Definicin de Seguridad Informtica

Garantizar condiciones y caractersticas de

datos e informacin

Confidencialidad: Acceso autenticado y controlado

Integridad: Datos completos y nonmodificados
Disponibilidad: Acceso garantizado

Manejo del peligro

Conocerlo
Clasificarlo
Protegerse contra daos

Gestin de Riesgo

Anlisis
de Riesgo

Clasificacin
de Riesgo

Control
de Riesgo

Reduccin
de Riesgo

Poltica de Seguridad: Procesos, Reglas y Norma Institucionales

Seguridad Informtica

Seguridad
Informtica

Seguridad de
la informacin

Proteccin de
datos

Seguridad de la Informacin

Seguridad de la informacin =
Proteccin contra prdida y modificacin
Motivacin: Inters propio

Proteccin de Datos

Proteccin de datos =
Proteccin de la personalidad y los derechos
personales de los individuos, que salen en los
datos, para evitar consecuencias negativas en
contra de ellos.
Motivacin: Obligacin jurdica

Retos de la Seguridad

No recibe atencin adecuada

Costos
Ignorancia, falta de conocimiento
Negligencia del personal
Falta o no respetar de normas y reglas

Proceso dinmico y permanente

Seguimiento de control y sanciones

Adaptar mediadas a cambios de entorno
Capacitacin del personal
Documentacin

Elementos de Informacin

Datos e informacin

Sistemas e infraestructura

Finanzas, RR.HH, Llamadas telefnicas,

Correo electrnico, Base de Datos, Chateo, ...

Edificio, Equipos de red, Computadoras,

Porttiles, Memorias porttiles, Celulares, ...

Personal

Junta Directiva, Coordinacin,

Administracin, Personal tcnico, ...

Amenazas

Criminalidad (comn y poltica)

Sucesos de origen fsico

Allanamiento, Sabotaje, Robo / Hurto,

Fraude, Espionaje, Virus, ...

Incendio, Inundacin, Sismo, Polvo

Sobrecarga elctrica, Falta de corriente, ...

Negligencia y decisiones institucionales

Falta de reglas, Falta de capacitacin, No cifrar

datos crticos, Mal manejo de contraseas, ...

Vulnerabilidades

Ambiental / Fsicas

Econmica

Escasez y mal manejo de recursos

SocioEducativa

Desastres naturales, Ubicacin,

Capacitad tcnica, Materiales...

Relaciones, Comportamientos, Mtodos,

Conductas...

Institucional / Poltica

Procesos, Organizacin, Burocracia,

Corrupcin, Autonoma

Clasificacin y Flujo de Informacin

Identificar tipo de datos e informacin y clasificarlo

Confidencial (acceso restringido: personal interno autorizado)

Privado (acceso restringido: personal interno)
Sensitivo (acceso controlado: personal interno, pblico
externo con permiso)
Pblico

Anlisis de flujo de informacin

Observar cules instancias manejan que informacin

Identificar grupos externos que dependen o estn interesados
en la informacin
Determinar si se deben efectuar cambios en el manejo de la
informacin

Anlisis de Riesgo
Riesgo = Probabilidad de Amenaza * Magnitud de Dao
4

12

16

Alto Riesgo (1216)

Magnitud de Da

Medio Riesgo (89)

3

12

o2

Probabilidad de Amenaza

Bajo Riesgo (16)

Valores:
1 = Insignificante
2 = Baja
3 = Mediana
4 = Alta

Cmo valorar la Probabilidad de Amenaza?

Consideraciones

Inters o la atraccin por parte de individuos externos

Nivel de vulnerabilidad
Frecuencia en que ocurren los incidentes

Valoracin de probabilidad de amenaza

Baja: Existen condiciones que hacen muy lejana la

posibilidad del ataque
Mediana: Existen condiciones que hacen poco probable un
ataque en corto plazo, pero no son suficientes para evitarlo
en el largo plazo
Alta: Ataque es inminente. No existen condiciones internas y
externas que impidan el desarrollo del ataque

Cundo hablamos de un Impacto?

Se pierde la informacin/conocimiento

Terceros tienen acceso a la informacin/conocimiento

Informacin ha sido manipulada o est incompleta

Informacin/conocimiento o persona no est

disponible

Cambio de legitimidad de la fuente de informacin

Cmo valorar la Magnitud de Dao?

Consideracin sobre las consecuencias de un impacto

Quin sufrir el dao?

Incumplimiento de confidencialidad (interna y externa)
Incumplimiento de obligacin jurdicas / Contrato / Convenio
Costo de recuperacin (imagen, emocional,
recursos: tiempo, econmico)

Valoracin de magnitud de dao

Bajo: Dao aislado, no perjudica ningn componentes de

organizacin
Mediano: Provoca la desarticulacin de un componente de
organizacin. A largo plazo puede provocar desarticulacin
de organizacin
Alto: En corto plazo desmoviliza o desarticula a la
organizacin

Clasificacin de Riesgo

Seguro, pero exceso de atencin

Bajo riesgo

Alto riesgo

Inseguro, poca atencin

Bajo riesgo

Alto riesgo

Riesgo restante

Nada es 100% seguro, siempre queda un riesgo restante!

Reduccin de Riesgo

Medidas fsicas y tcnicas

Medidas personales

Construcciones de edificio, Control de acceso,

Planta elctrica, Antivirus, Datos cifrados,
Contraseas inteligentes, ...

Contratacin, Capacitacin, Sensibilizacin, ...

Medidas organizativas

Normas y reglas, Seguimiento de control,

Auditora, ...

Medidas de Proteccin

Medidas dependiendo del grado de riesgo

Verificacin de funcionalidad

Medio riesgo: Medidas parciales para mitigar dao

Alto riesgo: Medidas exhaustivas para evitar dao

Respaldado por coordinacin

Esfuerzo adicional y costos vs. eficiencia
Evitar medidas pesadas o molestas

Fundado en normas y reglas

Actividades, frecuencia y responsabilidades

Publicacin