AVES 4-Seguridad de La Información 2009

TransformandoConocimientos Conocimientosy yExperiencia Experiencia Transformando En Valor Para Las Empresas Del Nuevo Milenio En Valor Para Las
Empresas Del Nuevo Milenio
La La Seguridad Seguridad de de la la Informacin Informacin
Dra. urea V. Guzmn, CPP, CBCP
Propsito Propsito del del Seminario Seminario

Reconocer la importancia de la tecnologa de la informacin y entender quin es responsable de la proteccin de los activos de la informacin Conocer y entender las caractersticas clave de la seguridad de la informacin Reconocer la diferencia entre la continuidad de negocio en la gerencia de informacin y la CN de la organizacin
pdfMachine by Broadgun Software pdfMachine es una aplicacin que genera fcilmente archivos PDF de alta calidad. Obtenga su copia!
Objetivos del Seminario

1. 2. 3. 4. 5. 6.
Entender la importancia de: Planeamiento de seguridad Planeamiento de contingencia Polticas y programas de seguridad Proteccin Las personas Los programas y proyectos de seguridad de la informacin
3
Introduccin
La tecnologa en el mercado globalizado Los negocios se hacen con tecnologa de la informacin (IT) Information Technology es el vehculo que almacena y transporta la informacin La informacin es uno de los activos ms importantes de una organizacin Qu sucede si el vehculo se rompe?
Introducin
Antes: La frase era: Tenemos a la gente de tecnologa para resolver el problema La tecnologa estaba confinada al centro de cmputos en cuartos con control de temperatura, muy fros La informacin se procesaba en forma centralizada
Introduccin
Hoy da: La informacin permea cada faceta del negocio Los negocios se mueven a donde se mueven los empleados Los negocios son ms fluidos El concepto de seguridad computadorizada ha cambiado al de seguridad de la informacin
Seguridad de la Informacin
Es un concepto ms amplio Cubre desde la proteccin de la data hasta la proteccin del recurso humano Ya no es responsabilidad de un grupo pequeo de empleados Es responsabilidad de cada empleado, especialmente de los gerentes Los gerentes reconocen su naturaleza crtica
Para responder a este nuevo concepto las empresas estn creando nuevos puestos de trabajo para resolver nuevos desafos Los gerentes, tcnicos y los empleados de seguridad de la informacin tienen como objetivo principal la proteccin de los activos de la informacin
Las organizaciones tienen que entender que un programa para la seguridad de la informacin necesita fondos y un buen planeamiento Las decisiones van ms all del tcnico, del gerente y del equipo de seguridad de la informacin
1.
2.
3.
El proceso para tomar decisiones debe envolver tres grupos: Gerentes y profesionales de seguridad de la informacin Gerentes y profesionales de tecnologa de la informacin (IT) Gerentes y profesionales no tcnicos Debe haber concenso en el plan para proteger los activos de la informacin
10
1.
2.
3.
Cada grupo trabaja desde su funcin: Los de seguridad de la informacin protegen los activos de la informacin contra amenazas Los de tecnologa de la informacin (IT) apoyan los objetivos del programa de proteccin supliendo informacin de tecnologa que sea apropiada a las necesidades del negocio Los dems gerentes y empleados articulan y comunica las polticas y los objetivos del programa de proteccin y proveen los recursos necesarios a los otros grupos
11
1.
2. 3.
Los tres grupos toman decisiones colectivas sobre cmo mejor salvaguardar la informacin Administrar un programa de seguridad de la informacin: Toma tiempo, requiere recursos y mucho esfuerzo Todo gira alrededor del RIESGO Hay que identificarlos, medirlos, mitigarlos y documentarlos (AR y AIN)
12
Qu es Seguridad?
1. 2. 3. 4. 5.
La seguridad se logra a travs de varias rutas. Pueden ser rutas nicas o combinadas Las reas especializadas de seguridad incluyen: Seguridad fsica Seguridad del personal Seguridad de la operacin Seguridad de las comunicaciones Seguridad de las redes
13
Qu es Seguridad?
1.
2.
Seguridad fsica: Envuelve estrategias para proteger la gente, la propiedad y el lugar de trabajo de amenazas. Ejemplos: incendios, accesos no autorizados, desastres naturales Seguridad del Personal: Se integra con seguridad fsica para proteger a las personas
14
Qu es Seguridad?
3.
4.
Seguridad de la operacin: Se enfoca en proteger la capacidad de llevar a cabo las operaciones del negocio sin interrupciones (CN) Seguridad de las comunicaciones: Envuelve proteger los medios de comunicacin de la organizacin, la tecnologa y el contenido Incluye utilizar la proteccin para alcanzar los objetivos de la organizacin
15
Qu es Seguridad?
5.
Seguridad de las redes: Va dirigida a proteger los dispositivos, conexiones y el contenido de las redes de comunicacin Incluye la habilidad de utilizar estas redes para lograr las funciones de comunicar data en la organizacin
16
Estndares de Seguridad de la Informacin
El modelo de CNSS para la seguridad de la informacin se est convirtiendo en el criterio para evaluar los sistemas de informacin Lo publica el Committee on National Security System Antes NSTISSC: National Security Telecommunications and Information Systems Security Committee
17

