SEGURIDAD DE LA
INFORMACIÓN
El caso “Bibliotecas”
Andrés Camilo Bustamante – Lantech S.A.
camilo.bustamante@lantech.com.co

Agenda
 Seguridad Informática: Los Riesgos
 ¿Qué hacer?
 ¿Cómo hacerlo?
Duración: 8 minutos

Seguridad de la Información
 ¿Qué es la seguridad de la información?
 Intuitivamente sabemos que se trata de mecanismos para
gestionar los riesgos
 Específicamente se trata de la preservación de la
 Integridad
 Confidencialidad
 Disponibilidad
 Para preservar estos atributos es necesaria una mezcla de
 Políticas organizacionales
 Procedimientos administrativos
 Controles tecnológicos

Riesgos
 ¿Qué pasa si no le damos la importancia
suficiente?
 Aumentamos el riesgo de exponer a nuestros
usuarios y empleados a problemas de:
 Suplantación de identidad
 Robo de información personal
 Uso indiscriminado y fraudulento de
sus datos personales con fines
comerciales

Riesgos
 ¿Qué pasa si no le damos la importancia
suficiente?
 Aumentamos el riesgo de incurrir en la violación
de acuerdos o contratos de licenciamiento de
bases de datos de investigación o de consulta
controlada con consecuencias económicas o
legales

Riesgos
 ¿Qué pasa si no le damos la importancia
suficiente?
 Aumentamos el riesgo de prestar la plataforma
computacional para fines diferentes a los
intereses de la biblioteca, incluso fines poco
éticos o hasta fraudulentos.

Riesgos
 En general se afecta la
reputación de la
institución y sus
consecuencias pueden
ser:
 Legales
 Económicas
 Sociales (credibilidad)

Entonces…
¿Qué hacemos?

Solución
 ¿Qué se puede hacer?
1. Elaborar un inventario de los activos de
información
2. Definir una política de tratamiento de riesgo
3. Establecer un conjunto de políticas de
seguridad
4. Implementar controles tecnológicos
5. Definir procedimientos administrativos para
controlar el riesgo

• Físicos (colecciones físicas)
• Bases de datos
Inventario de • Hardware y Software
Activos
• Minimizar: tomar acciones para disminuir la probabilidad o la consecuencia
• Asumir: aceptar el riesgo cuando se concrete
Tratamiento del • Transferir: un tercero asumirá la responsabilidad de gestionar este riesgo
Riesgo
• Políticas de uso de Internet
• Políticas de Antivius, Email, Firewall, Proxy
Políticas de
• Políticas de cuenta de usuarios
Seguridad • Políticas de backup
• Implementación de DMZ, control de acceso, filtro de contenido
• Administración de plataforma Antivirus
Controles
• Gestión de cuentas de usuario
Tecnológicos • Administración y operación de backup
• Capacitaciones y divulgación
• Auditorias
Procedimientos • Reportes de no conformidades

Entonces…
¿Cómo lo
hacemos?

Solución - Metodología
 Se requieren conocimientos especializados.
Piense en la siguiente estrategia:
 Primera fase - Consultoría: Normas tipo ISO
27000 y COBIT. Consultor para simplificarlas y
extraer lo realmente necesario (riesgos y
controles)
 Segunda Fase – Definición: Especificación de
Políticas y Procedimientos. Esto se hace en
lenguaje del negocio, no necesariamente se usa
lenguaje técnico.
 Tercera Fase – Implementación:
Implementación de soluciones tecnológicas para
aplicar las políticas. Tercerización de la

Algunos detalles…
De políticas y
tecnología

Solución - Políticas
 Defina por lo menos las siguientes políticas: backup,
cuentas de usuario, uso de email, uso de internet y
uso de estaciones de trabajo
 Si no están escritas, las políticas no podrán ser
difundidas
 Revise sus políticas con periodicidad y verifique que
los controles están activados
 Asegúrese de que esté claramente especificada la
consecuencia de la violación de una política.
 Escriba su política de privacidad respecto a la
protección que le brindará a los datos de sus usuarios
y hágala conocer. Sea realista y limite su
responsabilidad razonablemente.

Solución - Tecnología
 Segmente su red en administrativa, pública
(usuarios) y servidores
 Proteja sus servidores con Firewalls perimetrales
 No permita conexiones directas a las bases de
datos. Prefiera aplicaciones Web o de múltiples
capas.
 Mantenga actualizada su plataforma antivirus en
toda la red
 Automatice las tareas de backup
 Utilice políticas de cambio periódico de
contraseñas y complejidad (mínimo de ocho

Solución - Tecnología
Algunas Herramientas de Clase
Mundial
Segmentación Firewall y Servidores de Automatización Directorios de
Antivirus
de la red Seguridad Aplicaciones de Backups Servicios
• Switches capa • ISA Server • Microsoft IIS • ESET NOD32 y • Symantec • Microsoft Active
3 con VLANS • Linux IP Tables • Oracle Smart Security Backup Exec Directory
• 3COM • Astaro ASG Weblogic • Kaspersky • Bacula • OpenLDAP
• CISCO • IBM Business • ntbackup • Novell
• Linksys WebSphere Space Security eDirectory

GRACIAS POR SU TIEMPO
Para cualquier duda, me puede contactar en:
camilo.bustamante@lantech.com.co
www.lantech.com.co
Lantech S.A.
Expertos en Seguridad Informática