SEGURIDAD DE LA INFORMACION

Porqu hablar de la Seguridad de la Informacin?

Porque el negocio se sustenta a partir de la

informacin que maneja.....

Estrategia de negocio

Funciones y procesos de negocio

ACTIVIDADES DE LA EMPRESA
Planificacin de Objetivos Diseo y ejecucin de acciones para conseguir objetivo
Control (de resultados de acciones contra objetivos)

Sistemas de Informacin

Registro de transacciones

Transacciones

Entorno

ORGANIZACION

 Porque no slo es un tema Tecnolgico.

Porque la institucin no cuenta con Polticas

de Seguridad de la Informacin formalmente aceptadas y conocidas por todos.

CULTURA de la seguridad , responsabilidad de TODOS

ACTITUD proactiva, Investigacin permanente

 Porque la seguridad tiene un costo, pero la

INSEGURIDAD tiene un costo mayor. Ninguna medicina es til a menos que el paciente la tome

Entonces, por donde partir?........

Reconocer los activos de informacin importantes para la institucin..

Informacin propiamente tal : bases de datos,

archivos, conocimiento de las personas Documentos: contratos, manuales, facturas, pagars, solicitudes de crditos. Software: aplicaciones, sistemas operativos, utilitarios. Fsicos: equipos, edificios, redes Recursos humanos: empleados internos y externos Servicios: electricidad, soporte, mantencin.

Reconocer las Amenazas a que estn expuestos...

Amenaza: evento con el potencial de afectar

negativamente la Confidencialidad, Integridad o Disponibilidad de los Activos de Informacin. Ejemplos:

Desastres naturales (terremotos, inundaciones) Errores humanos Fallas de Hardware y/o Software Fallas de servicios (electricidad) Robo

Reconocer las Vulnerabilidades

Vulnerabilidad: una debilidad que facilita

la materializacin de una amenaza Ejemplos:

Inexistencia de procedimientos de trabajo Concentracin de funciones en una sola persona Infraestructura insuficiente

Identificacin de Riesgos
Riesgo: La posibilidad de que una

amenaza en particular explote una vulnerabilidad y afecte un activo Que debe analizarse?
El impacto (leve ,moderado,grave) La probabilidad (baja, media, alta)

Contexto general de seguridad

Propietarios
Quieren minimizar

valoran

definen

Salvaguardas
Pueden tener conciencia de
Que pueden tener Reducen

RECURSOS

Amenazas

explotan

Vulnerabili dades

Permiten o facilitan

Dao

RIESGO

Principales problemas:
No se entienden o no se cuantifican las amenazas

de seguridad y las vulnerabilidades. No se puede medir la severidad y la probabilidad de los riesgos. Se inicia el anlisis con una nocin preconcebida de que el costo de los controles ser excesivo o que la seguridad tecnolgica no existe. Se cree que la solucin de seguridad interferir con el rendimiento o apariencia del producto o servicio del negocio.

Estndares de Seguridad
Normas Internacionales de seguridad Proporcionan un conjunto de buenas prcticas en gestin de seguridad de la informacin: Ejemplos ISO/IEC 17799,COBIT,ISO 15408

Qu es una Poltica?
Conjunto de orientaciones o directrices que

rigen la actuacin de una persona o entidad en un asunto o campo determinado.

Qu es una Poltica de Seguridad?

Conjunto de directrices que permiten

resguardar los activos de informacin .

Cmo debe ser la poltica de seguridad?

Definir la postura del Directorio y de la gerencia

con respecto a la necesidad de proteger la informacin corporativa. Rayar la cancha con respecto al uso de los recursos de informacin. Definir la base para la estructura de seguridad de la organizacin. Ser un documento de apoyo a la gestin de seguridad informtica. Tener larga vigencia , mantenindose sin grandes cambios en el tiempo.

 Ser general , sin comprometerse con tecnologas

especficas. Debe abarcar toda la organizacin Debe ser clara y evitar confuciones No debe generar nuevos problemas Debe permitir clasificar la informacin en confidencial, uso interno o pblica. Debe identificar claramente funciones especficas de los empleados como : responsables, custodio o usuario , que permitan proteger la informacin.

Qu debe contener una poltica de seguridad de la informacin?

Polticas especficas
Procedimientos Estndares o prcticas Estructura organizacional

Polticas Especficas
Definen en detalle aspectos especficos que

regulan el uso de los recursos de informacin y estn ms afectas a cambios en el tiempo que la poltica general. Ejemplo:
Poltica de uso de Correo Electrnico:
Definicin del tipo de uso aceptado: El servicio de correo electrnico se proporciona para que los empleados realicen funciones propias del negocio,cualquier uso personal deber limitarse al mnimo posible Prohibiciones expresas: Se prohbe el envo de mensajes ofensivos. Deber evitarse el envo de archivos peligrosos Declaracin de intencin de monitorear su uso: La empresa podr monitorear el uso de los correos en caso que se sospeche del mal uso

Procedimiento
Define los pasos para realizar una actividad Evita que se aplique criterio personal. Ejemplo: Procedimiento de Alta de Usuarios:
1.- Cada vez que se contrate a una persona , su jefe directo debe enviar al Adminsitrador de Privilegios una solicitud formal de creacin de cuenta, identificando claramente los sistemas a los cuales tendr accesos y tipos de privilegios. 2.-El Administrador de privilegios debe validar que la solicitud formal recibida indique: fecha de ingreso,perfil del usuario, nombre , rut, seccin o unidad a la que pertenece. 3.- El Administrador de privilegios crear la cuenta del usuario a travs del Sistema de Administracin de privilegios y asignar una clave inicial para que el usuario acceda inicialmente. 4.- El Administrados de privilegios formalizar la creacin de la cuenta al usuario e instruir sobre su uso.