InfoSec: Information Security Es la proteccin de la informacin y sus elementos crticos, incluyendo los sistemas y los equipos (hardware) Que utilizan, almacenan y transmiten la informacin Incluye la gerencia de seguridad de la informacin, seguridad computadorizada seguridad de la data y de las redes
18

Incluye los conceptos de las polticas, concienciacin, capacitacin, educacin y tecnologa Estos conceptos son vitales para la proteccin de la informacin y para resguardar la misma de amenazas y peligros
19

El tringulo de CIA se basa en las caractersticas deseables de: 1. Confidencialidad 2. Integridad y 3. Disponibilidad (Availability) Hoy da, este modelo se ha expandido y se ha ajustado al rpido crecimiento de la tecnologa Ms adelante discutiremos algunos modelos modernos
20
10
Gerencia
La Gerencia de Seguridad de la Informacin opera como otras unidades de trabajo, pero, sus metas y objetivos son diferentes ya que se enfoca en la seguridad de la operacin de la organizacin
21
Conceptos Clave
Adems de Confidencialidad, Integridad y Disponibilidad: Privacidad La informacin que se recopila, utiliza y almacena en una organizacin debe utilizarse slamente, con el propsito especfico que el dueo de la informacin tena al momento de recopilarla
22
11
Conceptos Clave
1.
2.
3.
4.
Identificacin Un sistema de informacin debe tener sta caracterstica para reconocer a los usuarios del sistema Es el primer paso para acceder a informacin que se considera segura Sirve como base para la autorizacin y la autenticacin del usuario stas son esenciales para establecer los niveles de acceso o la autorizacin concedida Por lo general se utiliza el nombre del usuario o cualquier otra identificacin
23
Conceptos Clave
Autenticacin Ocurre cuando un control evidencia que el usuario tiene la identidad que dice tener (Ej. criptografa, tarjetas inteligentes) Autorizacin Luego de identificar al usuario, este proceso asegura que la persona o la computadora ha sido autorizada para acceder, actualizar o borrar el contenido de un activo de la informacin (Ej. Autorizacin en la base de datos, listas de control, autorizacin a grupos en el rea de redes) Es para leer, escribir, crear, borrar
24
12
Conceptos Clave
Responsabilidad Existe cuando un control establecido asegura que cada actividad que se realiza se puede atribuir a una persona en particular o a un proceso automatizado Ej. Bitcoras de auditoras que rastrean las acividades de un usuario
25
InfoSec
1.
1.
Polticas son un conjunto de guas que dictan cierto comportamiento dentro de una organizacin InfoSec tiene tres categoras generales de polticas: Poltica sobre la informacin del negocio Se desarrolla dentro del plan estratgico de IT. La redacta el CISO (Chief Information Security Officer) y la aprueba el CIO o CEO
26
13
InfoSec
2.
3.
Polticas especficas de seguridad conjunto de reglas que definen el comportamiento aceptable dentro de una tecnologa especfica. Ej. Correo electrnico, uso de Internet Polticas especficas de los sistemas son de naturaleza tcnica o gerencial y controlan la configuracin y/o el uso de una pieza de un equipo o de una tecnologa. Ej. Una lista de control de acceso para definir los accesos permitidos por un dispositivo especfico
27
InfoSec
3.
4.
Programas son operaciones conducidas dentro de InfoSec pero administradas por entidades separadas. Ej. Programa de capacitacin y concienciacin, programa de seguridad fsica Proteccin Esta funcin se ejecuta por medio de actividades del manejo de riesgo. Incluye anlisis de riesgo, controles, proteccin de equipos, tecnologas y herramientas
