Seguridad de Información -ArCert

Seguridad de la Información

Fundamentos de la Seguridadde la Información

Fundamentos de la Seguridad de la Información

2

Temario

Amenazas a la Seguridad de la Información

Confidencialidad Integridad Disponibilidad Incidentes de seguridad Políticas de Seguridad de la Información Normas vigentes


3

¿Qué se debe Asegurar?

La información debe considerarse

un activo importante con el que cuentan las Organizaciones

para satisfacer sus objetivos, razón por la cual, tiene un alto

valor para las mismas y es crítica para su desempeño y

subsistencia.Por tal motivo, al igual que el resto de los activos organizacionales, debe asegurarse que esté debidamente

protegida.


4

¿Contra qué se debe proteger la información?

(destrucción parcial o total por incendio inundaciones, eventos eléctricos y otros)

como de orden deliberado, tal como fraude, espionaje, sabotaje, vandalismo,

etc.

Las “buenas prácticas” en Seguridad de la

Información, protegen a ésta contra una amplia

gama de amenazas, tanto de orden fortuito


5

Vulnerabilidades y Amenazas

Una vulnerabilidad es una debilidad en un activo.

Una amenaza es una violación potencial de la seguridad. No es necesario que la violación ocurra para que la amenaza exista. Las amenazas “explotan” vulnerabilidades.


6

Amenazas

AMENAZAS

Maliciosas

No Maliciosas

Internas

Impericia

Humanas

Externas

IncendiosTerremotosInundaciones

Naturales


7

¿Qué se debe garantizar?

Se garantiza que la información es accesible sólo a aquellas personas autorizadas.

1. CONFIDENCIALIDAD


8


2. INTEGRIDAD

Se salvaguarda la exactitud y totalidad de la información y los métodos de procesamiento y transmisión.


9


Se garantiza que los usuarios autorizados tienen acceso a la información y a los recursos relacionados toda vez que lo requieran.

3. DISPONIBILIDAD


10

Incidente

Un incidente de seguridad, es un evento adverso que puede afectar a un sistema o red de computadoras.

Puede ser causado por unafalla en algún mecanismo de seguridad, un intento o amenaza (concretada o no) de romper mecanismos de seguridad, etc.


11

Algunos Incidentes

1 2

43


12

¿Por qué Aumentan las Amenazas?

Mayor dependencia de los Sistemas, Servicios de Información y de tecnologías asociadas.

Crecimiento exponencial de las Redes y Usuarios Interconectados

Profusión de las Bases de Datos en-línea

Inmadurez de las Nuevas Tecnologías

Alta disponibilidad de Herramientas Automatizadas para Ataques a la Seguridad

AlgunasCausas


13

¿Por qué Aumentan las Amenazas?

Nuevas Técnicas de Ataque Distribuido (Ej:Denegación de Servicio)

Técnicas de Ingeniería Social

Falta o insuficiencia de capacitación

Rentabilidad de los ataques

AlgunasCausas


14

¿Qué es el riesgo?

Es la probabilidad o posibilidad de que ocurra un acontecimiento indeseado o se realice una acción no deseada de modo que afecte negativamente a la organización, a sus activos y/o a la consecución de sus fines, objetivos y resultados.


15

Política de seguridadde la información (PSI)


16

Aumento de los niveles de seguridad en las organizaciones

La implementación de una “PSI”, le permite a las Organizaciones cumplir una gestión efectiva de los recursos de información críticos e instalar y administrar los mecanismos de protección adecuados, determinando qué conductas son permitidas y cuáles no.

Esto redundará en una efectiva reducción de los niveles de riesgo y de las vulnerabilidades, lo cual, en definitiva, se traduce en ahorro de tiempo y dinero, genera mayor confianza y un fortalecimiento de la imagen institucional.

PSI


17

Planificación de actividadesA través de la actuación de distintos actores las Organizaciones pueden armar una efectiva planificación de las actividades a desarrollar, con el objetivo de hacer más seguros sus sistemas.

