SEGURIDAD DE LA
INFORMACION
Políticas de seguridad
Yessica Gómez G.
Porqué hablar de la Seguridad
de la Información?
♦ Porque el negocio se sustenta a partir de la
información que maneja.....
Entorno
Sistemas de
Información
Estrategia de
negocio
Funciones y procesos de
negocio
ACTIVIDADES DE LA EMPRESA
Planificac...
♦ Porque no sólo es un tema Tecnológico.
♦ Porque la institución no cuenta con
Políticas de Seguridad de la Información
fo...
CULTURA de la seguridad ,
responsabilidad de TODOS
ACTITUD proactiva,
Investigación permanente
♦ Porque la seguridad tiene un costo, pero la
INSEGURIDAD tiene un costo mayor.
“Ninguna medicina es útil a menos que
el p...
Reconocer los activos de
información importantes para la
institución..
♦ Información propiamente tal : bases de datos,
arc...
Reconocer las Amenazas a que
están expuestos...
♦ Amenaza:” evento con el potencial de afectar
negativamente la Confidenci...
Reconocer las Vulnerabilidades
♦ Vulnerabilidad: “ una debilidad que facilita
la materialización de una amenaza”
♦ Ejemplo...
Identificación de Riesgos
♦ Riesgo: “ La posibilidad de que una
amenaza en particular explote una
vulnerabilidad y afecte ...
Contexto general de seguridad
PropietariosPropietarios
valoran
Quieren minimizar
SalvaguardasSalvaguardas
definen
Pueden t...
Principales problemas:
♦ No se entienden o no se cuantifican las amenazas
de seguridad y las vulnerabilidades.
♦ No se pue...
Estándares de Seguridad
♦ Normas Internacionales de seguridad
– Proporcionan un conjunto de buenas prácticas en
gestión de...
¿Qué es una Política?
♦ Conjunto de orientaciones o directrices que
rigen la actuación de una persona o entidad
en un asun...
¿Cómo debe ser la política de
seguridad?
♦ Definir la postura del Directorio y de la gerencia
con respecto a la necesidad ...
♦ Ser general , sin comprometerse con tecnologías
específicas.
♦ Debe abarcar toda la organización
♦ Debe ser clara y evit...
Qué debe contener una política
de seguridad de la información?
♦ Políticas específicas
♦ Procedimientos
♦ Estándares o prá...
Políticas Específicas
♦ Definen en detalle aspectos específicos que
regulan el uso de los recursos de información y
están ...
Procedimiento
♦ Define los pasos para realizar una actividad
♦ Evita que se aplique criterio personal.
♦ Ejemplo:
– Proced...
Estándar
♦ En muchos casos depende de la tecnología
♦ Se debe actualizar periódicamente
♦ Ejemplo:
– Estándar de Instalaci...
Que se debe tener en cuenta
♦ Objetivo: qué se desea lograr
♦ Alcance: qué es lo que protegerá y qué áreas serán
afectadas...
Ciclo de vida del Proyecto
♦ Creación
♦ Colaboración
♦ Publicación
♦ Educación
♦ Cumplimiento
Enfoque
Metodológico
Políticas de seguridad y
Controles
♦ Los controles son mecanismos que ayudan a
cumplir con lo definido en las políticas
♦ ...
Ejemplo:Modelo Seguridad
Informática (MSI) a partir de
políticas de seguridad de la
información institucionales
♦ Estructu...
Gestión IT
♦ Objetivo: contar con procedimientos
formales que permitan realizar
adecuadamente la planeación y desarrollo
d...
Operaciones IT
♦ Objetivo: Contar conprocedimientos formales para
asegurar la operación normal de los Sistemas de
Informac...
– Respaldos y recuperación de información:
• Ficha de servidores
• Política Respaldos: diarios,semanales,mensuales,
histór...
– Seguridad de Networking:
• Características y topología de la Red
• Estandarización de componentes de red
• Seguridad fís...
– Traspaso de aplicaciones al ambiente de explotación
• Definición de ambientes
• Definición de datos de prueba
• Adminsit...
• Creación y eliminación de usuarios :
– Internet, Correo electrónico
• Administración de privilegios de acceso a sistemas...
Conclusiones
♦ La Información es uno de los activos mas valiosos
de la organización
♦ Las Políticas de seguridad permiten ...
♦ La clave es encontrar el justo equilibrio de
acuerdo al giro de cada negocio que permita
mantener controlado el RIESGO.
Próxima SlideShare
Cargando en…5
×

