Seguridad de la Información

Page 1

Seguridad Informática

Propósito de la seguridad • El propósito de la seguridad es proteger recursos valiosos. • La información y sus recursos asociados (hardware, software, instalaciones y gente) son elementos tanto o más valiosos que los tradicionales bienes de una organización.

1

RECURSOS INFORMÁTICOS Integridad

Confidencialidad

Instalaciones

Personas

Disponibilidad Datos Software

Hardware

PRIVACIDAD CURIOSIDAD --- EXTORSIÓN CONFLICTO: Derecho del individuo vs. Necesidades de organizaciones privadas y públicas (voluntarias obligatorias), Cómo y que información va a ser recogida Cómo y quien la va a usar Cómo habrá de ser revisada, modificada y corregida

2

¿LA SEGURIDAD ES UNA PREOCUPACION FUNDAMENTAL?

¿Por qué ? No hay una clara percepcion del problema (¡no es mi problema!)

Existen otras prioridades La seguridad es cara Requiere apoyo de la direccion superior Síndrome : “a mi no me va a ocurrir” Dedicacion especial y diversidad de conocimientos Falta de reconocimiento de la información como un recurso importante 1983

3

¡ ¡ ¡ A M E N A Z A S ! ! ! Da In ño te Hu nc m ion an al o

no l ma ona u H ci ño nten a D I no

Recursos Informáticos

VULNERABILIDAD

Pr o Op blem er at as ivo s

la de a s z to le Ac tura na

CONSECUENCIAS

1983

Actos de la naturaleza • Incendio • Inundación • Filtraciones • Alta temperatura • Terremoto • Derrumbe • Explosion • Corte de energia • Disturbios

4

Fallas de hardware, software e instalaciones • Caida o falla del procesador • Caida o falla de periféricos • Comunicaciones • Software de base • Software de aplicación • Aire acondicionado • Falla en el sistema electrico

Errores y omisiones • En el ingreso de los datos • En la operacion • En el uso de archivos • En el uso de programas • En el desarrollo de sistemas • En el uso de respaldo (back-up) • En el uso de terminales • Perdida de soportes • Falta actualizacion documentacion • Accidentes en prueba programa • Daño accidental de archivos

5

Fraudes • Hurto • Robo • Defraudacion • Uso indebido de recursos • Phishing

Daño intencional • Terrorismo • Vandalismo • Sabotaje • Operacion maliciosa • Programacion maliciosa • Infiltracion en lineas • Hackers / crackers • Virus • Malware

6

NUEVAS tecnologías, amenazas Internet Wireless Computación ubicua Dispositivos móviles

Virus Spam Spyware Phishing Pornografía

Nuevas exigencias legislación, estándares, mejores prácticas

Vulnerabilidades • • • • • • • •

Controles de acceso físico y/o lógico Controles de entrada, proceso y salida de datos Diseño y/o programación del soft de aplicación Documentación Back-ups Capacitación a usuarios y gente de sistemas Responsable de seguridad informática Plan de contingencia y/o continuidad de negocios • Medidas preventivas, detectivas y de reacción

7

Consecuencias Pérdida de Ingresos

Pérdida de Reputación

Ciclos de Negocios Desperdiciados

Problemas de Confidencialidad

Pérdida de Información

Consecuencias Legales

Interrupción de los Procesos de Negocios

Fuente: Microsoft

Cálculo de la posible perdida Cuantitativas

Valor de reposición del recurso. Lucro cesante. Multas / juicios. Incidencia financiera. Costo de recuperación.

8

Cálculo de la posible pérdida Cualitativas – – – –

Imágen. Moral. Confianza. Responsabilidad legal.

Medidas de protección (Countermeasures) Preventivas / disuasivas Detectivas Correctivas / de recuperació recuperación Evitar, mitigar o trasladar una consecuencia no deseable.

9

Incidencia de las medidas de seguridad Pérdida de performance Mayor complejidad Pérdida de flexibilidad del sistema Mayor requerimiento de hardware Mayor requerimiento de rrhh

Gestión de riesgos (i) 1. Identificar los recursos informáticos afectados 2. Identificar las amenazas 3. Identificar las vulnerabilidades 4. Estimar las consecuencias 5. Estimar probabilidad de ocurrencia de las amenazas

10

Gestión de riesgos (ii) 6. Determinar el valor esperado 7. Determinar medidas preventivas, detectivas, correctivas y de recuperación. 8. Estimar los costos de las medidas 9. Comparar valor esperado contra costos de las medidas 10.Formular el plan de seguridad y el plan de contingencia

VULNERABILIDAD

GESTIÓN DE RIESGOS

AMENAZA

RECURSOS INFORMATICOS

CONSECUENCIA

MEDIDAS DE PROTECCIÓN

11

CONSECUENCIA A M E N A Z A

ALTO IMPACTO

BAJO IMPACTO

ALTA FRECUENCIA

BAJA FRECUENCIA

¿No debería ocurrir?

Controles Internos

¡¡Atención!!

¿No tener en cuenta?

Seguridad: un cambio de enfoque De Alcance Propietario Costo Objetivo

A

Problema técnico Área de TI

Problema de negocio Áreas de Negocio

Gasto Seguridad de TI

Inversión Continuidad del negocio

12

La gente es el eslabón más débil de un programa de seguridad informática.

13

Crear conciencia (awareness) a través de la capacitación y la comunicación.

La concientización es la inversión de mayor rentabilidad.

14

DE LA INFORMACIĂ“N

Equilibrio entre seguridad, funcionalidad y costo.

15

La seguridad total no existe o puede no ser conveniente.

El sĂ­ndrome de la lĂ­nea Maginot.

16

El outsourcing no deslinda la responsabilidad de la seguridad.

17

Incorporar la seguridad en los procesos y las aplicaciones (desde el principio).

Las organizaciones siguen siendo reactivas, respondiendo mediante la asignaci贸n de valiosos recursos a acciones t谩cticas y esfuerzos de cumplimiento aislados.

Fuente: Infosecurity Professional Autumn 2008

18

Al final, las medidas de emergencia y las soluciones puntuales terminan siendo costosas y difíciles de gestionar debido a la complejidad de soluciones múltiples y redundantes.

Fuente: Infosecurity Professional Autumn 2008

Muchas empresas descansan solamente en la tecnología para enfrentar los riesgos; eso ha probado ser ineficiente y hasta dañino. Esto es así porque un enfoque basado exclusivamente en herramientas ataca a las amenazas de una manera poco sistemática, que puede amplificar problemas futuros.

Fuente: Infosecurity Professional Autumn 2008

19

En el interés de resolver problemas más holisticamente, las empresas deberían desarrollar acciones tácticas guiadas por el valor de los activos, de las probabilidad de las amenazas y del potencial impacto en los negocios.

Fuente: Infosecurity Professional Autumn 2008

Leyes en la Republica Argentina • PROPIEDAD INTELECTUAL (11723) / (25036) – Libros – Software

• HABEAS DATA (25326 / 2000) – Protección del dato – Protección de los datos del usuario – Anti SPAM

• FIRMA DIGITAL (25506 / 2001)

– Envío de e-mails con firma y encriptados – Valor como carta documento (Código Penal)

• DELITOS INFORMÁTICOS (26338 /2008)) – Modificaciones al Código Penal – Alcance restringido

20

Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.