Professional Documents
Culture Documents
Agenda
Introduccin Descripcin del Problema Justificacin Objetivos Propuesta
Marco Legal de las Pymes Clasificacin de las Pymes Principales Sectores Organigrama Pymes
Introduccin
La utilizacin de tecnologas de informacin con el propsito de volver ms competitivas las Pymes, trae consigo una serie una serie de riesgos importantes, que obligan a los dueos y gerentes de esta empresas, a pensar en la implementacin de controles que les brinden seguridad, estar preparados ante posibles desastres y a proteger la informacin. Hoy da las empresas ms pequeas para mantenerse al ritmo de las nuevas tendencias tecnolgicas, se apoyan ms en tecnologas tales como la movilidad y el cmputo en la nube para hacer negocios y continuar siendo competitivos. Es as como observamos el desarrollo de una relacin sin precedentes entre las TI y los objetivos de negocio de las organizaciones. Tal situacin ofrece una gran oportunidad para ofrecer la implementacin de un Modelo de Seguridad de la Informacin, que alineado con los objetivos propios de cada negocio, ofrezca los controles necesarios que protejan la informacin e infraestructura tecnolgica de las cambiantes y crecientes amenazas cibernticas.
o
o
multiplicado en las Pymes en los ltimos aos. Los sectores ms expuestos a estos ataques son los que utilizan las tecnologas de informacin para su funcionamiento como por ejemplo, la administracin pblica, la banca, seguros o salud. Los ltimos estudios sobre ciberseguridad en empresas espaolas indican que el 43% de las firmas temen un ataque en los prximos seis meses, segn encuesta realizada. El Inteco seala que en los ltimos cuatro aos el nmero de amenazas cibernticas se ha multiplicado de manera exponencial. Se produce un cambio en la naturaleza de las mismas, se pasa de amenazas conocidas, puntuales y dispersas, a amenazas de gran sofisticacin, persistentes y con objetivos muy concretos. Un dato significativo: en los ltimos aos estos incidentes se han multiplicado ms de un 100% en las empresas espaolas.
o o
a sistemas informticos especficos de las Pymes. En 2012, el 73% de las pymes sufri al menos un ataque informtico; segn registr McAfee en Amrica Latina. Algunas Pymes invierten en tecnologa para aumentar su productividad, competitividad y posicionamiento de marca. La actitud de las Pyme frente a la seguridad, en el mayor de los casos, es reactiva. Mientras no se sientan afectadas, no toman acciones. los retos de seguridad a los cuales las pymes se estn enfrentando, son: Ingeniera social, amenazas internas, traiga su propio dispositivo (BYOD), la nube y Amenazas persistentes avanzadas (APT). Fenalco Bogot est trabajando en un convenio de proteccin a las pymes del comercio con McAfee Colombia Ltda., empresa que ha encaminado sus estrategias de seguridad para Pymes teniendo en cuenta sus necesidades y los cambios que enfrentan, adaptando las tecnologas que implementan las grandes compaas, al desempeo y al costo requerido por una pyme.
Justificacin
La creciente multiplicacin de los ataques cibernticos en el
sector de las Pymes. La inclusin de infraestructura tecnolgica para mejorar los procesos definidos para su administracin y produccin. Los constantes cambios en las amenazas. La actitud de la Pymes frente a la Seguridad Informtica. Apoyo de entidades gubernamentales como FENALCO, para la implementacin de seguridad informtica en estos sectores. Apoyo de las entidades crediticias que promueven la competitividad de las MiPymes tales como Fondo Nacional de Garantas, Fondo Regional de Garantas, Fomipyme, Findeter, Fondo Nacional de Garantas, ACOPI.
Objetivo General
Concientizar a los propietarios de las Pequeas y Medianas Empresas de la relevancia que tiene la implementacin de un Modelo de Seguridad de la Informacin en sus empresas , con el fin de proteger su informacin y activos de infraestructura tecnolgica, de los riesgos y amenazas a las cuales se encuentran expuestos.
Implementar un Modelo de Seguridad de la Informacin, acorde con la infraestructura tecnolgica en cada una de las pequeas y medianas empresas y que se encuentre alineado con las actividades propias de cada negocio.
