La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

SEGURIDAD DE LA INFORMACION Ing. Esp. CISSP: Jorge Mario Rodriguez F.

Publicada porEmiliano Orellana Modificado hace 10 años

Presentaciones similares

Presentación del tema: "SEGURIDAD DE LA INFORMACION Ing. Esp. CISSP: Jorge Mario Rodriguez F."— Transcripción de la presentación:

1 SEGURIDAD DE LA INFORMACION Ing. Esp. CISSP: Jorge Mario Rodriguez F.
ASESOR DE PRESIDENCIA

2 TEMAS Introducción a la Seguridad de la Información.
Que es la Ingeniería Social y como Protegernos. 3. Como se roban los Hackers las contraseñas 4. Como proteger la contraseña (Demostración)

3 QUÉ ES SEGURIDAD DE LA INFORMACIÓN ?
CONTROL A LINEAS DE CREDITO. 1. Introduccion 2. Casos Prevenir Acceso NO autorizado a la Información Sensitiva de La Entidad Integridad Disponibilidad Confidencialidad Prevenir Modificación NO autorizada en los Sistemas de Información Prevenir Interrupciones en la prestación del servicio y productividad Porque el ICETEX somos todos protejamos la información

4 POR QUE ES NECESARIA LA S.I ?
VALOR DE LA INFORMACION El valor de la información es tan alto para las compañías que debe ser protegida a través de la administración de la seguridad de la información contra una amplia gama de amenazas y vulnerabilidades que permita asegurar la continuidad del negocio, reducir al mínimo el posible daño al negocio y maximizar el retorno de inversión y oportunidades de negocio . AMENAZAS Las amenazas pueden provenir de diferentes fuentes, como son humanas, Con personas maliciosas externas o internas y no Maliciosas (empleados ignorantes), desastres naturales (terremotos, inundaciones, incendios), fallas de equipos, errores de software, etc.

5 QUIENES SON LOS RESPONSABLES ?
RESPONSABLES DE LA INFORMACION Proteger la información no solo es responsabilidad de quienes tienen la función de administrar un sistema, el correo electrónico, el Firewall o de realizar los respaldos de información de una base de datos, sino de todos aquellos que tienen algún tipo de contacto con la información de una compañía. Por ejemplo, es responsabilidad de cada usuario proteger la clave de acceso a los sistemas, o no divulgar información confidencial de una compañía, ya sea hablado o escrito en un correo electrónico. GESTION DE LA SEGURIDAD La seguridad de la información es un proceso de gestión y no un proceso tecnológico, por ello es responsabilidad de los gerentes del negocio generar políticas ad-hoc que deben ser ejecutadas, controladas y auditadas como cualquier otro proceso de gestión de la compañía.

6 Porque el ICETEX somos todos protejamos la información
POR QUÉ ES IMPORTANTE ? El ICETEX depende de su tecnología. El ICETEX no se pueden presentar fallas tecnológicas. Con la transformación del instituto se deben reducir los riesgos de la información. El uso irresponsable del Internet genera riegos a la información de la entidad. Porque el ICETEX somos todos protejamos la información

7 Porque el ICETEX somos todos protejamos la información
TEMAS DE ESPECIAL ATENCIÓN * Contraseñas * Cifrados de Archivos * Uso de Correo Electrónico * Backup de Información * Protección de Virus * Información Consistente * Piratería de Software * Reducción de Riegos Jurídicos y Financieros. Porque el ICETEX somos todos protejamos la información

8 COMITÉ DE SEGURIDAD DE LA INFORMACION
APROBADO POR RESOLUCION 0466 del 16 de mayo de 2006 INTEGRANTES : - Secretaria General - Asesor para la Seguridad de la Informacion - Jefe de Control interno - Vicepresidente de Credito y cobranza - Coorinador de proyecto Acces - Vicepresidente de Informatica - Jefe de planeacion - Asesor de Procesos y procedimientos - Especialista en Telecomunicaciones del area de Informatica

9 COMITÉ DE SEGURIDAD DE LA INFORMACION
FUNCIONES  1. Revisar y proponer a la máxima autoridad del organismo para su aprobación, la Política y las responsabilidades generales en materia de seguridad de la información. 2. Aprobar las principales iniciativas para incrementar la seguridad de la información. 3. Acordar y aprobar metodologías y procesos específicos relativos a la seguridad de la información. 4. Evaluar la implementación de controles específicos de seguridad de la información para nuevos sistemas o servicios. 5. Promover la difusión y apoyo, a la seguridad de la información dentro del Organismo. 6. Aprobar los planes contingencia y continuidad de negocio necesarios para mitigar el riesgo de las operaciones frente a interrupciones imprevistas.

