SEGURIDAD DE LA
INFORMACIÓN
El caso “Bibliotecas”


Andrés Camilo Bustamante – Lantech S.A.
camilo.bustamante@lantech.com....
Agenda


   Seguridad Informática: Los Riesgos
   ¿Qué hacer?
   ¿Cómo hacerlo?

               Duración: 8 minutos
Seguridad de la Información
   ¿Qué es la seguridad de la información?
       Intuitivamente sabemos que se trata de mec...
Riesgos

   ¿Qué pasa si no le damos la importancia
    suficiente?
     Aumentamos   el riesgo de exponer a nuestros
  ...
Riesgos
   ¿Qué pasa si no le damos la importancia
    suficiente?
     Aumentamos  el riesgo de incurrir en la violació...
Riesgos
   ¿Qué pasa si no le damos la importancia
    suficiente?
     Aumentamos   el riesgo de prestar la plataforma
...
Riesgos
   En general se afecta la
    reputación    de     la
    institución  y      sus
    consecuencias pueden
    s...
Entonces…

¿Qué hacemos?
Solución
 ¿Qué se puede hacer?
1. Elaborar un inventario de los activos de
   información
2. Definir una política de trat...
• Físicos (colecciones físicas)
                  • Bases de datos
 Inventario de    • Hardware y Software
    Activos



...
Entonces…

¿Cómo lo
hacemos?
Solución - Metodología
   Se requieren conocimientos especializados.
    Piense en la siguiente estrategia:
     Primera...
Algunos detalles…

De políticas y
tecnología
Solución - Políticas
   Defina por lo menos las siguientes políticas: backup,
    cuentas de usuario, uso de email, uso d...
Solución - Tecnología
   Segmente su red en administrativa, pública
    (usuarios) y servidores
   Proteja sus servidore...
Solución - Tecnología


                  Algunas Herramientas de Clase
                             Mundial
 Segmentación...
GRACIAS POR SU TIEMPO


Para cualquier duda, me puede contactar en:
    camilo.bustamante@lantech.com.co
             www....
Próxima SlideShare
Cargando en…5
×

Seguridad de la Informacion

2.037 visualizaciones

Publicado el

Exposición realizada en el marco de Bibliotic 2009.

Autor: Andrés Camilo Bustamante - Tecnoparque Sena

Publicado en: Tecnología
0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
2.037
En SlideShare
0
De insertados
0
Número de insertados
58
Acciones
Compartido
0
Descargas
86
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Seguridad de la Informacion

