Aspectos éticos y_legales_asociados_a_la_información_digital_seguridad_de_la_información
Transcript of Aspectos éticos y_legales_asociados_a_la_información_digital_seguridad_de_la_información
SEGURIDAD DE LA INFORMACIÓNEl caso “Bibliotecas”
Andrés Camilo Bustamante – Lantech S.A.
Agenda
Seguridad Informática: Los Riesgos ¿Qué hacer? ¿Cómo hacerlo?
Duración: 8 minutos
Seguridad de la Información
¿Qué es la seguridad de la información? Intuitivamente sabemos que se trata de mecanismos para
gestionar los riesgos
Específicamente se trata de la preservación de la Integridad Confidencialidad Disponibilidad
Para preservar estos atributos es necesaria una mezcla de Políticas organizacionales Procedimientos administrativos Controles tecnológicos
¿Qué pasa si no le damos la importancia suficiente? Aumentamos el riesgo de exponer a nuestros
usuarios y empleados a problemas de:
Suplantación de identidad Robo de información personal Uso indiscriminado y fraudulento de sus datos personales con fines comerciales
Riesgos
Riesgos
¿Qué pasa si no le damos la importancia suficiente? Aumentamos el riesgo de incurrir en la
violación de acuerdos o contratos de licenciamiento de bases de datos de investigación o de consulta controlada con consecuencias económicas o legales
Riesgos
¿Qué pasa si no le damos la importancia suficiente? Aumentamos el riesgo de prestar la
plataforma computacional para fines diferentes a los intereses de la biblioteca, incluso fines poco éticos o hasta fraudulentos.
Riesgos
En general se afecta la reputación de la institución y sus consecuencias pueden ser:
Legales Económicas Sociales
(credibilidad)
USUARIOS/COMUNIDA
D
PROVEEDORES
EMPLEADOSBIBLIOTECA
PATROCINADORES
¿Qué hacemos?
Entonces…
Solución
¿Qué se puede hacer?1. Elaborar un inventario de los activos de
información2. Definir una política de tratamiento de
riesgo3. Establecer un conjunto de políticas de
seguridad4. Implementar controles tecnológicos5. Definir procedimientos administrativos
para controlar el riesgo
Inventario de Activos•Físicos (colecciones físicas)•Bases de datos•Hardware y Software
Tratamiento del Riesgo•Minimizar: tomar acciones para disminuir la probabilidad o la consecuencia•Asumir: aceptar el riesgo cuando se concrete•Transferir: un tercero asumirá la responsabilidad de gestionar este riesgo
Políticas de Seguridad•Políticas de uso de Internet•Políticas de Antivius, Email, Firewall, Proxy•Políticas de cuenta de usuarios•Políticas de backup
Controles Tecnológicos•Implementación de DMZ, control de acceso, filtro de contenido•Administración de plataforma Antivirus•Gestión de cuentas de usuario•Administración y operación de backup
Procedimientos•Capacitaciones y divulgación•Auditorias•Reportes de no conformidades
SGSISistema deGestión deSeguridad
de laInformación
¿Cómo lo hacemos?
Entonces…
Solución - Metodología
Se requieren conocimientos especializados. Piense en la siguiente estrategia: Primera fase - Consultoría: Normas tipo ISO
27000 y COBIT. Consultor para simplificarlas y extraer lo realmente necesario (riesgos y controles)
Segunda Fase – Definición: Especificación de Políticas y Procedimientos. Esto se hace en lenguaje del negocio, no necesariamente se usa lenguaje técnico.
Tercera Fase – Implementación: Implementación de soluciones tecnológicas para aplicar las políticas. Tercerización de la operación: Administración de Redes y Mesa de Ayuda.
De políticas y tecnología
Algunos detalles…
Solución - Políticas
Defina por lo menos las siguientes políticas: backup, cuentas de usuario, uso de email, uso de internet y uso de estaciones de trabajo
Si no están escritas, las políticas no podrán ser difundidas
Revise sus políticas con periodicidad y verifique que los controles están activados
Asegúrese de que esté claramente especificada la consecuencia de la violación de una política.
Escriba su política de privacidad respecto a la protección que le brindará a los datos de sus usuarios y hágala conocer. Sea realista y limite su responsabilidad razonablemente.
Solución - Tecnología
Segmente su red en administrativa, pública (usuarios) y servidores
Proteja sus servidores con Firewalls perimetrales No permita conexiones directas a las bases de
datos. Prefiera aplicaciones Web o de múltiples capas.
Mantenga actualizada su plataforma antivirus en toda la red
Automatice las tareas de backup Utilice políticas de cambio periódico de
contraseñas y complejidad (mínimo de ocho caracteres)
Solución - Tecnología
Segmentación de la red
•Switches capa 3 con VLANS•3COM•CISCO•Linksys
Firewall y Seguridad
•ISA Server•Linux IP Tables•Astaro ASG
Servidores de Aplicaciones
•Microsoft IIS•Oracle Weblogic•IBM WebSphere
Antivirus
•ESET NOD32 y Smart Security•Kaspersky Business Space Security
Automatización de Backups
•Symantec Backup Exec•Bacula•ntbackup
Directorios de Servicios
•Microsoft Active Directory•OpenLDAP•Novell eDirectory
Algunas Herramientas de Clase Mundial
GRACIAS POR SU TIEMPO
Para cualquier duda, me puede contactar en:
Lantech S.A.
Expertos en Seguridad Informática