SlideShare una empresa de Scribd logo

Seguridad de la informacion

Descargar como PPT, PDF
Giovanita Caira
Giovanita Caira

seguridad de la informacion

Tecnología
1 de 32
SEGURIDAD DE LA INFORMACION Políticas de seguridad Yessica Gómez G.
Porqué hablar de la Seguridad de la Información? ♦ Porque el negocio se sustenta a partir de la información que maneja.....
Entorno Sistemas de Información Estrategia de negocio Funciones y procesos de negocio ACTIVIDADES DE LA EMPRESA Planificación de Objetivos Diseño y ejecución de acciones para conseguir objetivo Control (de resultados de acciones contra objetivos) Registro de transacciones Transacciones ORGANIZACION
♦ Porque no sólo es un tema Tecnológico. ♦ Porque la institución no cuenta con Políticas de Seguridad de la Información formalmente aceptadas y conocidas por todos.
CULTURA de la seguridad , responsabilidad de TODOS ACTITUD proactiva, Investigación permanente
♦ Porque la seguridad tiene un costo, pero la INSEGURIDAD tiene un costo mayor. “Ninguna medicina es útil a menos que el paciente la tome” ¿ Entonces, por donde partir?........
Reconocer los activos de información importantes para la institución.. ♦ Información propiamente tal : bases de datos, archivos, conocimiento de las personas ♦ Documentos: contratos, manuales, facturas, pagarés, solicitudes de créditos. ♦ Software: aplicaciones, sistemas operativos, utilitarios. ♦ Físicos: equipos, edificios, redes ♦ Recursos humanos: empleados internos y externos ♦ Servicios: electricidad, soporte, mantención.
Reconocer las Amenazas a que están expuestos... ♦ Amenaza:” evento con el potencial de afectar negativamente la Confidencialidad, Integridad o Disponibilidad de los Activos de Información”. ♦ Ejemplos: – Desastres naturales (terremotos, inundaciones) – Errores humanos – Fallas de Hardware y/o Software – Fallas de servicios (electricidad) – Robo
Reconocer las Vulnerabilidades ♦ Vulnerabilidad: “ una debilidad que facilita la materialización de una amenaza” ♦ Ejemplos: – Inexistencia de procedimientos de trabajo – Concentración de funciones en una sola persona – Infraestructura insuficiente
Identificación de Riesgos ♦ Riesgo: “ La posibilidad de que una amenaza en particular explote una vulnerabilidad y afecte un activo” ♦ Que debe analizarse? – El impacto (leve ,moderado,grave) – La probabilidad (baja, media, alta)
Contexto general de seguridad PropietariosPropietarios valoran Quieren minimizar SalvaguardasSalvaguardas definen Pueden tener conciencia de Amenaza s explotan Vulnerabili dades Vulnerabili dades Permiten o facilitan DañoDaño RECURSOSRECURSOSQue pueden tener Reducen RIESGORIESGO
Principales problemas: ♦ No se entienden o no se cuantifican las amenazas de seguridad y las vulnerabilidades. ♦ No se puede medir la severidad y la probabilidad de los riesgos. ♦ Se inicia el análisis con una noción preconcebida de que el costo de los controles será excesivo o que la seguridad tecnológica no existe. ♦ Se cree que la solución de seguridad interferirá con el rendimiento o apariencia del producto o servicio del negocio.
Estándares de Seguridad ♦ Normas Internacionales de seguridad – Proporcionan un conjunto de buenas prácticas en gestión de seguridad de la información: – Ejemplos ISO/IEC 17799,COBIT,ISO 15408 ♦ Se ha homologado a la realidad Chilena NCh2777 la ISO 17799 que tiene la bondad de ser transversal a las organizaciones , abarcando la seguridad como un problema integral y no meramente técnico. ♦ Ley 19.233 sobre delitos informáticos. ♦ Ley 19.628 sobre protección de los datos personales. ♦ Ley 19.799 sobre firma electrónica
¿Qué es una Política? ♦ Conjunto de orientaciones o directrices que rigen la actuación de una persona o entidad en un asunto o campo determinado. ¿Qué es una Política de Seguridad? ♦Conjunto de directrices que permiten resguardar los activos de información .
¿Cómo debe ser la política de seguridad? ♦ Definir la postura del Directorio y de la gerencia con respecto a la necesidad de proteger la información corporativa. ♦ Rayar la cancha con respecto al uso de los recursos de información. ♦ Definir la base para la estructura de seguridad de la organización. ♦ Ser un documento de apoyo a la gestión de seguridad informática. ♦ Tener larga vigencia , manteniéndose sin grandes cambios en el tiempo.
♦ Ser general , sin comprometerse con tecnologías específicas. ♦ Debe abarcar toda la organización ♦ Debe ser clara y evitar confuciones ♦ No debe generar nuevos problemas ♦ Debe permitir clasificar la información en confidencial, uso interno o pública. ♦ Debe identificar claramente funciones específicas de los empleados como : responsables, custodio o usuario , que permitan proteger la información.
Qué debe contener una política de seguridad de la información? ♦ Políticas específicas ♦ Procedimientos ♦ Estándares o prácticas ♦ Estructura organizacional
Políticas Específicas ♦ Definen en detalle aspectos específicos que regulan el uso de los recursos de información y están más afectas a cambios en el tiempo que la política general. ♦ Ejemplo: – Política de uso de Correo Electrónico: • Definición del tipo de uso aceptado: “El servicio de correo electrónico se proporciona para que los empleados realicen funciones propias del negocio,cualquier uso personal deberá limitarse al mínimo posible” • Prohibiciones expresas: “ Se prohíbe el envío de mensajes ofensivos”. “ Deberá evitarse el envío de archivos peligrosos” • Declaración de intención de monitorear su uso: “La empresa podrá monitorear el uso de los correos en caso que se sospeche del mal uso”
Procedimiento ♦ Define los pasos para realizar una actividad ♦ Evita que se aplique criterio personal. ♦ Ejemplo: – Procedimiento de Alta de Usuarios: • 1.- Cada vez que se contrate a una persona , su jefe directo debe enviar al Adminsitrador de Privilegios una solicitud formal de creación de cuenta, identificando claramente los sistemas a los cuales tendrá accesos y tipos de privilegios. • 2.-El Administrador de privilegios debe validar que la solicitud formal recibida indique: fecha de ingreso,perfil del usuario, nombre , rut, sección o unidad a la que pertenece. • 3.- El Administrador de privilegios creará la cuenta del usuario a través del Sistema de Administración de privilegios y asignará una clave inicial para que el usuario acceda inicialmente. • 4.- El Administrados de privilegios formalizará la creación de la cuenta al usuario e instruirá sobre su uso.
Estándar ♦ En muchos casos depende de la tecnología ♦ Se debe actualizar periódicamente ♦ Ejemplo: – Estándar de Instalación de PC: • Tipo de máquina: – Para plataforma de Caja debe utilizarse máquinas Lanix – Para otras plataformas debe utilizarse máquinas Compaq o HP. – Procesador Pentium IV , con disco duro de 40 GB y memoria Ram 253 MB • Registro: – Cada máquina instalada debe ser registrada en catastro computacional identificando los números de serie de componente y llenar formulario de traslado de activo fijo • Condiciones electricas: – Todo equipo computacional debe conectarse a la red electrica computacional y estar provisto de enchufes MAGIC
Que se debe tener en cuenta ♦ Objetivo: qué se desea lograr ♦ Alcance: qué es lo que protegerá y qué áreas serán afectadas ♦ Definiciones: aclarar terminos utilizados ♦ Responsabilidades: Qué debe y no debe hacer cada persona ♦ Revisión: cómo será monitoreado el cumplimiento ♦ Aplicabilidad: En qué casos será aplicable ♦ Referencias: documentos complementarios ♦ Sanciones e incentivos
Ciclo de vida del Proyecto ♦ Creación ♦ Colaboración ♦ Publicación ♦ Educación ♦ Cumplimiento Enfoque Metodológico
Políticas de seguridad y Controles ♦ Los controles son mecanismos que ayudan a cumplir con lo definido en las políticas ♦ Si no se tienen políticas claras , no se sabrá qué controlar. ♦ Orientación de los controles: – PREVENIR la ocurrencia de una amenaza – DETECTAR la ocurrencia de una amenaza – RECUPERAR las condiciones ideales de funcionamiento una vez que se ha producido un evento indeseado.
Ejemplo:Modelo Seguridad Informática (MSI) a partir de políticas de seguridad de la información institucionales ♦ Estructura del modelo adoptado: – Gestión IT (Tecnologías de Información) – Operaciones IT ♦ Para cada estructura incorpora documentación asociada como políticas específicas, procedimientos y estándares.
Gestión IT ♦ Objetivo: contar con procedimientos formales que permitan realizar adecuadamente la planeación y desarrollo del plan informático. ♦ Contiene: – Objetivo y estrategia institucional – Plan Informático y comité informática – Metodología de Desarrollo y Mantención
Operaciones IT ♦ Objetivo: Contar conprocedimientos formales para asegurar la operación normal de los Sistemas de Información y uso de recursos tecnológicos que sustentan la operación del negocio. ♦ Contiene: – Seguridad Física sala servidores • Control de acceso a la sala • Alarmas y extinción de incendios • Aire acondicionado y control de temperaturas • UPS • Piso y red electrica • Contratos de mantención • Contratos proveedores de servicios
– Respaldos y recuperación de información: • Ficha de servidores • Política Respaldos: diarios,semanales,mensuales, históricos – Bases de datos, correo electrónico, datos de usuarios, softawre de aplicaciones, sistemas operativos. • Administración Cintoteca: – Rotulación – Custodia – Requerimientos, rotación y caduciddad de cintas. – Administración de licencias de software y programas
– Seguridad de Networking: • Características y topología de la Red • Estandarización de componentes de red • Seguridad física de sites de comunicaciones • Seguridad y respaldo de enlaces • Seguridad y control de accesos de equipos de comunicaciones • Plan de direcciones IP • Control de seguridad WEB – Control y políticas de adminsitración de Antivirus • Configuración • Actualización • Reportes
– Traspaso de aplicaciones al ambiente de explotación • Definición de ambientes • Definición de datos de prueba • Adminsitración de versiones de sistema de aplicaciones • Programas fuentes • Programas ejecutables • Compilación de programas • Testing: – Responsables y encargados de pruebas – Pruebas de funcionalidad – Pruebas de integridad • Instalación de aplicaciones • Asignación de responsabilidades de harware y software para usuarios
• Creación y eliminación de usuarios : – Internet, Correo electrónico • Administración de privilegios de acceso a sistemas • Administración y rotación de password: – Caducidad de password – Definición de tipo y largo de password – Password de red , sistemas – Password protectores de pantalla, arranque PC – Fechas y tiempos de caducidad de usuarios • Controles de uso de espacio en disco en serviodres – Adquisición y administración equipamiento usuarios: • Política de adquisiciones • Catastro computacional • Contrato proveedores equipamiento
Conclusiones ♦ La Información es uno de los activos mas valiosos de la organización ♦ Las Políticas de seguridad permiten disminuir los riesgos ♦ Las políticas de seguridad no abordan sólo aspectos tecnológicos ♦ El compromiso e involucramiento de todos es la premisa básica para que sea real. ♦ La seguridad es una inversión y no un gasto. ♦ No existe nada 100% seguro ♦ Exige evaluación permanente.
♦ La clave es encontrar el justo equilibrio de acuerdo al giro de cada negocio que permita mantener controlado el RIESGO.

