CURSO
"Seguridad de la información Norma ISO 27001:2013"
Servicio Local de Educación Pública Barrancas
JUNIO 2021
Relator: Carlos Echeverría M.
Ing Comercial y Periodista
Master in Business Administration MBA
Maestría en Control de Gestión
INTRODUCCIÓN Y ESTANDARIZACIÓN DE
CONCEPTOS BASICOS A CONSIDERAR
¿Qué es la información?
Como información denominamos al conjunto de datos, ya
procesados y ordenados para su comprensión, que aportan
nuevos conocimientos a un individuo o sistema sobre un asunto,
materia, fenómeno o ente determinado. ... El aprovechamiento
que hagamos de la información, en este sentido, es la base
racional del conocimiento.
La información en la Organización
Se entenderá como:
Todo el conjunto de datos.
Todos los mensajes intercambiados.
Todo el historial de clientes y proveedores.
Todo el historial de productos, ... etc.
En definitiva, el know-how de la organización.
Si esta información se pierde o deteriora, le será muy difícil a la
empresa recuperarse y seguir siendo competitiva bajo una efectico
políticas de seguridad.
Importancia de la información
El éxito de una empresa dependerá de la calidad de la información
que genera y gestiona.
Diremos entonces que una empresa tiene una información de
calidad si ésta presenta, entre otras características:
confidencialidad, integridad y disponibilidad.
La implantación de unas medidas de seguridad informática en la
empresa comienza a tener un peso específico en este sector sólo a
finales de la década pasada.
Vulnerabilidad de la información
La información (datos trabajados) se verá afectada por muchos
factores,
incidiendo
básicamente
en
los
aspectos
de
confidencialidad, integridad y disponibilidad de la misma.
Desde el punto de vista de la organización, uno de los problema
más importantes puede ser el que está relacionado con el delito o
crimen informático, por factores externos e internos.
Disminuir las vulnerabilidades
Esto se verá agravado por otros temas,
entre ellos los aspectos legales y las
características de los nuevos entornos de
trabajo de la empresa del siglo XXI.
Solución
Política 1
Política 2
La solución es
sencilla: aplicar
técnicas y políticas
de seguridad...
Política 3
Política 4
... sólo ahora el tema
comienza a tomarse en serio.
Acciones contra los datos
Una persona no autorizada podría:
Clasificar y desclasificar los datos.
Filtrar información.
Alterar la información.
Borrar la información.
Usurpar datos.
Hojear información clasificada.
Deducir datos confidenciales.
Deberemos
proteger
nuestros datos
Protección de los datos
La medida más eficiente para la protección de los datos es
determinar una buena política de copias de seguridad o
backups:
Copia de seguridad completa
Todos los datos (la primera vez).
Copias de seguridad incrementales
Sólo se copian los ficheros creados o modificados desde el
último backup.
Elaboración de un plan de backup en función del
volumen de información generada
Tipo de copias, ciclo de esta operación, etiquetado correcto.
Diarias, semanales, mensuales: creación de tablas.
Protección de los datos
La medida más eficiente para la protección de los datos es determinar una buena
política de copias de seguridad o backups:
Copia de seguridad completa
Todos los datos (la primera vez).
Copias de seguridad incrementales
Sólo se copian los ficheros creados o modificados desde el último backup.
Elaboración de un plan de backup en función del volumen de información
generada
Tipo de copias, ciclo de esta operación, etiquetado correcto.
Diarias, semanales, mensuales: creación de tablas.
Sistema de Seguridad de la Información
concepto de la Super de Educación
El Sistema de Seguridad de la Información (SSI) es la forma en que la Superintendencia
diseña, implementa y mantiene conjunto de políticas y procedimientos que permite
gestionar eficientemente la accesibilidad de la información, buscando asegurar la
confidencialidad, integridad y disponibilidad de los activos de información basado en la
norma chilena NCH ISO 27001:2013.
La implementación de un SGSI contribuye significativamente a mitigar el impacto de los
riesgos generados tanto al interior como fuera de la institución, a los que están sometidos
los activos de información institucional tales como: documentos en papel y digitales;
bases de datos; enlaces de terceros; datacenter; soporte de almacenamientos; elementos
de infraestructura; procesos y personas.
El SGSI es entendido como un proceso continuo, que permite homogeneizar criterios de
seguridad y preservar los activos de información institucional.
Las Políticas de responsabilidad y Seguridad
de la Información para el MINEDUC
RESPONSABILIDAD DEL MINEDUC POR USO DE DATOS.
