Este documento presenta los fundamentos de la seguridad de la información. Explica conceptos clave como amenazas, vulnerabilidades, confidencialidad, integridad y disponibilidad. También describe políticas de seguridad de la información, incidentes de seguridad y normas legales vigentes relacionadas con la protección de datos personales, propiedad intelectual y firma digital.
1. Seguridad de la Información
Fundamentos de la Seguridad
de la Información
2. Fundamentos de la Seguridad
de la Información
2
Temario
Amenazas a la Seguridad de la Información
Confidencialidad
Integridad
Disponibilidad
Incidentes de seguridad
Políticas de Seguridad de la Información
Normas vigentes
3. Fundamentos de la Seguridad
de la Información
3
¿Qué se debe Asegurar?
La información debe considerarse
un activo importante con el que
cuentan las Organizaciones
para satisfacer sus objetivos,
razón por la cual, tiene un alto
valor para las mismas y es crítica
para su desempeño y subsistencia.
Por tal motivo, al igual que el resto de los
activos organizacionales, debe asegurarse que
esté debidamente protegida.
4. Fundamentos de la Seguridad
de la Información
4
¿Contra qué se debe proteger la
información?
(destrucción parcial o total por incendio
inundaciones, eventos eléctricos y otros)
como de orden deliberado, tal como fraude,
espionaje, sabotaje, vandalismo, etc.
Las “buenas prácticas” en
Seguridad de la Información,
protegen a ésta contra una
amplia gama de amenazas,
tanto de orden fortuito
5. Fundamentos de la Seguridad
de la Información
5
Vulnerabilidades y Amenazas
Una vulnerabilidad es una debilidad en un
activo.
Una amenaza es una violación potencial de la
seguridad. No es necesario que la violación
ocurra para que la amenaza exista. Las
amenazas “explotan” vulnerabilidades.
6. Fundamentos de la Seguridad
de la Información
6
Amenazas
AMENAZAS
Maliciosas
No
Maliciosas
Internas
Impericia
Humanas
Externas
Incendios
Terremotos
Inundaciones
Naturales
7. Fundamentos de la Seguridad
de la Información
7
¿Qué se debe garantizar?
Se garantiza que la
información es accesible
sólo a aquellas personas
autorizadas.
1. CONFIDENCIALIDAD
8. Fundamentos de la Seguridad
de la Información
8
¿Qué se debe garantizar?
2. INTEGRIDAD
Se salvaguarda la
exactitud y totalidad
de la información
y los métodos de
procesamiento y
transmisión.
9. Fundamentos de la Seguridad
de la Información
9
¿Qué se debe garantizar?
Se garantiza que los
usuarios autorizados
tienen acceso a la
información y a los
recursos relacionados toda vez
que lo requieran.
3. DISPONIBILIDAD
10. Fundamentos de la Seguridad
de la Información
10
Incidente
Un incidente de seguridad,
es un evento adverso que
puede afectar a un sistema
o red de computadoras.
Puede ser causado por una
falla en algún mecanismo de seguridad,
un intento o amenaza (concretada o no)
de romper mecanismos de seguridad, etc.
11. Fundamentos de la Seguridad
de la Información
11
Algunos Incidentes
1 2
43
12. Fundamentos de la Seguridad
de la Información
12
¿Por qué Aumentan las Amenazas?
Mayor dependencia de los Sistemas,
Servicios de Información y de tecnologías
asociadas.
Crecimiento exponencial de las Redes y
Usuarios Interconectados
Profusión de las Bases de Datos en-línea
Inmadurez de las Nuevas Tecnologías
Alta disponibilidad de Herramientas
Automatizadas para Ataques a la Seguridad
Algunas
Causas
13. Fundamentos de la Seguridad
de la Información
13
¿Por qué Aumentan las Amenazas?
Nuevas Técnicas de Ataque Distribuido
(Ej:Denegación de Servicio)
Técnicas de Ingeniería Social
Falta o insuficiencia de capacitación
Rentabilidad de los ataques
Algunas
Causas
14. Fundamentos de la Seguridad
de la Información
14
¿Qué es el riesgo?
Es la probabilidad o posibilidad de que ocurra un
acontecimiento indeseado o se realice una acción
no deseada de modo que afecte negativamente
a la organización, a sus activos y/o a la
consecución de sus fines, objetivos y resultados.
15. Fundamentos de la Seguridad
de la Información
15
Política de seguridad
de la información (PSI)
16. Fundamentos de la Seguridad
de la Información
16
Aumento de los niveles de seguridad en las
organizaciones
La implementación de una “PSI”, le permite a las
Organizaciones cumplir una gestión efectiva de los
recursos de información críticos e instalar y
administrar los mecanismos de protección
adecuados, determinando qué conductas son
permitidas y cuáles no.
Esto redundará en una efectiva reducción de los
niveles de riesgo y de las vulnerabilidades, lo cual, en
definitiva, se traduce en ahorro de tiempo y dinero,
genera mayor confianza y un fortalecimiento de la
imagen institucional.
