2. Porqué hablar de la Seguridad
de la Información?
♦ Porque el negocio se sustenta a partir de la
información que maneja.....
3. Entorno
Sistemas de
Información
Estrategia de
negocio
Funciones y procesos de
negocio
ACTIVIDADES DE LA EMPRESA
Planificación de
Objetivos
Diseño y ejecución de
acciones para conseguir
objetivo
Control (de resultados de
acciones contra objetivos)
Registro de
transacciones
Transacciones
ORGANIZACION
4. ♦ Porque no sólo es un tema Tecnológico.
♦ Porque la institución no cuenta con
Políticas de Seguridad de la Información
formalmente aceptadas y conocidas por
todos.
5. CULTURA de la seguridad ,
responsabilidad de TODOS
ACTITUD proactiva,
Investigación permanente
6. ♦ Porque la seguridad tiene un costo, pero la
INSEGURIDAD tiene un costo mayor.
“Ninguna medicina es útil a menos que
el paciente la tome”
¿ Entonces, por donde partir?........
7. Reconocer los activos de
información importantes para la
institución..
♦ Información propiamente tal : bases de datos,
archivos, conocimiento de las personas
♦ Documentos: contratos, manuales, facturas,
pagarés, solicitudes de créditos.
♦ Software: aplicaciones, sistemas operativos,
utilitarios.
♦ Físicos: equipos, edificios, redes
♦ Recursos humanos: empleados internos y externos
♦ Servicios: electricidad, soporte, mantención.
8. Reconocer las Amenazas a que
están expuestos...
♦ Amenaza:” evento con el potencial de afectar
negativamente la Confidencialidad, Integridad o
Disponibilidad de los Activos de Información”.
♦ Ejemplos:
– Desastres naturales (terremotos, inundaciones)
– Errores humanos
– Fallas de Hardware y/o Software
– Fallas de servicios (electricidad)
– Robo
9. Reconocer las Vulnerabilidades
♦ Vulnerabilidad: “ una debilidad que facilita
la materialización de una amenaza”
♦ Ejemplos:
– Inexistencia de procedimientos de trabajo
– Concentración de funciones en una sola
persona
– Infraestructura insuficiente
10. Identificación de Riesgos
♦ Riesgo: “ La posibilidad de que una
amenaza en particular explote una
vulnerabilidad y afecte un activo”
♦ Que debe analizarse?
– El impacto (leve ,moderado,grave)
– La probabilidad (baja, media, alta)
11. Contexto general de seguridad
PropietariosPropietarios
valoran
Quieren minimizar
SalvaguardasSalvaguardas
definen
Pueden tener
conciencia de
Amenaza
s
explotan
Vulnerabili
dades
Vulnerabili
dades
Permiten o
facilitan
DañoDaño
RECURSOSRECURSOSQue pueden
tener
Reducen
RIESGORIESGO
12. Principales problemas:
♦ No se entienden o no se cuantifican las amenazas
de seguridad y las vulnerabilidades.
♦ No se puede medir la severidad y la probabilidad
de los riesgos.
♦ Se inicia el análisis con una noción preconcebida
de que el costo de los controles será excesivo o
que la seguridad tecnológica no existe.
♦ Se cree que la solución de seguridad interferirá
con el rendimiento o apariencia del producto o
servicio del negocio.
13. Estándares de Seguridad
♦ Normas Internacionales de seguridad
– Proporcionan un conjunto de buenas prácticas en
gestión de seguridad de la información:
– Ejemplos ISO/IEC 17799,COBIT,ISO 15408
♦ Se ha homologado a la realidad Chilena NCh2777
la ISO 17799 que tiene la bondad de ser
transversal a las organizaciones , abarcando la
seguridad como un problema integral y no
meramente técnico.
♦ Ley 19.233 sobre delitos informáticos.
♦ Ley 19.628 sobre protección de los datos
personales.
♦ Ley 19.799 sobre firma electrónica
14. ¿Qué es una Política?
♦ Conjunto de orientaciones o directrices que
rigen la actuación de una persona o entidad
en un asunto o campo determinado.
¿Qué es una Política de
Seguridad?
♦Conjunto de directrices que permiten
resguardar los activos de información .
15. ¿Cómo debe ser la política de
seguridad?
♦ Definir la postura del Directorio y de la gerencia
con respecto a la necesidad de proteger la
información corporativa.
♦ Rayar la cancha con respecto al uso de los
recursos de información.
♦ Definir la base para la estructura de seguridad de
la organización.
♦ Ser un documento de apoyo a la gestión de
seguridad informática.
♦ Tener larga vigencia , manteniéndose sin grandes
cambios en el tiempo.
16. Conclusiones
♦ La Información es uno de los activos mas valiosos
de la organización
♦ Las Políticas de seguridad permiten disminuir los
riesgos
♦ Las políticas de seguridad no abordan sólo aspectos
tecnológicos
♦ El compromiso e involucramiento de todos es la
premisa básica para que sea real.
♦ La seguridad es una inversión y no un gasto.
♦ No existe nada 100% seguro
♦ Exige evaluación permanente.
Notas del editor
Porque de acuerdo a los tiempos y eventos actuales se hace necesario crear la CULTURA de la Seguridad de la Información como responsabilidad de todos
Porque no es un proyecto de moda , o que se desarrolle de una vez, requiere de actitud proactiva e investigación permanente.
Información propiamente tal : bases de datos, archivos, conocimiento de las personas
Documentos: contratos, manuales, facturas, pagarés, solicitudes de créditos.
Software: aplicaciones, sistemas operativos, utilitarios.
Físicos: equipos, edificios, redes
Recursos humanos: empleados internos y externos
Servicios: electricidad, soporte, mantención.
Si bien los estándares nos proporcionan una base importante para llegar a crear un modelo de seguridad , ésta se basa en las políticas de seguridad de la organización , las cuales determinan los procedimientos, los estándares y las herramientas que ayudarán a estas labores.
Alcanzar un equilibrio entre los controles y la funcionalidad es clave para mantener la competitividad del negocio .
La informática , es el corazón de la organización y la seguridad informática esta dirigida a garantizar los proncipios fundamentales como: confidencialidad y propiedad, disponibilidad y utilidad, integridad y autenticidad, acceso y control, principio de no repudiación y auditoría
Tipos de activos de Información:
Información propiamente tal : bases de datos, archivos, conocimiento de las personas
Documentos: contratos, manuales, facturas, pagarés, solicitudes de créditos.
Software: aplicaciones, sistemas operativos, utilitarios.
Físicos: equipos, edificios, redes
Recursos humanos: empleados internos y externos
Servicios: electricidad, soporte, mantención.