Recomendados

Ciberseguridad en empresas
Ciberseguridad en empresasCiberseguridad en empresas
Ciberseguridad en empresas
Pedro De La Torre Rodríguez
 
Governance of security operation centers
Governance of security operation centersGovernance of security operation centers
Governance of security operation centers
Brencil Kaimba
 
Cyber attacks and IT security management in 2025
Cyber attacks and IT security management in 2025Cyber attacks and IT security management in 2025
Cyber attacks and IT security management in 2025
Radar Cyber Security
 
Introduction To Vulnerability Assessment & Penetration Testing
Introduction To Vulnerability Assessment & Penetration TestingIntroduction To Vulnerability Assessment & Penetration Testing
Introduction To Vulnerability Assessment & Penetration Testing
Raghav Bisht
 
Ciberseguridad
Ciberseguridad Ciberseguridad
Ciberseguridad
UNIVERSIDAD PERUANA DE INVESTIGACIÓN Y NEGOCIOS
 
1 understanding cyber threats
1 understanding cyber threats 1 understanding cyber threats
1 understanding cyber threats
mohamad Hamizi
 
Ciberseguridad
CiberseguridadCiberseguridad
Ciberseguridad
maldonado2411
 
Cyber security
Cyber securityCyber security
Cyber security
Bhavin Shah
 

Recomendados

Ciberseguridad en empresas
Ciberseguridad en empresasCiberseguridad en empresas
Ciberseguridad en empresas
Pedro De La Torre Rodríguez
 
Governance of security operation centers
Governance of security operation centersGovernance of security operation centers
Governance of security operation centers
Brencil Kaimba
 
Cyber attacks and IT security management in 2025
Cyber attacks and IT security management in 2025Cyber attacks and IT security management in 2025
Cyber attacks and IT security management in 2025
Radar Cyber Security
 
Introduction To Vulnerability Assessment & Penetration Testing
Introduction To Vulnerability Assessment & Penetration TestingIntroduction To Vulnerability Assessment & Penetration Testing
Introduction To Vulnerability Assessment & Penetration Testing
Raghav Bisht
 
Ciberseguridad
Ciberseguridad Ciberseguridad
Ciberseguridad
UNIVERSIDAD PERUANA DE INVESTIGACIÓN Y NEGOCIOS
 
1 understanding cyber threats
1 understanding cyber threats 1 understanding cyber threats
1 understanding cyber threats
mohamad Hamizi
 
Ciberseguridad
CiberseguridadCiberseguridad
Ciberseguridad
maldonado2411
 
Cyber security
Cyber securityCyber security
Cyber security
Bhavin Shah
 
6 Steps for Operationalizing Threat Intelligence
6 Steps for Operationalizing Threat Intelligence6 Steps for Operationalizing Threat Intelligence
6 Steps for Operationalizing Threat Intelligence
Sirius
 
Seguridad De La información
Seguridad De La informaciónSeguridad De La información
Seguridad De La información
Liliana Pérez
 
Information security awareness - 101
Information security awareness - 101Information security awareness - 101
Information security awareness - 101
mateenzero
 
SOC: Use cases and are we asking the right questions?
SOC: Use cases and are we asking the right questions?SOC: Use cases and are we asking the right questions?
SOC: Use cases and are we asking the right questions?
Jonathan Sinclair
 
Cyber Threat Intelligence
Cyber Threat IntelligenceCyber Threat Intelligence
Cyber Threat Intelligence
mohamed nasri
 
Ciberseguridad
CiberseguridadCiberseguridad
Ciberseguridad
Marlyns01
 
Cybersecurity Powerpoint Presentation Slides
Cybersecurity Powerpoint Presentation SlidesCybersecurity Powerpoint Presentation Slides
Cybersecurity Powerpoint Presentation Slides
SlideTeam
 
Cyber Security
Cyber SecurityCyber Security
Cyber Security
Ramiro Cid
 
Web security ppt sniper corporation
Web security ppt sniper corporationWeb security ppt sniper corporation
Web security ppt sniper corporation
sharmaakash1881
 
Information Security Awareness Training by Wilfrid Laurier University
Information Security Awareness Training by Wilfrid Laurier UniversityInformation Security Awareness Training by Wilfrid Laurier University
Information Security Awareness Training by Wilfrid Laurier University
Atlantic Training, LLC.
 
