Capacitación en Seguridad de Información

Noviembre del 2012

Agenda1. Por qué es importante la Seguridad de la Información

a) ¿Qué nos regula?b) ¿Qué es un Activo de información?c) ¿Cuáles son los recursos a proteger?d) Objetivo de la Seguridad de Informacióne) Pilares de la seguridad de la información

2. Amenazas comunesa) ¿Qué es Ingeniería Social?b) ¿Cómo nos afecta la perdida de seguridad de la información?

3. Tratamiento de Riesgosa) Definición de Controlb) Política del SIG

4. CONTINUIDAD DEL NEGOCIOa) ¿A que nos enfrentamos?b) Alcance del Plan de Continuidad

5. SALVAGUARDAS - Medidas de acción

1. ¿Por qué es importante la Seguridad de la Información?

Procesos deInformación

Amenazas

Publicado el 2/05/2012

RM N° 129-2012-PCM• Uso obligatorio de la NTP-ISO/IEC 27001:2008 (Sistema de Gestión de

Seguridad de Información), cuyos controles deberán ser implementados según NTP-ISO/IEC 17799:2007 (Código de buenas prácticas para la gestión de la seguridad de la información), en todas las entidades integrantes del Sistema Nacional de Informática.

• Implementación Progresiva. Fase 1 en plazo no mayor de 45 días.

• Designación de un Coordinador que hará las veces de Oficial de Seguridad de Información, mediante resolución del Titular de la Entidad.

1.a. ¿Qué nos regula?

¿Para qué un Sistema de Gestión de Seguridad de la Información?

El propósito de un SGSI es garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías

1.b. ¿Qué es un Activo de información?

Es aquello que es o contiene información y por lo tanto requiere protección:

Documentos en papel: contratos, guíasSoftware: aplicativos y software de sistemasDispositivos físicos: computadoras, medios removiblesPersonas: clientes, personal, etc.Imagen y reputación de la Institución: marcaServicios: comunicaciones, internet, energía.

1.c. Objetivo de la Seguridad de Información

• Asegurar la continuidad de las operaciones de la Institución

• Minimizar los daños a la organización en caso de pérdida o revelación no autorizada de información.

• Mantener la imagen institucional

1.d. Pilares de la seguridad de la información

Acceso cuando sea requerido

DisponibilidadSólo acceden quienes están autorizados.

Confidencialidad

La información y su procesamiento son

exactos y completos.

Integridad

Información

La Seguridad de la Información se logra sobre la base de 03 premisas fundamentales:

“La seguridad de la información se consigue implantando un conjunto adecuado de controles”. NTP-ISO/IEC 17799:2007.

2. Amenazas comunes

• Divulgación de información por email• Sabotaje• Terrorismo• Hackers• Ingeniería Social

3.a. El Sistema Integrado de Gestión

• Actuar con autonomía, transparencia y equidad; brindando un servicio oportuno y de calidad.

• Prevenir la contaminación ambiental y controlar los impactos generados por nuestras actividades, utilizando eficientemente los recursos naturales.

• Prevenir los daños y deterioro de la salud de los trabajadores y terceros. Controlar los riesgos relacionados con la SST generados por nuestras actividades.

• Cumplir con el marco normativo vigente y otros aplicables.• Asegurar la confidencialidad, integridad y disponibilidad de los activos

de información relevantes, mediante la gestión de riesgos, implementación de controles y mediciones de la seguridad de la información.

• Promover la formación y toma de conciencia del personal y la mejora continua del desempeño del SIG

3.b. Política del SIG

Gerencia / Área # Procesos Nombre de Procesos SeleccionadosOficina de Sistemas (OS) 1 Gestión documentaria

Gerencia de Fiscalización de Gas Natural (GFGN) 1 Supervisión de la comercialización en los establecimientos de

venta al público de GNV

Gerencia de Fiscalización Eléctrica (GFE) 21) Supervisión de interrupciones en instalaciones eléctricas de

media tensión.2) Supervisión de verificación de la disponibilidad y estado

operativo de las unidades de generación del SEIN.

Secretaría Técnica de Órganos Resolutivos (STOR) 2

1) Atención de apelaciones de reclamos de los usuarios de los servicios públicos de electricidad y gas natural por red de ductos.

2) Atención de quejas referidas a reclamos de los usuarios de los servicios públicos de electricidad y gas natural por red de ductos.

Gerencia Adjunta de Regulación Tarifaria (GART) 2

1) Determinación del Factor de Recargo y del Programa de Transferencias del FOSE.

2) Revisión de Pliegos Tarifarios de Distribución Eléctrica.

Gerencia de Fiscalización de Hidrocarburos Líquidos (GFHL) 2

1) Solicitudes de modificación de datos en el registro de hidrocarburos.

2) Generación y Habilitación de Usuarios y Contraseñas SCOP.

3.c. Alcance Actual del SGI

4. CONTINUIDAD DEL NEGOCIO

¿A que nos enfrentamos?