PSI
17. Fundamentos de la Seguridad
de la Información
17
Planificación de actividades
A través de la actuación de distintos actores las
Organizaciones pueden armar una efectiva planificación
de las actividades a desarrollar, con el objetivo de hacer
más seguros sus sistemas.
Esto es importante pues no sólo asegura que se
abarquen todas las áreas relevantes, si no también
el cumplimiento de los objetivos.
Mejora Continua
La PSI describe, no solamente los aspectos a tener en
cuenta en el proceso del alcance de los objetivos en
materia de Seguridad de la Información, sino también
los criterios de revisión y mejora continua para
mantenerlos.
PSI
18. Fundamentos de la Seguridad
de la Información
18
PSI
Involucramiento
Ud. es muy importante para la organización, y como
tal debe involucrarse en el cumplimiento de la PSI.
Conocimiento
Es necesario que ud. conozca y comprenda la PSI de
su Organización.
19. Fundamentos de la Seguridad
de la Información
19
Leyes y Normas Vigentes
20. Fundamentos de la Seguridad
de la Información
20
La PSI permite alinear los
esfuerzos y recursos
dispuestos en la
organización acorde a las
normativas generales o
particulares que la alcance.
Cumplimiento de Normas
Además existen otras normas respecto al tratamiento
de la información, como por ejemplo la Ley de
Protección de Datos Personales, Ley de Derecho de
Autor, de Firma Digital, etc.
21. Fundamentos de la Seguridad
de la Información
21
DA 669/2004
Todos los organismos de la APN deben contar con:
Una PSI aprobada e implementada.
Un responsable de seguridad informática.
Un comité de seguridad de la información para el
tratamiento de dichos temas.
22. Fundamentos de la Seguridad
de la Información
22
Obligaciones de los funcionarios públicos
Ley 25.164
Observar el deber de fidelidad y guardar la
discreción correspondiente o la reserva absoluta,
en su caso, de todo asunto del servicio que así lo
requiera.
Hacer uso indebido o con fines
particulares del patrimonio estatal.
Protección de la Información
en la APN
23. Fundamentos de la Seguridad
de la Información
23
Obligaciones de los funcionarios públicos
Ley 25.188
Abstenerse de utilizar información adquirida en el
cumplimiento de sus funciones para realizar
actividades no relacionadas con sus tareas
oficiales o de permitir su uso en
beneficio de intereses privados.
Proteger y conservar la propiedad
del Estado y sólo emplear sus
bienes con los fines autorizados.
Prevención de uso no adecuado
de recursos informáticos en la APN
24. Fundamentos de la Seguridad
de la Información
24
Mediante un procedimiento
formal, tomar conocimiento
de los datos a ella referidos
y de su finalidad, que consten
en Registros o Bancos de
Datos Públicos o los Privados
destinados a proveer informes, ...
TODA PERSONA PUEDE ...
Protección de Datos Personales
Constitución Nacional - Art. 43
”
“
25. Fundamentos de la Seguridad
de la Información
25
Dato personal
Toda información relativa a una persona física o
jurídica
Requisitos para el tratamiento de datos personales
Consentimiento libre, expreso e informado del Titular
de los datos
Existen algunas excepciones al consentimiento, tales
como DNI, Nombre, ocupación, domicilio, etc.
Derechos del titular
Controlar el tratamiento de sus datos
personales
Acceder a sus datos personales
contenidos en archivos de terceros
Solicitar supresión, actualización o
corrección de sus datos personales
Protección de Datos Personales
Ley 25.326
26. Fundamentos de la Seguridad
de la Información
26
... Las obras científicas,
literarias y artísticas
comprenden los escritos
de toda naturaleza y
extensión, entre ellos los
programas de computación,
fuente, objeto ...
Ley N° 11.723/25.036
Propiedad Intelectual
”
“
27. Fundamentos de la Seguridad
de la Información
27
¿Qué protege?
Los derechos de autor de los programas de
computación fuente y objeto; las compilaciones de
datos o de otros materiales.
Consecuencias
Los funcionarios públicos únicamente podrán utilizar
material autorizado por el Organismo.
El Organismo solo podrá autorizar el uso
de material conforme los términos y
condiciones de las licencias de uso.
La infracción a estos derechos puede
tener como resultado acciones legales
que podrían derivar en demandas penales.
Ley N11.723/25.036
Propiedad Intelectual
28. Fundamentos de la Seguridad
de la Información
28
Documento Digital
... Representación digital de actos
o hechos con independencia del
soporte utilizado para su fijación,
almacenamiento o archivo ...
Firma Digital
... Resultado de aplicar a un documento digital un
procedimiento matemático que requiere información
de exclusivo conocimiento del firmante
Ley N° 25.506 – Firma Digital
Se reconoce la eficacia jurídica al empleo de la
Firma Digital.