28
14
InfoSec
Personas Son el enlace mas crtico del programa de seguridad de la informacin Las personas juegan un papel crucial en el programa de seguridad de la informacin Incluye personal de seguridad, la seguridad del personal y aspectos del programa de capacitacin y concienciacin
29
InfoSec
Gerencia de Proyecto Es el componente final del programa de seguridad de la informacin No importa cual sea la actividad, se debe manejar como un proyecto Envuelve identificar y controlar recursos, medir y ajustar el progreso de cada actividad hasta alcanzar la meta
30
15
Planeamiento de Seguridad
La seguridad puede comenzar con un esfuerzo de abajo hacia arriba o de arriba hacia abajo, donde es la alta direccin la que formula los planes El ciclo de vida (SDLC Systems Development Life Cycle) para desarrollar sistemas. Es una metodologa para disear e implantar un sistema de informacin en una organizacin Una metodologa es un enfoque prctico para resolver problemas basado en una secuencia estructurada de procedimientos
31
Cuando utilizamos una metodologa aseguramos que el proceso es ms riguroso y aumenta la posibilidad de alcanzar las metas deseadas El sistema de SDLC se puede adaptar para disear un proyecto de seguridad de la informacin El proceso fundamental es la identificacin de amenazas especficas y los riesgos que stas representan para la organizacin
32
16
1. 2.
El anlisis comienza conociendo a nuestro enemigo En la seguridad de la informacin el enemigo es cualquier amenaza que pueda atacar nuestro sistema La fase de diseo tiene dos partes: El diseo lgico El diseo fsico
33
1. 2.
3.
Diseo lgico: Se preparan los planes de seguridad Se examinan las polticas que pudieran influenciar decisiones futuras Se basa en las necesidades del negocio
34
17
1.
2. 3. 4.
Diseo fsico: Se evala la tecnologa que se necesitara para apoyar el plan de seguridad de la informacin Se generan alternativas de soluciones Se determina el diseo final Los cambios y el mantenimiento son muy importantes debido a la flexibilidad y persistencia que tienen muchas de las amenazas de hoy da
35
1.
2.
3.
La fase de implantacin - Una vez el programa de seguridad de la informacin se implanta, debe ser operado y administrado por medio de procedimientos Se requerirn procedmientos adicionales para mantener segura a la organizacin si ocurren cambios El programa seleccionado debe integrar todos los componentes y tecnologas Se presenta a la gerencia y a los usuarios para su aprobacin
36
18
1.
2.
3.
4.
La fase de mantenimiento - es la ms costosa y de larga duracin Requiere mantener til el sistema durante su ciclo de vida Dura hasta que se inicia un proceso nuevo El sistema se tiene que adaptar a los cambios Hay que actualizar, cambiar, probar, continuar y descontinuar
37
El planeamiento requiere un balance entre la planificacin y el beneficio final Retorno a la inversin (ROI) Return on Investment Participan recursos internos (empleados, accionistas, la gerencia) Incluye el entorno fsico, legal, poltico, competitivo, tecnolgico
38
19
CEO Iniciado Iniciado poralta alta por direccin direccin Iniciado Iniciadopor por administradores administradores y ytcnicos tcnicos
VP Redes
CFO
CIO
COO
CISO Seguridad Gerente Seguridad Administrador Seguridad Tcnico
VP Sistemas
Sistemas Gerente Sistemas Administrador Sistemas Tcnico
