2. Porqué hablar de la Seguridad
de la Información?
♦ Porque el negocio se sustenta a partir de la
información que maneja.....
3. Entorno
Sistemas de
Información
Estrategia de
negocio
Funciones y procesos de
negocio
ACTIVIDADES DE LA EMPRESA
Planificación de
Objetivos
Diseño y ejecución de
acciones para conseguir
objetivo
Control (de resultados de
acciones contra objetivos)
Registro de
transacciones
Transacciones
ORGANIZACION
4. ♦ Porque no sólo es un tema Tecnológico.
♦ Porque la institución no cuenta con
Políticas de Seguridad de la Información
formalmente aceptadas y conocidas por
todos.
5. CULTURA de la seguridad ,
responsabilidad de TODOS
ACTITUD proactiva,
Investigación permanente
6. ♦ Porque la seguridad tiene un costo, pero la
INSEGURIDAD tiene un costo mayor.
“Ninguna medicina es útil a menos que
el paciente la tome”
¿ Entonces, por donde partir?........
7. Reconocer los activos de
información importantes para la
institución..
♦ Información propiamente tal : bases de datos,
archivos, conocimiento de las personas
♦ Documentos: contratos, manuales, facturas,
pagarés, solicitudes de créditos.
♦ Software: aplicaciones, sistemas operativos,
utilitarios.
♦ Físicos: equipos, edificios, redes
♦ Recursos humanos: empleados internos y externos
♦ Servicios: electricidad, soporte, mantención.
8. Reconocer las Amenazas a que
están expuestos...
♦ Amenaza:” evento con el potencial de afectar
negativamente la Confidencialidad, Integridad o
Disponibilidad de los Activos de Información”.
♦ Ejemplos:
– Desastres naturales (terremotos, inundaciones)
– Errores humanos
– Fallas de Hardware y/o Software
– Fallas de servicios (electricidad)
– Robo
9. Reconocer las Vulnerabilidades
♦ Vulnerabilidad: “ una debilidad que facilita
la materialización de una amenaza”
♦ Ejemplos:
– Inexistencia de procedimientos de trabajo
– Concentración de funciones en una sola persona
– Infraestructura insuficiente
10. Identificación de Riesgos
♦ Riesgo: “ La posibilidad de que una
amenaza en particular explote una
vulnerabilidad y afecte un activo”
♦ Que debe analizarse?
– El impacto (leve ,moderado,grave)
– La probabilidad (baja, media, alta)
11. Contexto general de seguridad
PropietariosPropietarios
valoran
Quieren minimizar
SalvaguardasSalvaguardas
definen
Pueden tener
conciencia de
Amenaza
s
explotan
Vulnerabili
dades
Vulnerabili
dades
Permiten o
facilitan
DañoDaño
RECURSOSRECURSOSQue pueden
tener
Reducen
RIESGORIESGO
12. Principales problemas:
♦ No se entienden o no se cuantifican las amenazas
de seguridad y las vulnerabilidades.
♦ No se puede medir la severidad y la probabilidad
de los riesgos.
♦ Se inicia el análisis con una noción preconcebida
de que el costo de los controles será excesivo o
que la seguridad tecnológica no existe.
♦ Se cree que la solución de seguridad interferirá
con el rendimiento o apariencia del producto o
servicio del negocio.
13. Estándares de Seguridad
♦ Normas Internacionales de seguridad
– Proporcionan un conjunto de buenas prácticas en
gestión de seguridad de la información:
– Ejemplos ISO/IEC 17799,COBIT,ISO 15408
♦ Se ha homologado a la realidad Chilena NCh2777
la ISO 17799 que tiene la bondad de ser
transversal a las organizaciones , abarcando la
seguridad como un problema integral y no
meramente técnico.
♦ Ley 19.233 sobre delitos informáticos.
♦ Ley 19.628 sobre protección de los datos
personales.
♦ Ley 19.799 sobre firma electrónica
14. ¿Qué es una Política?
♦ Conjunto de orientaciones o directrices que
rigen la actuación de una persona o entidad
en un asunto o campo determinado.
¿Qué es una Política de
Seguridad?
♦Conjunto de directrices que permiten
resguardar los activos de información .
15. ¿Cómo debe ser la política de
seguridad?
♦ Definir la postura del Directorio y de la gerencia
con respecto a la necesidad de proteger la
información corporativa.
♦ Rayar la cancha con respecto al uso de los
recursos de información.
♦ Definir la base para la estructura de seguridad de
la organización.
♦ Ser un documento de apoyo a la gestión de
seguridad informática.
