Charla de Seguridad de la InformaciónCharla de Seguridad de la Información
Proporcionar los conocimientos necesarios
para el manejo seguro de los Activos de
Información de la Corporación y los
servicios que presta la Gerencia de
Seguridad AIT, que les permitan a los
participantes, resguardar la
Confidencialidad e Integridad de los
mismos.
Objetivo
Conceptos Básicos de Seguridad de InformaciónConceptos Básicos de Seguridad de Información
Políticas de Seguridad de Información
CO
NF
IDE
NC
IAL
IDA
D
INT
EG
RID
AD
DIS
PO
NIB
ILID
AD
Conciencia en Seguridad de Información
Principios de Seguridad de InformaciónPrincipios de Seguridad de Información
Principios de Seguridad de InformaciónPrincipios de Seguridad de Información
Confidencialidad
La información solo debe ser accedida por el personal
autorizado
Integridad
Garantiza la calidad de los datos para que no puedan ser
alterados
Disponibilidad
La información debe encontrarse a disposición de quienes
deben acceder a ella, ya sean personas, procesos o
aplicaciones.
Principios de Seguridad de InformaciónPrincipios de Seguridad de Información
Riesgo
Es un conjunto de circunstancias que representan una
posibilidad de pérdida
Amenaza
Es la probabilidad de ocurrencia de un fenómeno
potencialmente nocivo, dentro de un período específico de
tiempo y en un área dada
Vulnerabilidad
Nivel de exposición que permite la ocurrencia de la amenaza
AmenazasAmenazas
Naturales(TERREMOTOS, HURACANES, TORMENTAS ELECTRICAS)
Siniestros(INCENDIOS, APAGONES, iNUNDACIONES)
Intrusos(HACKER, CRACKERS, SCRIPT BOY)
Malware(VIRUS, SPYWARE, KEYLOGGER)
Usuarios(IMPRUDENCIA, CURIOSIDAD, INSATISFACCIÓN, DESCONOCIMIENTO)
“Ingeniería Social”(CADENAS, CORREO SPAM, MENSAJERIA
INSTANTANEA, PHISHING)
Conflictos(GUERRAS, SABOTAJE, PROTESTAS, TERRORISMO)
CONCIENCIA EN SEGURIDAD
INTERNET SIN CONTROL
CONTRASEÑASINSEGURAS
CONTROLES INSUFICIENTES
AUSENCIA DE PLANES DE
CONTINGENCIA
PLATAFORMA TECNOLÓGICA
Repositorio
VulnerabilidadesVulnerabilidades
Intercepción o Interrupción
Violación de Contraseña
Accesos no Autorizados
Infecciónes por Virus
Mal uso de Hardware y Software
“Ingeniería Social”
Falsificación de Información
Repudio(HACER ALGO Y LUEGO NEGARLO)
RiesgosRiesgos
CRACKERS
ESPIONAJE
ATAQUESVIRUS, CÓDIGOS MALICIOSOS
PLATAFORMA TECNOLÓGICA
Repositorio
Mecanismos de ProtecciónMecanismos de Protección
FRAUDES INFORMÁTICOS
ROBO DE INFORMACIÓN
Estudios de CasosEstudios de Casos
Chamo hacker hizo de las suyas en portales gubernamentales venezolanosChamo hacker hizo de las suyas en portales gubernamentales venezolanos
PÁGINA WEB DE M.E. ES ATACADA POR HACKER (El universal) PÁGINA WEB DE M.E. ES ATACADA POR HACKER (El universal)
Un hacker venezolano es arrestado en Miami (Rafael Núñez) Un hacker venezolano es arrestado en Miami (Rafael Núñez)
¿Que hackeó?Consecuencias a la empresaRecomendaciones a PDVSA
¿Que hackeó?Consecuencias a la empresaRecomendaciones a PDVSA
Confidencialidad
Integridad
Disponibilidad
ACTIVO DE INFORMACIÓN
WebWeb CacheCacheMonitor de Monitor de SeguridadSeguridadFirewallFirewall
HoneyPotsHoneyPots ConcentradoConcentrador VPNr VPN
IDSIDS Manejador de Manejador de IdentidadesIdentidades
IPSIPSProxyProxy
Nivel 1Nivel 1
Mecanismos de CifradoMecanismos de Cifrado
Nivel 2Nivel 2
Políticas de Seguridad de Información
Estrategias y puesta en marcha de las Mejores PrácticasEstrategias y puesta en marcha de las Mejores Prácticas
Nivel 3Nivel 3
Niveles de SeguridadNiveles de Seguridad
Normativa Interna sobre Seguridad de InformaciónNormativa Interna sobre Seguridad de Información
Políticas y NormasPolíticas y Normas
PSIPSIPOLÍTICAS DE SEGURIDAD DE INFORMACIÓNPOLÍTICAS DE SEGURIDAD DE INFORMACIÓN
Las Políticas de Seguridad son esencialmente orientaciones e instrucciones que indican cómo
manejar los asuntos de Seguridad y forman la base de un plan maestro para la implantación
efectiva de medidas de protección tales como: identificación y control de acceso, respaldo de
datos, planes de contingencia y detección de intrusos.
