Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

20100423 El círculo virtuoso de la SI

Anuncio 
El Círculo Virtuoso
g
en la
de la Seguridad
Información
Desayuno – Técnico Abril 2010
La seguridad en la información de las
empresas y corporaciones, es hoy en día un
asunto que a todos preocupa,
preocupa pero que no
siempre se resuelve satisfactoriamente.
La cuestión es que no sólo se trata de
implementar un software/hardware.
Tampoco únicamente de publicar un manual
de políticas.
En nuestra experiencia hemos aprendido
a integrar las áreas involucradas en un
equipo
i colaborativo.
l b ti
Es asíí que h
E
hemos creado
d nuestro
t propio
i
modelo, basado en estándares
internacionales, pero con un enfoque
práctico…
práctico
y probado
Antecedentes
• Evolución de prácticas
administrativas
– Globalización
– Escándalos financieros
– Nuevos requerimientos
regulatorios (Sarbanes-Oxley)
• Amenazas
A
• Evolución tecnológica
– Facilidad de acceso y
almacenamiento de información
– Búsqueda
Bú q d y adopción
d
ió d
de
estándares
– Velocidad de innovación (Redes
Sociales)
• Oportunidades
O
t id d
– Pérdidas / fugas de información
– Aprovechar mejores prácticas
– Problemas
P bl
en lla continuidad
ti id d d
de
operaciones
– Redefinir
d f
y fformalizar
l
esquemas
actuales de seguridad de la
información
– Impactos económicos
i
importantes
t t
Defining Information Security
• Information securityy covers all
information processes, physical and
electronic, regardless whether they
i
involve
l people
l and
d technology
h l
or
relationships with trading partners,
customers authorities and third
customers,
parties.
• ¿Por qué se le debe dar
importancia al tema?
• ¿Qué debemos considerar?
• ¿Quiénes se deben involucrar?
• ¿Cómo se deben involucrar?
Al
Algunos
porqué….
é
Aumentan pérdidas y denuncias por delitos
informáticos: IC3 y FBI
• “El monto por pérdidas relacionadas a los delitos informáticos
en Estados Unidos se duplicó
p
durante 2009, al rebasar los
$550 millones de dólares, de acuerdo al último reporte Internet
Crime Report 2009, liberado por el Internet Crime Complaint
Center (IC3).”
• El 92.02% de las denuncias provinieron de Estados Unidos,
1.7% de Canadá, 0.96% del Reino Unido, 0.59% de Australia,
0.42% de la India. Mientras que México acaparó 0.16% de las
denuncias, arriba de países como Sudáfrica y Filipinas, lo cual
incluyeron al país de habla hispana entre las 10 naciones que
más denuncias ingresan ante el Centro.
Centro ”
http://www.netmedia.info/security/aumentan-perdidas-y-denuncias-ic3-fbi
Algunos
g
porqué….
p q
Robo de información a ONU, India y Dalai
Lama apunta a China
•
“Las evidencias
“L
id
i apuntan
t hacia
h i ell territorio
t it i chino
hi como
la ubicación desde donde se perpetró un ataque
coordinado para sustraer información …”
•
“De acuerdo con los investigadores del Monitor de
Información Bélica de Citizen Lab, que hicieron
público el hallazgo del ataque, les llevó ocho
meses monitorear a los atacantes. Encontraron que
los hackers tenían en su poder información
clasificada
l ifi d de
d gobiernos,
bi
instituciones
i i i
académicas y de empresas.”
http://www.netmedia.info/security/robo-de-informacion-onu-india-dalai-lama-apunta-a-china
Algunos
g
porqué….
p q
Impunidad impulsa cibercrimen en el
mundo
• "Un
Un reporte de la firma PandaLabs afirma que durante 2010 se
mantendrá una tendencia de crecimiento de códigos maliciosos,
cibercrimen y robos de información.”
• “…los troyanos se mantienen como los códigos maliciosos
preferidos por los cibercriminales, pues son los que mayor
beneficio económico entregan a través del robo de identidad y
hurto de datos confidenciales.”
• “Junto con el alto beneficio económico, los expertos de la
compañía
í afirmaron
fi
que la
l falta
f l de
d sanciones
i
más
á severas
para los cibercriminales y el fácil acceso a herramientas de
desarrollo de troyanos mantendrán el incremento en la
permanencia de estos códigos maliciosos a lo largo de 2010.”
2010.
http://www.netmedia.info/security/impunidad-impulsa-cibercrimen-en-el-mundo
Algunos
g
porqué….
p q
“…Plan de continuidad de negocios”
•
“El 37
37.5%
5% d
de llos negocios
i no estaban
t b preparados
d
para hacer frente a la contingencia provocada en
México por la influenza humana AH1N1, de acuerdo
con cifras oficiales citadas por Alcatel
Alcatel-Lucent.”