♦ Tener larga vigencia , manteniéndose sin grandes
cambios en el tiempo.
16. ♦ Ser general , sin comprometerse con tecnologías
específicas.
♦ Debe abarcar toda la organización
♦ Debe ser clara y evitar confuciones
♦ No debe generar nuevos problemas
♦ Debe permitir clasificar la información en
confidencial, uso interno o pública.
♦ Debe identificar claramente funciones específicas
de los empleados como : responsables, custodio o
usuario , que permitan proteger la información.
17. Qué debe contener una política
de seguridad de la información?
♦ Políticas específicas
♦ Procedimientos
♦ Estándares o prácticas
♦ Estructura organizacional
18. Políticas Específicas
♦ Definen en detalle aspectos específicos que
regulan el uso de los recursos de información y
están más afectas a cambios en el tiempo que la
política general.
♦ Ejemplo:
– Política de uso de Correo Electrónico:
• Definición del tipo de uso aceptado: “El servicio de correo
electrónico se proporciona para que los empleados realicen
funciones propias del negocio,cualquier uso personal deberá
limitarse al mínimo posible”
• Prohibiciones expresas: “ Se prohíbe el envío de mensajes
ofensivos”. “ Deberá evitarse el envío de archivos peligrosos”
• Declaración de intención de monitorear su uso: “La empresa
podrá monitorear el uso de los correos en caso que se sospeche
del mal uso”
19. Procedimiento
♦ Define los pasos para realizar una actividad
♦ Evita que se aplique criterio personal.
♦ Ejemplo:
– Procedimiento de Alta de Usuarios:
• 1.- Cada vez que se contrate a una persona , su jefe directo
debe enviar al Adminsitrador de Privilegios una solicitud
formal de creación de cuenta, identificando claramente los
sistemas a los cuales tendrá accesos y tipos de privilegios.
• 2.-El Administrador de privilegios debe validar que la solicitud
formal recibida indique: fecha de ingreso,perfil del usuario,
nombre , rut, sección o unidad a la que pertenece.
• 3.- El Administrador de privilegios creará la cuenta del usuario
a través del Sistema de Administración de privilegios y
asignará una clave inicial para que el usuario acceda
inicialmente.
• 4.- El Administrados de privilegios formalizará la creación de
la cuenta al usuario e instruirá sobre su uso.
20. Estándar
♦ En muchos casos depende de la tecnología
♦ Se debe actualizar periódicamente
♦ Ejemplo:
– Estándar de Instalación de PC:
• Tipo de máquina:
– Para plataforma de Caja debe utilizarse máquinas Lanix
– Para otras plataformas debe utilizarse máquinas Compaq o HP.
– Procesador Pentium IV , con disco duro de 40 GB y memoria
Ram 253 MB
• Registro:
– Cada máquina instalada debe ser registrada en catastro
computacional identificando los números de serie de
componente y llenar formulario de traslado de activo fijo
• Condiciones electricas:
– Todo equipo computacional debe conectarse a la red electrica
computacional y estar provisto de enchufes MAGIC
21. Que se debe tener en cuenta
♦ Objetivo: qué se desea lograr
♦ Alcance: qué es lo que protegerá y qué áreas serán
afectadas
♦ Definiciones: aclarar terminos utilizados
♦ Responsabilidades: Qué debe y no debe hacer
cada persona
♦ Revisión: cómo será monitoreado el cumplimiento
♦ Aplicabilidad: En qué casos será aplicable
♦ Referencias: documentos complementarios
♦ Sanciones e incentivos
22. Ciclo de vida del Proyecto
♦ Creación
♦ Colaboración
♦ Publicación
♦ Educación
♦ Cumplimiento
Enfoque
Metodológico
23. Políticas de seguridad y
Controles
♦ Los controles son mecanismos que ayudan a
cumplir con lo definido en las políticas
♦ Si no se tienen políticas claras , no se sabrá qué
controlar.
♦ Orientación de los controles:
– PREVENIR la ocurrencia de una amenaza
– DETECTAR la ocurrencia de una amenaza
– RECUPERAR las condiciones ideales de
funcionamiento una vez que se ha producido un evento
indeseado.
24. Ejemplo:Modelo Seguridad
Informática (MSI) a partir de
políticas de seguridad de la
información institucionales
♦ Estructura del modelo adoptado:
– Gestión IT (Tecnologías de Información)
– Operaciones IT
♦ Para cada estructura incorpora
documentación asociada como políticas
específicas, procedimientos y estándares.
25. Gestión IT
♦ Objetivo: contar con procedimientos
formales que permitan realizar
adecuadamente la planeación y desarrollo
del plan informático.
