2. Porqué hablar de la Seguridad
de la Información?
• Porque el negocio se sustenta a partir de la información que
maneja.....
3. Estrategia de Funciones y procesos de
negocio negocio
ACTIVIDADES DE LA EMPRESA
Diseño y ejecución de
Planificación de acciones para conseguir
Objetivos objetivo
Control (de resultados
de acciones contra
objetivos)
Sistemas de Registro de Transacciones
Información transacciones
Entorno ORGANIZACION
4. • Porque no sólo es un tema Tecnológico.
• Porque la institución no cuenta con Políticas de Seguridad de
la Información formalmente aceptadas y conocidas por todos.
5. CULTURA de la seguridad ,
responsabilidad de TODOS
ACTITUD proactiva,
Investigación permanente
6. • Porque la seguridad tiene un costo, pero la
INSEGURIDAD tiene un costo mayor.
“Ninguna medicina es útil a menos que el paciente la
tome”
¿ Entonces, por donde partir?........
7. Reconocer los activos de información
importantes para la institución..
• Información propiamente tal : bases de datos, archivos,
conocimiento de las personas
• Documentos: contratos, manuales, facturas, pagarés,
solicitudes de créditos.
• Software: aplicaciones, sistemas operativos, utilitarios.
• Físicos: equipos, edificios, redes
• Recursos humanos: empleados internos y externos
• Servicios: electricidad, soporte, mantención.
8. Reconocer las Amenazas a que
están expuestos...
• Amenaza:” evento con el potencial de afectar
negativamente la Confidencialidad, Integridad o
Disponibilidad de los Activos de Información”.
• Ejemplos:
• Desastres naturales (terremotos, inundaciones)
• Errores humanos
• Fallas de Hardware y/o Software
• Fallas de servicios (electricidad)
• Robo
9. Reconocer las
Vulnerabilidades
• Vulnerabilidad: “ una debilidad que facilita la materialización
de una amenaza”
• Ejemplos:
• Inexistencia de procedimientos de trabajo
• Concentración de funciones en una sola persona
• Infraestructura insuficiente
10. Identificación de Riesgos
• Riesgo: “ La posibilidad de que una amenaza en particular
explote una vulnerabilidad y afecte un activo”
• Que debe analizarse?
• El impacto (leve ,moderado,grave)
• La probabilidad (baja, media, alta)
11. Contexto general de
seguridad
valoran
Propietarios
Quieren minimizar
definen
Salvaguardas
Pueden tener Que pueden RECURSOS
Reducen
conciencia de tener
Amenaza Vulnerabili
Permiten o Daño
explotan
s dades facilitan
RIESGO
RIESGO
12. Principales problemas:
• No se entienden o no se cuantifican las amenazas de
seguridad y las vulnerabilidades.
• No se puede medir la severidad y la probabilidad de
los riesgos.
• Se inicia el análisis con una noción preconcebida de
que el costo de los controles será excesivo o que la
seguridad tecnológica no existe.
• Se cree que la solución de seguridad interferirá con el
rendimiento o apariencia del producto o servicio del
negocio.
13. Estándares de Seguridad
• Normas Internacionales de seguridad
• Proporcionan un conjunto de buenas prácticas en
gestión de seguridad de la información:
• Ejemplos ISO/IEC 17799,COBIT,ISO 15408
• Se ha homologado a la realidad Chilena NCh2777 la ISO
17799 que tiene la bondad de ser transversal a las
organizaciones , abarcando la seguridad como un
problema integral y no meramente técnico.
• Ley 19.233 sobre delitos informáticos.
• Ley 19.628 sobre protección de los datos personales.
• Ley 19.799 sobre firma electrónica
14. ¿Qué es una Política?
• Conjunto de orientaciones o directrices que rigen la actuación
de una persona o entidad en un asunto o campo determinado.
¿Qué es una Política de Seguridad?
♦Conjunto de directrices que permiten resguardar
los activos de información.
15. ¿Cómo debe ser la política de
seguridad?
• Definir la postura del Directorio y de la gerencia con
respecto a la necesidad de proteger la información
corporativa.
• Rayar la cancha con respecto al uso de los recursos de
información.
• Definir la base para la estructura de seguridad de la
organización.
• Ser un documento de apoyo a la gestión de seguridad
informática.
• Tener larga vigencia , manteniéndose sin grandes
cambios en el tiempo.