Customer information security awareness training
Customer information security awareness trainingCustomer information security awareness training
Customer information security awareness training
AbdalrhmanTHassan
 
IBM Security Software Solutions - Powerpoint
IBM Security Software Solutions - Powerpoint IBM Security Software Solutions - Powerpoint
IBM Security Software Solutions - Powerpoint
Thierry Matusiak
 
Cyber security
Cyber securityCyber security
Cyber security
Shivaani srinivas iyer
 
Ciberseguridad riesgos y prevención
Ciberseguridad riesgos y prevenciónCiberseguridad riesgos y prevención
Ciberseguridad riesgos y prevención
Conrad Iriarte
 
Insider threat
Insider threatInsider threat
Insider threat
ARCON TECHSOLUTIONS
 
Penetration testing
Penetration testingPenetration testing
Penetration testing
Ammar WK
 
Penetration testing & Ethical Hacking
Penetration testing & Ethical HackingPenetration testing & Ethical Hacking
Penetration testing & Ethical Hacking
S.E. CTS CERT-GOV-MD
 
Information Security Awareness, Petronas Marketing Sudan
Information Security Awareness, Petronas Marketing SudanInformation Security Awareness, Petronas Marketing Sudan
Information Security Awareness, Petronas Marketing Sudan
Ahmed Musaad
 
Threat Hunting
Threat HuntingThreat Hunting
Threat Hunting
Splunk
 
Security Strategy and Tactic with Cyber Threat Intelligence (CTI)
Security Strategy and Tactic with Cyber Threat Intelligence (CTI)Security Strategy and Tactic with Cyber Threat Intelligence (CTI)
Security Strategy and Tactic with Cyber Threat Intelligence (CTI)
Priyanka Aash
 
Seguridad informacion
Seguridad informacionSeguridad informacion
Seguridad informacion
Bioga Dixital
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la Informacion
Jessicakatherine
 

Más contenido relacionado

La actualidad más candente

6 Steps for Operationalizing Threat Intelligence
6 Steps for Operationalizing Threat Intelligence6 Steps for Operationalizing Threat Intelligence
6 Steps for Operationalizing Threat Intelligence
Sirius
 
Seguridad De La información
Seguridad De La informaciónSeguridad De La información
Seguridad De La información
Liliana Pérez
 
Cybersecurity Powerpoint Presentation Slides
Cybersecurity Powerpoint Presentation SlidesCybersecurity Powerpoint Presentation Slides
Cybersecurity Powerpoint Presentation Slides
SlideTeam
 
Information Security Awareness Training by Wilfrid Laurier University
Information Security Awareness Training by Wilfrid Laurier UniversityInformation Security Awareness Training by Wilfrid Laurier University
Information Security Awareness Training by Wilfrid Laurier University
Atlantic Training, LLC.
 

La actualidad más candente (20)

6 Steps for Operationalizing Threat Intelligence
6 Steps for Operationalizing Threat Intelligence6 Steps for Operationalizing Threat Intelligence
6 Steps for Operationalizing Threat Intelligence
 
Seguridad De La información
Seguridad De La informaciónSeguridad De La información
Seguridad De La información
 
Information security awareness - 101
Information security awareness - 101Information security awareness - 101
Information security awareness - 101
 
SOC: Use cases and are we asking the right questions?
SOC: Use cases and are we asking the right questions?SOC: Use cases and are we asking the right questions?
SOC: Use cases and are we asking the right questions?
 
Cyber Threat Intelligence
Cyber Threat IntelligenceCyber Threat Intelligence
Cyber Threat Intelligence
 
Ciberseguridad
CiberseguridadCiberseguridad
Ciberseguridad
 
Cybersecurity Powerpoint Presentation Slides
Cybersecurity Powerpoint Presentation SlidesCybersecurity Powerpoint Presentation Slides
Cybersecurity Powerpoint Presentation Slides
 
Cyber Security
Cyber SecurityCyber Security
Cyber Security
 
Web security ppt sniper corporation
Web security ppt sniper corporationWeb security ppt sniper corporation
Web security ppt sniper corporation
 
Information Security Awareness Training by Wilfrid Laurier University
Information Security Awareness Training by Wilfrid Laurier UniversityInformation Security Awareness Training by Wilfrid Laurier University
Information Security Awareness Training by Wilfrid Laurier University
 
Customer information security awareness training
Customer information security awareness trainingCustomer information security awareness training
Customer information security awareness training
 
IBM Security Software Solutions - Powerpoint
IBM Security Software Solutions - Powerpoint IBM Security Software Solutions - Powerpoint
IBM Security Software Solutions - Powerpoint
 
Cyber security
Cyber securityCyber security
Cyber security
 
Ciberseguridad riesgos y prevención
Ciberseguridad riesgos y prevenciónCiberseguridad riesgos y prevención
Ciberseguridad riesgos y prevención
 
Insider threat
Insider threatInsider threat
Insider threat
 
Penetration testing
Penetration testingPenetration testing
Penetration testing
 
Penetration testing & Ethical Hacking
Penetration testing & Ethical HackingPenetration testing & Ethical Hacking
Penetration testing & Ethical Hacking
 
