DIAGNÓSTICO DE CYBER SECURITY & DATA PRIVACY DE LA SUPERINTENDENCIA NACIONAL DE LOS REGISTROS PÚBLICOS

[pic 1]

DIAGNÓSTICO DE CYBER SECURITY & DATA PRIVACY DE LA SUPERINTENDENCIA NACIONAL DE LOS REGISTROS PÚBLICOS

Trabajo presentado por:

• Callupe Bedon Beeler Wisel
• De Pinho Miranda Cynthia Juscelina
• Díaz Sánchez Sheyla
• Valdizán Guevara Daniel

para el curso de Analítica para la Toma de Decisiones del MBA 137B.

Lima, 18 de setiembre de 2019

DIAGNÓSTICO DE CYBER SECURITY & DATA PRIVACY DE LA SUPERINTENDENCIA NACIONAL DE LOS REGISTROS PÚBLICOS

1. Datos de la Organización

La SUNARP es un organismo descentralizado autónomo del Sector Justicia y ente rector del Sistema Nacional de los Registros Públicos, y tiene entre sus principales funciones y atribuciones el de dictar las políticas y normas técnico - registrales de los registros públicos que integran el Sistema Nacional, planificar y organizar, normar, dirigir, coordinar y supervisar la inscripción y publicidad de actos y contratos en los Registros que conforman el Sistema.

Mediante Ley N° 26366, se crea el Sistema de Nacional de Registros Públicos, y la Superintendencia Nacional de Registros Públicos - SUNARP, y por Resolución Suprema Nº 135-2002-JUS, se aprueba el Estatuto de la SUNARP.

Que, mediante Resolución N° 346-2015-SUNARP/SN, la Superintendencia Nacional de los Registros Públicos, aprobó su Plan Estratégico Institucional para el periodo 2016-2018, en el cual se indica que la visión se desarrolla a nivel del Sector Justicia y Derechos humanos y la misión se define a nivel institucional.

1. Estructura Organizacional[pic 2][pic 3][pic 4]

Mediante el Decreto Supremo N° 012-2013-JUS, del 14 de octubre de 2013, se aprueba el Reglamento de Organización y Funciones de la Superintendencia Nacional de los Registros Públicos, en cuyo artículo 37 y 38, establece las funciones de la Oficina General de Tecnologías de la Información, siendo las siguientes:

1. Funciones de la Oficina General de Tecnologías de la Información

Órgano de apoyo encargado de administrar y proporcionar a la Alta Dirección y demás órganos, el soporte en tecnología informática y de comunicación, indispensables para las actividades técnico-registrales y administrativas de la Entidad. Depende jerárquicamente de la Secretaría General y coordina sus funciones y actividades con los demás órganos de la Sede Central y Zonas Registrales.

Sus funciones principales son:

1. Definir, desarrollar, proponer, mantener y ejecutar el Plan Estratégico de Tecnologías de Información, los planes de respaldo y de contingencia de información.
2. Planificar, proponer y ejecutar la política informática de acuerdo al Plan Estratégico.
3. Elaborar, ejecutar y evaluar el Plan Operativo Informático.
4. Administrar la infraestructura informática y de comunicaciones.
5. Realizar el análisis, diseño, desarrollo implementación y mantenimiento de los sistemas de información.
6. Coordinar las acciones necesarias con las unidades de Tecnologías de la Información de los Órganos Desconcentrados para estandarizar el uso de los sistemas de información.
7. Administrar, normar y supervisar las operaciones de seguridad y respaldo de información. Emitir e implementar normas de seguridad informática.
8. Investigar, evaluar y proponer la aplicación de nuevas tecnologías de información y comunicaciones que permitan mantener una infraestructura tecnológica actualizada.
9. Planificar, proponer, elaborar, ejecutar y supervisar los proyectos con el uso de nuevas tecnologías que permitan incrementar la efectividad de los diferentes procesos automatizados a cargo de la Entidad incluyendo el uso de firmas y certificados digitales.
10. Proponer y ejecutar los lineamientos que se dicten sobre seguridad de la información de la Entidad. Proponer proyectos de resolución y emitir los lineamientos y directivas de su competencia. Las demás que se le sean dadas por las normas sustantivas.

PREGUNTAS:

1. Descubra cómo las políticas de seguridad de su empresa detectan vulnerabilidades y evitan que los piratas informáticos roben información confidencial

La seguridad informática es una de las actividades más importantes de la Oficina General de Tecnologías de la Información de la SUNARP, pues se encarga de trazar las pautas, los procedimientos, métodos y técnicas con el fin de lograr un sistema de información auténtico y confidencial. Protege contra posibles riesgos, amenazas, vulnerabilidades originados por la inadecuada utilización de tecnologías de información.

