Mestrado em Tecnologia da Informação Segurança da Informação
La información Se utiliza para tomar decisiones con vistas a un accionar concreto. Esta es la importancia que tiene la Informática en la actualidad, permite obtener información confiable, precisa y oportuna para tomar mejores decisiones. Esto permite a las empresas y organizaciones el logro eficiente de sus objetivos. 2
Diferencia entre Datos e Información Los datos pueden ser procesados por tecnologías de información, pero se convierte en información una vez que adquiere cierto significado. La información puede tomar forma de texto, pero también de palabras habladas e imágenes de video. Agregación de datos separados genera la información 3
Seguridad de la Información Es la disciplina que se encarga de garantizar la confidencialidad, integridad y disponibilidad de la información a través de medidas preventivas y reactivas de las organizaciones y de los sistemas tecnológicos. Para alcanzar el objetivo se apoya en la Seguridad Informática (que estaría gobernada por las directrices de la Seguridad de la Información), es decir, a pesar de ser disciplinas diferentes, la una no puede "ir" sin la otra. De modo que la Seguridad de la Información será la encargada de "regular" y establecer las pautas a seguir para la protección de la información. 4
Seguridad de la información vs seguridad informática La Seguridad Informática (IT Security) se describe como la distinción táctica y operacional de la Seguridad, mientras la Seguridad de la Información (Information Security) sería la línea estratégica de la Seguridad. 5
Confidencialidad Es la propiedad de prevenir la divulgación de información a personas o sistemas no autorizados. Es el acceso a la información únicamente por personas que cuenten con la debida autorización. 6
Integridad Es el mantener con exactitud la información tal cual fue generada, sin ser manipulada o alterada por personas o procesos no autorizados. 7
Disponibilidad Es la característica, cualidad o condición de la información de encontrarse a disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones. Groso modo, la disponibilidad es el acceso a la información y a los sistemas por personas autorizadas en el momento que así lo requieran. 8
9
La información es un activo que, como otros activos importantes del negocio, tiene valor para la organización y requiere en consecuencia una protección adecuada. Esto es muy importante en el creciente ambiente interconectado de negocios. Como resultado de esta creciente interconectividad, la información está expuesta a un mayor rango de amenazas y vulnerabilidades. La información adopta diversas formas. Puede estar impresa o escrita en papel, almacenada electrónicamente, transmitida por correo o por medios electrónicos, mostrada en video o hablada en conversación. Debería protegerse adecuadamente cualquiera que sea la forma que tome o los medios por los que se comparta o almacene. 10
Por qué es necesaria la seguridad de información? La información y los procesos que la apoyan, los sistemas y redes son importantes activos de la organización. Definir, realizar, mantener y mejorar la seguridad de información, pueden ser esenciales para mantener la competitividad, flujo de liquidez, rentabilidad, cumplimiento de la legalidad e imagen comercial. Las organizaciones y sus sistemas de información se enfrentan, cada vez más, con riesgos e inseguridades procedentes de una amplia variedad de fuentes, incluyendo fraudes basados en informática, espionaje, sabotaje, vandalismo, incendios o inundaciones.
Cómo establecer los requisitos de seguridad? 1. La primera fuente procede de la valoración de los riesgos de la organización, tomando en cuenta los objetivos y estrategias generales del negocio. Con ella se identifican las amenazas a los activos, se evalúa la vulnerabilidad y la probabilidad de su ocurrencia y se estima su posible impacto. 2. La segunda fuente es el conjunto de requisitos legales, estatutos, regulaciones y contratos que debería satisfacer la organización, sus socios comerciales, los contratistas y los proveedores de servicios. 3. La tercera fuente está formada por los principios, objetivos y requisitos que forman parte del tratamiento de la información que la organización ha desarrollado para apoyar sus operaciones.
13 ESTÁNDARES DE TI
MCIIEF: El Manual de Control Interno Informático para Entidades Financieras está basado en el COBIT 3.0, promulgado según la Resolución de la Superintendencia de Bancos Nº 188/2002. COBIT: Es un marco de trabajo que sirve como referencia a nivel mundial para el control y gobierno tecnológico. El mismo es mantenido por ISACA y el IT Governance. 14
PCI: Payment Card Industry Data Security Standard, significa Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago. ISO 27000: Es un conjunto de estándares que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización. 15
SOX: La Ley Sarbanes Oxley nace en Estados Unidos con el fin de monitorear a las empresas que cotizan en bolsa de valores, evitando que las acciones de las mismas sean alteradas de manera dudosa, mientras que su valor es menor. Su finalidad es evitar fraudes y riesgo de bancarrota, protegiendo al inverso 16
Nivel de madurez de normativas en entidades financieras Evolución de la madurez y estado de implementación de las normativas relacionadas con TI en Paraguay Las normativas llegaron para quedarse La mayoría de las mismas impactan en el sector de SI Se debe tomarlas como oportunidades 17
18
19
Referencias bibliográficas ISO 27000-2014: Information technology Security techniques Information security management systems Overview and vocabulary. ISO 27001 2013: Tecnología de la información Técnicas de seguridad - Sistemas de gestión de la seguridad de la información Requisitos. ISO 27002-2013: Tecnologías de la información Técnicas de seguridad - Código de prácticas para los controles de seguridad de la información. 20