Information Security Awareness, Petronas Marketing Sudan
Information Security Awareness, Petronas Marketing SudanInformation Security Awareness, Petronas Marketing Sudan
Information Security Awareness, Petronas Marketing Sudan
 
Threat Hunting
Threat HuntingThreat Hunting
Threat Hunting
 
Security Strategy and Tactic with Cyber Threat Intelligence (CTI)
Security Strategy and Tactic with Cyber Threat Intelligence (CTI)Security Strategy and Tactic with Cyber Threat Intelligence (CTI)
Security Strategy and Tactic with Cyber Threat Intelligence (CTI)
 

Destacado

Seguridad informacion
Seguridad informacionSeguridad informacion
Seguridad informacion
Bioga Dixital
 
Politicas de seguridad de la informacion
Politicas de seguridad de la informacionPoliticas de seguridad de la informacion
Politicas de seguridad de la informacion
Romario Correa Aguirre
 
Tipos de dependencias funcionales
Tipos de dependencias funcionalesTipos de dependencias funcionales
Tipos de dependencias funcionales
ald32
 
Politicas de seguridad INFORMATICA
Politicas de seguridad INFORMATICAPoliticas de seguridad INFORMATICA
Politicas de seguridad INFORMATICA
erickaoblea1
 
Unidad iii normalizacion
Unidad iii normalizacionUnidad iii normalizacion
Unidad iii normalizacion
Orlando Verdugo
 
SEGURIDAD DE LA INFORMACION
SEGURIDAD DE LA INFORMACIONSEGURIDAD DE LA INFORMACION
SEGURIDAD DE LA INFORMACION
seguridad7p
 

Destacado (20)

Seguridad informacion
Seguridad informacionSeguridad informacion
Seguridad informacion
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la Informacion
 
Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la Informacion
 
UCV CEAP Seguridad de la Informacion
UCV CEAP Seguridad de la InformacionUCV CEAP Seguridad de la Informacion
UCV CEAP Seguridad de la Informacion
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la información
 
BASE DE DATOS SISTEMA MODELO DE GESTION DE DATOS
BASE DE DATOS SISTEMA MODELO DE GESTION DE DATOSBASE DE DATOS SISTEMA MODELO DE GESTION DE DATOS
BASE DE DATOS SISTEMA MODELO DE GESTION DE DATOS
 
Importancia del factor humano en la seguridad informática 2.0
Importancia del factor humano en la seguridad informática 2.0Importancia del factor humano en la seguridad informática 2.0
Importancia del factor humano en la seguridad informática 2.0
 
Base datos normalización une
Base datos normalización uneBase datos normalización une
Base datos normalización une
 
Politicas de seguridad de la informacion
Politicas de seguridad de la informacionPoliticas de seguridad de la informacion
Politicas de seguridad de la informacion
 
Tema 7
Tema 7Tema 7
Tema 7
 
Políticas de seguridad de la información
Políticas de seguridad de la informaciónPolíticas de seguridad de la información
Políticas de seguridad de la información
 
Tipos de dependencias funcionales
Tipos de dependencias funcionalesTipos de dependencias funcionales
Tipos de dependencias funcionales
 
Politicas de seguridad INFORMATICA
Politicas de seguridad INFORMATICAPoliticas de seguridad INFORMATICA
Politicas de seguridad INFORMATICA
 
Normalización de las bases de datos
Normalización de las bases de datosNormalización de las bases de datos
Normalización de las bases de datos
 
Unidad iii normalizacion
Unidad iii normalizacionUnidad iii normalizacion
Unidad iii normalizacion
 
Ai seguridad de_la_informacion
Ai seguridad de_la_informacionAi seguridad de_la_informacion
Ai seguridad de_la_informacion
 
Normalización en Bases de datos
Normalización en Bases de datosNormalización en Bases de datos
Normalización en Bases de datos
 
SEGURIDAD DE LA INFORMACION
SEGURIDAD DE LA INFORMACIONSEGURIDAD DE LA INFORMACION
SEGURIDAD DE LA INFORMACION
 

Similar a Seguridad de la informacion

Seguridaddela informacion
Seguridaddela informacionSeguridaddela informacion
Seguridaddela informacion
hvillas
 
Politicas de sistemas informaticos
Politicas de sistemas informaticosPoliticas de sistemas informaticos
Politicas de sistemas informaticos
dianalloclla
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
ablopz
 
Generando Politicas
Generando Politicas Generando Politicas
Generando Politicas
jgalud
 
Webinario: Cómo Trabajar Con Proveedores Externos En Conformidad Con El RGPD
Webinario: Cómo Trabajar Con Proveedores Externos En Conformidad Con El RGPDWebinario: Cómo Trabajar Con Proveedores Externos En Conformidad Con El RGPD
Webinario: Cómo Trabajar Con Proveedores Externos En Conformidad Con El RGPD
Mailjet
 
Lopd Brochure
Lopd BrochureLopd Brochure
Lopd Brochure
gresteban
 

Similar a Seguridad de la informacion (20)

Seguridaddela informacion
Seguridaddela informacionSeguridaddela informacion
Seguridaddela informacion
 
10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...
10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...
10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...
 