16. • Ser general , sin comprometerse con tecnologías
específicas.
• Debe abarcar toda la organización
• Debe ser clara y evitar confuciones
• No debe generar nuevos problemas
• Debe permitir clasificar la información en confidencial,
uso interno o pública.
• Debe identificar claramente funciones específicas de
los empleados como : responsables, custodio o usuario
, que permitan proteger la información.
17. Qué debe contener una política
de seguridad de la información?
• Políticas específicas
• Procedimientos
• Estándares o prácticas
• Estructura organizacional
18. Políticas Específicas
• Definen en detalle aspectos específicos que regulan el
uso de los recursos de información y están más afectas a
cambios en el tiempo que la política general.
• Ejemplo:
• Política de uso de Correo Electrónico:
• Definición del tipo de uso aceptado: “El servicio de correo
electrónico se proporciona para que los empleados realicen
funciones propias del negocio,cualquier uso personal deberá
limitarse al mínimo posible”
• Prohibiciones expresas: “ Se prohíbe el envío de mensajes
ofensivos”. “ Deberá evitarse el envío de archivos peligrosos”
• Declaración de intención de monitorear su uso: “La empresa
podrá monitorear el uso de los correos en caso que se
sospeche del mal uso”
19. Procedimiento
• Define los pasos para realizar una actividad
• Evita que se aplique criterio personal.
• Ejemplo:
• Procedimiento de Alta de Usuarios:
• 1.- Cada vez que se contrate a una persona , su jefe directo debe
enviar al Adminsitrador de Privilegios una solicitud formal de
creación de cuenta, identificando claramente los sistemas a los
cuales tendrá accesos y tipos de privilegios.
• 2.-El Administrador de privilegios debe validar que la solicitud
formal recibida indique: fecha de ingreso,perfil del usuario,
nombre , rut, sección o unidad a la que pertenece.
• 3.- El Administrador de privilegios creará la cuenta del usuario a
través del Sistema de Administración de privilegios y asignará una
clave inicial para que el usuario acceda inicialmente.
• 4.- El Administrados de privilegios formalizará la creación de la
cuenta al usuario e instruirá sobre su uso.
20. Estándar
• En muchos casos depende de la tecnología
• Se debe actualizar periódicamente
• Ejemplo:
• Estándar de Instalación de PC:
• Tipo de máquina:
• Para plataforma de Caja debe utilizarse máquinas Lanix
• Para otras plataformas debe utilizarse máquinas Compaq o HP.
• Procesador Pentium IV , con disco duro de 40 GB y memoria Ram
253 MB
• Registro:
• Cada máquina instalada debe ser registrada en catastro
computacional identificando los números de serie de componente
y llenar formulario de traslado de activo fijo
• Condiciones electricas:
• Todo equipo computacional debe conectarse a la red electrica
computacional y estar provisto de enchufes MAGIC
21. Que se debe tener en cuenta
• Objetivo: qué se desea lograr
• Alcance: qué es lo que protegerá y qué áreas
serán afectadas
• Definiciones: aclarar terminos utilizados
• Responsabilidades: Qué debe y no debe hacer
cada persona
• Revisión: cómo será monitoreado el
cumplimiento
• Aplicabilidad: En qué casos será aplicable
• Referencias: documentos complementarios
• Sanciones e incentivos
22. Ciclo de vida del Proyecto
• Creación
• Colaboración
• Publicación
• Educación
• Cumplimiento Enfoque
Metodológico
23. Políticas de seguridad y
Controles
• Los controles son mecanismos que ayudan a
cumplir con lo definido en las políticas
• Si no se tienen políticas claras , no se sabrá qué
controlar.
• Orientación de los controles:
• PREVENIR la ocurrencia de una amenaza
• DETECTAR la ocurrencia de una amenaza
• RECUPERAR las condiciones ideales de funcionamiento
una vez que se ha producido un evento indeseado.
24. Ejemplo: Modelo Seguridad Informática (MSI)
a partir de políticas de seguridad de la
información institucionales
• Estructura del modelo adoptado:
• Gestión IT (Tecnologías de Información)
• Operaciones IT
• Para cada estructura incorpora documentación asociada como
políticas específicas, procedimientos y estándares.
25. Gestión IT
• Objetivo: contar con procedimientos formales que permitan
realizar adecuadamente la planeación y desarrollo del plan
informático.
