I.P.N. U.P.I.I.C.S.A.

Seguridad de la Informacin
 Contenido

1. INTRODUCCION A LA SEGURIDAD INFORMATICA

2. SEGURIDAD DE PERSONAL

3. SEGURIDAD FISICA

4. SEGURIDAD DE DATOS

5. SEGURIDAD DEL SW DE APLICACIONES

6. SEGURIDAD DEL SW DEL SISTEMA

7. SEGURIDAD EN TELECOMUNICACIONES

8. SEGURIDAD EN PC`s y LANs

9. SEGURIDAD DEL CENTRO DE COMPUTO

10. SEGURIDAD EN INTERNET

1. INTRODUCCION A LA Seguridad de la Informacin
 INTRODUCCION A LA Seguridad de la Informacin

Top Five Technologies

The Internet, the World wide Web, and Intranets 73%

Systems security 68%
Electronic commerce and electronic data interchange 57%
Distributed computing 47%
Data warehousing 42%

Source: Association for Federal Information Resource Management

 INTRODUCCION A LA Seguridad de la Informacin

Security : A Growing Priority

Most Businesses Realize They Are Vulnerable

Planning to
implement more
security measures in
the next two years

Already implemented
some systems and data
security software

0 20 40 60 80 100
Survey of 945 middle-and senior-level technology managers
Source: Sentry Market Research
 Conceptos

SEGURIDAD

Es la proteccin de los activos:

- Personas
- Instalaciones
- Informacin
- Equipo
- Software
- Accesorios
- Medios de Comunicacin
- Capacidades de Cmputo
- Dinero
 Conceptos

Propsito de Seguridad de la
informacin

Reducir la probabilidad de prdida, a un nivel mnimo

aceptable, a un costo razonable y asegurar la adecuada
y pronta recuperacin
 Conceptos

Definicin de Seguridad de la
informacin

La seguridad de la informacin es el conjunto de medidas

preventivas y reactivas de las organizaciones y de los
sistemas tecnolgios que permitan resguardar y proteger la
informacin buscando mantener la confidencialidad, la
disponibildiad e integridad de la misma.
 Conceptos

Definicin de Seguridad de la
Informacin

Es la Proteccin de la informacin y los

activos relacionados con su captacin,
almacenamiento, transmisin, proceso,
distribucin y uso
 Conceptos

La seguridad de la informacin debe ser vista desde todos los

aspectos que le competen a una organizacin:

Leyes y regulaciones.
Mejores prcticas de seguridad.
Nueva tecnologa en el mercado.
Nuevos requerimientos de negocio y de seguridad.
Entre otros.

Las organizaciones deben contar con mecanismos de proteccin

adecuados para mantener la confidencialidad, integridad y
disponibilidad de su informacin.

As como vislumbrar los nuevos ataques que surgen hacia sus

sistemas de informacin y que son originados por personal
malintencionado (hackers, empleados descontentos, etc.)
 Vulnerabilidad: Es una debilidad de un activo, permitiendo a un
atacante violar, la confidencialidad, integridad y disponibilidad de
la informacin

Amenaza: Agente externo que altera la informacin dentro de un

activo en la empresa

Riesgo: Posibilidad de que una amenaza se materialice usando las

vulnerabilidades existentes en un activo dentro de la empresa
 Nmero de Empleados asignados a Seguridad de la
Informacin

Cuntos de sus empleados estn dedicados

a la Seguridad de la Informacin ?

Ninguno 22%

1a3
Ms de 9 61%
12%

7a9
3% 4a6
12%

Fuente: Information Week. Ernst & Young Survey of 1,320 I/T Managers and Professionals
Seguridad de la informacin en la actualidad

Las organizaciones no conocen adecuadamente sus necesidades de

seguridad de TI y no estn conscientes de la evolucin de las
amenazas y, eventualmente, desconocen sus obligaciones legales.

En este escenario parece clara la necesidad de aumentar las

iniciativas formativas y divulgativas para crear una cultura de la
seguridad de la informacin.

Las organizaciones deben tomar la seguridad de la informacin con

una mentalidad proactiva en vez de reactiva.

