Seguridad de Información y

Seguridad Informática

Carlos Renzo

Gerente de Proyectos

crenzo@open-sec.com
http://www.open-sec.com

Algunas malas experiencias

• Una organización decide realizar un ejercicio de
recuperación de información y detecta que sus
respaldos “seguros” no se encuentran disponibles....
• Una organización decide que los empleados suscriban
un acuerdo de confidencialidad, sin haber definido la
información que es confidencial
• Una organización decide implementar Políticas y
Procedimientos y no encuentra personal apropiado
• Una organización adquiere numerosas herramientas de
seguridad informática, sin embargo no puede
utilizarlas ni explotar la información
• Una organización se siente vulnerable ante los
ataques, pero no encuentra por dónde empezar
 ESTRATEGIA DEL NEGOCIO

ES NUESTRA
INFORMACION
SUFICIENTE

INFORMACION
PROCESOS

NUESTRA
INFORMACION
AGREGA VALOR

Importancia y Valor de la información en

la empresa
• ¿Cuál es la pérdida si los datos de la compañía
son comprometidos?

• ¿Cuánto vale la pérdida de propiedad intelectual

para mi compañía?

• ¿Cuál es la pérdida en ingresos ó participación

del mercado?

• ¿En cuánto se valora la pérdida de privacidad?

• ¿Cuánto vale el daño a la reputación de mi

compañía?
 ¿Cómo se reaciona ante la
pérdida de la información?
• Te has equivocado…
equivocado…, el área de vigilancia queda
en el só
sótano…
tano…
• ¡Soy Ingeniero de Sistemas…
Sistemas… !!!
• Yo veo Comunicaciones!!!
• No es nuestra funció
función.
• Son servicios generales
• ¿Me hablas a mí
mí???
• ¿Eso me toca???
• ¡No lo sabí
sabía!!!

TRATAMIENTO DE LA
INFORMACION

VISION

OBJ ETIVOS
INFORMACION SEGURA
MIS ION

ESTRATE GIA
ORGANIZACION
 ¿ Qué es la seguridad de la
información ?
• Implementación de un adecuado
conjunto de controles, políticas,
prácticas, procedimientos, estructuras
organizacionales y funciones de
software.

• Se necesita establecer estos controles

para asegurar que se cumplan los
objetivos específicos de seguridad de la
organización.

Tratamiento de la
Información

INFORMACION ESTRATEGICA INFORMACION OPERATIVA

INFORMACION
SEGURA?

© Open-Sec
 Bases de la Seguridad
Confidencialidad
La información debe ser accedida solo por personal
autorizado.
Prevenir el acceso no autorizado a información o
datos.
Integridad
Toda modificación a datos o información es realizada
por personas autorizadas utilizando procedimientos
autorizados. Adicionalmente, los datos/ información
deben ser consistentes, tanto en forma interna como
externa.
Disponibilidad
La información y datos se encuentran disponibles
cuando se necesitan.

Los alcances son diferentes

SEGURIDAD DE
INFORMACION

CODIGO MALICIOSO

SPAM

ROBO
SEGURIDAD
INFORMATICA

© Open-Sec
 ¿ Qué es la seguridad de la
información ?

Confidencialidad

Integridad Disponibilidad

Esta relación puede NO ser entendia por la organización

¿ Por qué es necesaria la

Seguridad de Información ?
Las organizaciones y sus sistemas de
información y redes están enfrentados en
forma creciente a las amenazas de la
seguridad desde una amplia gama de fuentes,
incluyendo;

• Fraudes apoyados por computador

• Espionaje
• Sabotaje
• Vandalismo
• Fuego o inundación.
 Nuevas y Mejores formas de acceder a la
informació
información

INFORMACION PRODUCTO DE LOS DIFERENTES PROCESOS DE LA EMPRESA

SISTEMA DE INFORMACION

PERSONAL DE SISTEMAS
© Open-Sec DECISORES

¿ Seguridad de Información ?

• Dependencia en los sistemas de información

y de servicios nos incrementa la
vulnerabilidad
• La interconexión de las redes públicas y
privadas y la compartición de los recursos
de la información, aumenta la dificultad de
lograr protección en control de acceso.
• La tendencia a los sistemas de computación
distribuidos ha debilitado la efectividad del
control central especializado
 ¿ Seguridad de Información ?

