You are on page 1of 23

INTRODUCCION

En un mundo en donde la información juega un papel vital en nuestras


actividades cotidianas, buscamos los mecanismos necesarios que nos
permitan optimizar las operaciones básicas o criticas que una organización ha
catalogado como sensibles.

En este momento que buscamos la ayuda de la tecnología, tecnología que nos


puede ayudar en gran medida, pero que al utilizarla acarrea ciertos riesgos que
debemos afrontar.

Es aquí donde las organizaciones se preguntan si vale la pena el invertir en


tecnología que ayuden al progreso de la institución, pero que en la mayoría de
los casos solamente se invierte en la optimización de sus procesos, dejando
por un lado los riesgos que esto implica.

Es por eso que en este informe se pretende enumerar básicamente, los


problemas que se pueden presentar tecnología de comunicación en una
organización, pero además algunos consejos que podríamos implementar para
prevenirlos.
SEGURIDAD DE LA INFORMACION

¿Porque es necesaria la seguridad de la información?

La información y los procesos, sistemas y redes que la soportan, son


activos importantes de negocios. La definición, el logro , el
mantenimiento y la mejora de la seguridad de la información pueden
ser esenciales para mantener su competitividad, el flujo de caja, la
rentabilidad, el cumplimiento legal y la imagen comercial

Las organizaciones y sus sistemas y redes de información enfrentan


amenazas de seguridad procedente de una gran variedad de fuentes,
incluyendo fraudes asistidos por computador, espionaje, sabotaje,
vandalismo, incendios o inundaciones.
Las causas de daño tales como códigos maliciosos y ataques de
piratería por computador y negocio del servicio se han vuelto mas
comunes, mas ambiciosos y cada mas sofisticados.
EVALUACION DE LOS RIEGOS DE SEGURIDAD

Los requisitos de seguridad se identifican mediante una evaluación


metódica de los riesgos de seguridad, los gastos en los controles se deben
equilibrar frente a la probabilidad de daños para el negocio que resulta de
las fallas en la seguridad.

Los resultados de la evaluación de riesgos ayudaran a guiar y a determinar


la acción de gestión adecuada y las prioridades para la gestión de los riesgos
de la seguridad de la información, así como para implementar los controles
seleccionados para la protección contra estos riesgos se debería repetir
periódicamente para tratar cualquier cambio que pueda influir en los
resultados de la evolución de riesgos
GESTION DE LA SEGURIDAD DE LAS REDES
Asegurar la protección de la información en las redes y la protección de la
infraestructura de soporte. La gestión segura de la redes, las cuales pueden
sobrepasar las fronteras de la organización, exigen la consideración cuidadosa del
flujo de datos, las implicaciones legales, el monitoreo y la protección.
Los directores de redes deberían implementar controles que garanticen la seguridad
de la información sobre las redes y la protección de los servicios conectados contra
el acceso no autorizado. En particular, es conveniente tener en cuenta los siguientes
elementos:

a)La responsabilidad operativa de las redes debería estar separada de las operaciones
del computador, según sea apropiado.
b) Es necesario establecer las responsabilidad y los procedimientos para la gestión
de equipos remotos, incluyendo los equipos en áreas de los usuarios.
c) Se debería monitorear y registrar las acciones de seguridad pertinentes.
e)Se debería gestionar actividades para monitorear que los controles se apliquen
consistentemente en toda la infraestructura del procesamiento de información.
Control de accesos
Se pretende controlar el acceso a la información y estos deberían controlar como
base en los requisitos de seguridad y del negocio.
Las reglas para el control del acceso deberían tener en cuenta las políticas de
distribución y autorización de la información.

Gestión de accesos a los usuarios:


Se pretende asegurar el acceso de usuarios autorizados y evitar el acceso de
usuarios no autorizados a los sistemas de información.

Se deberían establecer procedimientos formales para controlar la asignación de los


derechos de acceso a los sistemas y servicios de información.

Los procedimientos debería comprender toda la fase del ciclo de vida del acceso
del usuario, desde el registro inicial de los usuarios nuevos hasta la cancelación
final del registro de usuario que ya no requieren acceso a los servicios a los
sistemas de información.
Seguridad fisica y del entorno

Se pretende evitar perdida, daño, robo o puesta en peligro de los activos, y la


interrupción de las actividades de la organización.
Los equipos deberían estar protegidos contra amenazas físicas y ambientales

Manejo de los medios.

