Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Seguridad de la informacion

957 views

Published on

  • Login to see the comments

Seguridad de la informacion

  1. 1. SEGURIDAD DE LA INFORMACIÓN
  2. 2. Porqué hablar de la Seguridad de la Información? <ul><li>Porque el negocio se sustenta a partir de la información que maneja..... </li></ul>
  3. 3. <ul><li>Porque no sólo es un tema Tecnológico. </li></ul><ul><li>Porque la institución no cuenta con Políticas de Seguridad de la Información formalmente aceptadas y conocidas por todos. </li></ul>
  4. 4. CULTURA de la seguridad , responsabilidad de TODOS
  5. 5. <ul><li>Porque la seguridad tiene un costo, pero la INSEGURIDAD tiene un costo mayor. </li></ul><ul><li> </li></ul>
  6. 6. Reconocer los activos de información importantes para la institución.. <ul><li>Información propiamente tal : bases de datos, archivos, conocimiento de las personas </li></ul><ul><li>Documentos: contratos, manuales, facturas, pagarés, solicitudes de créditos. </li></ul><ul><li>Software: aplicaciones, sistemas operativos, utilitarios. </li></ul><ul><li>Físicos: equipos, edificios, redes </li></ul><ul><li>Recursos humanos: empleados internos y externos </li></ul><ul><li>Servicios: electricidad, soporte, mantención. </li></ul>
  7. 7. Reconocer las Amenazas a que están expuestos... <ul><li>Amenaza:” evento con el potencial de afectar negativamente la Confidencialidad, Integridad o Disponibilidad de los Activos de Información”. </li></ul><ul><li>Ejemplos: </li></ul><ul><ul><li>Desastres naturales (terremotos, inundaciones) </li></ul></ul><ul><ul><li>Errores humanos </li></ul></ul><ul><ul><li>Fallas de Hardware y/o Software </li></ul></ul><ul><ul><li>Fallas de servicios (electricidad) </li></ul></ul><ul><ul><li>Robo </li></ul></ul>
  8. 8. Reconocer las Vulnerabilidades <ul><li>Vulnerabilidad: “ una debilidad que facilita la materialización de una amenaza” </li></ul><ul><li>Ejemplos: </li></ul><ul><ul><li>Inexistencia de procedimientos de trabajo </li></ul></ul><ul><ul><li>Concentración de funciones en una sola persona </li></ul></ul><ul><ul><li>Infraestructura insuficiente </li></ul></ul>
  9. 9. Principales problemas: <ul><li>No se entienden o no se cuantifican las amenazas de seguridad y las vulnerabilidades. </li></ul><ul><li>No se puede medir la severidad y la probabilidad de los riesgos. </li></ul><ul><li>Se inicia el análisis con una noción preconcebida de que el costo de los controles será excesivo o que la seguridad tecnológica no existe. </li></ul><ul><li>Se cree que la solución de seguridad interferirá con el rendimiento o apariencia del producto o servicio del negocio. </li></ul>
  10. 10. ¿Qué es una Política? <ul><li>Conjunto de orientaciones o directrices que rigen la actuación de una persona o entidad en un asunto o campo determinado. </li></ul>¿Qué es una Política de Seguridad? <ul><li>Conjunto de directrices que permiten resguardar los activos de información . </li></ul>
  11. 11. ¿Cómo debe ser la política de seguridad? <ul><li>Definir la postura del Directorio y de la gerencia con respecto a la necesidad de proteger la información corporativa. </li></ul><ul><li>Rayar la cancha con respecto al uso de los recursos de información. </li></ul><ul><li>Definir la base para la estructura de seguridad de la organización. </li></ul><ul><li>Ser un documento de apoyo a la gestión de seguridad informática. </li></ul><ul><li>Tener larga vigencia , manteniéndose sin grandes cambios en el tiempo. </li></ul>
  12. 12. <ul><li>Ser general , sin comprometerse con tecnologías específicas. </li></ul><ul><li>Debe abarcar toda la organización </li></ul><ul><li>Debe ser clara y evitar confuciones </li></ul><ul><li>No debe generar nuevos problemas </li></ul><ul><li>Debe permitir clasificar la información en confidencial, uso interno o pública. </li></ul><ul><li>Debe identificar claramente funciones específicas de los empleados como : responsables, custodio o usuario , que permitan proteger la información. </li></ul>
  13. 13. Qué debe contener una política de seguridad de la información? <ul><li>Políticas específicas </li></ul><ul><li>Procedimientos </li></ul><ul><li>Estándares o prácticas </li></ul><ul><li>Estructura organizacional </li></ul>