El Ministerio de Educación adoptará las medidas técnicas y administrativas que sean necesarias, para
otorgar seguridad a los registros de datos personales evitando su adulteración, pérdida, uso o acceso no
autorizado o fraudulento, según los requerimientos que establezca la normativa vigente.
El Ministerio de Educación y los funcionarios que intervengan en cualquier fase del tratamiento de los datos
de carácter personal están obligados guardar confidencialidad respecto de los mismos y asumirán el deber
de resguárdalos; obligaciones que subsistirán aun después de finalizar sus relaciones con el Ministerio.
Los datos entregados por los usuarios de www.mineduc.cl serán administrados exclusivamente por personal
del Mineduc, evitando usos indebidos, alteración o entrega a terceros.
Uso de la información
Dato personal: el relativo a cualquier información concerniente a personas naturales,
identificadas o identificables (artículo 2º, letra f) Ley 19.628 de Protección de Datos
Personales.
Datos sensibles: corresponden aquellos datos personales que se refieren a las características
físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad,
tales como:
• Origen racial, en Mineduc identificados como Etnia o Nacionalidad.
• Ideología y opiniones políticas
• Creencias religiosas
• Estados de salud físicos y psíquicos. Casos de interés para la Subsecretaría de Educación
tiene relación con situaciones de embarazo de estudiantes, nivel de discapacidad, este
último relacionado con PIE, que es una subvención para alumnos que requieren de
educación especial.
• La vida sexual.
• Necesidades educativas especiales, modalidad del sistema educativo orientada a
asegurar el aprendizaje a niños, niñas, jóvenes y adultos con necesidades educativas
especiales.
DERECHOS USUARIOS:
El Usuario podrá en todo momento ejercer los derechos otorgados por la ley Nº 19.628
sobre protección de la vida privada y sus modificaciones posteriores. En específico, podrá:
Tener acceso a los datos relativos a su persona, su procedencia y destinatario, el propósito
del almacenamiento y la individualización de las personas u organismos a los cuales sus
datos se hayan transmitido;
Solicitar se modifiquen sus datos personales cuando ellos no sean correctos o no están
actualizados.
Solicitar la eliminación o cancelación de los datos entregados cuando así lo desee, en tanto
hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido
recabados
o
registrados.
Para ejercer sus derechos el Usuario podrá dirigirse a [email protected] indicando
claramente su solicitud.
HERRAMIENTAS PRACTICAS DE ESTANDARIZACION
SEGURIDAD DE LA INFORMACIÓN
ITIL (Information Technology Infrastructure Library) Un
compendio de mejores prácticas
MAGERIT una metodología práctica para gestionar riesgos y la serie de normas ISO
27000, que reúne todas las normativas en materia de seguridad de la información.
Es importante resaltar que a diferencia de las anteriores ITIL no es una norma
certificable para las empresas, sino que es un conjunto de guías para que las
empresas gestionen de la mejor manera sus activos de información.
Lo que si comparte ITIL con otros estándares como los relacionados con ISO
27000, es que tiene como base el modelo de mejora continua, que plantea
que toda gestión debe iniciar con una planeación la cual debe servir para
ejecutar las actividades diarias de una organización. Estas actividades deben
ser medidas y controladas con el objetivo de obtener la información necesaria
que permita mejorarlas y volver a hacer una planeación que tenga en cuenta
el real funcionamiento de la empresa.
Lo que busca ITIL entonces es plantear un modelo de referencia en el cual las
áreas de TI son áreas que brindan apoyo al cumplimiento de los objetivos del
negocio. Por lo tanto incorpora para las áreas encargadas de la administración
de los activos tecnológicos de la compañía una filosofía que está asociada con
la prestación de servicios de tecnologías y no solamente con la administración
de servidores, bases de datos, equipos y demás dispositivos y aplicaciones que
están en un área de TI.
Este cambio en la forma de administración de los activos de información en una empresa
plantea que la función de TI sea entendido de otra forma, en la cual se debe tener en cuenta
que además del hardware existen personas que son quienes lo utilizan y lo necesitan para
cumplir con sus actividades y así garantizar que el negocio funcione. Por ejemplo, para la
gestión de las conexiones a Internet el área de TI puede estar tentada a limitar la navegación
para garantizar la seguridad de la información. Si bien esta puede ser una práctica que
garantice un alto nivel en la seguridad de la información, puede no ser lo más óptimo para que
los usuarios realicen sus tareas pues seguramente muchos empleados necesiten navegar en
Internet para buscar información.