Se pretende evitar la divulgación, modificación, retiro o destrucción de activos no


autorizada y la interrupción en las actividades del negocio, estos medios se deberian
controlar y proteger de forma física. Para esto se deberían controlar y proteger de
forma física.

Manejo de la información

Se deberían establecer procedimiento para el manejo y almacenamiento de la


información con el fin de proteger dicha información contra divulgación no
autorizada o uso inadecuado.
Se deberían considerar los siguientes elementos:

a)Manejo y etiquetado de todos los medios hasta su nivel indicado de


clasificación.
b)Restricción de acceso para evitar el acceso de personal no autorizado
c)Mantenimiento de un registro formal de los receptores autorizados de los datos.
d)Garantizar que los datos de entrada están completos, que el procesamiento se
completa adecuadamente y que se aplica la validación de la salida.
e) Protección, según su nivel de sensibilidad, de los datos de la memoria temporal
que espera su ejecución.
f) Almacenamiento de los medios según las especificaciones del fabricante
g) Mantenimiento de la distribución de datos en un mínimo
h)Rotulado claro de todas las copias de los medios para la autenticación del
receptor autorizado.
i)Revisión de las listas de distribución y las listas de receptores autorizados a
intervalos irregulares
SEGURIDAD INFORMATICA

¿ Está seguro, que su negocio está seguro?

¿ Cuan peligroso es que parte de su información


interna caiga en manos de su competencia ?

¿ Es la Tecnología de Información una herramienta


estratégica para el posicionamiento de su negocio ?

¿ Cuanto afectaría a su negocio una interrupción


en la disponibilidad de sus sistemas informáticos ?

¿ Cuanto le afectaría la pérdida parcial o total de la


información interna ?
SEGURIDAD DE INFORMACIÓN

SEGURIDAD P R P T P P P P ÓN P NT P
R PPP G PP

•DETECCIÓ
N
GESTIÓN
•PREVENCI DE
ÓN RIESGOS

•ELIMINAC
IÓN
SEGURIDAD DE INFORMACIÓN

“ PROTECCIÓN DEL PATRIMONIO ANTE LA POSIBLE

PERDIDA DE PRIVACIDAD, INTEGRIDAD, DISPONIBILIDAD,

Y CONFIABILIDAD DE LA INFORMACIÓN UTILIZADA”.

SEGURIDAD INFORMÁTICA
“ PROTECCIÓN PARA EVITAR LOS RIESGOS INCORPORADO

POR LA TECNOLOGÍA DE INFORMACIÓN, UTILIZANDO LA

TECNOLOGÍA DISPONIBLE”.
PREGUNTAS CLAVES

• QUE PROTEGER?

• CUANTO PROTEGER?

• DE QUIEN Y DE QUE PROTEGER?

• COMO PROTEGER?

• QUIEN SE ENCARGA DE PROTEGER?


QUÉ PROTEGER ?

IDENTIFICACIÓN DE PROCESOS E INFORMACIÓN CRÍTICA PARA EL


NEGOCIO.

EQUIPOS, DISPOSITIVOS E INSTALACIONES QUE SEAN


VULNERABLES Y CUYA FUNCIONALIDAD SEA IMPRESCINDIBLE.
DE QUÉ PROTEGERSE?

CUALES SON LOS RIESGOS A QUE ESTAMOS EXPUESTOS REALMENTE ?

LOS RIESGOS EFECTIVOS DEBERÁN ESTABLECERSE DE ACUERDO A

LOS PLANES Y OBJETIVOS DEL NEGOCIO.

ES NECESARIO IDENTIFICARLOS. COMO HACERLO ?

RIESGOS = AMENAZAS X VULNERABILIDADES

NIVEL DE EXPOS. A RIESGO = PROBAB. DE OCURRENCIA X VALOR DE LA PERDIDA


AMENAZAS :
• ACCIONAR DE LAS PERSONAS
ü Condiciones favorables
Anonimato
Nivel de Instrucción
Enojo y/o desencanto
Ventajas personales (económicas y/o laborales)
Condiciones de trabajo (sobrecarga)

ü Diversión / hackeo
ü Abuso de capacidad instalada
ü Robo y espionaje
ü Información contaminada

• POSIBILIDAD DE OCURRENCIA DE EVENTOS NO HUMANOS


INCONTROLABLES

ü Falla de equipos o sistemas (eléctricos, aire etc..)


