1. Marcos Nocete 17/03/2014 mnocete@hotmail.com
CONCIENCIACIÓN
EN MATERIA DE
SEGURIDAD DE LA
INFORMACIÓN
(LOGO)
2. CONCIENCIACIÓN EN SEGURIDAD
DE LA INFORMACIÓN
OBJETIVO: generar un
Ecosistema de Seguridad
Usuarios: del conocimientoal comportamiento
Marcos Nocete 17/03/2014 mnocete@hotmail.com
3. CONCIENCIACIÓN EN SEGURIDAD
DE LA INFORMACIÓN
Los tres aspectos de la seguridad de la
información
Seguridad
lógica y
tecnológica
Seguridad
basada en
las
personas
Seguridad
física
Marcos Nocete 17/03/2014 mnocete@hotmail.com
4. CONCIENCIACIÓN EN SEGURIDAD
DE LA INFORMACIÓN
ISO/IEC 27001:2005
CONCEPTOS BÁSICOS DE UN SISTEMA DE SEGURIDAD DE LA INFORMACIÓN
BAJO 27001
1. Se trata de un enfoque por procesos.
2. Permite:
a) Comprender los requisitos de seguridad.
b) Implementar y operar controles.
c) Supervisar y revisar la eficacia del sistema.
d) Asegurar la mejora continua.
3. Actualmente se basa en el modelo PDCA, pero eso va a cambiar.
4. Se puede integrar con otras ISO (pe. 9001 y 14001).
5. Es un estandar, pero hay otros.
6. Por su naturaleza, no es vulnerable a tecnologías o software concretos.
Marcos Nocete 17/03/2014 mnocete@hotmail.com
5. CONCIENCIACIÓN EN SEGURIDAD
DE LA INFORMACIÓN
ISO/IEC 27001:2005
ESPECIALMENTEIMPORTANTE:Concepto de activo.
Activo: Cualquierbien que tiene valorpara la organización.
Así, se consideranactivos de información o relacionadoscon ella:
- La documentaciónimpresa.
- Los activosfísicos de almacenamientoo procesamiento de información.
- Los intangibles,como la imagen de marca.
- Las personas, por su know-how.
Marcos Nocete 17/03/2014 mnocete@hotmail.com
6. CONCIENCIACIÓN EN SEGURIDAD
DE LA INFORMACIÓN
ISO/IEC 27001:2005
ESPECIALMENTEIMPORTANTE:Concepto de activo.
Activo: Cualquierbien que tiene valorpara la organización.
Así, se consideranactivos de información:
- La documentaciónimpresa.
- Los activosfísicos de almacenamientoo procesamiento de información.
- Los intangibles,como la imagen de marca.
- Las personas, por su know-how.
Marcos Nocete 17/03/2014 mnocete@hotmail.com
7. CONCIENCIACIÓN EN SEGURIDAD
DE LA INFORMACIÓN
ISO/IEC 27001:2005
El objetivo es que la informaciónmantengasus propiedades:
DISPONIBILIDAD: la propiedad debe ser accesible y utilizable por una entidad
autorizada.
CONFIDENCIALIDAD: la información no se pone a disposición o se revela a
entidades o procesos que no están autorizados.
INTEGRIDAD: propiedad de salvaguardarla exactitud y completitud de los
activos.
Comparte objetivoscon la LOPD, que requiere obligatoriamente:
CONFIDENCIALIDAD, INTEGRIDAD,DISPONIBILIDAD.
Marcos Nocete 17/03/2014 mnocete@hotmail.com
8. CONCIENCIACIÓN EN SEGURIDAD
DE LA INFORMACIÓN
ISO/IEC 27001:2005
EVENTO DE SEGURIDAD DE LA INFORMACIÓN: ocurrencia detectada en un estado
de un sistema, servicio o red que indica una posible violación de la política de
seguridad de la información […].
INCIDENTE DE SEGURIDAD DE LA INFORMACIÓN:un único evento o una serie de
eventos de seguridad de la información, inesperados o no deseados, que tienen
una probabilidad significativa, de comprometer las actividades empresariales.
Estas definiciones implican que todo el personal tiene la obligación de estar atento a
cualquier situación que suponga un evento, incluso aunque no sea aparentemente
nuestra competencia.
Marcos Nocete 17/03/2014 mnocete@hotmail.com
9. CONCIENCIACIÓN EN SEGURIDAD
DE LA INFORMACIÓN
27001: objetivos de control
A. 5. Políticade seguridad.
Proporciona indicaciones para la gestión y soporte de la SI de acuerdo con los
requisitos empresariales.
Implica:
a) Que debe existir un Documento de política de Seguridad de la Información y se
debe dar a conocer a los interesados. (ver A.5.1.1).
b) La política de seguridad debe revisarse periódicamente por sin algo en la
organizaciónhubiera cambiado. (A.5.1.2).
La aplicación de este punto supone:
la Dirección de la empresa publicita su compromisocon la SI (luego se trasmite que
debe ser importante).
La revisión y aprobación debe producirse por personas de nivel de
responsabilidad suficiente.
Marcos Nocete 17/03/2014 mnocete@hotmail.com
10. CONCIENCIACIÓN EN SEGURIDAD
DE LA INFORMACIÓN
27001: objetivos de control
A. 6. Aspectos organizativos de la seguridad de la información(II).
Este punto implicapara la organización:
- Que se mantengancontactos con las autoridades competentes (pe. en el cas de
España, la Ley 15/99 obliga a declarar los ficheros a la AEPD) (A.6.1.6.)
- Que se mantengancontactos con grupos de interés especial (pe. foros de
cyberseguridad). (A.6.1.7.)