Precisamente la necesidad que puede suplir la adopción de ITIL es lograr que tanto los
empleados, la tecnología y los procesos, que se ejecutan en el día a día, se encuentren
alineados para cumplir los objetivos del negocio, todo esto garantizando los adecuados niveles
de servicio y obviamente la seguridad de la información
IMPLEMENTANDO CONTROLES
DE IT EFECTIVOS
Los controles de IT son componentes principales para proteger los activos
de información. Veamos cómo clasificarlos para utilizarlos en cualquier
industria.
Las últimas décadas han marcado un gran desarrollo de numerosas
tecnologías, que hacen necesario al mismo tiempo el aumento constante
de las medidas de seguridad, intentando contrarrestar las amenazas a las
que están expuestos los activos de información.
En este contexto, definiremos a los controles de IT, es decir, en el mundo de
las Tecnologías de la Información, y cómo clasificarlos de modo general
para utilizarlos en cualquier tipo de industria.
¿Qué son los controles en IT?
Los controles son los principales componentes que se deben tener en cuenta a la
hora de pensar, desarrollar e implementar una estrategia de protección de los
activos de información. Su naturaleza es muy variable y está vinculada a garantizar
su efectividad, sin ser costosos ni restrictivos para las actividades del negocio. De
este modo, un control podrá ser un dispositivo físico (un sensor biométrico como
vemos en la siguiente imagen, o una llave USB) pero también podrá ser un
procedimiento o una metodología.
MODELO DE SEGURIDAD DE LA INFORMACION
Todos los modelos actuales de seguridad de la Información, están
enmarcados en COBIT (Control Objectives for Information and Related
Technology), el modelo de buenas prácticas aceptado internacionalmente
para el control de la información. Define el objetivo del mismo, expresando
que un control es la declaración del resultado o propósito deseado que se
alcanzará mediante la implementación de procedimientos en una
determinada actividad de IT.
A continuación veremos cómo aplicar distintos controles
de forma efectiva.
Defensas por niveles
La defensa en distintos niveles es muy efectiva a la hora de comenzar a planear una
estrategia de arquitectura de seguridad de la información. De esta forma, las capas deben
estar diseñadas de tal modo que al fallar alguna no provoque el fallo de la contigua sino
que ayude a neutralizar el incidente.
La cantidad de estratos dependerá de la criticidad de los activos protegidos y la fortaleza
de las defensas intentando no contrarrestar las funcionalidades del negocio.
Como ejemplo, podemos considerar el caso de controles en las distintas capas del
modelo OSI que ayudan a fortalecer las barreras de seguridad dentro de una red.
Otros controles que no se vinculan al mundo IT
A estos requerimientos normalmente se los vincula con la seguridad
física, es decir, con el manejo y almacenamiento de la información de
forma segura. Un ejemplo muy claro son las copias de seguridad con
su respectivo rótulo, y el lugar físico en donde se las retiene.
Un grave incidente de seguridad podría ocurrir si un atacante por
medio de Ingeniería Social tiene acceso a estas copias robando o
destruyendo así este tipo de información.
Contramedidas
Las contramedidas son las medidas de protección que reducen el nivel de
vulnerabilidad a las amenazas, y por este motivo son consideradas controles
dirigidos. De este modo, el ataque no sería evitado, sino que no sería efectivo.
Pueden actuar de forma activa o pasiva, aunque normalmente son menos
restrictivas que los controles en general.
Como es de esperarse, en el mundo de las tecnologías de la información, para
mitigar distintos incidentes es vital la combinación de políticas, estándares,
educación y diversos procedimientos de seguridad. Aplicados de una manera
correcta, conllevarán a una mayor protección de los activos de información.
A continuación demostraremos dos escenarios que serán de gran ayuda para
entender los conceptos explicados:
Cuando trabajemos sobre la “Prevención de incidentes” debemos abarcar
políticas y procedimientos vinculados a la autentificación, autorización, cifrado,
seguridad física, concientización, escaneo de vulnerabilidades y códigos
maliciosos.
En contraste, cuando trabajemos sobre controles en la “Reacción ante incidentes”,
debemos profundizar sobre políticas en tiempos de respuesta, equipos de
respuesta, procedimientos ante un incidente y mecanismos de seguridad
adicionales…
Conclusión
Estos son algunos ejemplos que podrían ser útiles a la hora de pensar o
repensar una estrategia global en la arquitectura de los sistemas, y
detallan los puntos críticos en los que se deberá implementar controles
multicapa. Así, será posible garantizar con mayor solidez el resguardo y
la seguridad de la información.
0
