La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

SEGURIDAD DE LA INFORMACION Ing. Esp. CISSP: Jorge Mario Rodriguez F. ASESOR DE PRESIDENCIA.

Presentaciones similares


Presentación del tema: "SEGURIDAD DE LA INFORMACION Ing. Esp. CISSP: Jorge Mario Rodriguez F. ASESOR DE PRESIDENCIA."— Transcripción de la presentación:

1 SEGURIDAD DE LA INFORMACION Ing. Esp. CISSP: Jorge Mario Rodriguez F. ASESOR DE PRESIDENCIA

2 TEMAS 1. Introducción a la Seguridad de la Información. 2. Que es la Ingeniería Social y como Protegernos. 3. Como se roban los Hackers las contraseñas 4. Como proteger la contraseña (Demostración)

3 CONTROL A LINEAS DE CREDITO Introduccion 2.2. Casos Porque el ICETEX somos todos protejamos la información Integridad Disponibilidad Confidencialidad Prevenir Interrupciones en la prestación del servicio y productividad Prevenir Modificación NO autorizada en los Sistemas de Información Prevenir Acceso NO autorizado a la Información Sensitiva de La Entidad QUÉ ES SEGURIDAD DE LA INFORMACIÓN ?

4 POR QUE ES NECESARIA LA S.I ? VALOR DE LA INFORMACION El valor de la información es tan alto para las compañías que debe ser protegida a través de la administración de la seguridad de la información contra una amplia gama de amenazas y vulnerabilidades que permita asegurar la continuidad del negocio, reducir al mínimo el posible daño al negocio y maximizar el retorno de inversión y oportunidades de negocio. AMENAZAS Las amenazas pueden provenir de diferentes fuentes, como son humanas, Con personas maliciosas externas o internas y no Maliciosas (empleados ignorantes), desastres naturales (terremotos, inundaciones, incendios), fallas de equipos, errores de software, etc.

5 RESPONSABLES DE LA INFORMACION Proteger la información no solo es responsabilidad de quienes tienen la función de administrar un sistema, el correo electrónico, el Firewall o de realizar los respaldos de información de una base de datos, sino de todos aquellos que tienen algún tipo de contacto con la información de una compañía. Por ejemplo, es responsabilidad de cada usuario proteger la clave de acceso a los sistemas, o no divulgar información confidencial de una compañía, ya sea hablado o escrito en un correo electrónico. GESTION DE LA SEGURIDAD La seguridad de la información es un proceso de gestión y no un proceso tecnológico, por ello es responsabilidad de los gerentes del negocio generar políticas ad-hoc que deben ser ejecutadas, controladas y auditadas como cualquier otro proceso de gestión de la compañía. QUIENES SON LOS RESPONSABLES ?

6 El ICETEX depende de su tecnología. El ICETEX no se pueden presentar fallas tecnológicas. Con la transformación del instituto se deben reducir los riesgos de la información. El uso irresponsable del Internet genera riegos a la información de la entidad. Porque el ICETEX somos todos protejamos la información POR QUÉ ES IMPORTANTE ?

7 Porque el ICETEX somos todos protejamos la información * Contraseñas * Uso de Correo Electrónico * Protección de Virus * Piratería de Software * Cifrados de Archivos * Backup de Información TEMAS DE ESPECIAL ATENCIÓN * Información Consistente * Reducción de Riegos Jurídicos y Financieros.

8 COMITÉ DE SEGURIDAD DE LA INFORMACION -APROBADO POR RESOLUCION 0466 del 16 de mayo de INTEGRANTES : - Secretaria General - Asesor para la Seguridad de la Informacion - Jefe de Control interno - Vicepresidente de Credito y cobranza - Coorinador de proyecto Acces - Vicepresidente de Informatica - Jefe de planeacion - Asesor de Procesos y procedimientos - Especialista en Telecomunicaciones del area de Informatica

9 COMITÉ DE SEGURIDAD DE LA INFORMACION FUNCIONES 1. Revisar y proponer a la máxima autoridad del organismo para su aprobación, la Política y las responsabilidades generales en materia de seguridad de la información. 2. Aprobar las principales iniciativas para incrementar la seguridad de la información. 3. Acordar y aprobar metodologías y procesos específicos relativos a la seguridad de la información. 4. Evaluar la implementación de controles específicos de seguridad de la información para nuevos sistemas o servicios. 5. Promover la difusión y apoyo, a la seguridad de la información dentro del Organismo. 6. Aprobar los planes contingencia y continuidad de negocio necesarios para mitigar el riesgo de las operaciones frente a interrupciones imprevistas.