- Que la SI se revise de forma independiente (A.6.1.8.)
Marcos Nocete 17/03/2014 mnocete@hotmail.com
12. CONCIENCIACIÓN EN SEGURIDAD
DE LA INFORMACIÓN
I. Política de Seguridad
4. La informaciónque maneja la compañía ¿estáclasificada de alguna manera?
Respuesta adecuada: la que demuestre que se conoce la existencia de tres
niveles de criticidad o sus equivalencias según la LOPD.
Respuestas inadecuadas: Las que impliquen desconocimiento de la
existencia y especial protección de la información crítica.
Marcos Nocete 17/03/2014 mnocete@hotmail.com
13. CONCIENCIACIÓN EN SEGURIDAD
DE LA INFORMACIÓN
II. Acceso físico
a las Instalaciones
Marcos Nocete 17/03/2014 mnocete@hotmail.com
14. CONCIENCIACIÓN EN SEGURIDAD
DE LA INFORMACIÓN
II. Acceso físico a las Instalaciones
5. ¿Quiénes disponen de tarjeta de acceso?
Respuesta adecuada: todo el personal con acceso habitual a las
instalaciones de la empresa debe tener su tarjeta de acceso
personal. Para las visitas existe la posibilidad de tarjetas temporales.
Respuesta inadecuada: desconocer que todo el mundo dentro del
edificio debe contar con tarjeta.
6. Le has prestado alguna vez tu tarjeta a algún compañero?
Respuesta adecuada: No, podría ser un problema de seguridad.
Respuesta inadecuada: sí; a veces; una vez lo hice (o cualquiera de sus
variantes).
7. ¿A quién acudirías si se te estropeara o perdiera la acreditación?
Respuesta adecuada: Acudiría a mi responsable inmediato.
Respuesta inadecuada: excesivas dudas.
Marcos Nocete 17/03/2014 mnocete@hotmail.com
15. CONCIENCIACIÓN EN SEGURIDAD
DE LA INFORMACIÓN
V. Manejo de
Dispositivos Móviles
Marcos Nocete 17/03/2014 mnocete@hotmail.com
16. CONCIENCIACIÓN EN SEGURIDAD
DE LA INFORMACIÓN
V. Manejo de Dispositivos Móviles
27. ¿Dispones de teléfono de empresa?, ¿qué harías en caso de
robo o pérdida?
Respuesta adecuada: mostrar conocimiento del protocolo
de la organización para el caso.
Respuesta inadecuada: desconocimiento del sentido común
anterior.
28. ¿Utilizas tu teléfono personal para tener el correo de la
empresa?, ¿qué harías en caso de robo o pérdida?
Respuesta adecuada (en caso de utilizarlo): ídem que en la
pregunta anterior.
* Muchas organizaciones disponen de protocolos para este caso, el
conocimientode los mismos indica concienciación.
Marcos Nocete 17/03/2014 mnocete@hotmail.com
17. CONCIENCIACIÓN EN SEGURIDAD
DE LA INFORMACIÓN
VII. Uso del correo
electrónico
Marcos Nocete 17/03/2014 mnocete@hotmail.com
18. CONCIENCIACIÓN EN SEGURIDAD
DE LA INFORMACIÓN
VII. Uso del correo electrónico
40. Un correo electrónico ¿se considera vinculante?
Respuesta adecuada: sí, equivale a haber firmado una carta.
Respuesta inadecuada: No. No lo sé. (O similares).
41. ¿Con qué correos debo tener un cuidado especial por motivos de
seguridad, virus, etc.?
Respuesta adecuada: los de remitentes desconocidos, los que estén
escritos de forma extraña en su “asunto”, los que contengan algún
tipo de software o archivo ejecutable, los que vengan en un idioma
que desconozco o no esperado….
Respuestas inadecuadas: No lo sé. (O mostrar desconocimiento de los
casos anteriores).
20. CONCIENCIACIÓN EN SEGURIDAD
DE LA INFORMACIÓN
IX. Blog y otras RRSS
53. ¿Existe en Oracle alguna indicación sobre el uso de redes sociales o
blogs?
Respuesta adecuada: sí, (indicar la referencia documental de Oracle)
Respuesta inadecuada: No. No lo sé,.. (O mostrar desconocimiento ).
54. ¿Qué es lo que nunca debería publicar en ninguna red social?
Respuesta adecuada: información de la empresa, información de
terceros, cualquier tipo de información confidencial de la empresa,
trabajadores o clientes, opiniones en nombre de la empresa o que
pudieran pasar por tales, contenidos racistas, sexistas, etc. (O respuestas
que incluyan alguna de estas ideas).
Respuesta inadecuada: No lo sé. No se me ocurre,… (O respuestas que
muestran desconocimiento de las normas o desactualización).
Marcos Nocete 17/03/2014 mnocete@hotmail.com
21. CONCIENCIACIÓN EN SEGURIDAD
DE LA INFORMACIÓN
ANÁLISIS DE UN INCIDENTE DE
SEGURIDAD DE LA INFORMACIÓN REAL
El caso Príncipe Guillermo (El País, 21/11/2012 ).
Marcos Nocete 17/03/2014 mnocete@hotmail.com
22. CONCIENCIACIÓN EN SEGURIDAD
DE LA INFORMACIÓN
ANÁLISIS DE UN INCIDENTE DE
SEGURIDAD DE LA INFORMACIÓN REAL
¿Qué tipo de incidente se refleja en la fotografía?
¿Quién o quienes son los responsables?
¿Cuáles son las consecuencias potenciales de este incidente?
¿Nos puede pasar algo parecido en nuestra organización?
Marcos Nocete 17/03/2014 mnocete@hotmail.com