protejete.wordpress.

com
Objetivos

Saber que es la Seguridad Informtica

Identificar aspectos que deben considerarse para el

estudio de la Seguridad Informtica

Conocer mtodo para

la Gestin de Riesgo
Estado de la Seguridad Informtica
en las Organizaciones Sociales
protejete.wordpress.com
Definicin de Seguridad Informtica

Garantizar condiciones y caractersticas de

datos e informacin

Confidencialidad: Acceso autenticado y controlado

Integridad: Datos completos y non-modificados

Disponibilidad: Acceso garantizado

Manejo del peligro

Conocerlo

Clasificarlo

Protegerse contra daos

protejete.wordpress.com
Gestin de Riesgo
Anlisis
de Riesgo
Clasificacin
de Riesgo
Control
de Riesgo
Reduccin
de Riesgo
Poltica de Seguridad: Procesos, Reglas y Norma Institucionales
protejete.wordpress.com
Seguridad Informtica
Seguridad de
la informacin
Proteccin de
datos
Seguridad
Informtica
protejete.wordpress.com
Seguridad de la Informacin
Seguridad de la informacin =
Proteccin contra prdida y modificacin
Motivacin: Inters propio
protejete.wordpress.com
Proteccin de Datos
Proteccin de datos =
Proteccin de la personalidad y los derechos
personales de los individuos, que salen en los
datos, para evitar consecuencias negativas en
contra de ellos.
Motivacin: Obligacin jurdica
protejete.wordpress.com
Retos de la Seguridad

No recibe atencin adecuada

Costos

Ignorancia, falta de conocimiento

Negligencia del personal

Falta o no respetar de normas y reglas

Proceso dinmico y permanente

Seguimiento de control y sanciones

Adaptar mediadas a cambios de entorno

Capacitacin del personal

Documentacin
!
protejete.wordpress.com
Elementos de Informacin

Datos e informacin

Finanzas, RR.HH, Llamadas telefnicas,

Correo electrnico, Base de Datos, Chateo, ...

Sistemas e infraestructura

Edificio, Equipos de red, Computadoras,

Porttiles, Memorias porttiles, Celulares, ...

Personal

Junta Directiva, Coordinacin,

Administracin, Personal tcnico, ...
protejete.wordpress.com
Amenazas

Criminalidad (comn y poltica)

Allanamiento, Sabotaje, Robo / Hurto,

Fraude, Espionaje, Virus, ...

Sucesos de origen fsico

Incendio, Inundacin, Sismo, Polvo

Sobrecarga elctrica, Falta de corriente, ...

Negligencia y decisiones institucionales

Falta de reglas, Falta de capacitacin, No cifrar

datos crticos, Mal manejo de contraseas, ...
protejete.wordpress.com
Vulnerabilidades

Ambiental / Fsicas

Desastres naturales, Ubicacin,

Capacitad tcnica, Materiales...

Econmica

Escasez y mal manejo de recursos

Socio-Educativa

Relaciones, Comportamientos, Mtodos,

Conductas...

Institucional / Poltica

Procesos, Organizacin, Burocracia,

Corrupcin, Autonoma
protejete.wordpress.com
Clasificacin y Flujo de Informacin

Identificar tipo de datos e informacin y clasificarlo

Confidencial (acceso restringido: personal interno autorizado)

Privado (acceso restringido: personal interno)

Sensitivo (acceso controlado: personal interno, pblico

externo con permiso)

Pblico

Anlisis de flujo de informacin

Observar cules instancias manejan que informacin

Identificar grupos externos que dependen o estn interesados

en la informacin

Determinar si se deben efectuar cambios en el manejo de la

informacin
protejete.wordpress.com
Anlisis de Riesgo
M
a
g
n
i
t
u
d

d
e

D
a
o
Probabilidad de Amenaza
4
8 12
Bajo Riesgo (1-6)
Medio Riesgo (8-9)
Alto Riesgo (12-16)
Riesgo = Probabilidad de Amenaza * Magnitud de Dao
16
9 6
8 6
2
4
3 12
2
1 3 4
1 2 3 4
1
2
3
4
Valores:
1 = Insignificante
2 = Baja
3 = Mediana
4 = Alta
protejete.wordpress.com
Cmo valorar la Probabilidad de Amenaza?

Consideraciones

Inters o la atraccin por parte de individuos externos

Nivel de vulnerabilidad

Frecuencia en que ocurren los incidentes

Valoracin de probabilidad de amenaza

Baja: Existen condiciones que hacen muy lejana la

posibilidad del ataque

Mediana: Existen condiciones que hacen poco probable un

ataque en corto plazo, pero no son suficientes para evitarlo
en el largo plazo

Alta: Ataque es inminente. No existen condiciones internas y

externas que impidan el desarrollo del ataque
protejete.wordpress.com
Cundo hablamos de un Impacto?

Se pierde la informacin/conocimiento

Terceros tienen acceso a la informacin/conocimiento

Informacin ha sido manipulada o est incompleta

Informacin/conocimiento o persona no est

disponible

Cambio de legitimidad de la fuente de informacin

protejete.wordpress.com
Cmo valorar la Magnitud de Dao?

Consideracin sobre las consecuencias de un impacto

Quin sufrir el dao?

Incumplimiento de confidencialidad (interna y externa)

Incumplimiento de obligacin jurdicas / Contrato / Convenio

Costo de recuperacin (imagen, emocional,

recursos: tiempo, econmico)

Valoracin de magnitud de dao

Bajo: Dao aislado, no perjudica ningn componentes de

organizacin

Mediano: Provoca la desarticulacin de un componente de

organizacin. A largo plazo puede provocar desarticulacin
de organizacin

Alto: En corto plazo desmoviliza o desarticula a la

organizacin
protejete.wordpress.com
Clasificacin de Riesgo
Seguro, pero exceso de atencin Inseguro, poca atencin
Bajo riesgo Bajo riesgo Alto riesgo Alto riesgo
protejete.wordpress.com
Riesgo restante
Nada es 100% seguro, siempre queda un riesgo restante!
protejete.wordpress.com
Reduccin de Riesgo

Medidas fsicas y tcnicas

Construcciones de edificio, Control de acceso,

Planta elctrica, Antivirus, Datos cifrados,
Contraseas inteligentes, ...

Medidas personales

Contratacin, Capacitacin, Sensibilizacin, ...

Medidas organizativas

Normas y reglas, Seguimiento de control,

Auditora, ...
protejete.wordpress.com
Medidas de Proteccin

Medidas dependiendo del grado de riesgo

Medio riesgo: Medidas parciales para mitigar dao

Alto riesgo: Medidas exhaustivas para evitar dao

Verificacin de funcionalidad

Respaldado por coordinacin

Esfuerzo adicional y costos vs. eficiencia

Evitar medidas pesadas o molestas

Fundado en normas y reglas

Actividades, frecuencia y responsabilidades

Publicacin