PSIPSIPOLÍTICAS DE SEGURIDAD DE INFORMACIÓNPOLÍTICAS DE SEGURIDAD DE INFORMACIÓN
Las Políticas de Seguridad son esencialmente orientaciones e instrucciones que indican cómo
manejar los asuntos de Seguridad y forman la base de un plan maestro para la implantación
efectiva de medidas de protección tales como: identificación y control de acceso, respaldo de
datos, planes de contingencia y detección de intrusos.
PAIPAIPROTECCION DE ACTIVOS DE INFORMACIONPROTECCION DE ACTIVOS DE INFORMACION
“Es deber de todos los trabajadores de Petróleos de Venezuela, S.A. asegurar que toda
la información propiedad de la empresa o cedida a ella sea protegida en forma consona
con su clasificación, valor que representa y su potencial de perdida por hurto,
apropiación indebida, destrucción, manipulación y/o divulgación no autorizada”.
PAIPAIPROTECCION DE ACTIVOS DE INFORMACIONPROTECCION DE ACTIVOS DE INFORMACION
“Es deber de todos los trabajadores de Petróleos de Venezuela, S.A. asegurar que toda
la información propiedad de la empresa o cedida a ella sea protegida en forma consona
con su clasificación, valor que representa y su potencial de perdida por hurto,
apropiación indebida, destrucción, manipulación y/o divulgación no autorizada”.
PSI-010101: Declaración de PSI-010101: Declaración de Seguridad:Seguridad:
Los Activo de Información de la Corporación deberán estar debidamente protegidos contra acciones o eventos que perjudiquen los principios y estándares establecidos de seguridad de Información.
ORALORALIMPRESAIMPRESA
ELECTRÓNICAELECTRÓNICA
VISUALVISUALActivos de
Información
Según su Confidencialidad:Según su Confidencialidad:
Según su Criticidad:Según su Criticidad:
Uso Estrictamente ConfidencialUso Estrictamente Confidencial
Uso ConfidencialUso Confidencial
Uso GeneralUso General
VitalVital
No VitalNo Vital
Clasificación de Activos de Información
PSI-020105: Tratamiento y Resguardo de los Activos de Información:
Todo Activo de Información deberá ser protegido, custodiado y resguardado de conformidad con los niveles de Clasificación que le fueron asignados, utilizando para ello los métodos o técnicas de seguridad aprobados por la Corporación.
PSI-020105: Tratamiento y Resguardo de los Activos de Información:
Todo Activo de Información deberá ser protegido, custodiado y resguardado de conformidad con los niveles de Clasificación que le fueron asignados, utilizando para ello los métodos o técnicas de seguridad aprobados por la Corporación.
Los Activos de Información se clasifican en:
Los Activos de Información se clasifican en:
La Rotulación para Información Electrónica debe realizarse de la siguiente manera:
Rotular cada diapositiva de la información presentada por pantalla, de manera que cuando sea proyectada y/o copiada se diferencie el nivel de clasificación. Los dispositivos de almacenamiento electrónico que contengan información clasificada, deberán llevar en un lugar visible una etiqueta indicativa del tipo de clasificación otorgada.
