SEGURIDAD DE LA INFORMACIÓN
Porqué hablar de la Seguridad de la Información? <ul><li>Porque el negocio se sustenta a partir de la información que mane...
<ul><li>Porque no sólo es un tema Tecnológico. </li></ul><ul><li>Porque la institución no cuenta con Políticas de Segurida...
CULTURA de la seguridad , responsabilidad de TODOS
<ul><li>Porque la seguridad tiene un costo, pero la INSEGURIDAD tiene un costo mayor.  </li></ul><ul><li>  </li></ul>
Reconocer los activos de información importantes para la institución.. <ul><li>Información propiamente tal : bases de dato...
Reconocer las Amenazas a que están expuestos... <ul><li>Amenaza:” evento con el potencial de afectar negativamente la Conf...
Reconocer las Vulnerabilidades <ul><li>Vulnerabilidad: “ una debilidad que facilita la materialización de una amenaza” </l...
Principales problemas: <ul><li>No se entienden o no se cuantifican las amenazas de seguridad y las vulnerabilidades. </li>...
¿Qué es una Política? <ul><li>Conjunto de orientaciones o directrices que rigen la actuación de una persona o entidad en u...
¿Cómo debe ser la política de seguridad? <ul><li>Definir la postura del Directorio y de la gerencia con respecto a la nece...
<ul><li>Ser general , sin comprometerse con tecnologías específicas. </li></ul><ul><li>Debe abarcar toda la organización <...
Qué debe contener una política de seguridad de la información? <ul><li>Políticas específicas </li></ul><ul><li>Procedimien...
Políticas Específicas <ul><li>Definen en detalle aspectos específicos que regulan el uso de los recursos de información y ...
Procedimiento <ul><li>Define los pasos para realizar una actividad </li></ul><ul><li>Evita que se aplique criterio persona...
Estándar <ul><li>En muchos casos depende de la tecnología </li></ul><ul><li>Se debe actualizar periódicamente </li></ul><u...
Que se debe tener en cuenta <ul><li>Objetivo: qué se desea lograr </li></ul><ul><li>Alcance: qué es lo que protegerá y qué...
Políticas de seguridad y Controles <ul><li>Los controles son mecanismos que ayudan a cumplir con lo definido en las políti...
Ejemplo:Modelo Seguridad Informática (MSI) a partir de políticas de seguridad de la información institucionales <ul><li>Es...
Conclusiones <ul><li>La Información es uno de los activos mas valiosos de la organización </li></ul><ul><li>Las Políticas ...
Upcoming SlideShare
Loading in …5
×

Seguridad de la informacion

851 views

Published on

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
851
On SlideShare
0
From Embeds
0
Number of Embeds
4
Actions
Shares
0
Downloads
29
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide
  • Porque de acuerdo a los tiempos y eventos actuales se hace necesario crear la CULTURA de la Seguridad de la Información como responsabilidad de todos Porque no es un proyecto de moda , o que se desarrolle de una vez, requiere de actitud proactiva e investigación permanente.
  • Información propiamente tal : bases de datos, archivos, conocimiento de las personas Documentos: contratos, manuales, facturas, pagarés, solicitudes de créditos. Software: aplicaciones, sistemas operativos, utilitarios. Físicos: equipos, edificios, redes Recursos humanos: empleados internos y externos Servicios: electricidad, soporte, mantención.
  • Tipos de activos de Información: Información propiamente tal : bases de datos, archivos, conocimiento de las personas Documentos: contratos, manuales, facturas, pagarés, solicitudes de créditos. Software: aplicaciones, sistemas operativos, utilitarios. Físicos: equipos, edificios, redes Recursos humanos: empleados internos y externos Servicios: electricidad, soporte, mantención.
  • Seguridad de la informacion