  1. 1. SEGURIDAD DE LA INFORMACIÓN El caso “Bibliotecas” Andrés Camilo Bustamante – Lantech S.A. camilo.bustamante@lantech.com.co
  2. 2. Agenda  Seguridad Informática: Los Riesgos  ¿Qué hacer?  ¿Cómo hacerlo? Duración: 8 minutos
  3. 3. Seguridad de la Información  ¿Qué es la seguridad de la información?  Intuitivamente sabemos que se trata de mecanismos para gestionar los riesgos  Específicamente se trata de la preservación de la  Integridad  Confidencialidad  Disponibilidad  Para preservar estos atributos es necesaria una mezcla de  Políticas organizacionales  Procedimientos administrativos  Controles tecnológicos
  4. 4. Riesgos  ¿Qué pasa si no le damos la importancia suficiente?  Aumentamos el riesgo de exponer a nuestros usuarios y empleados a problemas de:  Suplantación de identidad  Robo de información personal  Uso indiscriminado y fraudulento de sus datos personales con fines comerciales
  5. 5. Riesgos  ¿Qué pasa si no le damos la importancia suficiente?  Aumentamos el riesgo de incurrir en la violación de acuerdos o contratos de licenciamiento de bases de datos de investigación o de consulta controlada con consecuencias económicas o legales
  6. 6. Riesgos  ¿Qué pasa si no le damos la importancia suficiente?  Aumentamos el riesgo de prestar la plataforma computacional para fines diferentes a los intereses de la biblioteca, incluso fines poco éticos o hasta fraudulentos.
  7. 7. Riesgos  En general se afecta la reputación de la institución y sus consecuencias pueden ser:  Legales  Económicas  Sociales (credibilidad)
  8. 8. Entonces… ¿Qué hacemos?
  9. 9. Solución  ¿Qué se puede hacer? 1. Elaborar un inventario de los activos de información 2. Definir una política de tratamiento de riesgo 3. Establecer un conjunto de políticas de seguridad 4. Implementar controles tecnológicos 5. Definir procedimientos administrativos para controlar el riesgo
  10. 10. • Físicos (colecciones físicas) • Bases de datos Inventario de • Hardware y Software Activos • Minimizar: tomar acciones para disminuir la probabilidad o la consecuencia • Asumir: aceptar el riesgo cuando se concrete Tratamiento del • Transferir: un tercero asumirá la responsabilidad de gestionar este riesgo Riesgo • Políticas de uso de Internet • Políticas de Antivius, Email, Firewall, Proxy Políticas de • Políticas de cuenta de usuarios Seguridad • Políticas de backup • Implementación de DMZ, control de acceso, filtro de contenido • Administración de plataforma Antivirus Controles • Gestión de cuentas de usuario Tecnológicos • Administración y operación de backup • Capacitaciones y divulgación • Auditorias Procedimientos • Reportes de no conformidades
  11. 11. Entonces… ¿Cómo lo hacemos?
  12. 12. Solución - Metodología  Se requieren conocimientos especializados. Piense en la siguiente estrategia:  Primera fase - Consultoría: Normas tipo ISO 27000 y COBIT. Consultor para simplificarlas y extraer lo realmente necesario (riesgos y controles)  Segunda Fase – Definición: Especificación de Políticas y Procedimientos. Esto se hace en lenguaje del negocio, no necesariamente se usa lenguaje técnico.  Tercera Fase – Implementación: Implementación de soluciones tecnológicas para aplicar las políticas. Tercerización de la
  13. 13. Algunos detalles… De políticas y tecnología
  14. 14. Solución - Políticas  Defina por lo menos las siguientes políticas: backup, cuentas de usuario, uso de email, uso de internet y uso de estaciones de trabajo  Si no están escritas, las políticas no podrán ser difundidas  Revise sus políticas con periodicidad y verifique que los controles están activados  Asegúrese de que esté claramente especificada la consecuencia de la violación de una política.  Escriba su política de privacidad respecto a la protección que le brindará a los datos de sus usuarios y hágala conocer. Sea realista y limite su responsabilidad razonablemente.
  15. 15. Solución - Tecnología  Segmente su red en administrativa, pública (usuarios) y servidores  Proteja sus servidores con Firewalls perimetrales  No permita conexiones directas a las bases de datos. Prefiera aplicaciones Web o de múltiples capas.  Mantenga actualizada su plataforma antivirus en toda la red  Automatice las tareas de backup  Utilice políticas de cambio periódico de contraseñas y complejidad (mínimo de ocho
  16. 16. Solución - Tecnología Algunas Herramientas de Clase Mundial Segmentación Firewall y Servidores de Automatización Directorios de Antivirus de la red Seguridad Aplicaciones de Backups Servicios • Switches capa • ISA Server • Microsoft IIS • ESET NOD32 y • Symantec • Microsoft Active 3 con VLANS • Linux IP Tables • Oracle Smart Security Backup Exec Directory • 3COM • Astaro ASG Weblogic • Kaspersky • Bacula • OpenLDAP • CISCO • IBM Business • ntbackup • Novell • Linksys WebSphere Space Security eDirectory
  17. 17. GRACIAS POR SU TIEMPO Para cualquier duda, me puede contactar en: camilo.bustamante@lantech.com.co www.lantech.com.co Lantech S.A. Expertos en Seguridad Informática

×