La SUNARP, ha diseñado políticas de seguridad estableciendo mecanismos de protección, a fin de obstruir todos los medios de acceso que generen amenazas al sistema de la información y orientada en salvaguardar el sistema computacional, aplicando normas, protocolos, herramientas para reducir perjuicios en el software, bases de datos y toda la información de la Entidad, teniendo como objetivos:

1. Conservar la integridad, disponibilidad, confidencialidad, autenticidad y no repudio de la información.
2. Preservar los activos informáticos de la Entidad, como la infraestructura tecnológica (hardware, software), mediante el uso de estrategias apropiadas, la seguridad informática apoya a la empresa en el desarrollo de sus metas, protegiendo los bienes materiales e inmateriales.
3. Proteger los sistemas informáticos para impedir grandes pérdidas de información lo cual influye en el cumplimiento la misión organizacional.  Con esa premisa, realiza pruebas de testeo a la red de datos (Ethical Hacking) mediante un servicio tercerizado, que permita diagnosticar las vulnerabilidades en el control de acceso a los sistemas de la Entidad.  
4. Innovar los protocolos de Seguridad Informática con herramientas tecnológicas de última generación para lograr alcanzar este objetivo.
5. Dar cumplimiento a las leyes y normativa establecida por el Gobierno en cuanto a protección de datos.
6. Generar un plan de prevención y contingencia, en respuesta a diversas situaciones que pudieran generarse con la seguridad de la información.

1. Investiga cómo tu empresa maneja una brecha de seguridad. Qué procesos están en vigor, quién está a cargo, qué acciones se toman.

Mediante la Resolución del Superintendente Nacional de los Registros Públicos    N° 092-2019-SUNARP/SN, de fecha 10ABR2019, se conforma el Comité de Gobierno Digital, a mérito de la Resolución Ministerial N° 119-2018-PCM, a fin de dirigir, evaluar y supervisar el proceso de trasformación digital, gobierno digital y brindar una mejor prestación de servicios públicos a la ciudadanía.  Siendo éste el siguiente:

[pic 5]

[pic 6]

Figura 1: Estructura organizativa de seguridad de la información

Las brechas de seguridad son violaciones de la seguridad de la Entidad, y podrían conllevar la destrucción, pérdida o alteraciones de los datos personales y confidenciales almacenados en la SUNARP.  Es por ello que la Oficina General de Tecnologías de la Información, tiene en cuenta que su principal objetivo es garantizar una mayor privacidad a los datos de los ciudadanos.  

El personal a cargo de manejar las brechas de seguridad, es el siguiente:

Administrador de Servidores, administra y monitorea la infraestructura de los Centros de Datos y los servidores, realiza configuraciones de seguridad y aplicación de actualizaciones del sistema operativo, supervisa el cumplimiento de los procesos de respaldo de información y el cumplimiento de las políticas de seguridad.

Analista de aseguramiento de la información, analiza e implementa actividades de aseguramiento de la calidad en cada fase del ciclo de vida del desarrollo del software, define la estrategia de seguridad informática, supervisa la implementación y ejecución de los controles y políticas de seguridad de la información.

Técnico en Base de Datos, Verifica el cumplimiento de las políticas de respaldo y auditoría de la información contenida en la base de datos.

Técnico en Comunicaciones, Soporte y monitoreo de las redes WAN y LAN, monitoreo y verificación de operatividad de los equipos de comunicación y servidores de validación de acceso a red.    

En caso, la Entidad sufriese una brecha de seguridad disponer subsanarla lo antes posible, y de la manera más eficaz.  Por lo general, éstas aparecen debido a fallas en los sistemas informáticos, incidentes inesperados, o el robo de información por parte de cibercriminales o incluso de los propios trabajadores.  Los pasos para solucionar esta situación son los siguientes:

1. Detección, identificación y clasificación de la brecha de seguridad.
2. Lo primero para solucionar una brecha de seguridad, es identificar la causa que la ha provocado, y para ello analizan tanto las fuentes internas, como las externas.
3. Fuentes internas: revisa las medidas de seguridad llevadas a cabo, para así conocer si se ha producido cualquier tipo de falla en cuanto a la seguridad de los datos.
4. Fuentes externas: habrá que revisar cualquier comunicación con usuarios, proveedores o demás Entidades del Estado.
5. Una vez detectada la causa, identifican si realmente se trata de una brecha de seguridad que afecta a la protección de los datos de los ciudadanos. Si es así, lo siguiente será analizar la peligrosidad de la brecha a través de los siguientes puntos:

• Nivel de daños dentro de la empresa.
• Naturaleza, volumen y categorías de los datos afectados.
• Consecuencias para los individuos afectados.

En función del nivel de peligrosidad, clasifican la brecha de seguridad de la siguiente forma:

• Brecha de confidencialidad: se produce cuando ha habido un acceso no autorizado a la información de la SUNARP.
• Brecha de integridad: cuando se ha alterado la información original de manera perjudicial.
• Brecha de disponibilidad: es la más grave, ya que no permite el acceso a los datos originales. Podría ser temporal o permanente.

1. Determine lo que dice la política de seguridad sobre la remediación. Después de que se haya detectado y neutralizado una violación de la seguridad, qué acciones se toman para remediar el daño incurrido.

La política de seguridad sobre la remediación en la SUNARP, está contemplada en el Protocolo de Registro de eventos, norma ISO 27001 A.12.4.1, que establece que las aplicaciones críticas de la Entidad deben contar con la capacidad de registrar los eventos de seguridad y permitir el monitoreo de accesos indebidos e intrusiones, registrando el usuario, fecha y hora, y última acción realizada.

Para todo sistema que maneje información importante de la SUNARP se debe evaluar la generación de logs que almacenen información sobre actividades de los usuarios, activaciones y desactivaciones de los sistemas, excepciones, alarmas y eventos de seguridad de información, los cuales deben ser guardados durante un periodo definido para asistir futuras investigaciones y para el monitoreo de control de acceso, según la metodología de desarrollo de sistemas

...