Seguridad de la informacion

499 visualizaciones

Publicado el

seguridad de la informacion

Publicado en: Tecnología
0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
499
En SlideShare
0
De insertados
0
Número de insertados
2
Acciones
Compartido
0
Descargas
18
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.
  • Porque de acuerdo a los tiempos y eventos actuales se hace necesario crear la CULTURA de la Seguridad de la Información como responsabilidad de todos Porque no es un proyecto de moda , o que se desarrolle de una vez, requiere de actitud proactiva e investigación permanente.
  • Información propiamente tal : bases de datos, archivos, conocimiento de las personas Documentos: contratos, manuales, facturas, pagarés, solicitudes de créditos. Software: aplicaciones, sistemas operativos, utilitarios. Físicos: equipos, edificios, redes Recursos humanos: empleados internos y externos Servicios: electricidad, soporte, mantención.
  • Si bien los estándares nos proporcionan una base importante para llegar a crear un modelo de seguridad , ésta se basa en las políticas de seguridad de la organización , las cuales determinan los procedimientos, los estándares y las herramientas que ayudarán a estas labores. Alcanzar un equilibrio entre los controles y la funcionalidad es clave para mantener la competitividad del negocio . La informática , es el corazón de la organización y la seguridad informática esta dirigida a garantizar los proncipios fundamentales como: confidencialidad y propiedad, disponibilidad y utilidad, integridad y autenticidad, acceso y control, principio de no repudiación y auditoría
  • Tipos de activos de Información: Información propiamente tal : bases de datos, archivos, conocimiento de las personas Documentos: contratos, manuales, facturas, pagarés, solicitudes de créditos. Software: aplicaciones, sistemas operativos, utilitarios. Físicos: equipos, edificios, redes Recursos humanos: empleados internos y externos Servicios: electricidad, soporte, mantención.
  • Seguridad de la informacion