Redes Gerente Redes Administrador Redes Tcnico
39
CEO Chief Executive Officer CFO Chief Financial Officer CIO Chief Information Officer COO Chief Operations Officer CISO Chief Information Security Officer VP Vice President
40
20
Categoras de Riesgo
Error humano o fallas Comprometer la propiedad intelectual Espionaje o transgresin Extorsin Sabotaje y Vandalismo Hurto Ataques a Programas (software) Problemas con los servicios de los suplidores (Ej. energa elctrica)
41
Categoras de Riesgo
Fuerzas de la naturaleza Fallas tcnicas o errores en el equipo (hardware) Fallas tcnicas o errores en programas (software) Obsolescencia de la tecnologa
42
21
Educacin, Capacitacin y Concienciacin
1. 2. 3.
Son parte integral del programa de seguridad de la informacin Es responsabilidad del CISO Es una medida de control La capacitacin del usuario es necesaria durante la implantacin del sistema Incluye: Educacin en seguridad Capacitacin en seguridad Concienciacin de seguridad
43
Controles
1. 2. 3. 4.
Controles gerenciales Incluye: Procesos de seguridad Administracin de riesgo Cumplimiento legal Mantenimiento del ciclo de vida del proceso de seguridad
44
22
Controles
1.
2.
3. 4. 5. 6.
7.
Controles operacionales: Incluye: Mantener la efectividad de la funcin de seguridad Recuperacin de desastre y continuidad de negocio (contingencias) Respuesta a incidentes Seguridad del Personal y Seguridad Fsica Proteccin de la produccin Mantenimiento de sistemas (equipos y programas) Integridad de la data
45
Controles
Controles Tcnicos Incluye: Identificar problemas tcticos y tcnicos relacionados con la implantacin de la seguridad en la organizacin Seleccionar y adquirir la tecnologa necesaria para mantener los controles de seguridad
46
23
Mantenimiento
1.
2.
3.
El modelo de seguridad de la informacin tiene cinco reas o dominios: Monitoreo externo concienciacin de nuevas amenazas, vulnerabilidades, ataques Monitoreo interno Concienciacin sobre la condicin de los sistemas, redes existentes y las defensas de seguridad Planeamiento y anlisis de riesgo para vigilar y monitorear el programa de seguridad de la informacin
47
Mantenimiento
4.
5.
Anlisis de vulnerabilidades para identificar vulnerabilidades especficas y remediarlas a tiempo Disposicin y revisin para mantener funcionando el programa de seguridad de la informacin
48
24
Modelo ISO
1.
Se puede modificar para que aplique a la seguridad de la informacin Provee una estructura para administrar las redes y los sistemas en cinco reas: Administracin de Fallas Identifica, rastrea, diagnostica y resuelve fallas en el sistema Monitorea y resuelve quejas de usuarios
49
Modelo ISO
2.
Configuracin y Cambios: Se administran varios componentes del programa de seguridad Se hacen cambios en las estrategias, la operacin o en los componentes del programa de seguridad de la informacin Se hacen cambios tcnicos y no tcnicos
50
25
Modelo ISO
3.
Administracin de la Contabilidad y Auditoras. Incluye: Monitoreo de cargos por el uso del sistema Recobro de los costos de IT de otras unidades de trabajo Auditoras para determinar el uso adecuado o el mal uso de los sistemas
51
Modelo ISO
4.
5.
Desempeo: Monitoreo del desempeo de los sistemas y la infraestructura de IT para determinar si estn cumpliendo con su funcin Monitorear el uso de Internet Programa de Seguridad: Monitorearlo para asegurar que es funcional
52
26
Qu incluye el planemiento de contingencia?