Sismo / Terremoto Incendio

Indisponibilidad de los Sistemasde Información

Terrorismo

Huelgas / Manifestaciones

Proceso 1 Proceso 2 Proceso 3 Proceso 10

Proveedores / Terceros

Suministros

Edificios / Infraestructura

Tecnología

Personas y Conocimientos

…

Alcance del Plan de Continuidad

Plan de Recuperación

(OS)

Plan de Continuidad del Negocio

Planes de Emergencia

(ASAM)

Planes de Contingencia(LOGÍSTICA)

Planes de Comunicación (INT y EX (OC))

Planes de Contingencia o

Continuidad(PROVEEDORES)

1. Solicitudes de modificación de datos en el registro de hidrocarburos (GFHL).

2. Generación y Habilitación de Usuarios y Contraseñas SCOP (GFHL).

3. Gestión documentaria (OS).4. Supervisión de la comercialización en los establecimientos

de venta al público de GNV (GFGN).5. Supervisión de interrupciones en instalaciones eléctricas de

media tensión (GFE). 6. Supervisión de verificación de la disponibilidad y estado

operativo de las unidades de generación del SEIN (GFE).7. Atención de apelaciones de reclamos de los usuarios de los

servicios públicos de electricidad y gas natural por red de ductos (STOR).

8. Atención de quejas referidas a reclamos de los usuarios de los servicios públicos de electricidad y gas natural por red de ductos (STOR).

9. Determinación del Factor de Recargo y del Programa de Transferencias del FOSE (GART)

10. Revisión de Pliegos Tarifarios de Distribución Eléctrica (GART)

5. SALVAGUARDASMedidas de acción

• Dispositivos móviles

• Eliminar los correos antiguos• Sincronizar el contenido, como

videos y fotos en la PC y luego eliminarlo.

• Nunca conectarse a redes WIFI no confiables

• En medida de lo posible, encriptar el teléfono

• Es bueno usar encriptación WAP2.

• No conectarse a redes inalámbricas EXTERNAS a las instalaciones de OSINERGMIN

• Cambiar el nombre de la conexión inalámbrica en sus hogares

• No usar moden usb o smatphone como modem al mismo tiempo que se tiene una conexión OSINERGMIN

• Desconectar el Access Point cuando no este en uso.

• Consideraciones de conexiones inalámbricas

• Tener al menos ocho caracteres• Combinar letras mayúsculas, minúsculas, números y símbolos• No usar una palabra común o nombre, ni una variación parecida.• Incluya sustituciones de aspecto similar, como el número cero en lugar

de la letra 'O' o el símbolo '$' en lugar de la letra 'S'.• Incluya sustituciones fonéticas, como 'es3ado' por 'estresado‘. • No utilice información personal en la contraseña (como su nombre,

fecha de nacimiento, nombre de la esposa, etc.)• No utilice patrones de teclado (asdf) ni números en secuencia (1234).• No escriba nunca su contraseña.• No envíe nunca su contraseña en un mensaje de correo electrónico o de

chat.

• Proteger las Contraseñas

Escogemos una frase que nos recordemos:

“En Osinergmin brindamos servicio de calidad 24 horas”

Escogemos sólo las primeras letras mayúsculas , minúsculas y los números… entonces quedaría:

EObsdc24h Si cambiamos algunas letras parecidas a otros caracteres como la ‘$’ por ‘s’ y por el número ‘0’ por la letra ‘O’ quedaría

E0b$dc24h

Reglas nemotécnicas para crear Contraseñas seguras

• Bloquear pantalla

Cuando: - Se va a una reunión- A recoger las impresiones- Cuando se va al sitio de

un compañero- Escritorio limpio

• Proteger las cuentas de correo - Sea celoso con su correo, no lo

comparta- No reenvié las cadenas, hay gente

que recolecta los correos- Suscríbase a Indecopi

http://systems.indecopi.gob.pe/noinsista/home.seam

- De sus correos personales puede reportar a antispam@indecopi.gob.pe

- De sus correos OSINERGMIN puede reportar a HelpDesk

• Protección contra el Phishing- NUNCA responda a NINGUNA

solicitud de información personal a través de correo electrónico

- Las entidades u organismos NUNCA le solicitan contraseñas, números de tarjeta de crédito o cualquier información personal por correo electrónico, por teléfono o SMS.

- Para visitar sitios Web, teclee la dirección URL en la barra de direcciones. NUNCA POR ENLACES PROCEDENTES DE CUALQUIER SITIO.

• Utilice software legal y autorizado por OS

- Utilice solamente software autorizado para garantizar que no existas fallas por incompatibilidad o virus en los sistemas

- Recuerde que cualquier anomalía o incidencia reportarlo a Mesa de ayuda al 1164 para que puedan darle el tratamiento adecuado

Procedimiento de solicitud de accesos

Políticas Específicas de Seguridad de Información

Colabore con las actividades del logro de la certificación ISO

27001 para OSINERGMIN

Gracias

La Seguridad inicia y finaliza con las personas