Esto es importante pues no sólo asegura que se abarquen todas las áreas relevantes, si no también el cumplimiento de los objetivos.

Mejora ContinuaLa PSI describe, no solamente los aspectos a tener en cuenta en el proceso del alcance de los objetivos en materia de Seguridad de la Información, sino también los criterios de revisión y mejora continua para mantenerlos.

PSI


18

PSI

InvolucramientoUd. es muy importante para la organización, y como tal debe involucrarse en el cumplimiento de la PSI.

ConocimientoEs necesario que ud. conozca y comprenda la PSI de su Organización.


19

Leyes y Normas Vigentes


20

La PSI permite alinear los esfuerzos y recursos dispuestos en la organización acorde a las normativas generales o particulares que la alcance.

Cumplimiento de Normas

Además existen otras normas respecto al tratamiento de la información, como por ejemplo la Ley de Protección de Datos Personales, Ley de Derecho de Autor, de Firma Digital, etc.


21

DA 669/2004

Todos los organismos de la APN deben contar con:

Una PSI aprobada e implementada.

Un responsable de seguridad informática.

Un comité de seguridad de la información para el tratamiento de dichos temas.


22

Obligaciones de los funcionarios públicos Ley 25.164

Observar el deber de fidelidad y guardar la discreción correspondiente o la reserva absoluta, en su caso, de todo asunto del servicio que así lo requiera.

Hacer uso indebido o con fines particulares del patrimonio estatal.

Protección de la Información

en la APN


23

Obligaciones de los funcionarios públicos Ley 25.188

Abstenerse de utilizar información adquirida en el cumplimiento de sus funciones para realizar actividades no relacionadas con sus tareas oficiales o de permitir su uso en beneficio de intereses privados.

Proteger y conservar la propiedad del Estado y sólo emplear sus bienes con los fines autorizados.

Prevención de uso no adecuado de recursos informáticos en la APN


24

Mediante un procedimiento formal, tomar conocimiento de los datos a ella referidos y de su finalidad, que consten en Registros o Bancos de Datos Públicos o los Privados destinados a proveer informes, ...

TODA PERSONA PUEDE ...

Protección de Datos PersonalesConstitución Nacional - Art. 43

”

“


25

Dato personal Toda información relativa a una persona física o

jurídica

Requisitos para el tratamiento de datos personales

Consentimiento libre, expreso e informado del Titular de los datos

Existen algunas excepciones al consentimiento, tales como DNI, Nombre, ocupación, domicilio, etc.

Derechos del titular Controlar el tratamiento de sus datos

personales Acceder a sus datos personales

contenidos en archivos de terceros Solicitar supresión, actualización o

corrección de sus datos personales

Protección de Datos PersonalesLey 25.326


26

... Las obras científicas, literarias y artísticas comprenden los escritos de toda naturaleza y extensión, entre ellos los programas de computación, fuente, objeto ...

Ley N° 11.723/25.036Propiedad Intelectual

”

“


27

¿Qué protege? Los derechos de autor de los programas de

computación fuente y objeto; las compilaciones de datos o de otros materiales.

Consecuencias Los funcionarios públicos únicamente podrán

utilizar material autorizado por el Organismo. El Organismo solo podrá autorizar el uso

de material conforme los términos y condiciones de las licencias de uso.

La infracción a estos derechos puede tener como resultado acciones legales que podrían derivar en demandas penales.

Ley N11.723/25.036Propiedad Intelectual


28

Documento Digital... Representación digital de actos

o hechos con independencia del soporte utilizado para su fijación, almacenamiento o archivo ...

Firma Digital... Resultado de aplicar a un documento digital

un procedimiento matemático que requiere información de exclusivo conocimiento del firmante

Ley N° 25.506 – Firma Digital

Se reconoce la eficacia jurídica al empleo de la Firma Digital.

Seguridad de Información -ArCert

Education

Transcript of Seguridad de Información -ArCert