L cent ”
http://www.netmedia.info/networking/ofrecen-plan-de-continuidad-de-negocios
Algunos porqué….
S
Servidores
id
d bases
de
b
de
d datos:
d t
caramelos
l para hackers
h k
• “Información sensible y mala gestión en seguridad los convierte en
objetivos tentadores.”
tentadores.
• “Las bases de datos albergan los datos confidenciales más
fáciles de vender de una compañía: listas de clientes, la nómina y
muchos otros inventarios estructurados que significan información
sensible. Los administradores de las bases de datos no suelen ser
duchos en prácticas de seguridad y las propias bases de datos
están a menudo ligadas
g
a aplicaciones
p
web q
que han resultado
fáciles de asaltar.”
• “En su estudio anual sobre intrusiones, el equipo ‘forense’ de
computación
t ió d
de Verizon
V i
B i
Business
iinformó
f
ó que en 2008 llas b
bases
de datos constituyeron el 30% de las intrusiones. Peor aún, las
intromisiones en las bases de datos son el 75% de todos los
reportes que se notifican como penetrados.
http://www.informationweek.com.mx/analysis/servidores-de-bases-de-datos-caramelos-para-hackers/
Al
Algunos
que d
debemos
b
considerar…….
id
- Organización de la Seguridad
Administrar la implementación y el
mantenimiento de la Seguridad
g
de
Información dentro de la organización,
asignando roles y responsabilidades.
– Administración
Ad i i
ió de
d Activos
A i
Lograr y mantener un nivel de
protección
p
otecc ó adecuado de la
a información
o ac ó
y activos organizacionales
– Seguridad de RH
Asegurar que los empleados,
contratistas y personal externo sean las
personas adecuadas p
p
para desempeñar
p
los roles que se les han asignado,
conozcan sus responsabilidades y
obligaciones
g
en la organización,
g
estén
conscientes de las amenazas y
preocupaciones de Seguridad de
Información, estén preparados para
apoyar la Política de Seguridad
(reduciendo así el riesgo de error
humano) y que el término o cambio de
empleo se realice de forma
f
ordenada.
Al
Algunos
que d
debemos
b
considerar…….
id
– Seguridad Física y Ambiental
Prevenir acceso físico no autorizado,
daño e interferencia a la información,
interrupción de actividades, así como
pérdidas, daños, robo o compromiso de
activos de la organización.
– Admón. de Comunicaciones y
Operaciones
Asegurar la operación, minimizar el
g de fallas,, detectar actividades no
riesgo
autorizadas, mantener la integridad y
disponibilidad de los centros de
procesamiento de información, software
y redes.
– Control de Accesos
Controlar el acceso a la información,
asegurando el acceso de usuarios
autorizados y previniendo acceso a
usuarios no autorizados a los sistemas de
información, centros de procesamiento,
redes,, sistemas operacionales
p
yp
procesos
de negocio, con el fin de prevenir robo,
mal uso o compromiso de la información
organizacional.
Al
Algunos
que d
debemos
b
considerar…….
id
– Admisión, Desarrollo y
M t i i t a Sistemas
Mantenimiento
Si t
– Administración de la
C ti id d del
Continuidad
d l Negocio
N
i
Asegurar que la seguridad sea parte
integral
g de los sistemas de información,
protegiendo la confidencialidad,
autenticidad e integridad de la
información.
Contrarrestar las interrupciones a las
operaciones del negocio y asegurar su
restablecimiento oportuno, protegiendo
los procesos críticos de desastres o
fallas en los sistemas de información.
– Administración de Incidentes
de Seguridad de Información
– Normatividad
Asegurar que los eventos y debilidades
de Seguridad de Información sean
comunicados oportunamente para
realizar la aplicación de medidas
correctivas en base a una efectiva y
consistente administración de
incidentes en Seguridad de Información.
Asegurar el cumplimiento de leyes
leyes,
estatutos, regulaciones y obligaciones
contractuales, así como de los
requerimientos de seguridad
seguridad.
Primeras conclusiones:
1 La Información es un
1.
n acti
activo
o
importante de la empresa
2 La Seguridad de Información es tema
2.
relevante de toda la organización
3 Se requiere tener un modelo que
3.
administre este activo
¿C ál es lla b
¿Cuál
base d
de un b
buen gobierno
bi
en
Seguridad de Informacion?
• Cuatro
C
pilares:
il
– Compromiso de la Alta Dirección
– Visión y Estrategia
– Estructura para la administración
de Seguridad de Información
– Entrenamiento y Concientización
¿Cómo?
