02. Introducción a la Seguridad de la Información
-
Upload
cesar-iparraguirre -
Category
Documents
-
view
213 -
download
0
description
Transcript of 02. Introducción a la Seguridad de la Información
-
2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.
Fundamentos de la Norma ISO
27001 para la Gestin de la
Seguridad de la Informacin
Mdulo 2 Introduccin a la Seguridad de la Informacin
Expositor: Vctor Reyna Vargas
Ingeniero de Sistemas
1
-
2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.
Agenda
El predicamento de Mike.
Importancia de la Seguridad de la Informacin.
2
-
2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor. 3
Mike, nuevo Gerente de Seguridad de la Informacin en
Space Scan Corp.
-
2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor. 4
Hola, soy Mike.
Hola Mike, soy Michelle. Soy
la secretaria del Gerente
General, John Campbell.
Hola Michelle.
As es.
Gracias Michelle.
De nada.
John te estar recibiendo
hoy a las 3 de la tarde.
Mike, John solicit una
reunin contigo para discutir
las nuevas estrategias de
seguridad de la informacin?
En la oficina de Mike
-
2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.
En la oficina de John Campbell (1)
5
Hola Mike, que gusto tenerte
en la empresa. Te gusta tu
nuevo trabajo? Gracias. S, me estoy
adaptando.
No soy un experto en
seguridad pero entiendo que
la Seguridad de la
Informacin debe ser como
cualquier otro proceso del
negocio, cierto?
Como debe de ser. T eres
el primer Gerente de
Seguridad de la Informacin
que hemos tenido. Tengo
algunas expectativas que me
gustara compartirte.
As es. No es suficiente
decir que tenemos
antivirus y firewalls.
-
2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.
En la oficina de John Campbell (2)
6
Excelente. Ests en lo cierto.
Permteme hacerlo simple,
necesitamos Seguridad de la
Informacin por 3 motivos.
Primero. Para proteger
nuevos secretos de negocio
de nuestros competidores,
ladrones e incidentes o
accidentes.
Segundo. Para estar del lado
correcto de la ley. Una buena
Seguridad de la Informacin
satisface requerimientos
regulatorios y de privacidad.
Tercero. Para satisfacer a
nuestros clientes y darles la
confianza de que su
informacin est segura con
nosotros. Gracias por hacerlo muy
sencillo y preciso.
-
2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.
Mike y John continan la conversacin
7
Existe algo ms John? As es. Quiero que cada
departamento de esta
organizacin sea parte de la
iniciativa de Seguridad de la
Informacin.
Esto no debera parecer
como si fuera solo tu
problema.
Eso ir a ser un reto? As es. Pienso que la
Seguridad de la Informacin
es responsabilidad de cada
uno de nosotros. Cada
miembro de la fuerza de
trabajo debe saber el valor
de la informacin del negocio
y debe protegerla.
Entiendo que no podemos
tener Seguridad de la
Informacin de la noche a la
maana.
Absolutamente Mike, est en
lo correcto. Pero si tienes un
progreso estable y
consistente yo te apoyar.
Excelente. Es bueno
saber que mi Gerente
General piensa igual a mi.
Estoy de acuerdo pero
pienso que la Seguridad
de la Informacin no es
su prioridad y que podran
no tener mucho tiempo
para ello.
-
2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.
De regreso a la oficina de Mike
8
Bien, la reunin con John
fue buena. Empecemos a
trabajar con lo que l dijo.
Empecemos con esto.
Ya que mi trabajo es
hacer de la Seguridad de
la Informacin un
verdadero proceso del
negocio, primero debo
conocer a todas las
cabezas funcionales del
negocio.
-
2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.
Mike invita a Ian, el Gerente de RRHH, a una reunin(1)
9
Bienvenido Mike.
Gracias por aceptar mi
invitacin Ian.
Ian, me estoy reuniendo con
todos los gerentes de
negocios para entender su
perspectiva acerca de la
proteccin de la informacin
del negocio como parte de
una iniciativa de Seguridad
de la Informacin.
Entiendo. Pienso que es
una buena idea y una
deuda de hace tiempo. Me podras contar acerca de
la informacin valorable que
el departamento de RRHH
almacene y use?
Cmo protegen la privacidad
de estos documentos?
Lo siento, no te entiendo.
Bueno, nosotros
almacenamos un montn
de informacin de los
empleados, como los
nmero de Seguridad
Social, copias de los
registros educativos, etc.
Quiero decir, cmo se
aseguran que estos
documentos no son robados
o mal utilizados porque
contienen informacin
sensible.
-
2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.
Mike invita a Ian, el Gerente de RRHH, a una reunin(2)
10
Bueno, los almacenamos
en un servidor de
archivos.
ycuntas personas tienen acceso a este servidor de
archivos?
