RIESGO, SEGURIDAD Y

PRIVACIDAD DE DATOS
DESAFÍOS Y TENDENCIAS

MA. Julio J. Puertas Villar

9 de julio de 2009
Agenda

Definiciones

Desafíos

Tendencias

Balance Riesgo-Control

Mensaje Final
Riesgo

Es la probabilidad de que suceda un
evento, impacto o consecuencia adversos.

Riesgo: Combinación de la probabilidad
de un evento y sus consecuencias. [ISO/IEC
Guide 73:2002] NTP-ISO 17799

Evento que, de presentarse, puede alterar

las actividades cotidianas.
Tipos de Riesgo

Riesgos físicos

Riesgos financieros.

Riesgos químicos.

Riesgos biológicos.

Riesgos tecnológicos.

Existe diferentes tipos y niveles de riesgo
en cada actividad humana.
Riesgo (NTP 17799)

2.10. análisis del riesgo: Uso sistemático de la información para
identificar fuentes y estimar el riesgo.

2.11. evaluación del riesgo: Proceso general de análisis y evaluación del

riesgo.

2.12. valoración del riesgo: Proceso de comparación del riesgo estimado

contra el criterio del riesgo dado para determinar el significado de este.

2.13. gestión del riesgo: Actividades coordinadas para dirigir y controlar

una organización considerando el riesgo.

2.1.4. tratamiento del riesgo: Proceso de selección e implementación de

medidas para modificar el riesgo.

NOTA: Gestión del riesgo incluye típicamente evaluación del riesgo,

tratamiento del riesgo, aceptación del riesgo y comunicación del riesgo.
Seguridad

Latino “securitas”: …que está exento de
peligro, daño o riesgo.

Sentimiento de protección frente a
carencias y peligros externos (riesgos).

Una característica de cualquier sistema
(informático o no) que nos indica que ese
sistema está libre de todo peligro, daño o
riesgo y que es, en cierta manera,
infalible.
Seguridad de Información

NTP 17799: “2.5 seguridad de la información:
Preservación de la confidencialidad, integridad y
disponibilidad de la información, así mismo, otras
propiedades como la autenticidad, no rechazo,
contabilidad y confiabilidad también pueden ser
consideradas”.

La seguridad informática es una disciplina que
relaciona a diversas técnicas, aplicaciones y
dispositivos encargados de asegurar la integridad
y privacidad de la información de un sistema
informático y sus usuarios.
Seguridad de Información

Consiste básicamente en garantizar tres
aspectos: Confidencialidad

 Confidencialidad.
 Integridad.
 Disponibilidad.
CONFIABILIDAD
Integridad Disponibilidad

Confiabilidad, entendida como el nivel de

calidad del servicio ofrecido.
¿Por qué Seguridad de Información?

NTP 17799:
 “…para asegurar la continuidad del negocio,
minimizar los daños a la organización y
maximizar el retorno de las inversiones y las
oportunidades de negocios”.

Porque es necesario proteger los tres
elementos principales en cualquier sistema
informático que son: el software, el
hardware y los datos.
Privacidad

La privacidad puede ser definida como el
ámbito de la vida personal de un individuo
que se desarrolla en un espacio reservado
y debe mantenerse confidencial. (wikipedia).

Que se ejecuta a la vista de pocos,

familiar y domésticamente, sin formalidad
ni ceremonia alguna.

Derecho y propiedad de la propia
intimidad y vida privada.
Privacidad de Datos

Se define como el derecho de mantener
de forma reservada o confidencial los
datos de la computadora y los que
intercambia con su red.

Actualmente la privacidad se ve
sistemáticamente violada por spywares,
cookies, piratas informáticos, virus, redes
inseguras, etc.
DESAFÍOS

Requerimientos más exigentes de los
usuarios:
 Otro espacio, otro tiempo (any place, any
time) Desde cualquier lugar,de cualquier sitio.
 Disponibilidad 99.9%
 Sistemas 24x7
 Interoperatividad: Sistemas que cruzan la
institución y cruzan instituciones.

¿Riesgos? ¿Oportunidades?
DESAFÍOS

Variedad de riesgos informáticos
(malintencionados):
 Virus
 Spywares
 Spams
 Cookies
 Hackers
 Cadenas
 DoS (Denegación de Servicio)
 Personal
DESAFÍOS

Equipos de Alta Disponibilidad
 Servidores (Cluster, Redundantes)
 Telecomunicaciones (Redundancia, Internet)
 Arreglos redundantes de Discos (RAID).
 DRP (Plan de Recuperación de Desastres)
 BCP (Plan de Continuidad de Sistemas.

Los RIESGOS se desarrollan más rápido que los CONTROLES

TENDENCIAS

Antivirus constantemente actualizados,
algoritmos de prevención.

Madurez del Software Libre: Menos vulnerables,
bajo costo.

Clusterización

Balanceo

Réplica remota de datos Online.

Encriptado de datos

Certificados digitales

Tokens
Riesgo VS Control

El riesgo es como una moneda, tiene dos
caras:

Seguridad de Información Riesgo Auditoría de Sistemas

CONTROL
preventivo reactivo
 Servicio VS Control

Controles según la EVALUACIÓN DE
RIESGOS: Propio de cada Institución.

Marketing e Información alarmante.

El nivel de CONTROL debe ser el necesario

para facilitar el SERVICIO o NEGOCIO
PARA RECORDAR
La CONFIANZA es el límite del Control.

La relación laboral se basa en un principio

de CONFIANZA, si esta se quiebra, NO
hay seguridad que valga.
¡¡¡ Muchas gracias !!!

jpuertas@osinerg.gob.pe