Políticas de Seguridad de la Información en las organizaciones de los Poderes Judiciales

Transcripción

1 XVIII CONGRESO NACIONAL DE CAPACITACIÓN JUDICIAL Políticas de Seguridad de la Información en las organizaciones de los Poderes Judiciales Marcia Maggiore Esp. en Seguridad Informática, CISA, CRISC, Cert. Cobit 5 Fundamentos

2 La información en nuestro tiempo Alto crecimiento en volumen Acceso fácil y generalmente ágil Diferentes tipos de formato (video, documento digital, música, etc.) Herramientas que facilitan su transmisión Velocidad en la transmisión Recurso imprescindible para hacer negocio, operar en ellos, analizar los mercados, generar estadísticas médicas, de producción, de educación, de resultado de las políticas públicas, etc., etc., etc.. Qué sucede en la Web? Cada 1', 6 millones de visitas a facebook, logins, 2 millones de búsquedas en google y 1, 3 millones de videos en You Tube. Cada 2 días se generan tantos datos como desde el principio de la humanidad hasta zetabytes creados al año. (13/06/2013) -

3 La información en nuestro tiempo En el año 2003, 600 millones de personas en todo el mundo tenían ya acceso a la red En 2012 ese número ascendió a 2,4 mil millones En el 2000, se estimaba que entre 20 y 50 terabytes de información discurrían a través de la WEB (Universidad de Berkeley) En 2003, se calcula que ascendía ya a 170 terabytes, contando únicamente las páginas webs fijas => 17 veces el tamaño de los fondos impresos de la Biblioteca del Congreso Un terabyte traducido a un soporte físico como es el papel se materializaría en la tala de árboles Fuente: HIPERTEXTO: EL NUEVO CONCEPTO DE DOCUMENTO EN LA CULTURA DE LA IMAGEN - María Jesús Lamarca Lapuente - Universidad Complutense de Madrid

4 La información en nuestro tiempo Unidad / Nombre Símbolo Número de bytes Equivalencia Bit b 1 1b Byte B 8 8b Kilobyte KB B Megabyte MB KB Gigabyte GB MB Terabyte TB GB Petabyte PB TB Exabyte EB PB Zettabyte ZB EB Yottabyte YB ZB

5 Amenazas en la WEB Malware Ransomware - Secuestro de equipos cifrando su información Rogue Aplicación que simula ser anti-malware, pero que infecta el equipo Fhishing Captura de datos Spam Advanced Persistent Threat (APT) Recolecta objetivos nacionales de alto valor Ingeniería Social

6 Qué es esto? La botnet Mariposa. Más de 12 millones de bots/zombies. Lograron sustraer datos de usuarios a través de 190 países. Fue desmantelada en el 2010 y se encontró evidencia de máquinas infectadas en 500 de las compañías mencionadas por Fortune y en más de 40 bancos.

7 Las amenazas en cifras Amenazas (todas) - Situación global Entre los 10 primeros exponentes de las actividades maliciosas en el mundo siempre se encuentra algún país de Latinoamérica y El Caribe (Brasil, Honduras, Bolivia, Costa Rica y Argentina). Según Websense, Inc, la región tuvo un crecimiento superior a la región asiática, quedando posicionada en el tercer lugar, respecto del indicador de crecimiento de los Web links maliciosos. Fuente: Symantec Corporation

8 Las amenazas en cifras Amenazas (todas) - Situación de Latinoamérica y el Caribe Consultar: Fuente: Symantec Corporation

9 Qué sucede en las organizaciones? Fuente:

10 Qué sucede en las organizaciones?

11 Visión general La información es un recurso clave para las organizaciones, desde el momento en que se crea hasta que es destruida. En este contexto, la tecnología juega hoy un papel fundamental. Se la utiliza en todos los niveles de la organización, tanto operativo como para la gestión y el gobierno, habilitando las funciones del negocio, incluyendo las propias de TI. La información contribuye al logro de los objetivos de la organización.