Buenopienso que muchos de nosotros.
Bueno, pienso que eso no es
bueno.
Estoy de acuerdo contigo.
Estoy seguro que existen
un montn de esos
puntos dbiles en la
forma cmo manejamos
la informacin. Me
gustara que revisaras y
nos dijeras qu hacer.
Seguro. Tienes un actitud
buena y abierta. Estoy
seguro que podemos
mejorar las cosas.
Un gusto en ayudar Mike.
-
2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.
Seguido Mike se rene con Andrew, el Gerente de
Tecnologas de la Informacin
11
Bienvenido Mike. Creo
que quieres discutir
algunos aspectos de la
Seguridad de la
Informacin conmigo.
Gracias y s Andrew, ests
en lo correcto. Pienso que
Ian tendra que habrtelo
dicho.
Tenemos firewalls,
sistemas de control de
virus, filtros de contenido
y sistemas de deteccin
de intrusos.
Eso est muy bien. Ustedes
revisan regularmente sus
sistemas y dispositivos de
seguridad con pruebas de
penetracin y evaluaciones
de vulnerabilidades?
An no. Qu hay de parches
regulares y actualizaciones
importantes para todos los
sistemas? Bueno, lo hacemos una
vez cada cierto tiempo.
De acuerdo. Y siguen un
proceso de Gestin de
Cambio cuando lo hacen?
Seguro. Me gustara
considerar tus
advertencias en estos
asuntos.
Bueno, no realmente.
Para eso estoy ac.
Bueno, pienso que debemos
usar estos procesos ya que
reducen los riesgos mientras
se actualizan los sistemas.
-
2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.
Ahora Mike se rene con Anna, la Gerente de Finanzas(1)
12
Hola Mike. Escuch que
ests siendo muy proactivo
en la creacin de un buen
sistema de Seguridad de la
Informacin para nuestra
empresa.
Gracias. Pienso que es
un asunto muy
importante.
Yo tambin. De hecho, mi
departamento maneja un
montn de datos financieros
y estoy preocupada acerca
de la firma en que estos
datos se almacenan y usan.
Podras ser ms
especfica?
Bueno, los datos financieros
muchas veces se almacenan
en el mismo servidor de
archivos de los datos de
RHH.
Oh oh, Y piensas que las
personas en el
departamento de RRHH
pueden tener acceso a
estos datos financieros? Bueno, pienso que s
pueden. Bueno, algunos de estos
datos deben ser muy
confidenciales y no
deberan ser vistos por
las personas de RRHH
inclusive. Estoy en lo
cierto?
As es. Nunca lo vi desde
ese punto de vista. Parte de
esta informacin debera ser
vista solo por la alta
gerencia.
-
2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.
Ahora Mike se rene con Anna, la Gerente de Finanzas(2)
13
Cul podra ser el
problema si estos datos
son robados y
destruidos?
Oh!!! Nunca pens en eso.
Podramos ser demandados
y el gobierno podra
imponernos
penalidadesporque la informacin financiera
incluye informacin legal y
regulatoria tambin.
Bueno, entonces tengo
trabajo que hacer
S y tienes mi completo
apoyo.
Muchas gracias. Lo
necesitar.
-
2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.
A continuacin con Marina, la Gerente Administrativa(1)
14
Hola Marina, que bueno que
podamos reunirnos mientras
tomamos un caf. No hay problema Mike.
Las personas estn
hablando ms acerca de
la Seguridad de la
Informacin luego de tus
reuniones con los otros
gerentes.
Gracias. Cuntame acerca
de tu perspectiva en
Seguridad de la Informacin.
De hecho, he visto la
seguridad fsica de la
empresa y estoy
decepcionada con
algunos hechos que he
observado.
Podras compartir alguno de
ellos conmigo?
Claro. Por ejemplo,
nuestros guardias de
seguridad no son
realmente conocedores
de la tecnologa.
Usualmente impiden que
los visitantes ingresen
laptops a nuestras
instalaciones pero no
hacen lo mismo con los
smart-phones. Por qu pasa eso?
-
2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.
A continuacin con Marina, la Gerente Administrativa(2)
15
Es simple Mike. No
distinguen de un celular
de un smartphone. Esa es una seria amenaza.
Un smartphone es tan bueno
como una laptop con Wi-Fi y
Bluetooth habilitados.
As es y tambin he
notado un montn de
empleados que no tienen
cuidado con sus tarjetas
electrnicas de acceso y
las dejan en donde sea. Carambay ves bastantes colados?
Bien, tenemos bastantes
problemas que resolver. As es y estar encantada
de ayudarte donde sea
posible.