• Muchos sistemas de información no se han

diseñado para ser seguros
• La seguridad que se puede lograr a través de
dispositivos técnicos es limitada, y debería
ser apoyada por procedimientos y una
gestión apropiada
• Identificar que controles y en qué lugar
deberían estar, requiere una planificación
cuidadosa y una atención detallada

¿ Seguridad de Información ?

La gestión de seguridad de la información

necesita, como mínimo, la participación de
los proveedores, clientes o accionistas.

También puede ser necesarias las
opiniones de especialistas de
organizaciones externas

Los controles de seguridad de la
información son considerablemente más
baratos y más efectivos si son incorporados
en la etapa de diseño y especificación de
los requisitos
¿Por qué necesitamos de un Sistema de
Gestión de la Seguridad de la
Información?

"Para establecer la polí

política y los
objetivos de seguridad de la informació
información
de la organizació
organización… y para lograr, a
continuació
continuación estos objetivos".

Política de Seguridad de
Información

• Dirigir y dar soporte a la gestión de

la Seguridad de la Información.

• La gerencia debería establecer de

forma clara las líneas de la política
de actuación y manifestar su apoyo y
compromiso a la SI, publicando y
manteniendo una Política de
Seguridad en toda la organización.
 Oficial de Seguridad de
Información
• Implantar los controles de seguridad que
garanticen la inviolabilidad de la
información almacenada y transmitida
• La seguridad de la información es una
responsabilidad organizativa que deberá ser
compartida por todos los miembros de la
organización.
• Debe asegurarse una dirección clara y el
apoyo visible de la Alta Dirección a las
iniciativas de seguridad.
• Promover la seguridad en la organización
por medio de un compromiso apropiado y
de los recursos adecuados.

Análisis Costo - Beneficio

• Evaluación del grado de reducción de

riesgo que se espera alcanzar
implementando políticas.

• Beneficio neto = Beneficio – Costo anual

 COMITÉ
COMITÉ DE GESTIÓ
GESTIÓN DE SEGURIDAD DE
LA INFORMACIÓ
INFORMACIÓN

• Revisión y aprobación de la política de

seguridad de la información y de las
responsabilidades principales.
• Supervisión y control de los cambios
significativos en la exposición de los activos
de información a las amenazas principales
• Revisión y seguimiento de las incidencias en
la seguridad de la información.
• Aprobación de las iniciativas principales para
mejorar la seguridad de la información.

Evaluación de Riesgos de la
Seguridad
• Los requisitos de seguridad se identifican
mediante una evaluación metódica de los
riesgos de ella.
• El gasto en los controles es necesario
compararlo con el probable perjuicio que
resulte de fallas en la seguridad
• Las técnicas de evaluación de riesgos se
pueden aplicar a toda la organización, o
solamente a partes de ella, como también a los
sistemas de información individuales,
componentes específicos de un sistema o
servicios, cuando sea práctico, realista y útil
 Evaluación de Riesgos de la
Seguridad

• Los resultados de esta evaluación serán una guía

y determinarán la acción de una gestión
apropiada, así como las prioridades de la gestión
de los riesgos de seguridad de la información, y
la selección de la implementación de controles
para protegerla de estos riesgos
• Puede ser necesario realizar varias veces el
proceso de evaluación de los riesgos y
seleccionar los controles para cubrir diferentes
partes de la organización o sistemas de
información individuales

Factores Críticos para el Éxito

Política, objetivos y actividades de

Seguridad que reflejen los objetivos del
negocio

Una aproximación para la implementación
de la seguridad que sea consistente con la
cultura organizacional

Apoyo visible y compromiso de la dirección

Buen entendimiento de los requisitos de
seguridad, evaluación y gestión del riesgo

Difusión efectiva de la seguridad por todos
los directivos y empleados
 Factores Críticos para el Éxito

Distribución de las normas y de la guía de la

política de seguridad de la información a
todos los empleados y personal externo

Provisión de entrenamiento y educación
adecuada

Utilización de un sistema de medición
equilibrado y completo para evaluar el
comportamiento de la gestión de seguridad
de la información y la realimentación de
sugerencias para su mejoramiento

DEFCON

No hay victimas, SOLO

VOLUNTARIOS