    1. 1. SEGURIDAD DE LA INFORMACIÓN
    2. 2. Porqué hablar de la Seguridad de la Información? <ul><li>Porque el negocio se sustenta a partir de la información que maneja..... </li></ul>
    3. 3. <ul><li>Porque no sólo es un tema Tecnológico. </li></ul><ul><li>Porque la institución no cuenta con Políticas de Seguridad de la Información formalmente aceptadas y conocidas por todos. </li></ul>
    4. 4. CULTURA de la seguridad , responsabilidad de TODOS
    5. 5. <ul><li>Porque la seguridad tiene un costo, pero la INSEGURIDAD tiene un costo mayor. </li></ul><ul><li> </li></ul>
    6. 6. Reconocer los activos de información importantes para la institución.. <ul><li>Información propiamente tal : bases de datos, archivos, conocimiento de las personas </li></ul><ul><li>Documentos: contratos, manuales, facturas, pagarés, solicitudes de créditos. </li></ul><ul><li>Software: aplicaciones, sistemas operativos, utilitarios. </li></ul><ul><li>Físicos: equipos, edificios, redes </li></ul><ul><li>Recursos humanos: empleados internos y externos </li></ul><ul><li>Servicios: electricidad, soporte, mantención. </li></ul>
    7. 7. Reconocer las Amenazas a que están expuestos... <ul><li>Amenaza:” evento con el potencial de afectar negativamente la Confidencialidad, Integridad o Disponibilidad de los Activos de Información”. </li></ul><ul><li>Ejemplos: </li></ul><ul><ul><li>Desastres naturales (terremotos, inundaciones) </li></ul></ul><ul><ul><li>Errores humanos </li></ul></ul><ul><ul><li>Fallas de Hardware y/o Software </li></ul></ul><ul><ul><li>Fallas de servicios (electricidad) </li></ul></ul><ul><ul><li>Robo </li></ul></ul>
    8. 8. Reconocer las Vulnerabilidades <ul><li>Vulnerabilidad: “ una debilidad que facilita la materialización de una amenaza” </li></ul><ul><li>Ejemplos: </li></ul><ul><ul><li>Inexistencia de procedimientos de trabajo </li></ul></ul><ul><ul><li>Concentración de funciones en una sola persona </li></ul></ul><ul><ul><li>Infraestructura insuficiente </li></ul></ul>
    9. 9. Principales problemas: <ul><li>No se entienden o no se cuantifican las amenazas de seguridad y las vulnerabilidades. </li></ul><ul><li>No se puede medir la severidad y la probabilidad de los riesgos. </li></ul><ul><li>Se inicia el análisis con una noción preconcebida de que el costo de los controles será excesivo o que la seguridad tecnológica no existe. </li></ul><ul><li>Se cree que la solución de seguridad interferirá con el rendimiento o apariencia del producto o servicio del negocio. </li></ul>
    10. 10. ¿Qué es una Política? <ul><li>Conjunto de orientaciones o directrices que rigen la actuación de una persona o entidad en un asunto o campo determinado. </li></ul>¿Qué es una Política de Seguridad? <ul><li>Conjunto de directrices que permiten resguardar los activos de información . </li></ul>
    11. 11. ¿Cómo debe ser la política de seguridad? <ul><li>Definir la postura del Directorio y de la gerencia con respecto a la necesidad de proteger la información corporativa. </li></ul><ul><li>Rayar la cancha con respecto al uso de los recursos de información. </li></ul><ul><li>Definir la base para la estructura de seguridad de la organización. </li></ul><ul><li>Ser un documento de apoyo a la gestión de seguridad informática. </li></ul><ul><li>Tener larga vigencia , manteniéndose sin grandes cambios en el tiempo. </li></ul>
    12. 12. <ul><li>Ser general , sin comprometerse con tecnologías específicas. </li></ul><ul><li>Debe abarcar toda la organización </li></ul><ul><li>Debe ser clara y evitar confuciones </li></ul><ul><li>No debe generar nuevos problemas </li></ul><ul><li>Debe permitir clasificar la información en confidencial, uso interno o pública. </li></ul><ul><li>Debe identificar claramente funciones específicas de los empleados como : responsables, custodio o usuario , que permitan proteger la información. </li></ul>
    13. 13. Qué debe contener una política de seguridad de la información? <ul><li>Políticas específicas </li></ul><ul><li>Procedimientos </li></ul><ul><li>Estándares o prácticas </li></ul><ul><li>Estructura organizacional </li></ul>
    14. 14. Políticas Específicas <ul><li>Definen en detalle aspectos específicos que regulan el uso de los recursos de información y están más afectas a cambios en el tiempo que la política general. </li></ul><ul><li>Ejemplo: </li></ul><ul><ul><li>Política de uso de Correo Electrónico: </li></ul></ul><ul><ul><ul><li>Definición del tipo de uso aceptado: “El servicio de correo electrónico se proporciona para que los empleados realicen funciones propias del negocio,cualquier uso personal deberá limitarse al mínimo posible” </li></ul></ul></ul><ul><ul><ul><li>Prohibiciones expresas: “ Se prohíbe el envío de mensajes ofensivos”. “ Deberá evitarse el envío de archivos peligrosos” </li></ul></ul></ul><ul><ul><ul><li>Declaración de intención de monitorear su uso: “La empresa podrá monitorear el uso de los correos en caso que se sospeche del mal uso” </li></ul></ul></ul>