ü Eventos de la naturelaza
ü Accidentes
TIPIFICACIÓN DE AMENAZAS EN CUANTO A SU EFECTO

§ INTERRUPCIÓN
§
§ INTERCEPCIÓN
§
§ MODIFICACIÓN
§
§ GENERACIÓN
VULNERABILIDADES
§ FALLAS EN EQUIPOS, SISTEMAS Y/O SERVICIOS

• Equipos inadecuados
• Configuraciones incorrectas
• Proveedores no del todo confiables
• Externalización no controlada
• Software de aplicación poco robusto
• Falta de actualización permanente de hoyos de
seguridad de software básicos
• Ausencia de monitoreo sobre servicios y tráfico

§ PROBLEMA ORGANIZACIONALES
• Inexistencia de procedimientos internos
• Falta de Control y Auditoría
• Personal sin capacitación
• Personal poco leal o “influible”
CUANTO PROTEGER?

Ø EXPOSICIÓN A RIESGO

Ø INVENTARIO VALORIZADO DE RIESGOS

Ø INVERSIÓN POSIBLE
COMO PROTEGER?

• Definición de Política de Seguridad de empresa de conocimiento


público (internamente).

• Invertir en una Estructura Organizacional formal de Seguridad


en la empresa.

• Utilizar y actualizar Tecnología de Seguridad disponible.



• Diseño e implementación de esquemas de seguridad perimetral
y de monitoreo activo del tráfico.

• Implementación procedimientos y mecanismos administrativos


auditables.

• Integrar enfoques de Práctica Tradicional, Práctica Internet y


Apoyo de Especialidades externos.
• Desarrollar las áreas de:
• Seguridad general
• Política general de seguridad
• Normas generales de seguridad
• Capacitación

• Seguridad en Informática
• Políticas y normas
• Apoyo en desarrollo de proyectos de seguridad
• Seguridad lógica externa
• Control de Acceso Clientes
• Control de Acceso remoto de usuarios
internos
• Control de Conexión a redes externas
• Seguridad lógica interna
• Seguridad de Sistemas Operativos
• Seguridad de Aplicaciones
• Seguridad de red Interna

• Seguridad ante contingencia


• Políticas de respaldo
• Procedimientos de recuperación
• Seguridad Física de sistemas
• Administración de Planes de Contingencia
SEGURIDAD INFORMÁTICA

Mecanismos de protección de seguridad

Ø Políticas procedimientos de seguridad


Ø Criptosistemas (encriptación y desencriptación)
Ø Firma digital (firma electrónica)
Ø Barreras tecnológicas hw/sw (firewall,proxy..)
Ø Vigilancia activa
Ø Configuración de red, servidores y servicios
Ø Auditoría de red, servidores y servicios
Ø Auditoría de procesos
Ø Auditoría de sistemas
Ø Software antivirus
Ø Respaldos de datos y sistemas
Ø Planes de contingencias
Ø Auditoridades certificadoras
Ø Protocolos de seguridad
QUIEN DEBE PROTEGER?

Realidad actual:

La mayoria de las organizaciones posee 2 áreas principales preocupadas por


el tema de la seguridad informática.

• La propia Gerencia de informática quien la administra


• Auditoría computacional (quien la controla)

DESVENTAJAS

Se cae permanentemente en la necesidad de dejar la seguridad para después,


se toma como un tema eminentemente técnico.
Genera dependencia en personal de Informática
Administración de seguridad por plataforma, que lleva a modelos de números
de USER y número de PASWORD por usuario.
PROPUESTA LOGICA:

Generar una unidad especializada a cargo de toda la problemática


de la seguridad de la información y de la tecnología que:

• Se encargará de definir la política de seguridad de la empresa


• Establecerá los modelos de seguridad adecuados
• Administrará la seguridad
• Controlará proactivamente a los usuarios y a la Gerencia de Informática

VENTAJAS

1.La Gerencia de Informática se abocará exclusivamente a la


Gestión de la tecnología informática.
2.Auditoría Informática controlará tanto el desarrollo de la gestión
informática, como el cumplimiento de los controles establecidos por
Seguridad.
3.Permite que el tema de la seguridad, en organizaciones altamente
dependientes de la tecnología, tome relevancia dentro de las
organizaciones.
4.El análisis de seguridad se hace desde una perspectiva del negocio,
no solo tecnicamente.

FACTORES CRÍTICOS DE ÉXITO

Ø Ubicación jerárquica de alto nivel

Ø Independencia de la gerencia de informática

Ø Independencia de auditoría

Ø Apoyo a la administración superior

Ø Ganar la aceptación de parte de los usuarios