Seguridad de la informacion
Click here to load reader
Transcript of Seguridad de la informacion
SEGURIDAD DE LA INFORMACIÓN
Porqué hablar de la Seguridad de la Información?
♦ Porque el negocio se sustenta a partir de la información que maneja.....
♦ Porque no sólo es un tema Tecnológico.♦ Porque la institución no cuenta con
Políticas de Seguridad de la Información formalmente aceptadas y conocidas por todos.
CULTURA de la seguridad , responsabilidad de TODOS
♦ Porque la seguridad tiene un costo, pero la INSEGURIDAD tiene un costo mayor.
Reconocer los activos de información importantes para la institución..♦ Información propiamente tal : bases de datos,
archivos, conocimiento de las personas♦ Documentos: contratos, manuales, facturas,
pagarés, solicitudes de créditos.♦ Software: aplicaciones, sistemas operativos,
utilitarios.♦ Físicos: equipos, edificios, redes♦ Recursos humanos: empleados internos y externos♦ Servicios: electricidad, soporte, mantención.
Reconocer las Amenazas a que están expuestos...♦ Amenaza:” evento con el potencial de afectar
negativamente la Confidencialidad, Integridad o Disponibilidad de los Activos de Información”.
♦ Ejemplos: – Desastres naturales (terremotos, inundaciones)– Errores humanos– Fallas de Hardware y/o Software– Fallas de servicios (electricidad)– Robo
Reconocer las Vulnerabilidades
♦ Vulnerabilidad: “ una debilidad que facilita la materialización de una amenaza”
♦ Ejemplos:– Inexistencia de procedimientos de trabajo– Concentración de funciones en una sola
persona– Infraestructura insuficiente
Principales problemas:
♦ No se entienden o no se cuantifican las amenazas de seguridad y las vulnerabilidades.
♦ No se puede medir la severidad y la probabilidad de los riesgos.
♦ Se inicia el análisis con una noción preconcebida de que el costo de los controles será excesivo o que la seguridad tecnológica no existe.
♦ Se cree que la solución de seguridad interferirá con el rendimiento o apariencia del producto o servicio del negocio.
¿Qué es una Política?
♦ Conjunto de orientaciones o directrices que rigen la actuación de una persona o entidad en un asunto o campo determinado.
¿Qué es una Política de Seguridad?
♦Conjunto de directrices que permiten resguardar los activos de información .
¿Cómo debe ser la política de seguridad?♦ Definir la postura del Directorio y de la gerencia
con respecto a la necesidad de proteger la información corporativa.
♦ Rayar la cancha con respecto al uso de los recursos de información.
♦ Definir la base para la estructura de seguridad de la organización.
♦ Ser un documento de apoyo a la gestión de seguridad informática.
♦ Tener larga vigencia , manteniéndose sin grandes cambios en el tiempo.
♦ Ser general , sin comprometerse con tecnologías específicas.
♦ Debe abarcar toda la organización♦ Debe ser clara y evitar confuciones♦ No debe generar nuevos problemas♦ Debe permitir clasificar la información en
confidencial, uso interno o pública.♦ Debe identificar claramente funciones específicas
de los empleados como : responsables, custodio o usuario , que permitan proteger la información.
Qué debe contener una política de seguridad de la información?♦ Políticas específicas♦ Procedimientos♦ Estándares o prácticas♦ Estructura organizacional
Políticas Específicas
♦ Definen en detalle aspectos específicos que regulan el uso de los recursos de información y están más afectas a cambios en el tiempo que la política general.
♦ Ejemplo:– Política de uso de Correo Electrónico:
• Definición del tipo de uso aceptado: “El servicio de correo electrónico se proporciona para que los empleados realicen funciones propias del negocio,cualquier uso personal deberá limitarse al mínimo posible”
• Prohibiciones expresas: “ Se prohíbe el envío de mensajes ofensivos”. “ Deberá evitarse el envío de archivos peligrosos”
• Declaración de intención de monitorear su uso: “La empresa podrá monitorear el uso de los correos en caso que se sospeche del mal uso”
Procedimiento♦ Define los pasos para realizar una actividad♦ Evita que se aplique criterio personal.♦ Ejemplo:
– Procedimiento de Alta de Usuarios:• 1.- Cada vez que se contrate a una persona , su jefe directo
debe enviar al Adminsitrador de Privilegios una solicitud formal de creación de cuenta, identificando claramente los sistemas a los cuales tendrá accesos y tipos de privilegios.
• 2.-El Administrador de privilegios debe validar que la solicitud formal recibida indique: fecha de ingreso,perfil del usuario, nombre , rut, sección o unidad a la que pertenece.
• 3.- El Administrador de privilegios creará la cuenta del usuario a través del Sistema de Administración de privilegios y asignará una clave inicial para que el usuario acceda inicialmente.
• 4.- El Administrados de privilegios formalizará la creación de la cuenta al usuario e instruirá sobre su uso.
Estándar
♦ En muchos casos depende de la tecnología♦ Se debe actualizar periódicamente♦ Ejemplo:
– Estándar de Instalación de PC:• Tipo de máquina:
– Para plataforma de Caja debe utilizarse máquinas Lanix – Para otras plataformas debe utilizarse máquinas Compaq o HP.– Procesador Pentium IV , con disco duro de 40 GB y memoria
Ram 253 MB• Registro:
– Cada máquina instalada debe ser registrada en catastro computacional identificando los números de serie de componente y llenar formulario de traslado de activo fijo
• Condiciones electricas:– Todo equipo computacional debe conectarse a la red electrica
computacional y estar provisto de enchufes MAGIC
Que se debe tener en cuenta
♦ Objetivo: qué se desea lograr♦ Alcance: qué es lo que protegerá y qué áreas serán
afectadas♦ Definiciones: aclarar terminos utilizados♦ Responsabilidades: Qué debe y no debe hacer
cada persona♦ Revisión: cómo será monitoreado el cumplimiento♦ Aplicabilidad: En qué casos será aplicable♦ Referencias: documentos complementarios♦ Sanciones e incentivos
Políticas de seguridad y Controles♦ Los controles son mecanismos que ayudan a
cumplir con lo definido en las políticas♦ Si no se tienen políticas claras , no se sabrá qué
controlar.♦ Orientación de los controles:
– PREVENIR la ocurrencia de una amenaza– DETECTAR la ocurrencia de una amenaza– RECUPERAR las condiciones ideales de
funcionamiento una vez que se ha producido un evento indeseado.
Ejemplo:Modelo Seguridad Informática (MSI) a partir de políticas de seguridad de la información institucionales♦ Estructura del modelo adoptado:
– Gestión IT (Tecnologías de Información)– Operaciones IT
♦ Para cada estructura incorpora documentación asociada como políticas específicas, procedimientos y estándares.
Conclusiones♦ La Información es uno de los activos mas valiosos
de la organización♦ Las Políticas de seguridad permiten disminuir los
riesgos ♦ Las políticas de seguridad no abordan sólo aspectos
tecnológicos♦ El compromiso e involucramiento de todos es la
premisa básica para que sea real.♦ La seguridad es una inversión y no un gasto.♦ No existe nada 100% seguro♦ Exige evaluación permanente.