10

11 ACCESO A LA INFORMACION PROTECCION DE LA INFORMACION CONTINGENCIA Y CONTINUIDAD SEGURIDAD FISICA ADMINISTRACION DE LA SEGURIDAD GESTION DE SOFTWARE Y APLICATIVOS ACUERDO CONFIDENCIALIDAD FIN DE ACCESO CLASIFICACION DE LA INFORMACION NORMA DE CREACION DE USUARIOS NORMA DE RESTRICCIONES A LOS USUARIOS NORMA DE DOCUMENTOS CONFIDENCIALES PROCEDIMIENTO DE CREACION DE USUARIOS INTERNOS PROCEDIMIENTO DE DESACTIVACION DE USUARIOS PROCEDIMIENTO DE CREACION DE USUARIOS EXTERNOS PROCEDIMIENTO DE CLASIFICACION DE LA INFORMACION ACCESO Y AUTORIZACION ESTANDAR WIN 98 ESTANDAR WIN XP RESPONSABILIDAD BACKUP CENTRAL Y DE AREAS PROTECCION COMUNICACIONES AUDITORIA SEGURIDAD PORTATILES SEGURIDAD C.C SEGURIDAD PC Y PARTES ENCRIPCION Y FIRMA DIGITAL GRUPO ATENCION DE INCIDENTES COMITÉ DE CONTINGENCIA RETORNO A LA OPERACIÓN NORMAL ENCARGADO DE LA SEG. CAMBIOS EN APLICATIVOS CONTROLES DUALES ESTANDAR DE USUARIOS INTERACCION CON TERRCEROS PROCEDIMIENTO DE CUSTODIA DE CONTRASEÑAS PROCEDIMIENTO DE CAMBIOS EN APLICATIVOS PROPIEDAD INTELECTUAL Y PIRATERIA PROCEDMIEINTO DE BACKUP SERVIDORES PROCEDIMIENTO DE BACKUP USUARIOS PROCEDIMIENTO DE PROTECCION ARCH. PLANO MANUAL DE BACKUP MANUAL DE USO DE FIRMA D. RESTRIICCION DE ACCESO A PRODUCCION PROCEDIMIENTO DE INGRESO DE PORTATILES NORMA DEL GRUPO DE ATENCION A INCIDENTES NORMA DE SEGURIDAD FISICA PROCEDIMIENTO RETIRO DE E INGRESO DE EQUIPOS Y PARTES PROCEDIMIENTO DE CONEXIÓN CON TERCEROS NORMA DE CONTINGENCIA PROCEDIMIENTO DE CONTINGENCIA PROCEDIMIENTO DE ATENCION DE INCIDENTES NORMA DE ENCARGADO DE LA SEGURIDAD NORMA DE PROTECCION COMUNICACIONES NORMA DE INTERACCION CON TERCEROS PROCEDIMIENTO DE PRUEBAS PROCEDIMIENTO DE VERIFICACION DE DATOS ANTI-MALWARE MANUAL DE ANTIVIRUS PROCEDIMIENTO DE RETORNO A LA OPERACIÓN NORMAL NORMA DE ELEMENTOS A SERAUDITADOS ACCESO AL EDIFICIO PROCEDIMIENTO DE INGRESO DE PERSONAS

12 CODIGO DE ETICA

13 NORMAS DE SEGURIDAD

14 ITEMS 1.Toda la información confidencial de que se tenga conocimiento o se genere con motivo de la relación laboral con el ICETEX forma parte del patrimonio de éste. 2. Utilizar toda la información a la que se tiene acceso con respecto al ICETEX con estricta confidencialidad. Se devolverá cualquier documentación, publicación material o antecedente sustentado en cualquier tipo de soporte que constituya una información confidencial o secreta, en el acto de terminación de la relación laboral con el Instituto en razón de cualquier circunstancia. 3. Proteger de acuerdo con los estándares de seguridad y confidencialidad cualquier información que los beneficiarios, ahorradores o constituyentes de fondos compartan con el ICETEX.

