2. PORQUÉ HABLAR DE LA SEGURIDAD
DE LA INFORMACIÓN?
Porque el negocio se sustenta a partir
de la información que maneja.....
3. Estrategia de
negocio
Funciones y procesos de
negocio
ACTIVIDADES DE LA EMPRESA
Diseño y ejecución de
acciones para conseguir
objetivo
Planificación de
Objetivos
Control (de resultados de
acciones contra objetivos)
Sistemas de
Información
Registro de
transacciones
Entorno
Transacciones
ORGANIZACION
4. Porque no sólo es un tema Tecnológico.
Porque la institución no cuenta con Políticas
de Seguridad de la Información formalmente
aceptadas y conocidas por todos.
5. CULTURA de la seguridad
, responsabilidad de TODOS
ACTITUD proactiva,
Investigación permanente
6.
Porque la seguridad tiene un
costo, pero la INSEGURIDAD tiene un
costo mayor.
“Ninguna medicina es útil a menos
que el paciente la tome”
¿ Entonces, por donde partir?........
7. RECONOCER LOS ACTIVOS DE
INFORMACIÓN IMPORTANTES PARA LA
INSTITUCIÓN..
Información propiamente tal : bases de
datos, archivos, conocimiento de las
personas
Documentos:
contratos, manuales, facturas, pagarés, solicit
udes de créditos.
Software: aplicaciones, sistemas
operativos, utilitarios.
Físicos: equipos, edificios, redes
Recursos humanos: empleados internos y
externos
8. RECONOCER LAS AMENAZAS A QUE ESTÁN
EXPUESTOS...
Amenaza:” evento con el potencial de afectar
negativamente la Confidencialidad, Integridad o
Disponibilidad de los Activos de Información”.
Ejemplos:
Desastres naturales (terremotos, inundaciones)
Errores humanos
Fallas de Hardware y/o Software
Fallas de servicios (electricidad)
Robo
9. RECONOCER LAS VULNERABILIDADES
Vulnerabilidad: “ una debilidad que facilita la
materialización de una amenaza”
Ejemplos:
Inexistencia
de procedimientos de trabajo
Concentración de funciones en una sola persona
Infraestructura insuficiente
10. IDENTIFICACIÓN DE RIESGOS
Riesgo: “ La posibilidad de que una amenaza
en particular explote una vulnerabilidad y
afecte un activo”
Que debe analizarse?
El
impacto (leve ,moderado,grave)
La probabilidad (baja, media, alta)
11. CONTEXTO GENERAL DE SEGURIDAD
valoran
Propietarios
Quieren minimizar
definen
Salvaguardas
Pueden tener
conciencia de
Amenazas
Que pueden
tener
explotan
RIESGO
RECURSOS
Reducen
Vulnerabili
dades
Permiten o
facilitan
Daño
12. PRINCIPALES PROBLEMAS:
No se entienden o no se cuantifican las amenazas
de seguridad y las vulnerabilidades.
No se puede medir la severidad y la probabilidad
de los riesgos.
Se inicia el análisis con una noción preconcebida
de que el costo de los controles será excesivo o
que la seguridad tecnológica no existe.
Se cree que la solución de seguridad interferirá con
el rendimiento o apariencia del producto o servicio
del negocio.
13. ESTÁNDARES DE SEGURIDAD
Normas Internacionales de seguridad
Proporcionan un conjunto de buenas prácticas en
gestión de seguridad de la información:
Ejemplos ISO/IEC 17799,COBIT,ISO 15408
Se ha homologado a la realidad Chilena
NCh2777 la ISO 17799 que tiene la bondad de
ser transversal a las organizaciones , abarcando
la seguridad como un problema integral y no
meramente técnico.
Ley 19.233 sobre delitos informáticos.
Ley 19.628 sobre protección de los datos
personales.
Ley 19.799 sobre firma electrónica
14. ¿QUÉ ES UNA POLÍTICA?