La Rotulación para Información Electrónica debe realizarse de la siguiente manera:
Rotular cada diapositiva de la información presentada por pantalla, de manera que cuando sea proyectada y/o copiada se diferencie el nivel de clasificación. Los dispositivos de almacenamiento electrónico que contengan información clasificada, deberán llevar en un lugar visible una etiqueta indicativa del tipo de clasificación otorgada.
ROTULACIÓN PARA INFORMACIÓN ELECTRÓNICA
PSI-020103: Rotular Activos de Información:
Todo Activo de Información de la Corporación deberá ser rotulado de manera que todos los usuarios puedan tener conocimiento acerca de la propiedad, clasificación y valor de dicha información.
PSI-020103: Rotular Activos de Información:
Todo Activo de Información de la Corporación deberá ser rotulado de manera que todos los usuarios puedan tener conocimiento acerca de la propiedad, clasificación y valor de dicha información.
PSI-040701: Administración de Documentos:
Todo documento perteneciente a la Corporación deberá ser administrado por personal autorizado debida y formalmente por el Gerente Propietario, en concordancia con la gerencia Responsable de la Seguridad de la Plataforma Tecnológica de la Corporación y de conformidad con las Políticas de Clasificación de Activos de Información.
PSI-040701: Administración de Documentos:
Todo documento perteneciente a la Corporación deberá ser administrado por personal autorizado debida y formalmente por el Gerente Propietario, en concordancia con la gerencia Responsable de la Seguridad de la Plataforma Tecnológica de la Corporación y de conformidad con las Políticas de Clasificación de Activos de Información.
Manejo de la Información
PSI-040501: Suministro de Información a los Medios de Comunicación:
Solo personal autorizado debidamente y formalmente por la Gerencia Responsable de la Imagen Corporativa podrá suministrar información en nombre de la Corporación, en cualquiera de sus formas, a los medios de comunicación social.
PSI-040501: Suministro de Información a los Medios de Comunicación:
Solo personal autorizado debidamente y formalmente por la Gerencia Responsable de la Imagen Corporativa podrá suministrar información en nombre de la Corporación, en cualquiera de sus formas, a los medios de comunicación social.
La destrucción, modificación, divulgación
de la información de carácter confidencial o
estrictamente confidencial, en forma intencional o no, sin la autorización escrita del gerente propietario y/o propietario delegado, así
como la apropiación indebida de dicha
información
Será consideradas como faltas:
El acceso no autorizado o indebido a la información.
El envío a través del correo electrónico, de cadenas de
notas y otras informaciones o archivos no asociados a los
procesos de trabajo.
El uso indebido de archivos de música, videos, pornografía, juegos, proselitismo político, entre otros.
El uso de Internet para la conexión a páginas WEB
relacionada con Chat, música, pornografía, farándula u otras que degraden el servicio de esta herramienta y atenten contra los valores éticos y
morales de la corporación.
Se podrán aplicar a los infractores las medidas que el caso amerite, incluyendo la terminación del contrato por causa justificada, según lo dispuesto en el artículo 102 de la Ley Orgánica del Trabajo, o de acciones penales, de acuerdo a lo establecido en el artículo 63 de la Ley Orgánica de Salvaguarda del Patrimonio Público.
Fundamentos Legales
PSI-010103: Responsabilidades Legales en Materia de Seguridad:
La Corporación, en defensa de sus Activos de Información, procederá de acuerdo al Ordenamiento Jurídico y a los Tratados Internacionales de la República. En virtud de lo cual, ante la presencia de un evento o incidente que pudiera afectar la Seguridad de los Activos de Información, de su propiedad o bajo su custodia, iniciará, a través de la Gerencia Corporativa de Prevención y Control de Pérdidas (PCP), las investigaciones respectivas y, en caso de evidenciarse un supuesto delito, contactará, previa opinión de la organización jurídica de la Corporación, a los organismos competentes del Estado para que éstos efectúen las actuaciones correspondientes en aplicación de las disposiciones legales que regulan la materia.