    1. 1. SEGURIDAD DE LA INFORMACION Políticas de seguridad Yessica Gómez G.
    2. 2. Porqué hablar de la Seguridad de la Información? ♦ Porque el negocio se sustenta a partir de la información que maneja.....
    3. 3. Entorno Sistemas de Información Estrategia de negocio Funciones y procesos de negocio ACTIVIDADES DE LA EMPRESA Planificación de Objetivos Diseño y ejecución de acciones para conseguir objetivo Control (de resultados de acciones contra objetivos) Registro de transacciones Transacciones ORGANIZACION
    4. 4. ♦ Porque no sólo es un tema Tecnológico. ♦ Porque la institución no cuenta con Políticas de Seguridad de la Información formalmente aceptadas y conocidas por todos.
    5. 5. CULTURA de la seguridad , responsabilidad de TODOS ACTITUD proactiva, Investigación permanente
    6. 6. ♦ Porque la seguridad tiene un costo, pero la INSEGURIDAD tiene un costo mayor. “Ninguna medicina es útil a menos que el paciente la tome” ¿ Entonces, por donde partir?........
    7. 7. Reconocer los activos de información importantes para la institución.. ♦ Información propiamente tal : bases de datos, archivos, conocimiento de las personas ♦ Documentos: contratos, manuales, facturas, pagarés, solicitudes de créditos. ♦ Software: aplicaciones, sistemas operativos, utilitarios. ♦ Físicos: equipos, edificios, redes ♦ Recursos humanos: empleados internos y externos ♦ Servicios: electricidad, soporte, mantención.
    8. 8. Reconocer las Amenazas a que están expuestos... ♦ Amenaza:” evento con el potencial de afectar negativamente la Confidencialidad, Integridad o Disponibilidad de los Activos de Información”. ♦ Ejemplos: – Desastres naturales (terremotos, inundaciones) – Errores humanos – Fallas de Hardware y/o Software – Fallas de servicios (electricidad) – Robo
    9. 9. Reconocer las Vulnerabilidades ♦ Vulnerabilidad: “ una debilidad que facilita la materialización de una amenaza” ♦ Ejemplos: – Inexistencia de procedimientos de trabajo – Concentración de funciones en una sola persona – Infraestructura insuficiente
    10. 10. Identificación de Riesgos ♦ Riesgo: “ La posibilidad de que una amenaza en particular explote una vulnerabilidad y afecte un activo” ♦ Que debe analizarse? – El impacto (leve ,moderado,grave) – La probabilidad (baja, media, alta)
    11. 11. Contexto general de seguridad PropietariosPropietarios valoran Quieren minimizar SalvaguardasSalvaguardas definen Pueden tener conciencia de Amenaza s explotan Vulnerabili dades Vulnerabili dades Permiten o facilitan DañoDaño RECURSOSRECURSOSQue pueden tener Reducen RIESGORIESGO
    12. 12. Principales problemas: ♦ No se entienden o no se cuantifican las amenazas de seguridad y las vulnerabilidades. ♦ No se puede medir la severidad y la probabilidad de los riesgos. ♦ Se inicia el análisis con una noción preconcebida de que el costo de los controles será excesivo o que la seguridad tecnológica no existe. ♦ Se cree que la solución de seguridad interferirá con el rendimiento o apariencia del producto o servicio del negocio.
    13. 13. Estándares de Seguridad ♦ Normas Internacionales de seguridad – Proporcionan un conjunto de buenas prácticas en gestión de seguridad de la información: – Ejemplos ISO/IEC 17799,COBIT,ISO 15408 ♦ Se ha homologado a la realidad Chilena NCh2777 la ISO 17799 que tiene la bondad de ser transversal a las organizaciones , abarcando la seguridad como un problema integral y no meramente técnico. ♦ Ley 19.233 sobre delitos informáticos. ♦ Ley 19.628 sobre protección de los datos personales. ♦ Ley 19.799 sobre firma electrónica
    14. 14. ¿Qué es una Política? ♦ Conjunto de orientaciones o directrices que rigen la actuación de una persona o entidad en un asunto o campo determinado. ¿Qué es una Política de Seguridad? ♦Conjunto de directrices que permiten resguardar los activos de información .
    15. 15. ¿Cómo debe ser la política de seguridad? ♦ Definir la postura del Directorio y de la gerencia con respecto a la necesidad de proteger la información corporativa. ♦ Rayar la cancha con respecto al uso de los recursos de información. ♦ Definir la base para la estructura de seguridad de la organización. ♦ Ser un documento de apoyo a la gestión de seguridad informática. ♦ Tener larga vigencia , manteniéndose sin grandes cambios en el tiempo.
    16. 16. ♦ Ser general , sin comprometerse con tecnologías específicas. ♦ Debe abarcar toda la organización ♦ Debe ser clara y evitar confuciones ♦ No debe generar nuevos problemas ♦ Debe permitir clasificar la información en confidencial, uso interno o pública. ♦ Debe identificar claramente funciones específicas de los empleados como : responsables, custodio o usuario , que permitan proteger la información.
    17. 17. Qué debe contener una política de seguridad de la información? ♦ Políticas específicas ♦ Procedimientos ♦ Estándares o prácticas ♦ Estructura organizacional
    18. 18. Políticas Específicas ♦ Definen en detalle aspectos específicos que regulan el uso de los recursos de información y están más afectas a cambios en el tiempo que la política general. ♦ Ejemplo: – Política de uso de Correo Electrónico: • Definición del tipo de uso aceptado: “El servicio de correo electrónico se proporciona para que los empleados realicen funciones propias del negocio,cualquier uso personal deberá limitarse al mínimo posible” • Prohibiciones expresas: “ Se prohíbe el envío de mensajes ofensivos”. “ Deberá evitarse el envío de archivos peligrosos” • Declaración de intención de monitorear su uso: “La empresa podrá monitorear el uso de los correos en caso que se sospeche del mal uso”