15 4. No compartir la contraseña, el usuario y/o clave de acceso a los servicios informáticos del Instituto, toda vez que puede conducir a la suspensión del mismo, y generar responsabilidades por las acciones que otras personas hagan con las claves y usuarios; sin perjuicio de las demás sanciones disciplinarias a que haya lugar. 5. No explorar vulnerabilidades o deficiencias en la seguridad de los sistemas de información para dañar sistemas o información, para obtener recursos mayores a los que han sido autorizados, para tomar recursos de otros usuarios, o para tener acceso a otros sistemas a los cuales no se nos ha otorgado una autorización apropiada.

16 6. No utilizar el correo electrónico dispuesto por el ICETEX, para fines diferentes a aquel para el cual fue asignado, o que contravengan las políticas o directrices establecidas sobre el uso del mismo. 7. Velar por la seguridad de la información que se ha tenido acceso, por lo que se debe cumplir con todas las disposiciones sobre el manejo de claves, niveles de acceso y conductas establecidas por el Instituto al respecto. 8. No copiar, distribuir o transferir electrónicamente o por cualquier otro medio, archivos, programas, o manuales de propiedad del ICETEX.

17 9. No utilizar los servicios informáticos del ICETEX, ya sean bases de datos, sistemas operacionales, redes, sistemas de información y comunicaciones, para tareas inoficiosas, ilegales, obscenas, utilizar juegos de computador, bajar información masiva que no tiene que ver con las funciones asignadas; congestionar intencionadamente los servicios informáticos, violar los derechos de propiedad intelectual y derechos de autor, obtener lucro, utilizar ilegalmente software, tratar de acceder forzosamente a otras redes, utilizar cuentas de correo no asignadas, entrar a paginas de Internet de contenido pornográfico y violar la privacidad de la información de la entidad.

18 10. Reportar a la oficina de Informática cualquier virus detectado en los computadores, para lo cual lo desconectaran inmediatamente de la red y solo será puesto en servicio de nuevo hasta que la oficina de informática verifique que todos los virus sean eliminado. 11. Cuando se realicen inscripciones y transacciones comerciales en Internet en el lugar de trabajo ser conciente de que dicho tipo de actuaciones no compromete en forma alguna los recursos económicos del ICETEX, ni implica responsabilidad por parte del instituto.

19 12. No revelar hechos, datos o circunstancias de los que se tenga conocimiento, en el ejercicio del cargo, a menos que lo autorice el interesado. Lo anterior salvo las informaciones que obligatoriamente se tengan que preparar o emitir en el cumplimiento de los reglamentos internos o externos o cuando lo solicite una autoridad competente. 13. Limitar la recolección y el uso de la información de los beneficiarios, ahorradores o constituyentes de fondos al mínimo requerido para brindarles de esta manera un servicio superior, el cual incluye aconsejar a los usuarios acerca de los productos, servicios y otras oportunidades que se desprendan de las operaciones.

20 14. Autorizar a la Presidencia o en quien se delegue la función para revisar y extraer en cualquier momento la información contenida en los equipos de cómputo y correo electrónico institucional con el fin de adelantar investigaciones sobre cualquier posible incidente que se pueda presentar. 15. Solamente serán autorizados para tener acceso a la información correspondiente, los servidores públicos del ICETEX, quienes están entrenados en el manejo apropiado de la información de los beneficiarios, ahorradores o constituyentes de fondos. En caso de que no se este autorizado y se violen las norma de manejo de la información, se someterán al proceso disciplinario normal aplicable a tal falta.