Slo las grandes organizaciones, fundamentalmente las de ciertos

sectores (banca, sanidad, defensa), tienen una cultura proactiva de
la seguridad.

13
Seguridad de la informacin en la actualidad

Hoy en las organizaciones predomina una concepcin en donde las

medidas de proteccin a implementar sean soluciones de instalar y
olvidarse y que no requieran intervencin del usuario.

La concepcin de la seguridad de la informacin debe estar basada

en el fomento de los comportamientos personales (cultura de
seguridad) y organizativos que la mejoran (necesidades).

Las organizaciones buscan solucionar rpidamente su problema y

recurren a soluciones parciales, en lugar de implantar soluciones
globales basadas en un buen anlisis de riesgos que evite, en lo
posible, los incidentes.

14
 Objetivos de la Seguridad de la Informacin

1. Proteger y conservar los activos de la organizacin de riesgos de

desastres naturales o actos mal intencionados.

2. Asegurar la capacidad de supervivencia de la organizacin ante

eventos que pongan en peligro su existencia.

3. Proveer el ambiente que asegure el manejo adecuado de datos y

programas.

4. Asegurar la confidencialidad, integridad y disponibilidad de los datos

y programas.
 Situaciones que afectan la Seguridad del a
Informacin 1/2

1. No existe una funcin formal de Seguridad de la Informacin en la

organizacin.

2. Las debilidades en la Seguridad la Informacin se ven como problemas

tcnicos y no como riesgos del negocio.

3. Problemas de comunicacin entre el personal de seguridad de la

informacin y el personal Gerencial de la organizacin.

4. La Seguridad de la Informacin es considerada un requerimiento de

menor prioridad en comparacin con los requerimientos financieros y
operacionales.

5. Falta de un programa de motivacin y entrenamiento al personal para

llevar a cabo buenas prcticas de seguridad.

6. El personal no est consciente de las polticas, procedimientos, guas,

estndares y sanciones relacionados con la Seguridad de la Informacin
de la organizacin.
Situaciones que afectan la Seguridad de la Informacin
2/2

7. La propiedad y responsabilidad sobre los datos y/o aplicaciones no

est establecida claramente.

8. El procedimiento de contratacin de empleados no incluye un

adecuado proceso de Investigacin previa sobre ellos.

9. El proceso de terminacin de la relacin laboral de un empleado, no

es llevado a cabo en forma adecuada y completa.

10. Los incidentes de fraude, robo y desfalco relacionados con un sistema

computarizado no son reportados a las instancias legales.

11. La seguridad, auditabilidad, control, mantenibilidad y facilidad de uso,

no son consideradas con la importancia debida, durante el desarrollo y
mantenimiento de las aplicaciones.

12. No se tienen establecidos objetivos y estndares para el desarrollo,

mantenimiento y operacin de las aplicaciones.
 Prioridades en la Seguridad de Activos

Informacin 75%

Aplicaciones 17%

Recursos
Informticos 21%

0 20 40 60 80
Porcentaje de respuestas indicando su Activo ms importante

Source: Information Week/Ernst & Young survey respondents

 Poltica de Proteccin de Informacin

Una Poltica tpica debe incluir los siguientes puntos:

La proteccin de la informacin relativa al negocio es una

responsabilidad bsica de la Gerencia

Los Gerentes son responsables de identificar y proteger todos los

activos de informacin dentro de su rea asignada de control gerencial

Los Gerentes son responsables de certificar que todos sus empleados

entienden su obligacin de proteger los activos de informacin de la
empresa

Los Gerentes son responsables de implantar procedimientos de

seguridad y recuperacin en caso de desastre que sean consistentes
con la poltica de la empresa y el valor de los activos.