Politicas de sistemas informaticos
Politicas de sistemas informaticosPoliticas de sistemas informaticos
Politicas de sistemas informaticos
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
 
Generando Politicas
Generando Politicas Generando Politicas
Generando Politicas
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799
 
Nuevo reglamento general de proteccion de datos
Nuevo reglamento general de proteccion de datosNuevo reglamento general de proteccion de datos
Nuevo reglamento general de proteccion de datos
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Presentacion 2
Presentacion 2Presentacion 2
Presentacion 2
 
Auditoriacharla
AuditoriacharlaAuditoriacharla
Auditoriacharla
 
Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799
 
Conferencia
ConferenciaConferencia
Conferencia
 
Conferencia
ConferenciaConferencia
Conferencia
 
Los 11-dominios-de-norma-técnica-peruana (1)
Los 11-dominios-de-norma-técnica-peruana (1)Los 11-dominios-de-norma-técnica-peruana (1)
Los 11-dominios-de-norma-técnica-peruana (1)
 
Presentación Protección de datos como estrategia empresarial: Un reto y una o...
Presentación Protección de datos como estrategia empresarial: Un reto y una o...Presentación Protección de datos como estrategia empresarial: Un reto y una o...
Presentación Protección de datos como estrategia empresarial: Un reto y una o...
 
Webinario: Cómo Trabajar Con Proveedores Externos En Conformidad Con El RGPD
Webinario: Cómo Trabajar Con Proveedores Externos En Conformidad Con El RGPDWebinario: Cómo Trabajar Con Proveedores Externos En Conformidad Con El RGPD
Webinario: Cómo Trabajar Con Proveedores Externos En Conformidad Con El RGPD
 
Datasec - Experiencias - Cybersecurity 2013
Datasec - Experiencias - Cybersecurity 2013Datasec - Experiencias - Cybersecurity 2013
Datasec - Experiencias - Cybersecurity 2013
 
Politicas de-seguridad
Politicas de-seguridadPoliticas de-seguridad
Politicas de-seguridad
 
Lopd Brochure
Lopd BrochureLopd Brochure
Lopd Brochure
 
Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799
 

Último

Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
JohnRamos830530
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
nicho110
 

Último (10)

Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXI
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptx
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos Basicos
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 