Propuesta
Marco Legal de las Pymes Clasificacin de las Pymes
Principales Sectores
4. Anlisis y Gestin de Riesgos 5. Poltica de Seguridad
empresas en consideracin a sus aptitudes para la generacin de empleo, el desarrollo regional, la integracin entre sectores econmicos, el aprovechamiento productivo de pequeos capitales y teniendo en cuenta la capacidad empresarial de los colombianos.
mediante el fomento a la permanente creacin y funcionamiento de la mayor cantidad de micro, pequeas y medianas empresas, Mipymes.
Ocurren de forma imprevista en el entorno de la organizacin y pueden causar daos (prdidas). Son la fuente de los riesgos.
Los activos son vulnerables y se protegen con controles de seguridad. La falta de controles de seguridad y la existencia de vulnerabilidades en los activos representan un mayor impacto de los riesgos de seguridad generados por las amenazas.
Las amenazas ms importantes son las que tienen una mayor probabilidad de ocurrencia Riesgo y pueden afectar significativamente a la organizacin.
Vulnerabilidades
Vulnerabilidades
Planeacin estratgica
publicidad
Base de datos clientes
3
Alta El evento ocurra una vez al mes Mayor
PROBABILIDAD
Inferior
Moderado
Crtico
Inferior
Inferior
Moderado
MENOR 1
IMPORTANTE 2
MAYOR 3
IMPACTO
2.
3.
4.
5.
7.
Responsabilidad de terceros en el manejo de la informacin del negocio: los terceros que prestan servicios contractualmente, debern
cumplir con las polticas de seguridad informtica.
8.
9.
12. Rastros de Auditora: Se deben guardar los rastros (logs) de los intentos
de acceso fallidos, alteracin y eliminacin de la informacin.
15. Continuidad del Negocio: Toda compaa debe contar con un plan de
continuidad del negocio que garantice el servicio, en caso que se presente un evento de contingencia.
Auditora
Gerente de RR.HH
Gerente Produccin
Gerente de Sistemas
Tesorera
Asistentes
Asistentes
Asistentes
Asistente
Auxiliares
Auxiliares
Auxiliares
Auxiliar
necesario clasificarla de acuerdo con su relevancia en la compaa por lo tanto requiere diferentes niveles de proteccin. El Responsable de los activos de Informacin ser el encargado de ejecutar su clasificacin, teniendo en cuenta el nivel del impacto al negocio, su valor relativo y nivel de riesgo a que est expuesta. Determinar los controles que sean necesarios para proveer un nivel de proteccin de los activos de informacin apropiado y consistente, sin importar el medio, formato o lugar donde se encuentre. Los controles para la proteccin delos activos de informacin deben ser aplicados y mantenidos durante el ciclo de vida de la informacin, desde su creacin, durante su uso autorizado y hasta su apropiada disposicin o destruccin.
DATOS
APLICACIONES
Gerente General, Gerente RR.HH, Gerente Marketing, Gerente de estructura, organizacin y politicas de la Archivos Generales de la Produccin, Gerente Financiero, Datos almacenados en cualquier empresa constitucion de la emnpresa Gerente Sistemas, Gerente formato que se generan, almacenan, Seguridad Informatica, Directores y gestionan,transmiten y destruyen en acuerdos y contratos con clientes y Gerente General, Gerente RR.HH y Archivos de recursos humanos la organizacin. empleados sus Asistentes y auxiliares y de los propietario del activo Gerente General, Gerente RR.HH, Gerente Marketing, Gerente de en cada equipo (PC y portatil) correos electronicos y digitales Produccin, Gerente Financiero, del dueo del activo Gerente Sistemas, Gerente Seguridad Informatica, Directores y Sistema de informacin de los Gerencia RR.HH y sus Asistentes y en cada equipo (PC y portatil) empleados de la empresa Auxiliares del dueo del activo Gerente Financiero, Asistentes y en cada equipo (PC y portatil) Sistema contable Auxiliares del dueo del activo Sistema de registro de ingreso y salida Gerencia RR.HH y sus Asistentes y en cada equipo (PC y portatil) El software que se utiliza para la del personal Auxiliares del dueo del activo gestin de la informacin Gerencia de sistemas, Asistentes y en cada equipo (PC y portatil) sistema de ingreso y salida de equipos Auxiliares del dueo del activo Gerencia de sistemas, Gerente en cada equipo (PC y portatil) base de datos de clientes, proveedores Marketing, Gerente de Produccin, del dueo del activo Asistentes y Auxiliares
PERSONAL
En esta categora se encuentra tanto la plantilla propia de la organizacin, Manuales de Usuarios comoel personal subcontratado, los clientes, usuarios y, en general, todos aquellos que tenganacceso de una manera u otra a los activos de Documentacin del sistema informacin de la organizacin.