    15. 15. Procedimiento <ul><li>Define los pasos para realizar una actividad </li></ul><ul><li>Evita que se aplique criterio personal. </li></ul><ul><li>Ejemplo: </li></ul><ul><ul><li>Procedimiento de Alta de Usuarios: </li></ul></ul><ul><ul><ul><li>1.- Cada vez que se contrate a una persona , su jefe directo debe enviar al Adminsitrador de Privilegios una solicitud formal de creación de cuenta, identificando claramente los sistemas a los cuales tendrá accesos y tipos de privilegios. </li></ul></ul></ul><ul><ul><ul><li>2.-El Administrador de privilegios debe validar que la solicitud formal recibida indique: fecha de ingreso,perfil del usuario, nombre , rut, sección o unidad a la que pertenece. </li></ul></ul></ul><ul><ul><ul><li>3.- El Administrador de privilegios creará la cuenta del usuario a través del Sistema de Administración de privilegios y asignará una clave inicial para que el usuario acceda inicialmente. </li></ul></ul></ul><ul><ul><ul><li>4.- El Administrados de privilegios formalizará la creación de la cuenta al usuario e instruirá sobre su uso. </li></ul></ul></ul>
    16. 16. Estándar <ul><li>En muchos casos depende de la tecnología </li></ul><ul><li>Se debe actualizar periódicamente </li></ul><ul><li>Ejemplo: </li></ul><ul><ul><li>Estándar de Instalación de PC: </li></ul></ul><ul><ul><ul><li>Tipo de máquina: </li></ul></ul></ul><ul><ul><ul><ul><li>Para plataforma de Caja debe utilizarse máquinas Lanix </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Para otras plataformas debe utilizarse máquinas Compaq o HP. </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Procesador Pentium IV , con disco duro de 40 GB y memoria Ram 253 MB </li></ul></ul></ul></ul><ul><ul><ul><li>Registro: </li></ul></ul></ul><ul><ul><ul><ul><li>Cada máquina instalada debe ser registrada en catastro computacional identificando los números de serie de componente y llenar formulario de traslado de activo fijo </li></ul></ul></ul></ul><ul><ul><ul><li>Condiciones electricas: </li></ul></ul></ul><ul><ul><ul><ul><li>Todo equipo computacional debe conectarse a la red electrica computacional y estar provisto de enchufes MAGIC </li></ul></ul></ul></ul>
    17. 17. Que se debe tener en cuenta <ul><li>Objetivo: qué se desea lograr </li></ul><ul><li>Alcance: qué es lo que protegerá y qué áreas serán afectadas </li></ul><ul><li>Definiciones: aclarar terminos utilizados </li></ul><ul><li>Responsabilidades: Qué debe y no debe hacer cada persona </li></ul><ul><li>Revisión: cómo será monitoreado el cumplimiento </li></ul><ul><li>Aplicabilidad: En qué casos será aplicable </li></ul><ul><li>Referencias: documentos complementarios </li></ul><ul><li>Sanciones e incentivos </li></ul>
    18. 18. Políticas de seguridad y Controles <ul><li>Los controles son mecanismos que ayudan a cumplir con lo definido en las políticas </li></ul><ul><li>Si no se tienen políticas claras , no se sabrá qué controlar. </li></ul><ul><li>Orientación de los controles: </li></ul><ul><ul><li>PREVENIR la ocurrencia de una amenaza </li></ul></ul><ul><ul><li>DETECTAR la ocurrencia de una amenaza </li></ul></ul><ul><ul><li>RECUPERAR las condiciones ideales de funcionamiento una vez que se ha producido un evento indeseado. </li></ul></ul>
    19. 19. Ejemplo:Modelo Seguridad Informática (MSI) a partir de políticas de seguridad de la información institucionales <ul><li>Estructura del modelo adoptado: </li></ul><ul><ul><li>Gestión IT (Tecnologías de Información) </li></ul></ul><ul><ul><li>Operaciones IT </li></ul></ul><ul><li>Para cada estructura incorpora documentación asociada como políticas específicas, procedimientos y estándares. </li></ul>
    20. 20. Conclusiones <ul><li>La Información es uno de los activos mas valiosos de la organización </li></ul><ul><li>Las Políticas de seguridad permiten disminuir los riesgos </li></ul><ul><li>Las políticas de seguridad no abordan sólo aspectos tecnológicos </li></ul><ul><li>El compromiso e involucramiento de todos es la premisa básica para que sea real. </li></ul><ul><li>La seguridad es una inversión y no un gasto. </li></ul><ul><li>No existe nada 100% seguro </li></ul><ul><li>Exige evaluación permanente. </li></ul>

    ×