Seguridad de la informacion

  • 1. SEGURIDAD DE LA INFORMACION Políticas de seguridad Yessica Gómez G.
  • 2. Porqué hablar de la Seguridad de la Información? ♦ Porque el negocio se sustenta a partir de la información que maneja.....
  • 3. Entorno Sistemas de Información Estrategia de negocio Funciones y procesos de negocio ACTIVIDADES DE LA EMPRESA Planificación de Objetivos Diseño y ejecución de acciones para conseguir objetivo Control (de resultados de acciones contra objetivos) Registro de transacciones Transacciones ORGANIZACION
  • 4. ♦ Porque no sólo es un tema Tecnológico. ♦ Porque la institución no cuenta con Políticas de Seguridad de la Información formalmente aceptadas y conocidas por todos.
  • 5. CULTURA de la seguridad , responsabilidad de TODOS ACTITUD proactiva, Investigación permanente
  • 6. ♦ Porque la seguridad tiene un costo, pero la INSEGURIDAD tiene un costo mayor. “Ninguna medicina es útil a menos que el paciente la tome” ¿ Entonces, por donde partir?........
  • 7. Reconocer los activos de información importantes para la institución.. ♦ Información propiamente tal : bases de datos, archivos, conocimiento de las personas ♦ Documentos: contratos, manuales, facturas, pagarés, solicitudes de créditos. ♦ Software: aplicaciones, sistemas operativos, utilitarios. ♦ Físicos: equipos, edificios, redes ♦ Recursos humanos: empleados internos y externos ♦ Servicios: electricidad, soporte, mantención.
  • 8. Reconocer las Amenazas a que están expuestos... ♦ Amenaza:” evento con el potencial de afectar negativamente la Confidencialidad, Integridad o Disponibilidad de los Activos de Información”. ♦ Ejemplos: – Desastres naturales (terremotos, inundaciones) – Errores humanos – Fallas de Hardware y/o Software – Fallas de servicios (electricidad) – Robo
  • 9. Reconocer las Vulnerabilidades ♦ Vulnerabilidad: “ una debilidad que facilita la materialización de una amenaza” ♦ Ejemplos: – Inexistencia de procedimientos de trabajo – Concentración de funciones en una sola persona – Infraestructura insuficiente
  • 10. Identificación de Riesgos ♦ Riesgo: “ La posibilidad de que una amenaza en particular explote una vulnerabilidad y afecte un activo” ♦ Que debe analizarse? – El impacto (leve ,moderado,grave) – La probabilidad (baja, media, alta)
  • 11. Contexto general de seguridad PropietariosPropietarios valoran Quieren minimizar SalvaguardasSalvaguardas definen Pueden tener conciencia de Amenaza s explotan Vulnerabili dades Vulnerabili dades Permiten o facilitan DañoDaño RECURSOSRECURSOSQue pueden tener Reducen RIESGORIESGO
  • 12. Principales problemas: ♦ No se entienden o no se cuantifican las amenazas de seguridad y las vulnerabilidades. ♦ No se puede medir la severidad y la probabilidad de los riesgos. ♦ Se inicia el análisis con una noción preconcebida de que el costo de los controles será excesivo o que la seguridad tecnológica no existe. ♦ Se cree que la solución de seguridad interferirá con el rendimiento o apariencia del producto o servicio del negocio.
  • 13. Estándares de Seguridad ♦ Normas Internacionales de seguridad – Proporcionan un conjunto de buenas prácticas en gestión de seguridad de la información: – Ejemplos ISO/IEC 17799,COBIT,ISO 15408 ♦ Se ha homologado a la realidad Chilena NCh2777 la ISO 17799 que tiene la bondad de ser transversal a las organizaciones , abarcando la seguridad como un problema integral y no meramente técnico. ♦ Ley 19.233 sobre delitos informáticos. ♦ Ley 19.628 sobre protección de los datos personales. ♦ Ley 19.799 sobre firma electrónica
  • 14. ¿Qué es una Política? ♦ Conjunto de orientaciones o directrices que rigen la actuación de una persona o entidad en un asunto o campo determinado. ¿Qué es una Política de Seguridad? ♦Conjunto de directrices que permiten resguardar los activos de información .
  • 15. ¿Cómo debe ser la política de seguridad? ♦ Definir la postura del Directorio y de la gerencia con respecto a la necesidad de proteger la información corporativa. ♦ Rayar la cancha con respecto al uso de los recursos de información. ♦ Definir la base para la estructura de seguridad de la organización. ♦ Ser un documento de apoyo a la gestión de seguridad informática. ♦ Tener larga vigencia , manteniéndose sin grandes cambios en el tiempo.
  • 16. ♦ Ser general , sin comprometerse con tecnologías específicas. ♦ Debe abarcar toda la organización ♦ Debe ser clara y evitar confuciones ♦ No debe generar nuevos problemas ♦ Debe permitir clasificar la información en confidencial, uso interno o pública. ♦ Debe identificar claramente funciones específicas de los empleados como : responsables, custodio o usuario , que permitan proteger la información.
  • 17. Qué debe contener una política de seguridad de la información? ♦ Políticas específicas ♦ Procedimientos ♦ Estándares o prácticas ♦ Estructura organizacional
  • 18. Políticas Específicas ♦ Definen en detalle aspectos específicos que regulan el uso de los recursos de información y están más afectas a cambios en el tiempo que la política general. ♦ Ejemplo: – Política de uso de Correo Electrónico: • Definición del tipo de uso aceptado: “El servicio de correo electrónico se proporciona para que los empleados realicen funciones propias del negocio,cualquier uso personal deberá limitarse al mínimo posible” • Prohibiciones expresas: “ Se prohíbe el envío de mensajes ofensivos”. “ Deberá evitarse el envío de archivos peligrosos” • Declaración de intención de monitorear su uso: “La empresa podrá monitorear el uso de los correos en caso que se sospeche del mal uso”