♦ Contiene:
– Objetivo y estrategia institucional
– Plan Informático y comité informática
– Metodología de Desarrollo y Mantención
26. Operaciones IT
♦ Objetivo: Contar conprocedimientos formales para
asegurar la operación normal de los Sistemas de
Información y uso de recursos tecnológicos que
sustentan la operación del negocio.
♦ Contiene:
– Seguridad Física sala servidores
• Control de acceso a la sala
• Alarmas y extinción de incendios
• Aire acondicionado y control de temperaturas
• UPS
• Piso y red electrica
• Contratos de mantención
• Contratos proveedores de servicios
27. – Respaldos y recuperación de información:
• Ficha de servidores
• Política Respaldos: diarios,semanales,mensuales,
históricos
– Bases de datos, correo electrónico, datos de usuarios,
softawre de aplicaciones, sistemas operativos.
• Administración Cintoteca:
– Rotulación
– Custodia
– Requerimientos, rotación y caduciddad de cintas.
– Administración de licencias de software y
programas
28. – Seguridad de Networking:
• Características y topología de la Red
• Estandarización de componentes de red
• Seguridad física de sites de comunicaciones
• Seguridad y respaldo de enlaces
• Seguridad y control de accesos de equipos de comunicaciones
• Plan de direcciones IP
• Control de seguridad WEB
– Control y políticas de adminsitración de Antivirus
• Configuración
• Actualización
• Reportes
29. – Traspaso de aplicaciones al ambiente de explotación
• Definición de ambientes
• Definición de datos de prueba
• Adminsitración de versiones de sistema de aplicaciones
• Programas fuentes
• Programas ejecutables
• Compilación de programas
• Testing:
– Responsables y encargados de pruebas
– Pruebas de funcionalidad
– Pruebas de integridad
• Instalación de aplicaciones
• Asignación de responsabilidades de harware y software para
usuarios
30. • Creación y eliminación de usuarios :
– Internet, Correo electrónico
• Administración de privilegios de acceso a sistemas
• Administración y rotación de password:
– Caducidad de password
– Definición de tipo y largo de password
– Password de red , sistemas
– Password protectores de pantalla, arranque PC
– Fechas y tiempos de caducidad de usuarios
• Controles de uso de espacio en disco en serviodres
– Adquisición y administración equipamiento usuarios:
• Política de adquisiciones
• Catastro computacional
• Contrato proveedores equipamiento
31. Conclusiones
♦ La Información es uno de los activos mas valiosos
de la organización
♦ Las Políticas de seguridad permiten disminuir los
riesgos
♦ Las políticas de seguridad no abordan sólo aspectos
tecnológicos
♦ El compromiso e involucramiento de todos es la
premisa básica para que sea real.
♦ La seguridad es una inversión y no un gasto.
♦ No existe nada 100% seguro
♦ Exige evaluación permanente.
32. ♦ La clave es encontrar el justo equilibrio de
acuerdo al giro de cada negocio que permita
mantener controlado el RIESGO.
Notas del editor
Porque de acuerdo a los tiempos y eventos actuales se hace necesario crear la CULTURA de la Seguridad de la Información como responsabilidad de todos Porque no es un proyecto de moda , o que se desarrolle de una vez, requiere de actitud proactiva e investigación permanente.
Información propiamente tal : bases de datos, archivos, conocimiento de las personas Documentos: contratos, manuales, facturas, pagarés, solicitudes de créditos. Software: aplicaciones, sistemas operativos, utilitarios. Físicos: equipos, edificios, redes Recursos humanos: empleados internos y externos Servicios: electricidad, soporte, mantención.
Si bien los estándares nos proporcionan una base importante para llegar a crear un modelo de seguridad , ésta se basa en las políticas de seguridad de la organización , las cuales determinan los procedimientos, los estándares y las herramientas que ayudarán a estas labores. Alcanzar un equilibrio entre los controles y la funcionalidad es clave para mantener la competitividad del negocio . La informática , es el corazón de la organización y la seguridad informática esta dirigida a garantizar los proncipios fundamentales como: confidencialidad y propiedad, disponibilidad y utilidad, integridad y autenticidad, acceso y control, principio de no repudiación y auditoría
Tipos de activos de Información: Información propiamente tal : bases de datos, archivos, conocimiento de las personas Documentos: contratos, manuales, facturas, pagarés, solicitudes de créditos. Software: aplicaciones, sistemas operativos, utilitarios. Físicos: equipos, edificios, redes Recursos humanos: empleados internos y externos Servicios: electricidad, soporte, mantención.