SEGURIDAD DE LA INFORMACIÓN

Porqué hablar de la Seguridad de la Información?

♦ Porque el negocio se sustenta a partir de la información que maneja.....

♦ Porque no sólo es un tema Tecnológico.♦ Porque la institución no cuenta con

Políticas de Seguridad de la Información formalmente aceptadas y conocidas por todos.

CULTURA de la seguridad , responsabilidad de TODOS

♦ Porque la seguridad tiene un costo, pero la INSEGURIDAD tiene un costo mayor.

Reconocer los activos de información importantes para la institución..♦ Información propiamente tal : bases de datos,

archivos, conocimiento de las personas♦ Documentos: contratos, manuales, facturas,

pagarés, solicitudes de créditos.♦ Software: aplicaciones, sistemas operativos,

utilitarios.♦ Físicos: equipos, edificios, redes♦ Recursos humanos: empleados internos y externos♦ Servicios: electricidad, soporte, mantención.

Reconocer las Amenazas a que están expuestos...♦ Amenaza:” evento con el potencial de afectar

negativamente la Confidencialidad, Integridad o Disponibilidad de los Activos de Información”.

♦ Ejemplos: – Desastres naturales (terremotos, inundaciones)– Errores humanos– Fallas de Hardware y/o Software– Fallas de servicios (electricidad)– Robo

Reconocer las Vulnerabilidades

♦ Vulnerabilidad: “ una debilidad que facilita la materialización de una amenaza”

♦ Ejemplos:– Inexistencia de procedimientos de trabajo– Concentración de funciones en una sola

persona– Infraestructura insuficiente

Principales problemas:

♦ No se entienden o no se cuantifican las amenazas de seguridad y las vulnerabilidades.

♦ No se puede medir la severidad y la probabilidad de los riesgos.

♦ Se inicia el análisis con una noción preconcebida de que el costo de los controles será excesivo o que la seguridad tecnológica no existe.

♦ Se cree que la solución de seguridad interferirá con el rendimiento o apariencia del producto o servicio del negocio.

¿Qué es una Política?

♦ Conjunto de orientaciones o directrices que rigen la actuación de una persona o entidad en un asunto o campo determinado.

¿Qué es una Política de Seguridad?

♦Conjunto de directrices que permiten resguardar los activos de información .

¿Cómo debe ser la política de seguridad?♦ Definir la postura del Directorio y de la gerencia

con respecto a la necesidad de proteger la información corporativa.

♦ Rayar la cancha con respecto al uso de los recursos de información.

♦ Definir la base para la estructura de seguridad de la organización.

♦ Ser un documento de apoyo a la gestión de seguridad informática.

♦ Tener larga vigencia , manteniéndose sin grandes cambios en el tiempo.

♦ Ser general , sin comprometerse con tecnologías específicas.

♦ Debe abarcar toda la organización♦ Debe ser clara y evitar confuciones♦ No debe generar nuevos problemas♦ Debe permitir clasificar la información en

confidencial, uso interno o pública.♦ Debe identificar claramente funciones específicas

de los empleados como : responsables, custodio o usuario , que permitan proteger la información.

Qué debe contener una política de seguridad de la información?♦ Políticas específicas♦ Procedimientos♦ Estándares o prácticas♦ Estructura organizacional

Políticas Específicas

♦ Definen en detalle aspectos específicos que regulan el uso de los recursos de información y están más afectas a cambios en el tiempo que la política general.

♦ Ejemplo:– Política de uso de Correo Electrónico:

• Definición del tipo de uso aceptado: “El servicio de correo electrónico se proporciona para que los empleados realicen funciones propias del negocio,cualquier uso personal deberá limitarse al mínimo posible”

• Prohibiciones expresas: “ Se prohíbe el envío de mensajes ofensivos”. “ Deberá evitarse el envío de archivos peligrosos”

• Declaración de intención de monitorear su uso: “La empresa podrá monitorear el uso de los correos en caso que se sospeche del mal uso”

Procedimiento♦ Define los pasos para realizar una actividad♦ Evita que se aplique criterio personal.♦ Ejemplo:

– Procedimiento de Alta de Usuarios:• 1.- Cada vez que se contrate a una persona , su jefe directo

debe enviar al Adminsitrador de Privilegios una solicitud formal de creación de cuenta, identificando claramente los sistemas a los cuales tendrá accesos y tipos de privilegios.

• 2.-El Administrador de privilegios debe validar que la solicitud formal recibida indique: fecha de ingreso,perfil del usuario, nombre , rut, sección o unidad a la que pertenece.

• 3.- El Administrador de privilegios creará la cuenta del usuario a través del Sistema de Administración de privilegios y asignará una clave inicial para que el usuario acceda inicialmente.

• 4.- El Administrados de privilegios formalizará la creación de la cuenta al usuario e instruirá sobre su uso.

Estándar

♦ En muchos casos depende de la tecnología♦ Se debe actualizar periódicamente♦ Ejemplo:

– Estándar de Instalación de PC:• Tipo de máquina:

– Para plataforma de Caja debe utilizarse máquinas Lanix – Para otras plataformas debe utilizarse máquinas Compaq o HP.– Procesador Pentium IV , con disco duro de 40 GB y memoria

Ram 253 MB• Registro:

– Cada máquina instalada debe ser registrada en catastro computacional identificando los números de serie de componente y llenar formulario de traslado de activo fijo

• Condiciones electricas:– Todo equipo computacional debe conectarse a la red electrica

computacional y estar provisto de enchufes MAGIC

Que se debe tener en cuenta

♦ Objetivo: qué se desea lograr♦ Alcance: qué es lo que protegerá y qué áreas serán

afectadas♦ Definiciones: aclarar terminos utilizados♦ Responsabilidades: Qué debe y no debe hacer

cada persona♦ Revisión: cómo será monitoreado el cumplimiento♦ Aplicabilidad: En qué casos será aplicable♦ Referencias: documentos complementarios♦ Sanciones e incentivos

Políticas de seguridad y Controles♦ Los controles son mecanismos que ayudan a

cumplir con lo definido en las políticas♦ Si no se tienen políticas claras , no se sabrá qué

controlar.♦ Orientación de los controles:

– PREVENIR la ocurrencia de una amenaza– DETECTAR la ocurrencia de una amenaza– RECUPERAR las condiciones ideales de

funcionamiento una vez que se ha producido un evento indeseado.

Ejemplo:Modelo Seguridad Informática (MSI) a partir de políticas de seguridad de la información institucionales♦ Estructura del modelo adoptado:

– Gestión IT (Tecnologías de Información)– Operaciones IT

♦ Para cada estructura incorpora documentación asociada como políticas específicas, procedimientos y estándares.

Conclusiones♦ La Información es uno de los activos mas valiosos

de la organización♦ Las Políticas de seguridad permiten disminuir los

riesgos ♦ Las políticas de seguridad no abordan sólo aspectos

tecnológicos♦ El compromiso e involucramiento de todos es la

premisa básica para que sea real.♦ La seguridad es una inversión y no un gasto.♦ No existe nada 100% seguro♦ Exige evaluación permanente.