Los Gerentes son responsables de vigilar las desviaciones de lo

establecido en las prcticas de seguridad y de iniciar las acciones
correctivas
 Responsabilidades sobre la
Seguridad de la Informacin

- DIRECTORES/ALTA GERENCIA

- PROPIETARIOS

- USUARIOS

- INFORMATICA

- ADMON DE SEGURIDAD

- SEGURIDAD FISICA

- AUDITOR
Responsabilidades en la Seguridad Informtica 1/7

Responsabilidades de la DIRECCIN/ALTA GERENCIA

1. Establecer objetivos de seguridad y emitir polticas de seguridad.

2. Establecer formalmente la funcin de Seguridad Informtica.

3. Establecer un Comit de Seguridad Informtica.

4. Monitorear la funcin de Seguridad Informtica

Responsabilidades en la Seguridad de la Informacin 2/7

Responsabilidades de los Propietarios

1. Identificar toda la informacin confidencial que corresponde a su

rea de responsabilidad directa cualquiera que sea su forma y medio
de conservacin.

2. Autorizar el acceso a su informacin a toda persona o grupo que

requiera. Este acceso contemplar los privilegios respectivos (lectura,
escritura, actualizacin y eliminacin)
Responsabilidades en la Seguridad de la Informacin 3/7

Responsabilidades de los Usuarios.

1. Consultar al personal de seguridad sobre mtodos de proteccin adecuados.

2. Incluir la participacin del personal de seguridad en el desarrollo y

mantenimiento de aplicaciones.
3. Calendarizar continuos programas de entrenamiento sobre seguridad.
4. Notificar al rea de seguridad sobre la terminacin de la relacin laboral de
cada empleado que est en esta situacin.
5. Estimular a los empleados a respetar la confidencialidad de los datos y la
informacin.
6. Desarrollar un Programa de Retencin de Registros Vitales.
7. Desarrollar Planes alternos para continuar trabajando en caso de falla del
equipo de cmputo o cualquier otro malfuncionamiento del sistema.
8. Entender el rol del usuario en la administracin y confidencialidad de las
Passwords.
Responsabilidades en la Seguridad de la Informacin 4/7

Responsabilidades de la Gerencia de Informtica.

1. Llevar a cabo un anlisis y evaluacin de riesgos e implantar las medidas

de proteccin adecuadas

2. Emitir estndares, procedimientos y guas sobre Seguridad de la

Informacin.

3. Establecer un Programa para la Clasificacin y proteccin de datos,

programas y aplicaciones de acuerdo a su sensitividad e importancia.

4. Emitir boletines y publicaciones relacionadas con la seguridad.

5. Asegurar que las Aplicaciones sean controladas y auditables.

6. Monitorear continuamente la seguridad.

Responsabilidades en la Seguridad de la Informacin 5/7

Responsabilidades de Administracin de Seguridad

1. Implementar una plan de concientizacin a la organizacin acerca de

la importancia de seguridad.

2. Llevar a cabo el mantenimiento, aprobacin, actualizacin,

distribucin y monitoreo con base a los requerimientos futuros.

3. Participar en la investigacin y recomendaciones de productos de

seguridad para la implementacin de las medidas de seguridad

4. Generar el Plan de Seguridad de la Organizacin

Responsabilidades en la Seguridad de la Informacin 6/7

Responsabilidades de Seguridad Fsica

1. Definir accesos en los permetros a localidades

2. Establecer mecanismos de acceso fsicos de entradas a localidades

3. Establecer seguridad en oficinas, despachos e instalaciones

4. Establecer proteccin contra amenazas externas y de origen

ambiental

5. Establecer reas seguras de trabajo

6. Definir reas de acceso pblico y de carga y descarga

Responsabilidades en la Seguridad de la Informacin 7/7

Responsabilidades del Auditor

1. Efectuar auditoras peridicas a la Seguridad de la Informacin.

2. Participar en el anlisis de riesgos.

3. Participar en el proceso de desarrollo y mantenimiento interno de

software de aplicaciones as como en el proceso de evaluacin,
adquisicin e instalacin de paquetes de software de aplicacin.

1. Participar en el proceso de seleccin de

Hardware y Software de sistemas de seguridad.
Responsabilidades en la Seguridad de la Informacin

LA PROTECCION DE LOS

ACTIVOS DE INFORMACION

ES RESPONSABILIDAD

DE TODOS !!!!