• Contiene:
• Objetivo y estrategia institucional
• Plan Informático y comité informática
• Metodología de Desarrollo y Mantención
26. Operaciones IT
• Objetivo: Contar conprocedimientos formales
para asegurar la operación normal de los
Sistemas de Información y uso de recursos
tecnológicos que sustentan la operación del
negocio.
• Contiene:
• Seguridad Física sala servidores
• Control de acceso a la sala
• Alarmas y extinción de incendios
• Aire acondicionado y control de temperaturas
• UPS
• Piso y red electrica
• Contratos de mantención
• Contratos proveedores de servicios
27. • Respaldos y recuperación de información:
• Ficha de servidores
• Política Respaldos: diarios,semanales,mensuales, históricos
• Bases de datos, correo electrónico, datos de usuarios, softawre de
aplicaciones, sistemas operativos.
• Administración Cintoteca:
• Rotulación
• Custodia
• Requerimientos, rotación y caduciddad de cintas.
• Administración de licencias de software y programas
28. • Seguridad de Networking:
• Características y topología de la Red
• Estandarización de componentes de red
• Seguridad física de sites de comunicaciones
• Seguridad y respaldo de enlaces
• Seguridad y control de accesos de equipos de comunicaciones
• Plan de direcciones IP
• Control de seguridad WEB
• Control y políticas de adminsitración de Antivirus
• Configuración
• Actualización
• Reportes
29. • Traspaso de aplicaciones al ambiente de explotación
• Definición de ambientes
• Definición de datos de prueba
• Adminsitración de versiones de sistema de aplicaciones
• Programas fuentes
• Programas ejecutables
• Compilación de programas
• Testing:
• Responsables y encargados de pruebas
• Pruebas de funcionalidad
• Pruebas de integridad
• Instalación de aplicaciones
• Asignación de responsabilidades de harware y software para
usuarios
30. • Creación y eliminación de usuarios :
• Internet, Correo electrónico
• Administración de privilegios de acceso a sistemas
• Administración y rotación de password:
• Caducidad de password
• Definición de tipo y largo de password
• Password de red , sistemas
• Password protectores de pantalla, arranque PC
• Fechas y tiempos de caducidad de usuarios
• Controles de uso de espacio en disco en serviodres
• Adquisición y administración equipamiento usuarios:
• Política de adquisiciones
• Catastro computacional
• Contrato proveedores equipamiento
31. Conclusiones
• La Información es uno de los activos mas valiosos de la
organización
• Las Políticas de seguridad permiten disminuir los riesgos
• Las políticas de seguridad no abordan sólo aspectos tecnológicos
• El compromiso e involucramiento de todos es la premisa básica
para que sea real.
• La seguridad es una inversión y no un gasto.
• No existe nada 100% seguro
• Exige evaluación permanente.
32. • La clave es encontrar el justo equilibrio de acuerdo al giro de
cada negocio que permita mantener controlado el RIESGO.
Notas del editor
Porque de acuerdo a los tiempos y eventos actuales se hace necesario crear la CULTURA de la Seguridad de la Información como responsabilidad de todos Porque no es un proyecto de moda , o que se desarrolle de una vez, requiere de actitud proactiva e investigación permanente.
Información propiamente tal : bases de datos, archivos, conocimiento de las personas Documentos: contratos, manuales, facturas, pagarés, solicitudes de créditos. Software: aplicaciones, sistemas operativos, utilitarios. Físicos: equipos, edificios, redes Recursos humanos: empleados internos y externos Servicios: electricidad, soporte, mantención.
Si bien los estándares nos proporcionan una base importante para llegar a crear un modelo de seguridad , ésta se basa en las políticas de seguridad de la organización , las cuales determinan los procedimientos, los estándares y las herramientas que ayudarán a estas labores. Alcanzar un equilibrio entre los controles y la funcionalidad es clave para mantener la competitividad del negocio . La informática , es el corazón de la organización y la seguridad informática esta dirigida a garantizar los proncipios fundamentales como: confidencialidad y propiedad, disponibilidad y utilidad, integridad y autenticidad, acceso y control, principio de no repudiación y auditoría
Tipos de activos de Información: Información propiamente tal : bases de datos, archivos, conocimiento de las personas Documentos: contratos, manuales, facturas, pagarés, solicitudes de créditos. Software: aplicaciones, sistemas operativos, utilitarios. Físicos: equipos, edificios, redes Recursos humanos: empleados internos y externos Servicios: electricidad, soporte, mantención.