10

11 NORMA DE RESTRICCIONES
ACCESO A LA INFORMACION PROTECCION DE LA INFORMACION CONTINGENCIA Y CONTINUIDAD SEGURIDAD FISICA ADMINISTRACION DE LA SEGURIDAD GESTION DE SOFTWARE Y APLICATIVOS COMITÉ DE CONTINGENCIA GRUPO ATENCION DE INCIDENTES ACCESO Y AUTORIZACION RESPONSABILIDAD SEGURIDAD PORTATILES CAMBIOS EN APLICATIVOS BACKUP CENTRAL Y DE AREAS RETORNO A LA OPERACIÓN NORMAL ACUERDO CONFIDENCIALIDAD SEGURIDAD C.C ENCARGADO DE LA SEG. CONTROLES DUALES PROTECCION COMUNICACIONES FIN DE ACCESO SEGURIDAD PC Y PARTES PROPIEDAD INTELECTUAL Y PIRATERIA ENCRIPCION Y FIRMA DIGITAL AUDITORIA INTERACCION CON TERRCEROS ACCESO AL EDIFICIO CLASIFICACION DE LA INFORMACION NORMA DEL GRUPO DE ATENCION A INCIDENTES RESTRIICCION DE ACCESO A PRODUCCION ANTI-MALWARE NORMA DE CREACION DE USUARIOS NORMA DE PROTECCION COMUNICACIONES NORMA DE CONTINGENCIA NORMA DE SEGURIDAD FISICA NORMA DE ENCARGADO DE LA SEGURIDAD NORMA DE ELEMENTOS A SERAUDITADOS NORMA DE RESTRICCIONES A LOS USUARIOS NORMA DE INTERACCION CON TERCEROS NORMA DE DOCUMENTOS CONFIDENCIALES PROCEDIMIENTO DE CUSTODIA DE CONTRASEÑAS PROCEDIMIENTO DE CREACION DE USUARIOS INTERNOS PROCEDIMIENTO DE INGRESO DE PORTATILES PROCEDIMIENTO DE CAMBIOS EN APLICATIVOS PROCEDIMIENTO DE ATENCION DE INCIDENTES PROCEDMIEINTO DE BACKUP SERVIDORES PROCEDIMIENTO DE CONTINGENCIA PROCEDIMIENTO DE CREACION DE USUARIOS EXTERNOS PROCEDIMIENTO RETIRO DE E INGRESO DE EQUIPOS Y PARTES PROCEDIMIENTO DE BACKUP USUARIOS PROCEDIMIENTO DE RETORNO A LA OPERACIÓN NORMAL PROCEDIMIENTO DE PRUEBAS PROCEDIMIENTO DE DESACTIVACION DE USUARIOS PROCEDIMIENTO DE CONEXIÓN CON TERCEROS PROCEDIMIENTO DE INGRESO DE PERSONAS PROCEDIMIENTO DE VERIFICACION DE DATOS PROCEDIMIENTO DE CLASIFICACION DE LA INFORMACION PROCEDIMIENTO DE PROTECCION ARCH. PLANO ESTANDAR WIN 98 MANUAL DE BACKUP ESTANDAR WIN XP MANUAL DE USO DE FIRMA D. ESTANDAR DE USUARIOS MANUAL DE ANTIVIRUS

12 CODIGO DE ETICA

13 NORMAS DE SEGURIDAD

14 ITEMS Toda la información confidencial de que se tenga conocimiento o se genere con motivo de la relación laboral con el ICETEX forma parte del patrimonio de éste. 2. Utilizar toda la información a la que se tiene acceso con respecto al ICETEX con estricta confidencialidad. Se devolverá cualquier documentación, publicación material o antecedente sustentado en cualquier tipo de soporte que constituya una información confidencial o secreta, en el acto de terminación de la relación laboral con el Instituto en razón de cualquier circunstancia. 3. Proteger de acuerdo con los estándares de seguridad y confidencialidad cualquier información que los beneficiarios, ahorradores o constituyentes de fondos compartan con el ICETEX.

