Se ha denunciado esta presentación.
Utilizamos tu perfil de LinkedIn y tus datos de actividad para personalizar los anuncios y mostrarte publicidad más relevante. Puedes cambiar tus preferencias de publicidad en cualquier momento.

Seguridad de la informacion

964 visualizaciones

Publicado el

  • Inicia sesión para ver los comentarios

Seguridad de la informacion

  1. 1. SEGURIDAD DE LA INFORMACIÓN
  2. 2. Porqué hablar de la Seguridad de la Información? <ul><li>Porque el negocio se sustenta a partir de la información que maneja..... </li></ul>
  3. 3. <ul><li>Porque no sólo es un tema Tecnológico. </li></ul><ul><li>Porque la institución no cuenta con Políticas de Seguridad de la Información formalmente aceptadas y conocidas por todos. </li></ul>
  4. 4. CULTURA de la seguridad , responsabilidad de TODOS
  5. 5. <ul><li>Porque la seguridad tiene un costo, pero la INSEGURIDAD tiene un costo mayor. </li></ul><ul><li> </li></ul>
  6. 6. Reconocer los activos de información importantes para la institución.. <ul><li>Información propiamente tal : bases de datos, archivos, conocimiento de las personas </li></ul><ul><li>Documentos: contratos, manuales, facturas, pagarés, solicitudes de créditos. </li></ul><ul><li>Software: aplicaciones, sistemas operativos, utilitarios. </li></ul><ul><li>Físicos: equipos, edificios, redes </li></ul><ul><li>Recursos humanos: empleados internos y externos </li></ul><ul><li>Servicios: electricidad, soporte, mantención. </li></ul>
  7. 7. Reconocer las Amenazas a que están expuestos... <ul><li>Amenaza:” evento con el potencial de afectar negativamente la Confidencialidad, Integridad o Disponibilidad de los Activos de Información”. </li></ul><ul><li>Ejemplos: </li></ul><ul><ul><li>Desastres naturales (terremotos, inundaciones) </li></ul></ul><ul><ul><li>Errores humanos </li></ul></ul><ul><ul><li>Fallas de Hardware y/o Software </li></ul></ul><ul><ul><li>Fallas de servicios (electricidad) </li></ul></ul><ul><ul><li>Robo </li></ul></ul>
  8. 8. Reconocer las Vulnerabilidades <ul><li>Vulnerabilidad: “ una debilidad que facilita la materialización de una amenaza” </li></ul><ul><li>Ejemplos: </li></ul><ul><ul><li>Inexistencia de procedimientos de trabajo </li></ul></ul><ul><ul><li>Concentración de funciones en una sola persona </li></ul></ul><ul><ul><li>Infraestructura insuficiente </li></ul></ul>
  9. 9. Principales problemas: <ul><li>No se entienden o no se cuantifican las amenazas de seguridad y las vulnerabilidades. </li></ul><ul><li>No se puede medir la severidad y la probabilidad de los riesgos. </li></ul><ul><li>Se inicia el análisis con una noción preconcebida de que el costo de los controles será excesivo o que la seguridad tecnológica no existe. </li></ul><ul><li>Se cree que la solución de seguridad interferirá con el rendimiento o apariencia del producto o servicio del negocio. </li></ul>
  10. 10. ¿Qué es una Política? <ul><li>Conjunto de orientaciones o directrices que rigen la actuación de una persona o entidad en un asunto o campo determinado. </li></ul>¿Qué es una Política de Seguridad? <ul><li>Conjunto de directrices que permiten resguardar los activos de información . </li></ul>
  11. 11. ¿Cómo debe ser la política de seguridad? <ul><li>Definir la postura del Directorio y de la gerencia con respecto a la necesidad de proteger la información corporativa. </li></ul><ul><li>Rayar la cancha con respecto al uso de los recursos de información. </li></ul><ul><li>Definir la base para la estructura de seguridad de la organización. </li></ul><ul><li>Ser un documento de apoyo a la gestión de seguridad informática. </li></ul><ul><li>Tener larga vigencia , manteniéndose sin grandes cambios en el tiempo. </li></ul>
  12. 12. <ul><li>Ser general , sin comprometerse con tecnologías específicas. </li></ul><ul><li>Debe abarcar toda la organización </li></ul><ul><li>Debe ser clara y evitar confuciones </li></ul><ul><li>No debe generar nuevos problemas </li></ul><ul><li>Debe permitir clasificar la información en confidencial, uso interno o pública. </li></ul><ul><li>Debe identificar claramente funciones específicas de los empleados como : responsables, custodio o usuario , que permitan proteger la información. </li></ul>
  13. 13. Qué debe contener una política de seguridad de la información? <ul><li>Políticas específicas </li></ul><ul><li>Procedimientos </li></ul><ul><li>Estándares o prácticas </li></ul><ul><li>Estructura organizacional </li></ul>