  • 19. Procedimiento ♦ Define los pasos para realizar una actividad ♦ Evita que se aplique criterio personal. ♦ Ejemplo: – Procedimiento de Alta de Usuarios: • 1.- Cada vez que se contrate a una persona , su jefe directo debe enviar al Adminsitrador de Privilegios una solicitud formal de creación de cuenta, identificando claramente los sistemas a los cuales tendrá accesos y tipos de privilegios. • 2.-El Administrador de privilegios debe validar que la solicitud formal recibida indique: fecha de ingreso,perfil del usuario, nombre , rut, sección o unidad a la que pertenece. • 3.- El Administrador de privilegios creará la cuenta del usuario a través del Sistema de Administración de privilegios y asignará una clave inicial para que el usuario acceda inicialmente. • 4.- El Administrados de privilegios formalizará la creación de la cuenta al usuario e instruirá sobre su uso.
  • 20. Estándar ♦ En muchos casos depende de la tecnología ♦ Se debe actualizar periódicamente ♦ Ejemplo: – Estándar de Instalación de PC: • Tipo de máquina: – Para plataforma de Caja debe utilizarse máquinas Lanix – Para otras plataformas debe utilizarse máquinas Compaq o HP. – Procesador Pentium IV , con disco duro de 40 GB y memoria Ram 253 MB • Registro: – Cada máquina instalada debe ser registrada en catastro computacional identificando los números de serie de componente y llenar formulario de traslado de activo fijo • Condiciones electricas: – Todo equipo computacional debe conectarse a la red electrica computacional y estar provisto de enchufes MAGIC
  • 21. Que se debe tener en cuenta ♦ Objetivo: qué se desea lograr ♦ Alcance: qué es lo que protegerá y qué áreas serán afectadas ♦ Definiciones: aclarar terminos utilizados ♦ Responsabilidades: Qué debe y no debe hacer cada persona ♦ Revisión: cómo será monitoreado el cumplimiento ♦ Aplicabilidad: En qué casos será aplicable ♦ Referencias: documentos complementarios ♦ Sanciones e incentivos
  • 22. Ciclo de vida del Proyecto ♦ Creación ♦ Colaboración ♦ Publicación ♦ Educación ♦ Cumplimiento Enfoque Metodológico
  • 23. Políticas de seguridad y Controles ♦ Los controles son mecanismos que ayudan a cumplir con lo definido en las políticas ♦ Si no se tienen políticas claras , no se sabrá qué controlar. ♦ Orientación de los controles: – PREVENIR la ocurrencia de una amenaza – DETECTAR la ocurrencia de una amenaza – RECUPERAR las condiciones ideales de funcionamiento una vez que se ha producido un evento indeseado.
  • 24. Ejemplo:Modelo Seguridad Informática (MSI) a partir de políticas de seguridad de la información institucionales ♦ Estructura del modelo adoptado: – Gestión IT (Tecnologías de Información) – Operaciones IT ♦ Para cada estructura incorpora documentación asociada como políticas específicas, procedimientos y estándares.
  • 25. Gestión IT ♦ Objetivo: contar con procedimientos formales que permitan realizar adecuadamente la planeación y desarrollo del plan informático. ♦ Contiene: – Objetivo y estrategia institucional – Plan Informático y comité informática – Metodología de Desarrollo y Mantención
  • 26. Operaciones IT ♦ Objetivo: Contar conprocedimientos formales para asegurar la operación normal de los Sistemas de Información y uso de recursos tecnológicos que sustentan la operación del negocio. ♦ Contiene: – Seguridad Física sala servidores • Control de acceso a la sala • Alarmas y extinción de incendios • Aire acondicionado y control de temperaturas • UPS • Piso y red electrica • Contratos de mantención • Contratos proveedores de servicios
  • 27. – Respaldos y recuperación de información: • Ficha de servidores • Política Respaldos: diarios,semanales,mensuales, históricos – Bases de datos, correo electrónico, datos de usuarios, softawre de aplicaciones, sistemas operativos. • Administración Cintoteca: – Rotulación – Custodia – Requerimientos, rotación y caduciddad de cintas. – Administración de licencias de software y programas
  • 28. – Seguridad de Networking: • Características y topología de la Red • Estandarización de componentes de red • Seguridad física de sites de comunicaciones • Seguridad y respaldo de enlaces • Seguridad y control de accesos de equipos de comunicaciones • Plan de direcciones IP • Control de seguridad WEB – Control y políticas de adminsitración de Antivirus • Configuración • Actualización • Reportes
  • 29. – Traspaso de aplicaciones al ambiente de explotación • Definición de ambientes • Definición de datos de prueba • Adminsitración de versiones de sistema de aplicaciones • Programas fuentes • Programas ejecutables • Compilación de programas • Testing: – Responsables y encargados de pruebas – Pruebas de funcionalidad – Pruebas de integridad • Instalación de aplicaciones • Asignación de responsabilidades de harware y software para usuarios
  • 30. • Creación y eliminación de usuarios : – Internet, Correo electrónico • Administración de privilegios de acceso a sistemas • Administración y rotación de password: – Caducidad de password – Definición de tipo y largo de password – Password de red , sistemas – Password protectores de pantalla, arranque PC – Fechas y tiempos de caducidad de usuarios • Controles de uso de espacio en disco en serviodres – Adquisición y administración equipamiento usuarios: • Política de adquisiciones • Catastro computacional • Contrato proveedores equipamiento
  • 31. Conclusiones ♦ La Información es uno de los activos mas valiosos de la organización ♦ Las Políticas de seguridad permiten disminuir los riesgos ♦ Las políticas de seguridad no abordan sólo aspectos tecnológicos ♦ El compromiso e involucramiento de todos es la premisa básica para que sea real. ♦ La seguridad es una inversión y no un gasto. ♦ No existe nada 100% seguro ♦ Exige evaluación permanente.
  • 32. ♦ La clave es encontrar el justo equilibrio de acuerdo al giro de cada negocio que permita mantener controlado el RIESGO.

