Presentacion utilizada en Segurinfo Argentina 2009, para iniciar la discusión sobre modelos madurativos de controles y capacidades de seguridad informática o de la información bajo la premisa de distintos niveles de dependencia tecnológica de los procesos de negocio.
1. El ABC de Seguridad en la PYMESEl ABC de Seguridad en la PYMES
Santiago Cavanna (ISSA)Santiago Cavanna (ISSA)
Sebastián Gagliardi (BDOSebastián Gagliardi (BDO
Becher)Becher)
2. Segurinfo 2009 – Quinto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
TemarioTemario
A quién va dirigida esta presentaciónA quién va dirigida esta presentación
Conceptos Básicos de SeguridadConceptos Básicos de Seguridad
Amenazas de una PymeAmenazas de una Pyme
Grados de complejidad técnica (TI) de unaGrados de complejidad técnica (TI) de una
PymePyme
Experiencias, tormenta de ideas.Experiencias, tormenta de ideas.
ConclusionesConclusiones
3. Segurinfo 2009 – Quinto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
De qué estamos hablandoDe qué estamos hablando
CONFIDENCIALIDAD
INTEGRIDAD DISPONIBILIDAD
CIDCID
Acceden sólo las personas
autorizadas
Exactitud y totalidad de la
información y los métodos de
procesamiento
Acceso a la información y a los
recursos relacionados con ella
toda vez que se requiera
Objetivos de Seguridad de la Información:
CIDCID
4. Segurinfo 2009 – Quinto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
A quién estamos hablandoA quién estamos hablando
5. Segurinfo 2009 – Quinto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Grados de complejidad técnica (TI)Grados de complejidad técnica (TI)
6. Segurinfo 2009 – Quinto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Grados de complejidad técnica (TI)Grados de complejidad técnica (TI)
7. Segurinfo 2009 – Quinto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Grados de complejidad técnica (TI)Grados de complejidad técnica (TI)
8. Segurinfo 2009 – Quinto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Amenazas de una PymeAmenazas de una Pyme
De Origen Natural:De Origen Natural: Son todos los eventos que puedan ocurrir sin laSon todos los eventos que puedan ocurrir sin la
intervención de los seres humanos (ej.: incendio, inundación, terremoto)intervención de los seres humanos (ej.: incendio, inundación, terremoto)
De Origen Industrial:De Origen Industrial: Eventos que pueden ocurrir de forma accidental,Eventos que pueden ocurrir de forma accidental,
derivados de la actividad humana de tipo industrial (ej.: rotura de caños,derivados de la actividad humana de tipo industrial (ej.: rotura de caños,
incendios por cortocircuitos eléctricos, cortes de energía, etc.)incendios por cortocircuitos eléctricos, cortes de energía, etc.)
De Errores o Fallos No Intencionados:De Errores o Fallos No Intencionados: Fallos no intencionalesFallos no intencionales
causados por las personas (ej.: errores de configuración, errores decausados por las personas (ej.: errores de configuración, errores de
mantenimiento, etc.)mantenimiento, etc.)
Ataques Deliberados:Ataques Deliberados: Fallos intencionales causados por las personasFallos intencionales causados por las personas
(ej.: ataques de denegación de servicio, virus informáticos, robo de(ej.: ataques de denegación de servicio, virus informáticos, robo de
información, etc.)información, etc.)
9. Segurinfo 2009 – Quinto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Amenazas (en concreto)Amenazas (en concreto)
De Origen Natural:De Origen Natural: incendio, inundación, terremoto, u otros que causenincendio, inundación, terremoto, u otros que causen
destrucción total de instalaciones.destrucción total de instalaciones.
De Origen Industrial:De Origen Industrial: cortocircuitos eléctricos, cortes de energía, roturacortocircuitos eléctricos, cortes de energía, rotura
de caños, u otros que podrían afectar el funcionamiento de los sistemasde caños, u otros que podrían afectar el funcionamiento de los sistemas
De Errores o Fallos No Intencionados:De Errores o Fallos No Intencionados: errores de configuración, erroreserrores de configuración, errores
de mantenimiento, errores de operación, desconocimiento, negligencia,de mantenimiento, errores de operación, desconocimiento, negligencia,
no cumplimiento de regulaciones (ej.: ley habeas data, ley de delitosno cumplimiento de regulaciones (ej.: ley habeas data, ley de delitos
informáticos).informáticos).
Ataques Deliberados:Ataques Deliberados: ataques de denegación de servicio, virus yataques de denegación de servicio, virus y
spywares, robo físico de servidores, hacking, robo de informaciónspywares, robo físico de servidores, hacking, robo de información
sensible.sensible.
10. Segurinfo 2009 – Quinto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Identificación de
Activos 1 Identificación de
Amenazas
2
Identificación de
Contramedidas
3
Amenazas y ProteccionesAmenazas y Protecciones
11. Segurinfo 2009 – Quinto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Nivel de Madurez (SI)Nivel de Madurez (SI) Mayor integración con el
negocio
Menor integración con el
negocio
Tecnología
Procesos
Personas
Medidas de Seguridad Nivel 0 Nivel 1 Nivel 2 Nivel 3
Antivirus / Antisyware / Antispam Si Corporativos Corporativos Corporativos
Firewalls Si Si Si, uso de DMZ Si, uso de DMZ
IDS - IPS A veces Si
UPS Si Si Si
Protecciones Físicas A veces Si Si
Centralización de Logs Si Si
Encripción A veces Si
Procedimientos de backup y restore A veces Si Si Si
Patch Management A veces Si Si
Monitoreo de antivirus / antispyware A veces Si Si
Norma uso e-mail, Internet A veces Si
Procedimientos de ABM Usuarios A veces Si
Normas de uso de contraseñas Si Si
Conv.de conf. internos y con terceros A veces Si
Estándares técnicos Si Si
Control de cambios A veces Si Si
Manejo de Incidentes de Seguridad A veces Si
Clasificación de la información Si
Procedimientos de Revisión de Logs Si Si
DRP (Disaster Recovery Plan) Si Si
BCP (Business Continuity Plan) Si
Capacitación A veces Si Si
Programas de Concientización Si Si
12. Segurinfo 2009 – Quinto Congreso Argentino de Seguridad de la Información – www.segurinfo.org.ar
Nivel de Madurez (SI)Nivel de Madurez (SI) Mayor integración con el
negocio
Menor integración con el
negocio
Tecnología
Procesos
Personas
Medidas de Seguridad Nivel 0 Nivel 1 Nivel 2 Nivel 3
Antivirus / Antisyware / Antispam Si Corporativos Corporativos Corporativos
Firewalls Si Si Si, uso de DMZ Si, uso de DMZ
IDS - IPS A veces Si
UPS Si Si Si
Protecciones Físicas A veces Si Si
Centralización de Logs Si Si
Encripción A veces Si
Procedimientos de backup y restore A veces Si Si Si
Patch Management A veces Si Si
Monitoreo de antivirus / antispyware A veces Si Si
Norma uso e-mail, Internet A veces Si
Procedimientos de ABM Usuarios A veces Si
Normas de uso de contraseñas Si Si
Conv.de conf. internos y con terceros A veces Si
Estándares técnicos Si Si
Control de cambios A veces Si Si
Manejo de Incidentes de Seguridad A veces Si
Clasificación de la información Si
Procedimientos de Revisión de Logs Si Si
DRP (Disaster Recovery Plan) Si Si
BCP (Business Continuity Plan) Si
Capacitación A veces Si Si
Programas de Concientización Si Si