Gerencia de sistemas, Asistentes y en los archivos y equipo (PC y Auxiliares portatil) del dueo del activo
Gerencia de sistemas, Asistentes y en los archivos y equipo (PC y Auxiliares portatil) del dueo del activo
Material de Formacin
Gerencia RR.HH, Gerencia de en los archivos y equipo (PC y sistemas y sus Asistentes y portatil) del dueo del activo Auxiliares
SERVICIOS
Aqu se consideran tanto los servicios internos, aquellos que una parte de la organizacin suministra a otra (por red y comunicaciones ejemplo la gestin administrativa), como los externos,aquellos que la organizacin suministra a clientes y usuarios (por ejemplo comercializacin lacomercializacin de productos).
de
de
equipos informaticos moviles Los equipos utilizados para gestionar la informacin y las comunicaciones(servidores, PCs, telfonos, impresoras, routers, cableado, etc.) equipos de comunicaciones
TECNOLOGIA
medios removibles
oficinas INSTALACIONES lugares en los que se alojan los sistemas de informacin (oficinas, edificios,vehculos, etc.) cuartos de tecnologia
de
de
En este tipo entraran a formar parte todos aquellos activos quedan soporte EQUIPAMIENTO AUXILIARES a los sistemas de informacin y que no equipos de climatizacin se hayan en ninguno de los tiposanteriormente definidos
de
seleccin. Cada uno de ellos deber ser incluido en un programa de capacitacin donde se les darn a conocer las polticas definidas para la compaa. La compaa debe generar las estrategias necesarias para asegurar que sus empleados cumplan con sus responsabilidades en Seguridad Informtica desde su ingreso hasta su retiro. Los contratos laborales debern incluir clusulas que indiquen las responsabilidades correspondientes para con la seguridad informtica y el cumplimiento de las normas establecidas (cdigo de conducta, cdigo de tica, cdigo de buen gobierno). Se deben establecer estrategias (capacitaciones, evaluaciones) que permitan determinar que los funcionarios tienen conocimiento y entendimiento de las Polticas, normas y procedimientos de Seguridad Informtica. La compaa proporcionar los recursos necesarios (lneas ticas, buzones de sugerencias) que faciliten a los funcionarios el reporte de vulnerabilidades y riesgos que detecten.
el valor de la informacin que se procesa y administra en ellas. La informacin confidencial o sensitiva al negocio debe mantenerse en lugares con acceso restringido cuando no es utilizada. Las reas fsicas construidas para soportar toda la operacin del negocio, debern estar provistas de los controles de acceso adecuados (p.e.: puertas, cerraduras, lectores de tarjetas, biomtricos, entre otros) segn el valor de la informacin que contienen. Los infraestructura tecnolgica deber estar fsicamente protegida contra amenazas de acceso no autorizado y amenazas ambientales para prevenir exposicin, dao o prdida de los activos e interrupcin de las actividades de negocio. valor de la informacin que contienen. La informacin sensible no se dejar desatendida o sin control, por lo que es necesario implementar un programa que permita prevenir que este tipo de informacin sea accedida sin autorizacin.
9.
10.
Acceso a usuarios autenticados Planes de accin para disponibilidad de los sistemas Proteccin contra el Software a nivel de amenazas (Malware) Controles tecnolgicos y medidas no tcnicas Estadsticas de infeccin Controles rutinarios para respaldo del sistema Implementacin de Sistema de Seguridad Lgica en Redes Control de medios Encriptacin de informacin sensible Monitoreo sobre servicios de red
Gracias!!!