Plan de respuesta a incidentes procesos y procedimientos para anticipar, detectar y mitigar los efectos de un evento no anticipado Plan de recuperacin de desastre prepararse para recuperarse de un desastre ya sea natural o intencional Plan de continuidad de negocio asegurar que las funciones crticas del negocio pueden continuar si ocurre un desastre (hay que unirlo al CN de las personas people continuity)
53
Contingencias
1.
Planificar para contingencias es responsabilidad de los gerentes de IT y de seguridad Los planes tienen que ser aprobados por la alta direccin Para la continuidad de negocio se necesita un proceso de seis pasos: Identificar las funciones crticas del negocio
54
27
Contingencias
2. 3. 4. 5. 6.
Identificar los recursos que las apoyan Anticipar desastres y contingencias Seleccionar estrategias de contingencia Implantar la estrategia seleccionada Probar y revisar los planes de contingencia Anlisis de Impacto en Negocio para evaluar los efectos (impactos) que ciertos ataques pueden tener en la organizacin
55
Contingencias
1. 2. 3. 1. 2. 3.
Trabajan tres equipos: El de planeamiento de contingencia El de respuesta a incidentes El de recuperacin de desastre Categoras de incidentes: Posible Probable Definitivo
56
28
Contingencias
1. 2. 3. 4. 5.
Hay un incidente cuando hay prdida de: Disponibilidad Integridad Confidencialidad Violacin de una poltica Violacin de una ley
57
Poltica
Definicin Una poltica es una declaracin escrita sobre la posicin de la organizacin para controlar las acciones de las personas y el desarrollo de los procedimientos Es un conjunto de reglas que dictan lo que es un comportamiento aceptable o inaceptable dentro de la organizacin
58
29
Polticas
1. 2.
3.
Para que una poltica sea efectiva es necesario que se disemine (todos la tienen que conocer) La gerencia debe establecer tres tipos de polticas de seguridad de la informacin: Poltica empresarial de seguridad Poltica sobre asuntos especficos de seguridad Poltica sobre asuntos especficos de seguridad de los sistemas
59
Polticas
Un buen programa de seguridad de la informacin comienza y termina con una poltica La poltica dirige el desempeo de los empleados Ayudan a desarrollar guas apropiadas para mantener el programa de seguridad de la informacin. Mantener el programa de seguridad de la informacin es una funcin gerencial y no una tcnica
60
30
Poltica
1. 2. 3.
La poltica de seguridad de la informacin tiene que cumplir con unos criterios: Nunca debe estar en conflicto con la ley Debe sostenerse en un tribunal Debe estar apoyada y administrada adecuadamente
61
Poltica
1.
2.
3.
Guas para desarrollar la poltica de seguridad de la informacin: Todas las polticas tienen que contribuir al xito de la organizacin La gerencia tiene que asegurarse que todos comparten responsabiidades Los usuarios de los sistemas deben participar en el desarrollo de la poltica
62
31
El Programa de Seguridad
El trmino programa de seguridad de la informacin se utiliza para describir la estructura y organizacin que tiene la organizacin para contener el riesgo de perder sus activos de informacin
63
1.
2.
Las funciones de la seguridad de la informacin deben separarse en cuatro reas: Las funciones realizadas por reas que no son tcnicas Las funciones realizadas por personal de IT
64
32
3.
4.
La funciones realizadas dentro del departamento de seguridad de la informacin como un servcio al cliente Las funciones realizadas dentro del departamento de seguridad de la informacin que son de cumplimiento
65
El programa de educacin,capacitacin y concienciacin es responsabilidad del CISO y est diseado para evitar violaciones de seguridad Este programa mejora el comportamiento de los empleados y permite que la organizacin los haga responsables por sus acciones La capacitacin debe hacerse por categoras de empleados y por grupos
66
33
La capacitacin no solo debe ensearles a los empleados lo que deben o no hacer, sino tambin cmo hacerlo El programa de capacitacin debe disearse utilizando diferentes mtodos de aprendizaje Ej. Personalizado, clases formales, clases con computadora, clases a distancia, seminarios Web, en el trabajo (on the job), etc.
67
Modelos y Mejores Prcticas