Conjunto de orientaciones o directrices
que rigen la actuación de una persona o
entidad en un asunto o campo
determinado.
¿Qué es una Política de
Seguridad?
Conjunto de directrices que permiten
resguardar los activos de información .
15. ¿CÓMO DEBE SER LA POLÍTICA DE SEGURIDAD?
Definir la postura del Directorio y de la gerencia
con respecto a la necesidad de proteger la
información corporativa.
Rayar la cancha con respecto al uso de los
recursos de información.
Definir la base para la estructura de seguridad de
la organización.
Ser un documento de apoyo a la gestión de
seguridad informática.
Tener larga vigencia , manteniéndose sin grandes
cambios en el tiempo.
16.
Ser general , sin comprometerse con tecnologías
específicas.
Debe abarcar toda la organización
Debe ser clara y evitar confuciones
No debe generar nuevos problemas
Debe permitir clasificar la información en
confidencial, uso interno o pública.
Debe identificar claramente funciones específicas
de los empleados como : responsables, custodio o
usuario , que permitan proteger la información.
17. QUÉ DEBE CONTENER UNA POLÍTICA DE
SEGURIDAD DE LA INFORMACIÓN?
Políticas específicas
Procedimientos
Estándares o prácticas
Estructura organizacional
18. POLÍTICAS ESPECÍFICAS
Definen en detalle aspectos específicos que regulan el
uso de los recursos de información y están más
afectas a cambios en el tiempo que la política general.
Ejemplo:
Política de uso de Correo Electrónico:
Definición del tipo de uso aceptado: “El servicio de correo
electrónico se proporciona para que los empleados realicen
funciones propias del negocio,cualquier uso personal deberá
limitarse al mínimo posible”
Prohibiciones expresas: “ Se prohíbe el envío de mensajes
ofensivos”. “ Deberá evitarse el envío de archivos peligrosos”
Declaración de intención de monitorear su uso: “La empresa podrá
monitorear el uso de los correos en caso que se sospeche del mal
uso”
19. PROCEDIMIENTO
Define los pasos para realizar una actividad
Evita que se aplique criterio personal.
Ejemplo:
Procedimiento de Alta de Usuarios:
1.- Cada vez que se contrate a una persona , su jefe directo
debe enviar al Adminsitrador de Privilegios una solicitud
formal de creación de cuenta, identificando claramente los
sistemas a los cuales tendrá accesos y tipos de privilegios.
2.-El Administrador de privilegios debe validar que la
solicitud formal recibida indique: fecha de ingreso,perfil del
usuario, nombre , rut, sección o unidad a la que pertenece.
3.- El Administrador de privilegios creará la cuenta del
usuario a través del Sistema de Administración de
privilegios y asignará una clave inicial para que el usuario
acceda inicialmente.
4.- El Administrados de privilegios formalizará la creación
de la cuenta al usuario e instruirá sobre su uso.
20. ESTÁNDAR
En muchos casos depende de la tecnología
Se debe actualizar periódicamente
Ejemplo:
Estándar de Instalación de PC:
Tipo de máquina:
Registro:
Para plataforma de Caja debe utilizarse máquinas Lanix
Para otras plataformas debe utilizarse máquinas Compaq o HP.
Procesador Pentium IV , con disco duro de 40 GB y memoria Ram 253
MB
Cada máquina instalada debe ser registrada en catastro computacional
identificando los números de serie de componente y llenar formulario
de traslado de activo fijo
Condiciones electricas:
Todo equipo computacional debe conectarse a la red electrica
computacional y estar provisto de enchufes MAGIC
21. QUE SE DEBE TENER EN CUENTA
Objetivo: qué se desea lograr
Alcance: qué es lo que protegerá y qué áreas
serán afectadas
Definiciones: aclarar terminos utilizados
Responsabilidades: Qué debe y no debe hacer
cada persona
Revisión: cómo será monitoreado el cumplimiento
Aplicabilidad: En qué casos será aplicable
Referencias: documentos complementarios
Sanciones e incentivos
22. CICLO DE VIDA DEL PROYECTO
Creación
Colaboración
Publicación
Educación
Cumplimiento
Enfoque
Metodológico
23. POLÍTICAS DE SEGURIDAD Y CONTROLES
Los controles son mecanismos que ayudan a
cumplir con lo definido en las políticas
Si no se tienen políticas claras , no se sabrá qué
controlar.
