Este documento presenta una discusión sobre la seguridad de la información en bibliotecas. Explica que la seguridad de la información implica preservar la integridad, confidencialidad y disponibilidad de los datos a través de políticas, procedimientos y controles tecnológicos. Si no se da suficiente importancia a la seguridad de la información, se aumenta el riesgo de problemas como robo de identidad, robo de información personal y uso indebido de datos. Para solucionarlo, se propone elaborar un inventario de activos, defin
3. Seguridad de la Información
¿Qué es la seguridad de la información?
Intuitivamente sabemos que se trata de mecanismos para
gestionar los riesgos
Específicamente se trata de la preservación de la
Integridad
Confidencialidad
Disponibilidad
Para preservar estos atributos es necesaria una mezcla de
Políticas organizacionales
Procedimientos administrativos
Controles tecnológicos
4. Riesgos
¿Qué pasa si no le damos la importancia
suficiente?
Aumentamos el riesgo de exponer a nuestros
usuarios y empleados a problemas de:
Suplantación de identidad
Robo de información personal
Uso indiscriminado y fraudulento de
sus datos personales con fines
comerciales
5. Riesgos
¿Qué pasa si no le damos la importancia
suficiente?
Aumentamos el riesgo de incurrir en la violación
de acuerdos o contratos de licenciamiento de
bases de datos de investigación o de consulta
controlada con consecuencias económicas o
legales
6. Riesgos
¿Qué pasa si no le damos la importancia
suficiente?
Aumentamos el riesgo de prestar la plataforma
computacional para fines diferentes a los
intereses de la biblioteca, incluso fines poco
éticos o hasta fraudulentos.
7. Riesgos
En general se afecta la
reputación de la
institución y sus
consecuencias pueden
ser:
Legales
Económicas
Sociales (credibilidad)
9. Solución
¿Qué se puede hacer?
1. Elaborar un inventario de los activos de
información
2. Definir una política de tratamiento de riesgo
3. Establecer un conjunto de políticas de
seguridad
4. Implementar controles tecnológicos
5. Definir procedimientos administrativos para
controlar el riesgo
10. • Físicos (colecciones físicas)
• Bases de datos
Inventario de • Hardware y Software
Activos
• Minimizar: tomar acciones para disminuir la probabilidad o la consecuencia
• Asumir: aceptar el riesgo cuando se concrete
Tratamiento del • Transferir: un tercero asumirá la responsabilidad de gestionar este riesgo
Riesgo
• Políticas de uso de Internet
• Políticas de Antivius, Email, Firewall, Proxy
Políticas de
• Políticas de cuenta de usuarios
Seguridad • Políticas de backup
• Implementación de DMZ, control de acceso, filtro de contenido
• Administración de plataforma Antivirus
Controles
• Gestión de cuentas de usuario
Tecnológicos • Administración y operación de backup
• Capacitaciones y divulgación
• Auditorias
Procedimientos • Reportes de no conformidades
12. Solución - Metodología
Se requieren conocimientos especializados.
Piense en la siguiente estrategia:
Primera fase - Consultoría: Normas tipo ISO
27000 y COBIT. Consultor para simplificarlas y
extraer lo realmente necesario (riesgos y
controles)
Segunda Fase – Definición: Especificación de
Políticas y Procedimientos. Esto se hace en
lenguaje del negocio, no necesariamente se usa
lenguaje técnico.
Tercera Fase – Implementación:
Implementación de soluciones tecnológicas para
aplicar las políticas. Tercerización de la
14. Solución - Políticas
Defina por lo menos las siguientes políticas: backup,
cuentas de usuario, uso de email, uso de internet y
uso de estaciones de trabajo
Si no están escritas, las políticas no podrán ser
difundidas
Revise sus políticas con periodicidad y verifique que
los controles están activados
Asegúrese de que esté claramente especificada la
consecuencia de la violación de una política.
Escriba su política de privacidad respecto a la
protección que le brindará a los datos de sus usuarios
y hágala conocer. Sea realista y limite su
responsabilidad razonablemente.
15. Solución - Tecnología
Segmente su red en administrativa, pública
(usuarios) y servidores
Proteja sus servidores con Firewalls perimetrales
No permita conexiones directas a las bases de
datos. Prefiera aplicaciones Web o de múltiples
capas.
Mantenga actualizada su plataforma antivirus en
toda la red
Automatice las tareas de backup
Utilice políticas de cambio periódico de
contraseñas y complejidad (mínimo de ocho
16. Solución - Tecnología
Algunas Herramientas de Clase
Mundial
Segmentación Firewall y Servidores de Automatización Directorios de
Antivirus
de la red Seguridad Aplicaciones de Backups Servicios
• Switches capa • ISA Server • Microsoft IIS • ESET NOD32 y • Symantec • Microsoft Active
3 con VLANS • Linux IP Tables • Oracle Smart Security Backup Exec Directory
• 3COM • Astaro ASG Weblogic • Kaspersky • Bacula • OpenLDAP
• CISCO • IBM Business • ntbackup • Novell
• Linksys WebSphere Space Security eDirectory
17. GRACIAS POR SU TIEMPO
Para cualquier duda, me puede contactar en:
camilo.bustamante@lantech.com.co
www.lantech.com.co
Lantech S.A.
Expertos en Seguridad Informática