Gestiรณn de la Seguridad de la Informaciรณn Capacitaciรณn de colaboradores
Carlos Fernando Cano ICT Advisor
Information and Communication Technology
Agenda
Principios de la Seguridad de la Informaciรณn
Seguridad: Amenazas, riesgo
Controles de seguridad de la informaciรณn
Regulaciones obligatorias
Principios de Seguridad de la Información Seguridad de la información, ¿qué es? Es la disciplina que se ocupa de proveer condiciones confiables y seguras para el procesamiento de datos. Los riesgos se gestionan mediante la reducción de su probabilidad y/o mitigando sus consecuencias de negocio La seguridad de la información no es solo un "problema de TIC', es responsabilidad de todos El propósito de la seguridad de la información es proteger la información La seguridad de TI se ocupa principalmente de la protección de la información almacenada electrónicamente y de su procesamiento
Principios de Seguridad de la Información
Confidencialidad Asegurar que la información solo sea accedida por aquellos autorizados a tener acceso
Integridad Validez y consistencia de los elementos de información almacenados y procesados en un sistema informático
Disponibilidad Los servicios, funciones del sistema de TI, y datos e información deben estar disponibles para los usuarios según sea necesario
Principios de Seguridad de la Información Amenazas a la seguridad de la información … Factores Ambientales • factores externos, lluvias, inundaciones, terremotos, tormentas, rayos, suciedad, humedad, calor, entre otros pueden afectar directamente a los sistemas informáticos o bloquear el acceso al centro de cómputo. Los sistemas o servicios de TI, por tanto, no están disponibles según requerimiento Factores tecnológicos • fallas de hardware y/o software, fallas en el aire acondicionado, falla en el servicio eléctrico, ataque por virus informáticos, etc. Los procesos humanos • hurto, adulteración, fraude, modificación, revelación, pérdida, sabotaje, vandalismo, crackers, hackers, falsificación, robo de contraseñas, intrusión, alteración. Información Confidencial • pasa inadvertida a las personas no autorizadas a través de un miembro del personal ya que los documentos o archivos no se han transmitido de manera adecuada
Principios de Seguridad de la Información Activos de la Información Información y datos • Financiero-, personal- y datos incorporados, información de niños, información del donante, estrategias, políticas, manuales, etc. Información del papel • Contratos, formularios completos, documentos importantes, certificados, etc. Software • Software del sistema, software de aplicaciones, herramientas de desarrollo, etc. Equipo físico y las instalaciones • Equipos informáticos y de comunicaciones, medios de almacenamiento, etc..
Las personas y su conocimiento • Técnicos, operadores, operadores de marketing, jurídicos, financieros, contratistas y consultores, proveedores externos, etc..
Amenazas
El acceso no autorizado • a los activos de información (hardware, software, datos, información) Personal descuidado • haciendo las cosas mal, sin saberlo Insiders maliciosos
• quienes hacen un mal uso de las funciones de seguridad / desconfiguran sistemas, o ignoran las políticas de seguridad y buenas prácticas
Riesgos
El robo de los datos personales por delincuentes • o la pérdida de los ordenadores portátiles y los medios informáticos, lo que lleva a la persecución penal de los altos directivos, multas reglamentarias, la pérdida de confianza pública en las organizaciones de confianza. Filtración de información • o pérdida de información valiosa y / o privada y la introducción de software no autorizado / malicioso a través de un uso no autorizado y / o fuera de control generalizado de dispositivos portátiles y medios informáticos transportables. Poner accidentalmente información o sistemas "en peligro" • por ejemplo publicación de información interna de alta sensibilidad en la Internet
Riesgos
En el contexto de la seguridad • esto se entiende como el arte de manipular a la gente para realizar acciones o proporcionar información confidencial La delincuencia informática modificada y la consultoría de seguridad actual señalan que es mucho más fácil engañar a alguien para que dé una contraseña para un sistema que pasar el esfuerzo de roer en el sistema
Técnicas de ingeniería social • se basan en atributos específicos de toma de decisiones humanas conocidas como sesgos cognitivos • Estos sesgos, a veces llamados "errores en el hardware humano" son explotados en diversas combinaciones para crear técnicas de ataque
Riesgos
Sí, es verdad, que ... •a pesar de la creciente sofisticación y la disponibilidad de alternativas, las contraseñas simples siguen siendo la forma más común de autenticación de usuario Aún así muchos servicios •siguen dependiendo de contraseñas únicamente para probar que la persona que interactúa con ellos es quien dice ser. Debilidades •este enfoque representaría un agujero grave en la seguridad
Riesgos
El acceso a la información • En los últimos años, hemos sido testigos de un cambio radical en la forma de acceder y utilizar el Internet • El rápido ascenso en la sofisticación de la tecnología móvil se tradujo en un rápido cambio en la forma en que proporcionamos contenido móviles e interactuamos con él. Una gran cantidad de nuevos problemas de seguridad • En nuestra nueva era, siempre conectada, el mantenimiento de la integridad y la privacidad de las redes, los datos de negocio e información personal es cada vez más importante y difícil
Riesgos
La gente es parte del sistema • la tecnología más avanzada y los algoritmos más seguros no pueden garantizar 100% la seguridad del sistema • Esto es porque la gente está involucrada en el desarrollo e implementación de software, y la gente comete errores. • En consecuencia, las personas que forman parte de cualquier sistema siempre van a ser el punto débil de un sistema de seguridad..
El Factor Humano
El factor humano
• es la razón de fondo por la cual muchos ataques a las computadoras y los sistemas tienen éxito.
Controles
Principio de "Anti-todo" • para minimizar el malware, spam, programas espía y de intrusión e incidentes en los sistemas, tanto estaciones de trabajo y servidores del cliente Los arreglos de contingencia • incluyendo las copias de seguridad, activos redundantes, planes de recuperación, auditorías. Conciencia de seguridad de información • Formación y educación • Ayudar a la gente a entender y cumplir con sus obligaciones de seguridad • Motivar a que 'hagan lo seguro " • Creación de una cultura de la seguridad Uso de credenciales • El usuario y contraseña es personal y no podrá ser prestado o dejado a la vista para su fácil acceso
Principios de Seguridad de la Información  Proceso de aseguramiento
Regulaciones obligatorias
Regulaciones obligatorias
Regulaciones obligatorias
Regulaciones obligatorias
Anexo 1) Conceptos de Marketing, Estrategias, Presentaciones de nuevos productos o servicios Finance data Comunicaciones de Crisis Reportes de viajes y carpetas de viajes Estadísticas Reportes de PCS Documentos con datos de proyectos
Anexo 2) Información relacionada a Donantes o Niños Información relacionada a Data relating to donors and children Data relating to named persons Staff data Requests for finance Information regarding the safety of our IT systems (from passwords to technical configurations details)
Ataques informáticos Wannacry: programa dañino de tipo ransomware.
Ataques informåticos  Phishing: suplantador de identidad (web)
Ataques informåticos  Phishing: suplantador de identidad (web)
Ataques informáticos Pharming: instalación software malicioso para alterar rutas DNS.
Ataques informáticos Malware: archivo o código malicioso que daña el sistema. Puede robar información, tomar control del sistema, capturar contraseñas. Virus gusanos, virus troyanos, spyware, addware, rootkit, keylogger y clickloggers.
Encripciรณn o cifrado de informaciรณn Procedimiento para transformar un mensaje, frase o palabra para que no pueda ser entendido por alguien que no tenga permiso para ver dicha informaciรณn. Cifrado por sustituciรณn
Cifrado por transposiciรณn
Capacitaciรณn en Seguridad de la Informaciรณn
Gracias!