S y es bastante
decepcionante ver a los
empleados permitiendo a
otros el ingreso a las
instalaciones siguindolos
al interior de las
instalaciones sin
verificacin.
Gracias Marina.
-
2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.
De regreso a la oficina de Mike
16
Bueno, cada funcin del
negocio tiene diferentes
preocupaciones de
seguridad.
Estoy empezando a
confundirme.
De todas formas, he
conversado con muchos
de los gerentes del
negocio. Maana
escuchar la perspectiva
de los clientes.
-
2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.
Al otro da, Mike est al telfono con Julia Parks, Gerente
General de Redes Denver, cliente de Space Scan (1)
17
Hola, soy Mike, el
Gerente de Seguridad
de la Informacin de
SpaceScan. Estoy
hablando con la
seorita Parks?
Hola Mike, esta es Julia
Parks. Es bueno saber que
SpaceScan tiene un Gerente
de Seguridad de la
Informacin.
Gracias y por qu
dices eso?
Casi todos nuestros
proveedores son serios
respecto a la Seguridad de la
Informacin.
Pero nunca he tenido ese
tipo de consultas de parte de
SpaceScan hasta ahora.
Peridicamente nos
preguntan por nuestras
preocupaciones de
seguridad relacionadas a la
informacin que
compartimos con nuestros
proveedores y vendedores.
Le pido disculpas por
eso y te aseguro que
las cosas van a
cambiar.
-
2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.
Al otro da, Mike est al telfono con Julia Parks, Gerente
General de Redes Denver, cliente de Space Scan (2)
18
Qu otra cosa esperas
en trminos de
Seguridad de la
Informacin de
SpaceScan?
Bueno, podras invertir un
poco de tiempo para
entender nuestras
preocupaciones de
Seguridad de la Informacin
cuando compartamos datos
con ustedes. Tambin, para
reasegurarnos, podras
enviarnos una copia de tus
informes peridicos de
auditorias de seguridad.
Quiero decir, las partes que
nos corresponden.
Julia, te aseguro que
se har. Vers un
enfoque ms proactivo
de SpaceScan en
cuanto a Seguridad de
la Informacin. Que bueno escuchar eso
Mike. Te deseo suerte.
Gracias.
-
2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.
Debido a todo este entusiasmo ahora Mike est un poco
preocupado
19
Vaya!!!
Cada una de las
personas con quien he
conversado tiene
preocupaciones de
Seguridad de la
Informacin.
Pero dichas
preocupaciones son tan
diferentes entre ellas.
Deseara que hubiera
alguien que me ayudara.
Cmo construyo un
Sistema de Gestin de la
Seguridad de la
Informacin que maneje
todas estas
preocupaciones de
Seguridad de la
Informacin?
-
2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.
Agenda
El predicamento de Mike.
Importancia de la Seguridad de la Informacin.
20
-
2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.
Empecemos con la vida personal
Ests en un restaurante.
Decides pagar utilizando tu tarjeta de crdito.
Qu pasa en los 5 minutos desde que das tu tarjeta de crdito al
mozo y su retorno luego de realizar el cargo?
21
-
2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.
No te haz preguntado
Cunta informacin personal tengo?
Cul es el valor de esta informacin personal?
Qu tan bien estoy protegiendo mi informacin personal?
22
-
2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.
Algunos ejemplos reales de informacin personal
23
Nmero de la Tarjeta de
Crdito
Nmero del Pasaporte/Seguro Social
Correo electrnico
Historial laboral
Historial mdico
Estado de cuentas
bancarias/financieras
Historial salarial
Tu informacin personal tiene
un inmenso valor.
Muchas personas no ticas
estn interesadas en obtener
tu informacin.
-
2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.
De hecho, hay una jerga para esto
La jerga para la informacin personal es PII (Personally Identifiable
Information).
Las personas que roban la informacin personal son llamadas
ladrones de identidad.
24
-
2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.
Por qu alguien tratar de robar tu informacin?
Para venderla y ganar dinero.
Para chantajearte y ganar dinero.
Para arruinar tu reputacin.
25
-
2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.
Y el resultado.
Los ladrones de PII te afectan severamente.
Generando trauma mental.
Prdida de dinero y reputacin.
26
-
2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.
Debes proteger tu informacin
La informacin existe en muchas formas.
La informacin tiene un valor en tu vida.
Esta informacin valiosa debe ser protegida.
27
-
2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.
Una definicin
28
La proteccin de la
informacin que es valiosa
se llama Seguridad de la Informacin
Oh Oh!!! Sabio
-
2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.
Seguridad de la Informacin para un negocio
29
Por qu es importante la Seguridad
de la Informacin para un negocio?