Estndar
En muchos casos depende de la tecnologa Se debe actualizar peridicamente Ejemplo: Estndar de Instalacin de PC:
Tipo de mquina:
Para plataforma de Caja debe utilizarse mquinas Lanix Para otras plataformas debe utilizarse mquinas Compaq o HP. Procesador Pentium IV , con disco duro de 40 GB y memoria Ram 253 MB

Registro:
Cada mquina instalada debe ser registrada en catastro computacional identificando los nmeros de serie de componente y llenar formulario de traslado de activo fijo

Condiciones electricas:
Todo equipo computacional debe conectarse a la red electrica computacional y estar provisto de enchufes MAGIC

Que se debe tener en cuenta

Objetivo: qu se desea lograr Alcance: qu es lo que proteger y qu reas sern

afectadas Definiciones: aclarar terminos utilizados Responsabilidades: Qu debe y no debe hacer cada persona Revisin: cmo ser monitoreado el cumplimiento Aplicabilidad: En qu casos ser aplicable Referencias: documentos complementarios Sanciones e incentivos

Ciclo de vida del Proyecto

Creacin
Colaboracin Publicacin Educacin Cumplimiento
Enfoque Metodolgico

Polticas de seguridad y Controles

Los controles son mecanismos que ayudan a

cumplir con lo definido en las polticas Si no se tienen polticas claras , no se sabr qu controlar. Orientacin de los controles:
PREVENIR la ocurrencia de una amenaza DETECTAR la ocurrencia de una amenaza RECUPERAR las condiciones ideales de funcionamiento una vez que se ha producido un evento indeseado.

Ejemplo:Modelo Seguridad Informtica (MSI) a partir de polticas de seguridad de la informacin institucionales

Estructura del modelo adoptado: Gestin IT (Tecnologas de Informacin) Operaciones IT
Para cada estructura incorpora

documentacin asociada como polticas especficas, procedimientos y estndares.

Gestin IT
Objetivo: contar con procedimientos

formales que permitan realizar adecuadamente la planeacin y desarrollo del plan informtico. Contiene:
Objetivo y estrategia institucional Plan Informtico y comit informtica Metodologa de Desarrollo y Mantencin

Operaciones IT
Objetivo: Contar conprocedimientos formales para

asegurar la operacin normal de los Sistemas de Informacin y uso de recursos tecnolgicos que sustentan la operacin del negocio. Contiene:
Seguridad Fsica sala servidores
Control de acceso a la sala Alarmas y extincin de incendios Aire acondicionado y control de temperaturas UPS Piso y red electrica Contratos de mantencin Contratos proveedores de servicios

 Respaldos y recuperacin de informacin:

Ficha de servidores Poltica Respaldos: diarios,semanales,mensuales, histricos
Bases de datos, correo electrnico, datos de usuarios, softawre de aplicaciones, sistemas operativos.

Administracin Cintoteca:
Rotulacin Custodia Requerimientos, rotacin y caduciddad de cintas.

Administracin de licencias de software y programas

 Seguridad de Networking:
Caractersticas y topologa de la Red Estandarizacin de componentes de red Seguridad fsica de sites de comunicaciones Seguridad y respaldo de enlaces Seguridad y control de accesos de equipos de comunicaciones Plan de direcciones IP Control de seguridad WEB

Control y polticas de adminsitracin de Antivirus

Configuracin Actualizacin Reportes

 Traspaso de aplicaciones al ambiente de explotacin

Definicin de ambientes Definicin de datos de prueba Adminsitracin de versiones de sistema de aplicaciones Programas fuentes Programas ejecutables Compilacin de programas Testing:
Responsables y encargados de pruebas Pruebas de funcionalidad Pruebas de integridad

Instalacin de aplicaciones Asignacin de responsabilidades de harware y software para usuarios

 Creacin y eliminacin de usuarios :

Internet, Correo electrnico

Administracin de privilegios de acceso a sistemas Administracin y rotacin de password:

Caducidad de password Definicin de tipo y largo de password Password de red , sistemas Password protectores de pantalla, arranque PC Fechas y tiempos de caducidad de usuarios

Controles de uso de espacio en disco en serviodres

Adquisicin y administracin equipamiento usuarios:

Poltica de adquisiciones Catastro computacional Contrato proveedores equipamiento

Conclusiones
La Informacin es uno de los activos mas valiosos

de la organizacin Las Polticas de seguridad permiten disminuir los riesgos Las polticas de seguridad no abordan slo aspectos tecnolgicos El compromiso e involucramiento de todos es la premisa bsica para que sea real. La seguridad es una inversin y no un gasto. No existe nada 100% seguro Exige evaluacin permanente.

 La clave es encontrar el justo equilibrio de

acuerdo al giro de cada negocio que permita mantener controlado el RIESGO.