12 Información Incluye toda la información relevante para las organizaciones, no sólo la información automatizada Puede ser estructurada o desestructurada, formalizada o informal Se analiza con independencia del formato y del soporte utilizado Los procesos generan y procesan datos, transformándolos en información y conocimiento, generando valor para la organización

13 Estructura Integrada del Control Interno (Edición 2013) Cambios en el entorno de las organizaciones... Mayores expectativas del gobierno organizacional Globalización de mercados y operaciones Cambio continuo y mayor complejidad Mayor demanda y complejidad en leyes, reglas, regulaciones y estándares Expectativas de competencias y responsabilidades Uso, y mayor nivel de confianza, en tecnologías que evolucionan rápidamente Expectativas relacionadas con prevenir, desalentar y detectar fraude Fuente: COSO Commitee of Sponsoring Organizations of the Treadway Commission

14 El contexto Tecnologías de Información Información (en todos sus formatos) Organización Seguridad Informática Dirección Seguridad de la Información Procesos

15 Seguridad de la información Asegura que dentro de la organización, la información se encuentre protegida para evitar su divulgación a usuarios no autorizados (confidencialidad), modificaciones inapropiadas (integridad) y la falta de acceso cuando sea requerida (disponibilidad). Fuente: Traducción de COBIT 5 for Information Security, 2012 ISACA Todos derechos reservados.

16 Cómo formalizamos la gestión de la seguridad de la información? A través de un marco normativo, que está constituido por el conjunto de instrumentos que permiten traducir el comportamiento deseado de los empleados y usuarios hacia la seguridad de la información, para llevar a cabo las tareas y la gestión cotidiana. Se adaptan los estándares al contexto organizacional.

17 Política de seguridad Propósitos y directivas generales formalmente expresadas por la dirección Debe ser un documento breve con guías de alto nivel y enlaces a políticas más detalladas Debe alinearse con los principios, objetivos, estrategia y disposición al riesgo de la organización Debe tener en cuenta el ambiente en el que funciona la organización. Ej. Regulaciones, infraestructura, etc. Debe ser revisada por otras áreas. Ej. Área legal

18 Política de seguridad Requisitos de una Política de Seguridad Es obligatoria Debe prever sanciones por incumplimiento Se focaliza en un resultado deseado y no en los medios a emplear (Qué y no cómo) Se concreta a través de construcciones de menor nivel (normas, procedimientos) Su ciclo de vida debe ser gestionado teniendo en cuenta las etapas de desarrollo, difusión y mantenimiento (requiere revisión).

19 Clasificación de la información CONTROLES CONFIDENCIAL RESTRINGIDA DIRECTORES EMPLEADOS PROTECCIÓN ESTRICTO SUFICIENTE PUBLICA COMUNIDAD MÍNIMO INFORMACIÓN USUARIOS QUÉ? PROPIETARIOS DE DATOS QUIÉN? CÓMO? TÉCNICO EN SEGURIDAD Protección de Datos Personales Ley 25326

20 Riesgo - Otros controles Autorización de operaciones críticas Separación de funciones y control de accesos Uso aceptable de recursos de TI (Internet Correo) Gestión de incidentes Seguridad lógica y física del equipamiento central y del perímetro de la red Continuidad del negocio Autenticación de dos factores Tecnológicos y

21 Seguridad de la información Al menos la mitad de las fallas de seguridad son causadas por la falta de controles en los procesos internos y no por hackers o código malicioso. (Accenture, 2010)

22 Factores Críticos de Éxito Apoyo de las autoridades y de las gerencias de línea Asignación de responsabilidades Asignación de tiempo y recursos necesarios Respaldo en estándares internacionales Proyecto de toda la organización, integral y dinámico Vocabulario sencillo y entendible (testearlo con personal no informático de la organización) Comunicar concientizar. entrenar capacitar seguir comunicando seguir concientizando seguir capacitando.

23 Obstáculos para el éxito Inadecuada evaluación y tratamiento de los riesgos a los que está expuesta la organización Cultura organizacional no proclive a la seguridad de la información Falta de apoyo de las autoridades y de las gerencias de línea Deficiente asignación de responsabilidades y recursos Terminología muy técnica y difícil de comprender Despliegue como proyecto estático y aislado

24 Algunas lecciones aprendidas Reconocer la importancia del vocabulario, tanto oral como escrito, para implementar programas exitosos de seguridad de la información Medir la efectividad del nivel de comprensión de las políticas y procedimientos desarrollados y comprometerse a mejorarlas Facilitar la adopción y utilización del marco normativo para hacer el marketing de la seguridad de la información Utilizar el marco normativo para limitar los problemas de traducción entre la función de seguridad y el resto de la organización

25 Muchas Gracias