Hay mejores prcticas cuando: 1. La organizacin mantiene un nivel superior de desempeo en la proteccin de su informacin 2. Se crea un balance entre la necesidad de acceder a la informacin y la necesidad de proveer proteccin El estndar de oro es el nivel ms alto de proteccin que puede alcanzar una organizacin
68
34

1.
2. 3. 4.
5.
6.
Criterios para seleccionar las mejores prcticas: Se parece su organizacin a la que ha sido objeto de un ataque? Est usted en la misma industria? Enfrenta usted los mismos desafos? La estructura de su organizacin es la misma de la atacada? Puede usted invertir en los mismos recursos de la organizacin atacada? Est usted en el mismo entorno?
69

1. 2. 3. 4. 5. 6. 7.
Mejores Prcticas de Microsoft: Usan programas antivirus Usan cdigos de acceso robustos Verifican la instalacin de sus programas Actualizan sus productos de seguridad Construyen firewalls personales Continuamente hacen respaldo Se protegen de las fluctuaciones en el voltaje de la enerega elctrica
70
35

1.
2.
3. 4.
La mejor prctica es la auto evaluacin Respecto a las personas Se hacen investigaciones de antecedentes al personal que tiene acceso a los activos de informacin? Reconocera el empleado promedio un problema de seguridad? Lo informara? Sabe cmo informarlo a las personas apropiadas?
71

1.
2.
3.
En los procesos: Se actualizan las polticas por lo menos una vez al ao, se informan los cambios a los empleados y se hacen cumplir? Tiene su organizacin un proceso para evaluar y priorizar las nuevas vulnerabilidades de seguridad? Se remueven los cdigos de acceso de los empleados que son despedidos o dejan la organizacin?
72
36

4.
1.
2.
Participa el personal de seguridad en todas las etapas del ciclo de vida de los nuevos proyectos? En la tecnologa: Estn protegidas todas las rutas de la Internet por firewalls? La data sensitiva en las computadoras porttiles y sistemas remotos Est encriptada o cifrada?
73

3.
4.
Utiliza usted frecuentemente programas de software para verificar la vulnerabilidad de los sistemas y redes? Estn todos los servidores y estaciones de trabajo libres de programas maliciosos
74
37

Entre las mejores prcticas estn las Certificaciones y Acreditaciones Acreditacin es la autorizacin de un sistema de IT para poder procesar, almacenar y transmitir informacin La emite un oficial de la gerencia que certifica que los sistemas son de adecuada calidad Certificacin es la evaluacin de los controles de seguridad del sistema de IT, tanto tcnicos como no tcnicos
75
La Evaluacin de Seguridad
Se utilizan varias referencias: NIST National Institute for Standards and Technology Security Self Assessment Guide for Information Technology Human Firewall Councils Security Management Index Survey
76
38
1. 2. 3. 4. 5.
Son encuestas y/o cuestionarios para asegurar que el programa de seguridad de la informacin cumple con los requisitos y estndares de seguridad. (es parte del PSS) Incluye: Polticas de Seguridad Infraestructura de Seguridad Clasificacin y Control de los Activos Seguridad del Personal Seguridad Fsica y Ambiental
77
Comunicaciones y Operaciones 7. Controles de Acceso 8. Desarrollo y Mantenimiento de los Sistemas 9. Continuidad de Negocio 10. Cumplimiento
6.
78
39
Administracin de Riesgo
Tenemos que conocer al enemigo Tenemos que conocernos a nosostros mismos Hay que identificar los riesgos Hay que clasificar los activos de informacin Hay que asignarle un valor a los activos de informacin (crtico, menos crtico) Cul es la informacin ms rentable y valiosa?
79
Administracin de Riesgo