Bueno!!! Incluso una tienda
de fideos necesita Seguridad
de la InformacinVeamos por qu?
-
2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.
Veamos un caso de estudio
Imagina que eres el propietario de una tienda de fideos llamada
FIDEOS 2000.
Tu negocio est por ser un franquicia y est creciendo muy bien.
Demos una mirada a la informacin secreta que tu negocio de fideos
tiene.
30
-
2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.
Informacin secreta de tu negocio
31
Las ventas calculadas por da, mes, ao
Volumen de negocios
proyectado
Dnde abrir mi prxima tienda?
Estrategias de marketing
A qu precio compro palillos
a mis proveedores?
La receta secreta de mis
fideos
El proveedor A sabe que le pago menos
que al proveedor B?
-
2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.
Protege la informacin secreta de tu negocio
32
Quin estara
interesado en poner
sus manos en toda
esta informacin?
Tu competencia, por
ejemplo Fideos 2010!!!
-
2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.
En resumen
33
El Negocio
Factores de xito
Calidad de los entregables, entrega a tiempo Seguridad de los datos de los clientes, proteccin de la
propiedad intelectual
Debilidades de Seguridad
Incidentes y accidentes (conocidos y desconocidos)
El Negocio
Confianza de los clientes, sostenibilidad del negocio y prosperidad, mantenimiento de los empleados
Depende de
Puede afectarse
por
Impacta
-
2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.
Tipo de informacin de negocios
34
Existen dos tipos de informacin de negocios
Informacin que es generada por el negocio
Inteligencia de Negocios, Datos Financieros
Cdigos fuente, diseos, documentos, detalles de
productos, etc.
Informacin que el negocio toma de otros
Informacin dada por los clientes
Registros de empleados
-
2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.
Datos financieros
Utilizados para:
Gestionar los ingresos y egresos.
Cumplir requerimientos regulatorios.
Informar a los accionistas acerca de la salud financiera de la empresa.
Su revelacin podra conducir a:
Prdida de ventaja competitiva.
Repercusiones legales.
35
-
2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.
Inteligencia de Negocios
Utilizada para:
Hacer predicciones.
Generar nuevos servicios y productos.
Su revelacin podra conducir a:
Prdida de ventaja competitiva.
Prdida de ingresos, puestos de trabajo, etc.
36
-
2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.
Cdigos fuente, diseos de nuevos productos
Utilizados para:
Crear nuevos productos.
Ser lder en la industria.
Su revelacin podra conducir a:
Prdida de ventaja competitiva.
Prdida de cuota de mercado, ingresos, etc.
37
-
2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.
Datos del cliente
Utilizados para:
Crear nuevos servicios y productos para el cliente.
Su revelacin podra conducir a:
Prdida de negocios/clientes.
Prdida de reputacin.
Prdida de dinero debido a repercusiones legales.
38
-
2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.
Registros de empleados
Utilizados para:
Mantener la base de datos de recursos humanos para propsitos legales y de
negocios.
Su revelacin podra conducir a:
Prdida de privacidad de los empleados y acciones legales.
Prdida de reputacin/dinero.
39
-
2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.
Entonces, por qu es importante la Seguridad de la
Informacin para un negocio?
1. Para mantenernos en el negocio.
2. Para crear ms negocios y generar mayores ingresos.
3. Para preservar la reputacin y mejorarla.
4. Para estar del lado correcto de la ley.
5. Para dar confianza a los clientes, interesados, empleados, socios y
el Gobierno.
40
-
2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.
El reto de la Seguridad de la Informacin para un negocio
Existe demasiada informacin!!!.
La informacin se guarda de muchas formas:
Papel.
Medios electrnicos.
Incluso la Mente Humana.
41
El reto consiste en controlar
la informacin de diferentes
formas, en diferentes
lugares.
-
2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.
La Informacin se almacena y transmite de numerosas
maneras (1)
42
Computadora Internet
Email
Impresora
Archivos
Basura
-
2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.
La Informacin se almacena y transmite de numerosas
maneras (2)
43
Mente humana
Telfono
Interaccin directa
-
2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.
Entonces
El reto consiste en proteger la informacin en diferentes formas y
localizaciones de la divulgacin no autorizada.
Las amenazas son:
Eliminacin o destruccin accidental.
Defraudadores (hackers, etc).
Competencia.
Desastres naturales.
44
-
2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.
La solucin
Un bien diseado Sistema de Gestin de la Seguridad de la
Informacin (SGSI).
Un SGSI utiliza los procesos y la tecnologa para proteger la
informacin del negocio lo mejor posible de las amenazas ms
relevantes.
45
-
2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.
Taller 01: Importancia de la
Seguridad de la Informacin
46
-
2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.
Fin de la Presentacin
47