  14. 14. Políticas Específicas <ul><li>Definen en detalle aspectos específicos que regulan el uso de los recursos de información y están más afectas a cambios en el tiempo que la política general. </li></ul><ul><li>Ejemplo: </li></ul><ul><ul><li>Política de uso de Correo Electrónico: </li></ul></ul><ul><ul><ul><li>Definición del tipo de uso aceptado: “El servicio de correo electrónico se proporciona para que los empleados realicen funciones propias del negocio,cualquier uso personal deberá limitarse al mínimo posible” </li></ul></ul></ul><ul><ul><ul><li>Prohibiciones expresas: “ Se prohíbe el envío de mensajes ofensivos”. “ Deberá evitarse el envío de archivos peligrosos” </li></ul></ul></ul><ul><ul><ul><li>Declaración de intención de monitorear su uso: “La empresa podrá monitorear el uso de los correos en caso que se sospeche del mal uso” </li></ul></ul></ul>
  15. 15. Procedimiento <ul><li>Define los pasos para realizar una actividad </li></ul><ul><li>Evita que se aplique criterio personal. </li></ul><ul><li>Ejemplo: </li></ul><ul><ul><li>Procedimiento de Alta de Usuarios: </li></ul></ul><ul><ul><ul><li>1.- Cada vez que se contrate a una persona , su jefe directo debe enviar al Adminsitrador de Privilegios una solicitud formal de creación de cuenta, identificando claramente los sistemas a los cuales tendrá accesos y tipos de privilegios. </li></ul></ul></ul><ul><ul><ul><li>2.-El Administrador de privilegios debe validar que la solicitud formal recibida indique: fecha de ingreso,perfil del usuario, nombre , rut, sección o unidad a la que pertenece. </li></ul></ul></ul><ul><ul><ul><li>3.- El Administrador de privilegios creará la cuenta del usuario a través del Sistema de Administración de privilegios y asignará una clave inicial para que el usuario acceda inicialmente. </li></ul></ul></ul><ul><ul><ul><li>4.- El Administrados de privilegios formalizará la creación de la cuenta al usuario e instruirá sobre su uso. </li></ul></ul></ul>
  16. 16. Estándar <ul><li>En muchos casos depende de la tecnología </li></ul><ul><li>Se debe actualizar periódicamente </li></ul><ul><li>Ejemplo: </li></ul><ul><ul><li>Estándar de Instalación de PC: </li></ul></ul><ul><ul><ul><li>Tipo de máquina: </li></ul></ul></ul><ul><ul><ul><ul><li>Para plataforma de Caja debe utilizarse máquinas Lanix </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Para otras plataformas debe utilizarse máquinas Compaq o HP. </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Procesador Pentium IV , con disco duro de 40 GB y memoria Ram 253 MB </li></ul></ul></ul></ul><ul><ul><ul><li>Registro: </li></ul></ul></ul><ul><ul><ul><ul><li>Cada máquina instalada debe ser registrada en catastro computacional identificando los números de serie de componente y llenar formulario de traslado de activo fijo </li></ul></ul></ul></ul><ul><ul><ul><li>Condiciones electricas: </li></ul></ul></ul><ul><ul><ul><ul><li>Todo equipo computacional debe conectarse a la red electrica computacional y estar provisto de enchufes MAGIC </li></ul></ul></ul></ul>
  17. 17. Que se debe tener en cuenta <ul><li>Objetivo: qué se desea lograr </li></ul><ul><li>Alcance: qué es lo que protegerá y qué áreas serán afectadas </li></ul><ul><li>Definiciones: aclarar terminos utilizados </li></ul><ul><li>Responsabilidades: Qué debe y no debe hacer cada persona </li></ul><ul><li>Revisión: cómo será monitoreado el cumplimiento </li></ul><ul><li>Aplicabilidad: En qué casos será aplicable </li></ul><ul><li>Referencias: documentos complementarios </li></ul><ul><li>Sanciones e incentivos </li></ul>
  18. 18. Políticas de seguridad y Controles <ul><li>Los controles son mecanismos que ayudan a cumplir con lo definido en las políticas </li></ul><ul><li>Si no se tienen políticas claras , no se sabrá qué controlar. </li></ul><ul><li>Orientación de los controles: </li></ul><ul><ul><li>PREVENIR la ocurrencia de una amenaza </li></ul></ul><ul><ul><li>DETECTAR la ocurrencia de una amenaza </li></ul></ul><ul><ul><li>RECUPERAR las condiciones ideales de funcionamiento una vez que se ha producido un evento indeseado. </li></ul></ul>
  19. 19. Ejemplo:Modelo Seguridad Informática (MSI) a partir de políticas de seguridad de la información institucionales <ul><li>Estructura del modelo adoptado: </li></ul><ul><ul><li>Gestión IT (Tecnologías de Información) </li></ul></ul><ul><ul><li>Operaciones IT </li></ul></ul><ul><li>Para cada estructura incorpora documentación asociada como políticas específicas, procedimientos y estándares. </li></ul>
  20. 20. Conclusiones <ul><li>La Información es uno de los activos mas valiosos de la organización </li></ul><ul><li>Las Políticas de seguridad permiten disminuir los riesgos </li></ul><ul><li>Las políticas de seguridad no abordan sólo aspectos tecnológicos </li></ul><ul><li>El compromiso e involucramiento de todos es la premisa básica para que sea real. </li></ul><ul><li>La seguridad es una inversión y no un gasto. </li></ul><ul><li>No existe nada 100% seguro </li></ul><ul><li>Exige evaluación permanente. </li></ul>

×