PSI-010103: Responsabilidades Legales en Materia de Seguridad:
La Corporación, en defensa de sus Activos de Información, procederá de acuerdo al Ordenamiento Jurídico y a los Tratados Internacionales de la República. En virtud de lo cual, ante la presencia de un evento o incidente que pudiera afectar la Seguridad de los Activos de Información, de su propiedad o bajo su custodia, iniciará, a través de la Gerencia Corporativa de Prevención y Control de Pérdidas (PCP), las investigaciones respectivas y, en caso de evidenciarse un supuesto delito, contactará, previa opinión de la organización jurídica de la Corporación, a los organismos competentes del Estado para que éstos efectúen las actuaciones correspondientes en aplicación de las disposiciones legales que regulan la materia.
Debe incluirse en los contratos de asociaciones estratégicas,
Empresas mixtas y servicios en
general, cláusulas de cláusulas de confidencialidadconfidencialidad, que
especifiquen la responsabilidad de las mismas en el resguardo de los Activos de Información de la
Corporación.
PSI-040804: Intercambio de Información con Terceros y/o Relacionados:
Toda información perteneciente ala Corporación que sea intercambiada con terceros y/o relacionados , deberá ser autorizada debida y formalmente por el Gerente Propietario, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica de la Corporación y de conformidad con las Políticas de Clasificación de Activos de Información.
PSI-040804: Intercambio de Información con Terceros y/o Relacionados:
Toda información perteneciente ala Corporación que sea intercambiada con terceros y/o relacionados , deberá ser autorizada debida y formalmente por el Gerente Propietario, en concordancia con la Gerencia Responsable de la Seguridad de la Plataforma Tecnológica de la Corporación y de conformidad con las Políticas de Clasificación de Activos de Información.
Fundamentos Legales
Muchas de las páginas en Internet contienen códigos maliciosos o virus que pudieran afectar a la Plataforma Tecnológica de la Corporación.
Algunos Sitios Web no proveen valor agregado para el negocio.
Lineamiento: Uso controlado del InternetLineamiento: Uso controlado del Internet
Si necesita acceder a un Sitio Web, el cual se encuentra bloqueado, debe ser debidamente justificado y solicitado por el Gerente de 1era. o 2da. Línea, al Centro de Servicio AIT (105).
Un equipo no controlado en la Plataforma Tecnológica, podría causar:
Ataques.
Inyección de Virus y gusano.
Lineamiento: Restricción de acceso de Equipo Lineamiento: Restricción de acceso de Equipo
Portátil que no pertenecen a PDVSAPortátil que no pertenecen a PDVSA
Aquellos Terceros que requieran hacer presentaciones o actualizaciones de aplicaciones en la Corporación, deberán traerlas copiadas en CD o DVD.
PDVNetPDVNet
No No
PDVSAPDVSAPDVSAPDVSAPDVSAPDVSA
PDVSAPDVSA
PDVSAPDVSA
Etiqueta de Identificación como Activo de PDVSA.
Portar el pase de asignación del equipo.
Asegúrese de que su Equipo Portátil asignado, tenga:
Lineamiento: Identificación de Activos Portátiles de PDVSALineamiento: Identificación de Activos Portátiles de PDVSA
Lineamiento: Depuración de Cuentas de Red/CorreoLineamiento: Depuración de Cuentas de Red/Correo
Condiciones:
Usuarios que no posean el carnet de acceso vigente.
Cuentas de Red que no hayan sido utilizadas por más de tres (3) meses.
Para habilitar la Cuenta de Red/Correo deberán llenar y enviar el formato de Solicitud de Activación de Cuenta de Red/Correo, al Centro de Centro de Servicio AIT (105).
Prohibido el Uso de Cuentas PoolProhibido el Uso de Cuentas PoolPDVNetPDVNet
Aspectos resaltantes en Seguridad de InformaciónAspectos resaltantes en Seguridad de Información
Debe crear contraseñas fuertes, haciendo uso de letras mayúsculas y minúsculas, números y alguno que otro carácter especial, de forma combinada para evitar que sea fácil de adivinar.
Se considera medida básica de protección cambiar periódicamente su contraseña.
Una vez que haya creado su contraseña no debe escribirlo en ningún lugar.
Sabia Usted
que…
Al ausentarse de su oficina debe asegurarse de bloquear su computador y cerrar la puerta.