15 4. No compartir la contraseña, el usuario y/o clave de acceso a los servicios informáticos del Instituto, toda vez que puede conducir a la suspensión del mismo, y generar responsabilidades por las acciones que otras personas hagan con las claves y usuarios; sin perjuicio de las demás sanciones disciplinarias a que haya lugar. 5. No explorar vulnerabilidades o deficiencias en la seguridad de los sistemas de información para dañar sistemas o información, para obtener recursos mayores a los que han sido autorizados, para tomar recursos de otros usuarios, o para tener acceso a otros sistemas a los cuales no se nos ha otorgado una autorización apropiada.

16 6. No utilizar el correo electrónico dispuesto por el ICETEX, para fines diferentes a aquel para el cual fue asignado, o que contravengan las políticas o directrices establecidas sobre el uso del mismo. 7. Velar por la seguridad de la información que se ha tenido acceso, por lo que se debe cumplir con todas las disposiciones sobre el manejo de claves, niveles de acceso y conductas establecidas por el Instituto al respecto. 8. No copiar, distribuir o transferir electrónicamente o por cualquier otro medio, archivos, programas, o manuales de propiedad del ICETEX.

17 9. No utilizar los servicios informáticos del ICETEX, ya sean bases de datos, sistemas operacionales, redes, sistemas de información y comunicaciones, para tareas inoficiosas, ilegales, obscenas, utilizar juegos de computador, bajar información masiva que no tiene que ver con las funciones asignadas; congestionar intencionadamente los servicios informáticos, violar los derechos de propiedad intelectual y derechos de autor, obtener lucro, utilizar ilegalmente software, tratar de acceder forzosamente a otras redes, utilizar cuentas de correo no asignadas, entrar a paginas de Internet de contenido pornográfico y violar la privacidad de la información de la entidad.

18 10. Reportar a la oficina de Informática cualquier virus detectado en los computadores, para lo cual lo desconectaran inmediatamente de la red y solo será puesto en servicio de nuevo hasta que la oficina de informática verifique que todos los virus sean eliminado. 11. Cuando se realicen inscripciones y transacciones comerciales en Internet en el lugar de trabajo ser conciente de que dicho tipo de actuaciones no compromete en forma alguna los recursos económicos del ICETEX, ni implica responsabilidad por parte del instituto.

19 12. No revelar hechos, datos o circunstancias de los que se tenga conocimiento, en el ejercicio del cargo, a menos que lo autorice el interesado. Lo anterior salvo las informaciones que obligatoriamente se tengan que preparar o emitir en el cumplimiento de los reglamentos internos o externos o cuando lo solicite una autoridad competente. 13. Limitar la recolección y el uso de la información de los beneficiarios, ahorradores o constituyentes de fondos al mínimo requerido para brindarles de esta manera un servicio superior, el cual incluye aconsejar a los usuarios acerca de los productos, servicios y otras oportunidades que se desprendan de las operaciones.

20 14. Autorizar a la Presidencia o en quien se delegue la función para revisar y extraer en cualquier momento la información contenida en los equipos de cómputo y correo electrónico institucional con el fin de adelantar investigaciones sobre cualquier posible incidente que se pueda presentar. 15. Solamente serán autorizados para tener acceso a la información correspondiente, los servidores públicos del ICETEX, quienes están entrenados en el manejo apropiado de la información de los beneficiarios, ahorradores o constituyentes de fondos. En caso de que no se este autorizado y se violen las norma de manejo de la información, se someterán al proceso disciplinario normal aplicable a tal falta.

21 16. Mantener los archivos de los beneficiarios, ahorradores o constituyentes de fondos completos, actualizados y exactos. Se les indicara cómo y dónde tener acceso a la información de sus cuentas de una manera conveniente (excepto cuando la ley lo prohíba), y cómo notificar al Instituto acerca de errores los cuales serán corregidos con prontitud. 17. No comentar información confidencial relacionada con las operaciones del ICETEX o de sus beneficiarios, ahorradores o constituyentes de fondos, con personal ajeno a este, incluyendo amigos y/o parientes. 18. Al trasmitirse la información del ICETEX, se debe utilizar medios de comunicación que cuenten con los sistemas de seguridad requeridos.

