo de la Persona Joven (CPJ) Comisión Nacional de Prevención de Riesgos y Atención de Emergencias (CNE) Universidad de Costa Rica (UCR) 
Descargar