Orientación de los controles:
PREVENIR la ocurrencia de una amenaza
DETECTAR la ocurrencia de una amenaza
RECUPERAR las condiciones ideales de funcionamiento
una vez que se ha producido un evento indeseado.
24. EJEMPLO:MODELO SEGURIDAD
INFORMÁTICA (MSI) A PARTIR DE
POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN INSTITUCIONALES
Estructura del modelo adoptado:
Gestión
IT (Tecnologías de Información)
Operaciones IT
Para cada estructura incorpora
documentación asociada como políticas
específicas, procedimientos y
estándares.
25. GESTIÓN IT
Objetivo: contar con procedimientos formales
que permitan realizar adecuadamente la
planeación y desarrollo del plan informático.
Contiene:
Objetivo
y estrategia institucional
Plan Informático y comité informática
Metodología de Desarrollo y Mantención
26. OPERACIONES IT
Objetivo: Contar conprocedimientos formales para
asegurar la operación normal de los Sistemas de
Información y uso de recursos tecnológicos que
sustentan la operación del negocio.
Contiene:
Seguridad Física sala servidores
Control de acceso a la sala
Alarmas y extinción de incendios
Aire acondicionado y control de temperaturas
UPS
Piso y red electrica
Contratos de mantención
Contratos proveedores de servicios
27. Respaldos
y recuperación de información:
Ficha
de servidores
Política Respaldos:
diarios,semanales,mensuales, históricos
Bases de datos, correo electrónico, datos de
usuarios, softawre de aplicaciones, sistemas operativos.
Administración
Cintoteca:
Rotulación
Custodia
Requerimientos, rotación y caduciddad de cintas.
Administración
programas
de licencias de software y
28.
Seguridad de Networking:
Características y topología de la Red
Estandarización de componentes de red
Seguridad física de sites de comunicaciones
Seguridad y respaldo de enlaces
Seguridad y control de accesos de equipos de
comunicaciones
Plan de direcciones IP
Control de seguridad WEB
Control y políticas de adminsitración de Antivirus
Configuración
Actualización
Reportes
29.
Traspaso de aplicaciones al ambiente de explotación
Definición de ambientes
Definición de datos de prueba
Adminsitración de versiones de sistema de aplicaciones
Programas fuentes
Programas ejecutables
Compilación de programas
Testing:
Responsables y encargados de pruebas
Pruebas de funcionalidad
Pruebas de integridad
Instalación de aplicaciones
Asignación de responsabilidades de harware y software para
usuarios
30.
Creación y eliminación de usuarios :
Internet, Correo electrónico
Administración de privilegios de acceso a sistemas
Administración y rotación de password:
Caducidad de password
Definición de tipo y largo de password
Password de red , sistemas
Password protectores de pantalla, arranque PC
Fechas y tiempos de caducidad de usuarios
Controles de uso de espacio en disco en serviodres
Adquisición y administración equipamiento usuarios:
Política de adquisiciones
Catastro computacional
Contrato proveedores equipamiento
31. CONCLUSIONES
La Información es uno de los activos mas
valiosos de la organización
Las Políticas de seguridad permiten disminuir
los riesgos
Las políticas de seguridad no abordan sólo
aspectos tecnológicos
El compromiso e involucramiento de todos es
la premisa básica para que sea real.
La seguridad es una inversión y no un gasto.
No existe nada 100% seguro
Exige evaluación permanente.
32.
La clave es encontrar el justo equilibrio
de acuerdo al giro de cada negocio que
permita mantener controlado el
RIESGO.