22 19. El deber de confidencialidad se mantendrá dentro de todo el tiempo en el que se este vinculado laboralmente con el ICETEX y durante un (1) año mas, contado a partir de la fecha de terminación del contrato. Por lo anterior, se será responsables por todos los perjuicios que se deriven de las actuaciones o conducta para con el Instituto, como consecuencia del incumplimiento del deber de confidencialidad, quedando el ICETEX facultado para perseguir la indemnización de los perjuicios que le sean ocasionados. 20. Por ningún motivo se podrá revelar a terceros, ni a miembros no autorizados del Instituto la nómina de la entidad, sus salarios ni información relacionada con el tema por ser ésta información privada.

23 21. La correspondencia dirigida a nombre de otros, o los documentos definidos como confidenciales en forma expresa, deben ser leídos o manipulados única y exclusivamente por el personal autorizado. Por lo que se debe procurar no revelar dicha información. 22. En caso de que algún servidor público del ICETEX sea dueños de inversiones o tenga aportes de capital en sociedades comerciales o tenga actuaciones profesionales generadoras de ingresos adicionales, debe informar de manera inmediata y por escrito a la Presidencia del ICETEX esta situación.

24 23. Abstenerse de divulgar en el sitio de trabajo, en compromisos sociales, en lugares públicos y en general a terceros, información que pueda afectar directa o indirectamente los intereses del Instituto, de los directivos, servidores públicos, beneficiarios, ahorradores o constituyentes de fondos o de terceros para evitar la posibilidad que surjan conflictos de interés. 24. Está prohibido realizar operaciones por cuenta propia o por interpuesta persona buscando obtener beneficio propio o de un tercero. 25. Procurar no realizar negocios civiles o mercantiles con nuestros compañeros de trabajo que pueden llevar a posteriores debates que interferirán en nuestro rol laboral.

25 26. Cuando el ICETEX contrata con otras organizaciones para proveer servicio de soporte, se les exigirá el sometimiento a los estándares de manejo de información, permitiendo al Instituto auditarlas para verificar su cumplimiento.

26 CUIDADO DE LOS EQUIPOS DE CÓMPUTO

27 Los funcionarios del ICETEX, se comprometen a:
No ingerir alimentos cerca de los computadores personales 2. No fumar cerca de los computadores personales 3. Mantener una adecuada protección contra fluctuaciones de voltaje. 4. No utilizar las tomas eléctricas para otros dispositivos que no sean los dispuestos por el Instituto. 5. No insertar objetos extraños en las ranuras de los equipos

28 6. No realizar actividades de mantenimiento de hardware.
7. Conservar los equipos en adecuadas condiciones ambientales. 8. Apagar los equipos cuando no estén en uso

29 AMENAZAS MAS COMUNES

30 INGENIERIA SOCIAL “Intentos, exitosos o no, de influenciar a una
persona(s) a revelar información, o de actuar de manera que resulte en acceso no autorizado, uso no autorizado o divulgación no autorizada, a un sistema de información, red o datos.”

31 ¿Quiénes la usan? Hackers Espías Ladrones o timadores
Detectives privados

32 I.S. PORQUE ES TAN EFECTIVA ?
El campo de la Seguridad de la Información está enfocado principalmente en seguridad Técnica. ● Casi no se presta atención a la interacción máquina-persona ● La Seguridad de la Informacion es tan fuerte como el eslabón más débil – Las personas son el eslabón mas débil. ● Por que gastar tanto tiempo atacando la tecnología si una persona te puede dar acceso?

33 I.S. PORQUE ES TAN EFECTIVA ?
Naturaleza Humana – Útil – Que confía – Inocente Tres fases: – Fase 1: Recopilación de inteligencia – Fase 2: Selección de la “víctima” – Fase 3: El Ataque

34 ANATOMIA DE UN ATAQUE Fase 1: Recopilación de Inteligencia
– Fuentes de información primaria ● Basureros ● Páginas Web ● Ex-empleados ● Contratistas ● Vendedores ● Socios estratégicos

35 ANATOMIA DE UN ATAQUE Fase 2: Selección de la “víctima”
– Se busca por debilidades en el personal de la organización ● Help Desk ● Soporte Técnico ● Recepción ● Soporte Administrativo ● Etc.

