Principios de la Seguridad Informática

Transcripción

1 Principios de la Seguridad Informática 2017

2 Qué se entiende por Seguridad? Cada día más soporte de actividades en redes y sistemas (ERP, ) Correcto funcionamiento Conocer términos: Virus y su distribución en Internet, ataquese incidentes, etc.

3 Definición Seguridad informática: cualquier medida que impida la ejecución de operaciones no autorizadas sobre un sistema o red, cuyos efectos puedan conllevar daños sobre la información, comprometer su confidencialidad, autenticidad o integridad, disminuir el rendimiento de los equipos o bloquear el acceso de usuarios autorizados al sistema.

4 Otros aspectos Normativa legal del país Control de acceso a servicios e información Respetar Derechos de autor Identificación de autores (info y mensajes) Registro del uso de servicios, Etc.

5 ISO/IEC Seguridad de la Información (CIA): Confidencialidad Integridad Disponibilidad (Availability) INFOSEC Glosario 2000: Son las medidas y controles que aseguran la CIA de los activos de los sistemas de información; software, hardware, firmware y aquella información que procesan, almacenan y comunican.

6 2. Objetivos de la Seguridad Informática Min. Y gestionar riesgos y amenazas Garantizar adecuada utilización de recursos Limitar pérdidas y adecuada recuperación Cumplir con el marco legal.

7 Planos de actuación Técnico Instalación y actualización HW y SW, criptografía, estándares, desarrollo seguro Legal: IEPI, firmas electrónicas Humano Sensibilización y formación; obligaciones y responsabilidades; Control y supervisión Organizativo Políticas y normas; planes de contingencia; relaciones con terceros

8 Problemática Centralización, des centralización del sistema Funcionamiento continuo Nivel de sensibilidad de datos y recursos Entornos hostiles (Internet) Cumplir marco legal (info de personas, autor) Certificaciones (ISO 27001)

9 Proceso

10 3. Servicios Confidencialidad Autenticación Integridad No repudiación Disponibilidad Autorización (ACL) Audatibilidad (trazas) Protección a la réplica Confirmación de prestación de servicio Referencia temporal Certificación 3ros Confiables. Reclamación de Propiedad (intelectual)

11 Técnicas y mecanismos Id de usuarios y política de contraseñas Copias de seguridad, centros de respaldo Cifrado de trasmisiones, huella digital de mensj. Firma electrónica, sellado temporal de mensaje. Criptografía, Proxy s, cortafuegos, antivirus Sistema de detección de intrusiones (IDS)

12 Consecuencias de la falta de seguridad Función empresarial como producción y comercialización. Proteger activos (información) Evaluación costo-beneficio Qué puede ir mal? Con qué frecuencia? consecuencias? Horas de trabajo necesarias; pérdidas por costo de oportunidad; robo de información; filtración datos personales; impacto en la imagen de la empresa; daños a la salud de personas; daños a 3ros (legal)

13 Costo financiero 44% de los ataques provienen del interior (FBI), 24k USD en millones euros anuales por virus y DoS.

14 Otros problemas derivados Usar red para realizar ataques Almacenar contenido ilegal Generar spam Importante sensibilizar e informar al personal sobre las medidas de seguridad etc

15 Defensa en profundidad

16 Gestión de la seguridad de la Info. Sistema de Gestión de la seguridad de la información SGSI. Parte del sistema de gestión Comprende la política, la estructura organizativa, los recursos, procedimientos y procesos para implantar la gestión de la seguridad de la información en una organización.

17 Políticas de gestión de Seguridad de la Información Apoyo de la dirección (CEO) CISO (Chief Information Security Officer) Aspectos Formalizar Analizar y gestionar riesgos Establecer procesos de gestión PDCA Plan, Do, Check, Act Certificación

18 Otros aspectos

19 Niveles de madurez Etapa 1 Implantación de medidas Por sentido común - Copias de seguridad - Control de acceso a recursos Etapa 2 Cumplimiento de la Legislación vigente: -Protección datos personales - Delitos informáticos - Propiedad intelectual Etapa 3 Gestión global de la Seguridad de la Información: -Política de seguridad -Planes y procedimiento de seguridad - Análisis y gestión de riesgos - Definición de Plan de Respuesta a incidentes y Continuidad del Negocio Etapa 4 Certificación de la Gestión de la Seguridad: -Confianza y verificalidad por parte de terceros - ISO 27001

20 Issea.org Systems Security Engineering Capability Maturity Model N1: prácticas de seguridad informales N2: Planificación y seguimiento de prácticas N3: Definición de políticas y procedimientos N4: seguridad por controles y objetivos de calidad N5: Proceso de mejora contínua Buscar HIPAA

21

22

23

24

25

26