1. 2. 3.
Cul es la ms critica? Cul es la ms costosa de reponer? Cul es la ms costosa de proteger? Cul causara penuria, verguenza a la organizacin y demandas legales si se perdiera? Tres categoras de control: Polticas Programas Tecnologas
80
40
Mecanismos de Proteccin
Autenticacin validacin de la identidad del usuario Autorizacin determinacin de las acciones que pueden ejecutarse Tecnologa biomtrica para identificar quin es el usuario Firewalls proteccin de redes no confiables Dispositivos para rastrear la actividad del usuario
81
Mecanismos de Proteccin
Encriptar o cifrar la informacin Certificados digitales Criptosistemas para proteger el correo electrnico y los buscadores de la Web
82
41
Seguridad y el Personal
Descripcin de puestos (job descriptions) Programa de seleccin de empleados Investigacin de antecedentes Pruebas de integridad y honestidad Exmenes psicolgicos Exmenes de destrezas y conocimiento Subcontratacin (outsourcing) Rotacin (turnover), separacin de tareas Vacaciones mandatorias Poltica de escritorios limpios
83
La Ley y la tica
Las leyes son reglas de conducta La tica establece el comportamiento social aceptable Leyes para proteger patentes y secretos comerciales Leyes contra el espionaje industrial Cdigos de tica
84
42
Gerencia de Proyecto
Gerencia de Proyecto es la aplicacin de conocimientos, destrezas, herramientas y tcnicas a las actividades de un proyecto Se utiliza el WBS (Work Breakdown Structure)para monitorear las distintas actividades del proyecto Se usan diferentes mtodos para colocar en secuencia las actividades del proyecto (Gantt Chart, Critical Path Method) Microsoft Project Management (Primavera)
85
TransformandoConocimientos Conocimientosy yExperiencia Experiencia Transformando EnValor ValorPara ParaLas LasEmpresas EmpresasDel DelNuevo NuevoMilenio Milenio En
RECUERDE RECUERDE
86
43
Porqu tener Polticas, Estndares y Procedimientos? El objetivo principal de un programa de proteccin de la informacin es PROTEGER la integridad, confidencialidad y disponibilidad de la informacin Los riesgos que impiden lo anterior son: acceso no autorizado, modificacin, destruccin y revelacin de la informacin
87
Los riesgos pueden ser accidentales o deliberados Controles de acceso a la informacin: 1. Quines estn autorizados a acceder los sistemas de informacin? 2. Una vez el usuario es autenticado, Qu informacin puede acceder? 3. Qu mecanismos utiliza el dueo de la informacin para identificar los activos que el usuario est autorizado a acceder?
88
44
4.
5.
Qu recursos para procesar la informacin est el usuario autorizado a acceder? Cundo puede el usuario acceder a esos recursos? Una vez estas polticas estn establecidas, la organizacin puede proceder a establecer los estndares para proteger su informacin, tales como:
89
1. 2.
3.
1. 2. 3. 4.
Controles de acceso Mecanismos para otorgar autorizacin a los usuarios Proceso para monitorear las actividades del usuario Acceso : Identidad del usuario es la ms comn Funciones (roles) Locacin terminales especficos Tiempo por da o veces por semana
90
45
Identificacin el usuario reclama una identidad al sistema Autenticacin se valida ese reclamo Algo que el individuo sabe su contrasea (password) Algo que el individuo tiene (token card) Algo que el individuo es - biomtrica
91
Amenazas: Naturales - (inundaciones, huracanes, terremotos) Accidentes prdida de energa elctrica, incendio, error del operario Deliberados alteracin de la informacin, fraude, hurto, uso no autorizado, vandalismo)
92
46
Clasificacin de la Informacin: 1. Activos de la organizacin 2. Niveles de clasificacin: Confidencial Uso Interno Pblico Control de Calidad procesos para asegurar la integridad de la informacin, programas, equipos, recursos
93
Porqu falla la seguridad? 1. Falta de controles, accesos inadecuados 2. Responsabilidades inadecuadas o incompletas 3. Falta de capacitacin o sta es inadecuada 4. Exponer al empleado a tentaciones (hay que rotarlos, segregar tareas) 5. Empleados descontentos 6. Contraseas sin controles 7. Basurologa
94
47
La amenaza ms grande para su prdida es el empleado. No permita la OPORTUNIDAD
95
48

AVES 4-Seguridad de La Información 2009

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

AVES 4-Seguridad de La Información 2009

Enviado por

Direitos autorais:

Formatos disponíveis

TransformandoConocimientos Conocimientosy yExperiencia Experiencia Transformando En Valor Para Las Empresas Del Nuevo Milenio En Valor Para Las

Empresas Del Nuevo Milenio

La La Seguridad Seguridad de de la la Informacin Informacin

Dra. urea V. Guzmn, CPP, CBCP

Propsito Propsito del del Seminario Seminario

Objetivos del Seminario

Estndares de Seguridad de la Informacin

Estndares de Seguridad de la Informacin

Estndares de Seguridad de la Informacin

Estndares de Seguridad de la Informacin

CISO Seguridad Gerente Seguridad Administrador Seguridad Tcnico

Sistemas Gerente Sistemas Administrador Sistemas Tcnico

Redes Gerente Redes Administrador Redes Tcnico

Educacin, Capacitacin y Concienciacin

Qu incluye el planemiento de contingencia?

Modelos y Mejores Prcticas

Modelos y Mejores Prcticas

Modelos y Mejores Prcticas

Modelos y Mejores Prcticas

Modelos y Mejores Prcticas

Modelos y Mejores Prcticas

Modelos y Mejores Prcticas

Modelos y Mejores Prcticas

La amenaza ms grande para su prdida es el empleado. No permita la OPORTUNIDAD

Você também pode gostar