Compromiso de la Alta Dirección
• Formalizar las inquietudes de la alta
administración sobre los riesgos en seguridad
de información en una política que esté
basada en mejores prácticas y estándares
internacionales
• Establecer
E t bl
un proceso y mecanismos
i
d
donde
d lla
alta administración tenga un rol relevante en
la difusión, actualización e implementación de
la política
Visión y Estrategia
• Desarrollar modelo efectivo para mitigar los
riegos en seguridad de información
• Basarse en estándares internacionales y
mejores prácticas adaptándolas a la madurez
de la empresa
• Darle prioridad a lo que representa mayor
amenaza de acuerdo a los objetivos de la
empresa
p
• Establecer un modelo operativo dinámico y
flexible que facilite la continuidad y mantenga
el interés
• Establecer los roles requeridos así como los
conocimientos y habilidades necesarios
Algunos estándares a considerar ……..
P i id d en Base
Prioridad
B
a Riesgos
Ri
………
Risk Assessment
• threats / likelihood
• vulnerabilities / exploitation
• assets / impact
• risk / countermeasures
Test & Review
• scanning
• audit of controls
Operational Security
• patches
t h
• incident handling
• training
Risk Mitigation
• safeguard implementation
• additional controls
Estructura para la administración de la
seguridad de Información
¿Proyecto?
¿ oceso?
¿Proceso?
Definición
Desarrollo
P
Promoción
ió
Seguimiento
Definición
Política
Lineamientos
Estándares
Procedimientos
Auditoría
Avance
Implementación
p
E i Di
Equipo
Directivo
ti
Definición
Equipo de
especialistas
Auditoría
Avance
Areas Funcionales
Entrenamiento y Concientización
• Capacitación Ejecutiva
• Capacitación y Certificación de equipo de
especialistas
• Entrenamiento a empleados
• Incorporación
p
en p
planes de inducción
• Difusión en medios normales de la empresa,
por ejemplo tableros de avisos, intranet
• Participación
P ti i
ió con cápsulas
á
l d
de iinformación
f
ió en
juntas directivas importantes
Este modelo organiza el esfuerzo mediante:
Generación de expectativas, involucramiento y
compromiso.
Generación de medios para asegurar un
esfuerzo permanente.
p
1) Involucrando a la alta dirección para
validar políticas y conseguir
que se promuevan
j
para
p
2)) Creando un comité ejecutivo
involucrar, validar y difundir.
3) Organizando especialistas en
seguridad
g
y administración de riesgo,
g , en
un equipo técnico de trabajo
interdisciplinario (entre
empresas o departamentos), que genera,
d fi e iimplementa
define
l
t llos li
lineamientos.
i t
Este modelo organiza el esfuerzo mediante:
Generación de medios para asegurar un esfuerzo
permanente
4) Integrando auditores para
revisar avances como
garantía de vigilancia sobre
la evolución del modelo.
5) Asegurando
g
cubrir estándares
internacionales
6) Utilizando el
software/hardware
/
adecuado al caso
7) Estableciendo métricas
indicadoras
d do
p
pertinentes.
Este modelo organiza el esfuerzo mediante:
…Generación de medios para asegurar un
esfuerzo permanente
8) Mediante mecanismos que
permitan superar los principales
obstáculos a la permanencia en la
seguridad de la información:
- Madurez en la cultura
de la seguridad.
- Comunicación
((reuniones de avance))
entre los niveles.
- Certificaciones para
contar
o
con
o un equipo
q po
técnico capacitado.
Comentarios Finales
No es un proceso sencillo
ill
Es un proceso de mejora continua
Requiere colaboración de toda la organización
Requiere de recursos tanto humanos como
financieros
¾ Es un proceso importante y crece su
relevancia en la medida que las cadenas de
valor en la empresa
p
crecen y los mercados se
hacen globales
¾
¾
¾
¾
El Círculo Virtuoso
de la Seguridad en la
Información
Documentos relacionados
record-2009-malware.pdf
record-2009-malware.pdf
Brink s II
Brink s II
Detalle de Pólizas Vigentes
Detalle de Pólizas Vigentes
robo calificado en establecimiento abierto al público. no se actualiza
robo calificado en establecimiento abierto al público. no se actualiza
CUESTIONARIO PEDAGOGIA DEL CONOCIMIENTO
CUESTIONARIO PEDAGOGIA DEL CONOCIMIENTO
ROBO. El comportamiento desplegado por el reo es constitutivo del
ROBO. El comportamiento desplegado por el reo es constitutivo del
CÓMO HACER UNA CRÍTICA Cuando emitamos la crítica en
CÓMO HACER UNA CRÍTICA Cuando emitamos la crítica en
El modus operandi del hampa
El modus operandi del hampa
1.078.848 891.874 TOTAL Más sanciones y más caras
1.078.848 891.874 TOTAL Más sanciones y más caras
Descargar
Anuncio
Anuncio