36 ANATOMIA DE UN ATAQUE Fase 3: El Ataque
– Basado en rutas periféricas de persuasión: ● Autoridad ● Similitud ● Reciprocidad

37 EJEMPLOS DE INGENIERIA SOCIAL
El caso MOTOROLA El caso Bancario

38 COMO EVITAR LA I.S. Todos los empleados deben tener una
actitud hacia la seguridad y cuestionar las cosas. ● Necesitan reconocer los “trucos” ● Se deben tener procedimientos de respuesta a incidentes y equipos que mitiguen el daño si ocurre un ataque ● Se debe notificar a los involucrados ● Probar cuan listos estamos periódicamente La mejor defensa: Educación combinada con tecnología

39 ROBO DE CONTRASEÑAS SNIFFING

40 COMO ELEGIR UNA CLAVE Clave Insegura  jorge
Clave Mas segura  jorGe#$qw23 Clave Super Segura: Cuandohacefriomedamuchapereza

41 Gracias…

Descargar ppt "SEGURIDAD DE LA INFORMACION Ing. Esp. CISSP: Jorge Mario Rodriguez F."

Presentaciones similares

CÓDIGO DE CONDUCTA DE LOS SERVIDORES PÚBLICOS DEL IMSS

CÓDIGO DE CONDUCTA DE LOS SERVIDORES PÚBLICOS DEL IMSS
Desarrollo de Soluciones para la Continuidad Operativa* Agosto 2005 *connectedthinking.

Desarrollo de Soluciones para la Continuidad Operativa* Agosto 2005 *connectedthinking.
Intranets P. Reyes / Octubre 2004.

Intranets P. Reyes / Octubre 2004.
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
2 Principios de Protección al Cliente Principio # 6 en Práctica Dos componentes de la protección de los datos de los clientes Retroalimentación de los.

2 Principios de Protección al Cliente Principio # 6 en Práctica Dos componentes de la protección de los datos de los clientes Retroalimentación de los.
Aspectos Organizativos para la Seguridad

Aspectos Organizativos para la Seguridad
Reglamento/Estatuto de la Estadística Andina Secretaría General de la Comunidad Andina.

Reglamento/Estatuto de la Estadística Andina Secretaría General de la Comunidad Andina.
Auditoria de Sistemas de Gestión

Auditoria de Sistemas de Gestión
PROPIEDAD DEL CLIENTE.

PROPIEDAD DEL CLIENTE.
Administración de la seguridad Software y hardware, redes y seguridad: Administración de la seguridad.

Administración de la seguridad Software y hardware, redes y seguridad: Administración de la seguridad.
1 ESTRATEGIA DE IMPLEMENTACION DE MEDIDAS DE GOBIERNO DE LAS TECNOLOGIAS DE LA INFORMACION La Antigua, Guatemala 23 de Septiembre de 2008.

1 ESTRATEGIA DE IMPLEMENTACION DE MEDIDAS DE GOBIERNO DE LAS TECNOLOGIAS DE LA INFORMACION La Antigua, Guatemala 23 de Septiembre de 2008.
Universidad Tecnológica OTEIMA

Universidad Tecnológica OTEIMA
Contabilidad FINANCIERA

Contabilidad FINANCIERA
CÓDIGO DE ÉTICA CORPORATIVO ,,, PRIVACIDAD

CÓDIGO DE ÉTICA CORPORATIVO ,,, PRIVACIDAD
CONCEPTOS DE CONTROL EN LOS SISTEMAS COMPUTARIZADOS

CONCEPTOS DE CONTROL EN LOS SISTEMAS COMPUTARIZADOS
Segunda Jornada Nacional de Seguridad Informática ACIS 2002

Segunda Jornada Nacional de Seguridad Informática ACIS 2002
Auditoria Informática Unidad II

Auditoria Informática Unidad II
Universidad de Buenos Aires Facultad de Ciencias Económicas

Universidad de Buenos Aires Facultad de Ciencias Económicas
Enrique Cardenas Parga

Enrique Cardenas Parga
REQUISITOS DE ÉTICA RELEVANTES

REQUISITOS DE ÉTICA RELEVANTES

Presentaciones similares

Anuncios Google