Notas del editor

  1. Porque de acuerdo a los tiempos y eventos actuales se hace necesario crear la CULTURA de la Seguridad de la Información como responsabilidad de todos Porque no es un proyecto de moda , o que se desarrolle de una vez, requiere de actitud proactiva e investigación permanente.
  2. Información propiamente tal : bases de datos, archivos, conocimiento de las personas Documentos: contratos, manuales, facturas, pagarés, solicitudes de créditos. Software: aplicaciones, sistemas operativos, utilitarios. Físicos: equipos, edificios, redes Recursos humanos: empleados internos y externos Servicios: electricidad, soporte, mantención.
  3. Si bien los estándares nos proporcionan una base importante para llegar a crear un modelo de seguridad , ésta se basa en las políticas de seguridad de la organización , las cuales determinan los procedimientos, los estándares y las herramientas que ayudarán a estas labores. Alcanzar un equilibrio entre los controles y la funcionalidad es clave para mantener la competitividad del negocio . La informática , es el corazón de la organización y la seguridad informática esta dirigida a garantizar los proncipios fundamentales como: confidencialidad y propiedad, disponibilidad y utilidad, integridad y autenticidad, acceso y control, principio de no repudiación y auditoría
  4. Tipos de activos de Información: Información propiamente tal : bases de datos, archivos, conocimiento de las personas Documentos: contratos, manuales, facturas, pagarés, solicitudes de créditos. Software: aplicaciones, sistemas operativos, utilitarios. Físicos: equipos, edificios, redes Recursos humanos: empleados internos y externos Servicios: electricidad, soporte, mantención.