    19. 19. Procedimiento ♦ Define los pasos para realizar una actividad ♦ Evita que se aplique criterio personal. ♦ Ejemplo: – Procedimiento de Alta de Usuarios: • 1.- Cada vez que se contrate a una persona , su jefe directo debe enviar al Adminsitrador de Privilegios una solicitud formal de creación de cuenta, identificando claramente los sistemas a los cuales tendrá accesos y tipos de privilegios. • 2.-El Administrador de privilegios debe validar que la solicitud formal recibida indique: fecha de ingreso,perfil del usuario, nombre , rut, sección o unidad a la que pertenece. • 3.- El Administrador de privilegios creará la cuenta del usuario a través del Sistema de Administración de privilegios y asignará una clave inicial para que el usuario acceda inicialmente. • 4.- El Administrados de privilegios formalizará la creación de la cuenta al usuario e instruirá sobre su uso.
    20. 20. Estándar ♦ En muchos casos depende de la tecnología ♦ Se debe actualizar periódicamente ♦ Ejemplo: – Estándar de Instalación de PC: • Tipo de máquina: – Para plataforma de Caja debe utilizarse máquinas Lanix – Para otras plataformas debe utilizarse máquinas Compaq o HP. – Procesador Pentium IV , con disco duro de 40 GB y memoria Ram 253 MB • Registro: – Cada máquina instalada debe ser registrada en catastro computacional identificando los números de serie de componente y llenar formulario de traslado de activo fijo • Condiciones electricas: – Todo equipo computacional debe conectarse a la red electrica computacional y estar provisto de enchufes MAGIC
    21. 21. Que se debe tener en cuenta ♦ Objetivo: qué se desea lograr ♦ Alcance: qué es lo que protegerá y qué áreas serán afectadas ♦ Definiciones: aclarar terminos utilizados ♦ Responsabilidades: Qué debe y no debe hacer cada persona ♦ Revisión: cómo será monitoreado el cumplimiento ♦ Aplicabilidad: En qué casos será aplicable ♦ Referencias: documentos complementarios ♦ Sanciones e incentivos
    22. 22. Ciclo de vida del Proyecto ♦ Creación ♦ Colaboración ♦ Publicación ♦ Educación ♦ Cumplimiento Enfoque Metodológico
    23. 23. Políticas de seguridad y Controles ♦ Los controles son mecanismos que ayudan a cumplir con lo definido en las políticas ♦ Si no se tienen políticas claras , no se sabrá qué controlar. ♦ Orientación de los controles: – PREVENIR la ocurrencia de una amenaza – DETECTAR la ocurrencia de una amenaza – RECUPERAR las condiciones ideales de funcionamiento una vez que se ha producido un evento indeseado.
    24. 24. Ejemplo:Modelo Seguridad Informática (MSI) a partir de políticas de seguridad de la información institucionales ♦ Estructura del modelo adoptado: – Gestión IT (Tecnologías de Información) – Operaciones IT ♦ Para cada estructura incorpora documentación asociada como políticas específicas, procedimientos y estándares.
    25. 25. Gestión IT ♦ Objetivo: contar con procedimientos formales que permitan realizar adecuadamente la planeación y desarrollo del plan informático. ♦ Contiene: – Objetivo y estrategia institucional – Plan Informático y comité informática – Metodología de Desarrollo y Mantención
    26. 26. Operaciones IT ♦ Objetivo: Contar conprocedimientos formales para asegurar la operación normal de los Sistemas de Información y uso de recursos tecnológicos que sustentan la operación del negocio. ♦ Contiene: – Seguridad Física sala servidores • Control de acceso a la sala • Alarmas y extinción de incendios • Aire acondicionado y control de temperaturas • UPS • Piso y red electrica • Contratos de mantención • Contratos proveedores de servicios
    27. 27. – Respaldos y recuperación de información: • Ficha de servidores • Política Respaldos: diarios,semanales,mensuales, históricos – Bases de datos, correo electrónico, datos de usuarios, softawre de aplicaciones, sistemas operativos. • Administración Cintoteca: – Rotulación – Custodia – Requerimientos, rotación y caduciddad de cintas. – Administración de licencias de software y programas
    28. 28. – Seguridad de Networking: • Características y topología de la Red • Estandarización de componentes de red • Seguridad física de sites de comunicaciones • Seguridad y respaldo de enlaces • Seguridad y control de accesos de equipos de comunicaciones • Plan de direcciones IP • Control de seguridad WEB – Control y políticas de adminsitración de Antivirus • Configuración • Actualización • Reportes
    29. 29. – Traspaso de aplicaciones al ambiente de explotación • Definición de ambientes • Definición de datos de prueba • Adminsitración de versiones de sistema de aplicaciones • Programas fuentes • Programas ejecutables • Compilación de programas • Testing: – Responsables y encargados de pruebas – Pruebas de funcionalidad – Pruebas de integridad • Instalación de aplicaciones • Asignación de responsabilidades de harware y software para usuarios
    30. 30. • Creación y eliminación de usuarios : – Internet, Correo electrónico • Administración de privilegios de acceso a sistemas • Administración y rotación de password: – Caducidad de password – Definición de tipo y largo de password – Password de red , sistemas – Password protectores de pantalla, arranque PC – Fechas y tiempos de caducidad de usuarios • Controles de uso de espacio en disco en serviodres – Adquisición y administración equipamiento usuarios: • Política de adquisiciones • Catastro computacional • Contrato proveedores equipamiento
    31. 31. Conclusiones ♦ La Información es uno de los activos mas valiosos de la organización ♦ Las Políticas de seguridad permiten disminuir los riesgos ♦ Las políticas de seguridad no abordan sólo aspectos tecnológicos ♦ El compromiso e involucramiento de todos es la premisa básica para que sea real. ♦ La seguridad es una inversión y no un gasto. ♦ No existe nada 100% seguro ♦ Exige evaluación permanente.
    32. 32. ♦ La clave es encontrar el justo equilibrio de acuerdo al giro de cada negocio que permita mantener controlado el RIESGO.

    ×