  14. 14. Políticas Específicas <ul><li>Definen en detalle aspectos específicos que regulan el uso de los recursos de información y están más afectas a cambios en el tiempo que la política general. </li></ul><ul><li>Ejemplo: </li></ul><ul><ul><li>Política de uso de Correo Electrónico: </li></ul></ul><ul><ul><ul><li>Definición del tipo de uso aceptado: “El servicio de correo electrónico se proporciona para que los empleados realicen funciones propias del negocio,cualquier uso personal deberá limitarse al mínimo posible” </li></ul></ul></ul><ul><ul><ul><li>Prohibiciones expresas: “ Se prohíbe el envío de mensajes ofensivos”. “ Deberá evitarse el envío de archivos peligrosos” </li></ul></ul></ul><ul><ul><ul><li>Declaración de intención de monitorear su uso: “La empresa podrá monitorear el uso de los correos en caso que se sospeche del mal uso” </li></ul></ul></ul>
  15. 15. Procedimiento <ul><li>Define los pasos para realizar una actividad </li></ul><ul><li>Evita que se aplique criterio personal. </li></ul><ul><li>Ejemplo: </li></ul><ul><ul><li>Procedimiento de Alta de Usuarios: </li></ul></ul><ul><ul><ul><li>1.- Cada vez que se contrate a una persona , su jefe directo debe enviar al Adminsitrador de Privilegios una solicitud formal de creación de cuenta, identificando claramente los sistemas a los cuales tendrá accesos y tipos de privilegios. </li></ul></ul></ul><ul><ul><ul><li>2.-El Administrador de privilegios debe validar que la solicitud formal recibida indique: fecha de ingreso,perfil del usuario, nombre , rut, sección o unidad a la que pertenece. </li></ul></ul></ul><ul><ul><ul><li>3.- El Administrador de privilegios creará la cuenta del usuario a través del Sistema de Administración de privilegios y asignará una clave inicial para que el usuario acceda inicialmente. </li></ul></ul></ul><ul><ul><ul><li>4.- El Administrados de privilegios formalizará la creación de la cuenta al usuario e instruirá sobre su uso. </li></ul></ul></ul>
  16. 16. Estándar <ul><li>En muchos casos depende de la tecnología </li></ul><ul><li>Se debe actualizar periódicamente </li></ul><ul><li>Ejemplo: </li></ul><ul><ul><li>Estándar de Instalación de PC: </li></ul></ul><ul><ul><ul><li>Tipo de máquina: </li></ul></ul></ul><ul><ul><ul><ul><li>Para plataforma de Caja debe utilizarse máquinas Lanix </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Para otras plataformas debe utilizarse máquinas Compaq o HP. </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Procesador Pentium IV , con disco duro de 40 GB y memoria Ram 253 MB </li></ul></ul></ul></ul><ul><ul><ul><li>Registro: </li></ul></ul></ul><ul><ul><ul><ul><li>Cada máquina instalada debe ser registrada en catastro computacional identificando los números de serie de componente y llenar formulario de traslado de activo fijo </li></ul></ul></ul></ul><ul><ul><ul><li>Condiciones electricas: </li></ul></ul></ul><ul><ul><ul><ul><li>Todo equipo computacional debe conectarse a la red electrica computacional y estar provisto de enchufes MAGIC </li></ul></ul></ul></ul>
  17. 17. Que se debe tener en cuenta <ul><li>Objetivo: qué se desea lograr </li></ul><ul><li>Alcance: qué es lo que protegerá y qué áreas serán afectadas </li></ul><ul><li>Definiciones: aclarar terminos utilizados </li></ul><ul><li>Responsabilidades: Qué debe y no debe hacer cada persona </li></ul><ul><li>Revisión: cómo será monitoreado el cumplimiento </li></ul><ul><li>Aplicabilidad: En qué casos será aplicable </li></ul><ul><li>Referencias: documentos complementarios </li></ul><ul><li>Sanciones e incentivos </li></ul>
  18. 18. Políticas de seguridad y Controles <ul><li>Los controles son mecanismos que ayudan a cumplir con lo definido en las políticas </li></ul><ul><li>Si no se tienen políticas claras , no se sabrá qué controlar. </li></ul><ul><li>Orientación de los controles: </li></ul><ul><ul><li>PREVENIR la ocurrencia de una amenaza </li></ul></ul><ul><ul><li>DETECTAR la ocurrencia de una amenaza </li></ul></ul><ul><ul><li>RECUPERAR las condiciones ideales de funcionamiento una vez que se ha producido un evento indeseado. </li></ul></ul>
  19. 19. Ejemplo:Modelo Seguridad Informática (MSI) a partir de políticas de seguridad de la información institucionales <ul><li>Estructura del modelo adoptado: </li></ul><ul><ul><li>Gestión IT (Tecnologías de Información) </li></ul></ul><ul><ul><li>Operaciones IT </li></ul></ul><ul><li>Para cada estructura incorpora documentación asociada como políticas específicas, procedimientos y estándares. </li></ul>
  20. 20. Conclusiones <ul><li>La Información es uno de los activos mas valiosos de la organización </li></ul><ul><li>Las Políticas de seguridad permiten disminuir los riesgos </li></ul><ul><li>Las políticas de seguridad no abordan sólo aspectos tecnológicos </li></ul><ul><li>El compromiso e involucramiento de todos es la premisa básica para que sea real. </li></ul><ul><li>La seguridad es una inversión y no un gasto. </li></ul><ul><li>No existe nada 100% seguro </li></ul><ul><li>Exige evaluación permanente. </li></ul>

×