Page 1

Seguridad Informática

Propósito de la seguridad • El propósito de la seguridad es proteger recursos valiosos. • La información y sus recursos asociados (hardware, software, instalaciones y gente) son elementos tanto o más valiosos que los tradicionales bienes de una organización.

1


RECURSOS INFORMÁTICOS Integridad

Confidencialidad

Instalaciones

Personas

Disponibilidad Datos Software

Hardware

PRIVACIDAD CURIOSIDAD --- EXTORSIÓN CONFLICTO: Derecho del individuo vs. Necesidades de organizaciones privadas y públicas (voluntarias obligatorias),  Cómo y que información va a ser recogida  Cómo y quien la va a usar  Cómo habrá de ser revisada, modificada y corregida

2


¿LA SEGURIDAD ES UNA PREOCUPACION FUNDAMENTAL?

¿Por qué ? No hay una clara percepcion del problema (¡no es mi problema!) 

 Existen otras prioridades  La seguridad es cara  Requiere apoyo de la direccion superior  Síndrome : “a mi no me va a ocurrir”  Dedicacion especial y diversidad de conocimientos  Falta de reconocimiento de la información como un recurso importante 1983

3


¡ ¡ ¡ A M E N A Z A S ! ! ! Da In ño te Hu nc m ion an al o

no l ma ona u H ci ño nten a D I no

Recursos Informáticos

VULNERABILIDAD

Pr o Op blem er at as ivo s

la de a s z to le Ac tura na

CONSECUENCIAS

1983

Actos de la naturaleza • Incendio • Inundación • Filtraciones • Alta temperatura • Terremoto • Derrumbe • Explosion • Corte de energia • Disturbios

4


Fallas de hardware, software e instalaciones • Caida o falla del procesador • Caida o falla de periféricos • Comunicaciones • Software de base • Software de aplicación • Aire acondicionado • Falla en el sistema electrico

Errores y omisiones • En el ingreso de los datos • En la operacion • En el uso de archivos • En el uso de programas • En el desarrollo de sistemas • En el uso de respaldo (back-up) • En el uso de terminales • Perdida de soportes • Falta actualizacion documentacion • Accidentes en prueba programa • Daño accidental de archivos

5


Fraudes • Hurto • Robo • Defraudacion • Uso indebido de recursos • Phishing

Daño intencional • Terrorismo • Vandalismo • Sabotaje • Operacion maliciosa • Programacion maliciosa • Infiltracion en lineas • Hackers / crackers • Virus • Malware

6


NUEVAS tecnologías, amenazas  Internet  Wireless  Computación ubicua  Dispositivos móviles

    

Virus Spam Spyware Phishing Pornografía

Nuevas exigencias legislación, estándares, mejores prácticas

Vulnerabilidades • • • • • • • •

Controles de acceso físico y/o lógico Controles de entrada, proceso y salida de datos Diseño y/o programación del soft de aplicación Documentación Back-ups Capacitación a usuarios y gente de sistemas Responsable de seguridad informática Plan de contingencia y/o continuidad de negocios • Medidas preventivas, detectivas y de reacción

7


Consecuencias Pérdida de Ingresos

Pérdida de Reputación

Ciclos de Negocios Desperdiciados

Problemas de Confidencialidad

Pérdida de Información

Consecuencias Legales

Interrupción de los Procesos de Negocios

Fuente: Microsoft

Cálculo de la posible perdida Cuantitativas     

Valor de reposición del recurso. Lucro cesante. Multas / juicios. Incidencia financiera. Costo de recuperación.

8


Cálculo de la posible pérdida Cualitativas – – – –

Imágen. Moral. Confianza. Responsabilidad legal.

Medidas de protección (Countermeasures)  Preventivas / disuasivas  Detectivas  Correctivas / de recuperació recuperación Evitar, mitigar o trasladar una consecuencia no deseable.

9


Incidencia de las medidas de seguridad  Pérdida de performance  Mayor complejidad  Pérdida de flexibilidad del sistema  Mayor requerimiento de hardware  Mayor requerimiento de rrhh

Gestión de riesgos (i) 1. Identificar los recursos informáticos afectados 2. Identificar las amenazas 3. Identificar las vulnerabilidades 4. Estimar las consecuencias 5. Estimar probabilidad de ocurrencia de las amenazas

10


Gestión de riesgos (ii) 6. Determinar el valor esperado 7. Determinar medidas preventivas, detectivas, correctivas y de recuperación. 8. Estimar los costos de las medidas 9. Comparar valor esperado contra costos de las medidas 10.Formular el plan de seguridad y el plan de contingencia

VULNERABILIDAD

GESTIÓN DE RIESGOS

AMENAZA

RECURSOS INFORMATICOS

CONSECUENCIA

MEDIDAS DE PROTECCIÓN

11


CONSECUENCIA A M E N A Z A

ALTO IMPACTO

BAJO IMPACTO

ALTA FRECUENCIA

BAJA FRECUENCIA

¿No debería ocurrir?

Controles Internos

¡¡Atención!!

¿No tener en cuenta?

Seguridad: un cambio de enfoque De Alcance Propietario Costo Objetivo

A

Problema técnico Área de TI

Problema de negocio Áreas de Negocio

Gasto Seguridad de TI

Inversión Continuidad del negocio

12


La gente es el eslabón más débil de un programa de seguridad informática.

13


Crear conciencia (awareness) a través de la capacitación y la comunicación.

La concientización es la inversión de mayor rentabilidad.

14


DE LA INFORMACIĂ“N

Equilibrio entre seguridad, funcionalidad y costo.

15


La seguridad total no existe o puede no ser conveniente.

El sĂ­ndrome de la lĂ­nea Maginot.

16


El outsourcing no deslinda la responsabilidad de la seguridad.

17


Incorporar la seguridad en los procesos y las aplicaciones (desde el principio).

Las organizaciones siguen siendo reactivas, respondiendo mediante la asignaci贸n de valiosos recursos a acciones t谩cticas y esfuerzos de cumplimiento aislados.

Fuente: Infosecurity Professional Autumn 2008

18


Al final, las medidas de emergencia y las soluciones puntuales terminan siendo costosas y difíciles de gestionar debido a la complejidad de soluciones múltiples y redundantes.

Fuente: Infosecurity Professional Autumn 2008

Muchas empresas descansan solamente en la tecnología para enfrentar los riesgos; eso ha probado ser ineficiente y hasta dañino. Esto es así porque un enfoque basado exclusivamente en herramientas ataca a las amenazas de una manera poco sistemática, que puede amplificar problemas futuros.

Fuente: Infosecurity Professional Autumn 2008

19


En el interés de resolver problemas más holisticamente, las empresas deberían desarrollar acciones tácticas guiadas por el valor de los activos, de las probabilidad de las amenazas y del potencial impacto en los negocios.

Fuente: Infosecurity Professional Autumn 2008

Leyes en la Republica Argentina • PROPIEDAD INTELECTUAL (11723) / (25036) – Libros – Software

• HABEAS DATA (25326 / 2000) – Protección del dato – Protección de los datos del usuario – Anti SPAM

• FIRMA DIGITAL (25506 / 2001)

– Envío de e-mails con firma y encriptados – Valor como carta documento (Código Penal)

• DELITOS INFORMÁTICOS (26338 /2008)) – Modificaciones al Código Penal – Alcance restringido

20

Seguridad de la Información  

Propósito de la seguridad •El propósito de la seguridad es proteger recursos valiosos. •La información y sus recursos asociados (hardware, s...

Advertisement