Requisitos de Seguridad en los Sistemas de las Instituciones

Transcripción

1 Requisitos de Seguridad en los Sistemas de las Instituciones

2 Agenda Quiénes deben preocuparse por la seguridad de los datos? Por qué debemos preocuparnos por la seguridad? Cuáles son los requerimientos de seguridad? Qué es un incidente de seguridad? Cuándo se debe reportar una incidente de seguridad? Cómo se debe reportar un incidente de seguridad? Cómo los usuarios pueden aportar a mejorar la seguridad? Cuáles son los próximos pasos?

3 Quiénes debe preocuparse por la seguridad de los datos? Presidente & Junta de Directores CIO, CISO (Departamento de IT) Registraduría, Admisiones y Tesorería Asistencia Económica Padres o Tutores Empleados y Facultad Ex-alumnos Estudiantes Solicitantes/ Prospectos

4 Por qué debemos preocuparnos por la seguridad?

5 Por qué debemos preocuparnos por la seguridad?

6 Por qué debemos preocuparnos por la seguridad? Cumplimiento con leyes y regulaciones estatales y federales FERPA: información estudiantil PCI: tarjetas de crédito HIPAA: información médica Privacy ACT of 1974 Ley 111 de 2005, ley 187 de 2006, ley 207 de 2006 *Mantener segura la información con información PII (Personally identifiable information) Cumplimiento con auditorías internas y externas Valida que se siga un procedimiento establecido que cumpla con las reglas internas de seguridad y las mejores prácticas

7 Por qué debemos preocuparnos por la seguridad?

8 Cuáles son los requerimientos de seguridad? Programa de seguridad de Información Este debe estar desarrollado, implementado y ser revisado periódicamente (políticas y procedimiento) Implementar estándares establecidos y mejores prácticas NIST ISO Reducción de riesgo Adiestramiento de empleados Identificación de los sistemas críticos Clasificación y manejo de datos Plan de manejo de incidentes

9 Cuáles son los requerimientos de seguridad? Servicios sub-contratados Firmar acuerdos de confidencialidad (NDA) Revisar los requerimientos de seguridad en los contratos Otras areas de seguridad Prevención de Fraudes y Robos de identidad

10 Cuáles son los requerimientos de seguridad? 3 etapas de cualquier programa de seguridad : Prevención Detección Solución

11 Qué es un incidente de seguridad? Es cuando ocurre la pérdida, destrucción, alteración o acceso ilegítimo a la información digital de su institución. Los incidentes de seguridad se pueden evitar cuando: Aseguramos la información y mantenemos la confidencialidad Protegemos de amenazas o daños, la data y los sistemas Protegemos la información, archivos o documentos de accesos no autorizado

12 Cuándo se debe reportar un incidente de seguridad? Las regulaciones establecidas exigen que todo incidente de seguridad sea reportado. Se deben reportar inmediatamente se sospeche que existe una brecha de seguridad A DACO se tienen 10 días calendarios para reportar cualquier incidente De no ser reportado se pueden ejercer multas contra la institución

13 Cómo se debe reportar un incidente de seguridad? Por correo electrónico a su unidad de seguridad (según establezca la política de su institución) Data que se debe incluir: Fecha de la brecha Impacto (cantidad de records) Metodología utilizada Estatus de remediación Se reporta a las agencias guberanmentales de PR y/o de los estados donde residan los perjudicados

14 Cómo los usuarios pueden aportar a mejorar la seguridad? Sepa identificar la información que maneja y aplique las reglas establecidas según la clasificación Tenga mucha precaución con la documentación física Procure mantener sus dispositivos móviles y documentos con información sensitiva encriptados Bloquee su computadora cuando no esté frente de ella Evite compartir información demás Precaución con las páginas de internet que visita, pueden tener virus y código malicioso

15 Cómo los usuarios pueden aportar a mejorar la seguridad? Utilice contraseñas seguras y difíciles de adivinar Nunca comparta sus contraseñas Tienes una contraseña segura? Cómo hago para que no se me olvide? Establece reglas: EJ: María y José se casaron el 8 de septiembre en Aguadilla M&Jsce8dseA No habilitar la opción de recordar contraseñas en los sistemas ni en el Internet.

16 Cómo los usuarios pueden aportar a mejorar la seguridad? Combata el Phishing Sospeche de cualquier correo electrónico que: Solicite información personal Contenga errores gramaticales o de deletreo Solicite oprimir un enlace Proviene de un desconocido o de una compañia con la cual no tienes relación de negocios Si el correo resulta sospechoso: No oprima el enlace No otorgue información personal o financier No abra los documentos adjuntos Envie el correo a personal de seguridad para revisión y validación

17 Cómo los usuarios pueden aportar a mejorar la seguridad? Evite ser víctima de Ingeniería social Ingenieria social es el arte de manipular una situación a través de la conducta humana para ganar acceso no autorizado a los sistemas o a la información para propósitos fraudulentos o criminales. Estos ataques son más comunes y más exitosos que los ataques generados a los sistemas a través de la red.

18 Cómo los usuarios pueden aportar a mejorar la seguridad?

19 Cómo los usuarios pueden aportar a mejorar la seguridad? Colabore en las mejores prácticas Pregunte si tiene dudas o preocupaciones Valide las políticas y procedimientos establecidos Traiga ideas y sugerencias para mejoras de sistemas y procesos

20 Cuáles son los próximos pasos? Valide y verifique la política de segurida de su institución Si no tiene una, solicite se desarrolle una Identifique la persona responsible del programa de seguridad de su institución asegurese que esta persona sea el contacto para cualquier incidente de seguridad Solicite que se realice una evaluación o avalúo de riesgo de los procesos de su área Asegurese que todo el personal de su área conozco las políticas y procedimientos establecidos, sobre todo cuando ocurre una brecha de seguridad

21 Preguntas?