Tips de SeguridadTips de Seguridad
El correo de la Corporación sólo debe ser usando para fines de negocio.
Cuando tenga personas extrañas en su oficina no debe ausentarse de ella.
El uso indebido de archivos de música, videos, pornografía, juegos, proselitismo político, entre otros.
Sabia Usted
que…
Tips de SeguridadTips de Seguridad
¿Cómo Proteger su Equipo portátil?
Utilice la guaya de seguridad que acompaña al computador portátil de manera adecuada, en un lugar donde no sea fácil violar la seguridad física de su Laptop.
Evite tener cerca de su laptop envases con agua o jugos, ya que, al momento de algún incidente o al derramarse el líquido cerca de su computador podría causarle daños.
Tips de SeguridadTips de Seguridad
¿Cómo Proteger su Equipo portátil?
Evite que sea evidente que usted es portador de una laptop, para así prevenir cualquier robo fuera de la Corporación.
Lleve en todo momento consigo el permiso de entrada y salida de su laptop, para evitar algún inconveniente.
Tips de SeguridadTips de Seguridad
Seguridad AITSeguridad AIT
VisiónVisión
Ser la organización de referencia nacional en
Seguridad de la Información con
tecnología endógena, que resguarde la confidencialidad,
integridad y disponibilidad de los
activos de información de PDVSA, sus
empresas filiales y demás entes del
Estado.
VisiónVisión
Ser la organización de referencia nacional en
Seguridad de la Información con
tecnología endógena, que resguarde la confidencialidad,
integridad y disponibilidad de los
activos de información de PDVSA, sus
empresas filiales y demás entes del
Estado.
MisiónMisión
Diseñar, operar y evaluar soluciones y
mecanismos de seguridad que
permitan resguardar la confidencialidad,
integridad y disponibilidad de los
activos de información de la Plataforma
Tecnológica de PDVSA, contra amenazas
internas y externas, a fin de contribuir con la
continuidad de sus operaciones.
MisiónMisión
Diseñar, operar y evaluar soluciones y
mecanismos de seguridad que
permitan resguardar la confidencialidad,
integridad y disponibilidad de los
activos de información de la Plataforma
Tecnológica de PDVSA, contra amenazas
internas y externas, a fin de contribuir con la
continuidad de sus operaciones.
Origen Origen
Gestión Preventiva de SeguridadGestión Preventiva de SeguridadGestión Preventiva de SeguridadGestión Preventiva de Seguridad
Subprocesos Subprocesos
Diseño de la Arquitectura de Seguridad
InternetInternet
ServiciosServicios
IntranetIntranet
ExtranetExtranetServidoresServidores
InternetInternet
ExtranetExtranetWebWeb
Nombre DispositivoDir. IP
Nombre DispositivoDir. IP
Dir. IP 1Dir. IP 2
Nombre Dispositivo
Dir. IP 3
Nombre Dispositivo
Dir. IP 1
Dir. IP 2
Dir. IP 3
DNSDNS WebWeb CacheCache
ProxyProxy
PostFitPostFit
Monitor de Monitor de SeguridadSeguridad
Red Red TelefónicaTelefónica
RAS/ VPNRAS/ VPN
Consultoría de Seguridad
Políticas de Seguridad de Información
(PSI)
Educación en materia de Seguridad
Evaluación, Respuesta y ContingenciaEvaluación, Respuesta y ContingenciaEvaluación, Respuesta y ContingenciaEvaluación, Respuesta y Contingencia
Evaluación de Seguridad
Análisis de Riesgo Lógico
Subprocesos Subprocesos
Protección LógicaProtección LógicaProtección LógicaProtección Lógica
Gestión de la plataforma de Seguridad
Control de Acceso Lógico Tratamiento de Incidentes
Subprocesos Subprocesos
[email protected]@PDVSA.COM
http://intranet.pdvsa.com/pdvsa/seguridad/home.html
Centro de Servicios AIT: 105Centro de Servicios AIT: 105
Centro de Control PCP: 71042 - 71055Centro de Control PCP: 71042 - 71055
Información de ContactoInformación de Contacto
PreguntasPreguntas
Muchas Gracias por su AtenciónMuchas Gracias por su Atención
Top Related