21 16. Mantener los archivos de los beneficiarios, ahorradores o constituyentes de fondos completos, actualizados y exactos. Se les indicara cómo y dónde tener acceso a la información de sus cuentas de una manera conveniente (excepto cuando la ley lo prohíba), y cómo notificar al Instituto acerca de errores los cuales serán corregidos con prontitud. 17. No comentar información confidencial relacionada con las operaciones del ICETEX o de sus beneficiarios, ahorradores o constituyentes de fondos, con personal ajeno a este, incluyendo amigos y/o parientes. 18. Al trasmitirse la información del ICETEX, se debe utilizar medios de comunicación que cuenten con los sistemas de seguridad requeridos.

22 19. El deber de confidencialidad se mantendrá dentro de todo el tiempo en el que se este vinculado laboralmente con el ICETEX y durante un (1) año mas, contado a partir de la fecha de terminación del contrato. Por lo anterior, se será responsables por todos los perjuicios que se deriven de las actuaciones o conducta para con el Instituto, como consecuencia del incumplimiento del deber de confidencialidad, quedando el ICETEX facultado para perseguir la indemnización de los perjuicios que le sean ocasionados. 20. Por ningún motivo se podrá revelar a terceros, ni a miembros no autorizados del Instituto la nómina de la entidad, sus salarios ni información relacionada con el tema por ser ésta información privada.

23 21. La correspondencia dirigida a nombre de otros, o los documentos definidos como confidenciales en forma expresa, deben ser leídos o manipulados única y exclusivamente por el personal autorizado. Por lo que se debe procurar no revelar dicha información. 22. En caso de que algún servidor público del ICETEX sea dueños de inversiones o tenga aportes de capital en sociedades comerciales o tenga actuaciones profesionales generadoras de ingresos adicionales, debe informar de manera inmediata y por escrito a la Presidencia del ICETEX esta situación.

24 23. Abstenerse de divulgar en el sitio de trabajo, en compromisos sociales, en lugares públicos y en general a terceros, información que pueda afectar directa o indirectamente los intereses del Instituto, de los directivos, servidores públicos, beneficiarios, ahorradores o constituyentes de fondos o de terceros para evitar la posibilidad que surjan conflictos de interés. 24. Está prohibido realizar operaciones por cuenta propia o por interpuesta persona buscando obtener beneficio propio o de un tercero. 25. Procurar no realizar negocios civiles o mercantiles con nuestros compañeros de trabajo que pueden llevar a posteriores debates que interferirán en nuestro rol laboral.

25 26. Cuando el ICETEX contrata con otras organizaciones para proveer servicio de soporte, se les exigirá el sometimiento a los estándares de manejo de información, permitiendo al Instituto auditarlas para verificar su cumplimiento.

26 CUIDADO DE LOS EQUIPOS DE CÓMPUTO

27 Los funcionarios del ICETEX, se comprometen a: 1.No ingerir alimentos cerca de los computadores personales 2. No fumar cerca de los computadores personales 3. Mantener una adecuada protección contra fluctuaciones de voltaje. 4. No utilizar las tomas eléctricas para otros dispositivos que no sean los dispuestos por el Instituto. 5. No insertar objetos extraños en las ranuras de los equipos

28 6. No realizar actividades de mantenimiento de hardware. 7. Conservar los equipos en adecuadas condiciones ambientales. 8. Apagar los equipos cuando no estén en uso

29 AMENAZAS MAS COMUNES

30 INGENIERIA SOCIAL Intentos, exitosos o no, de influenciar a una persona(s) a revelar información, o de actuar de manera que resulte en acceso no autorizado, uso no autorizado o divulgación no autorizada, a un sistema de información, red o datos.

31 ¿Quiénes la usan? Hackers Espías Ladrones o timadores Detectives privados

32 I.S. PORQUE ES TAN EFECTIVA ? El campo de la Seguridad de la Información está enfocado principalmente en seguridad Técnica. Casi no se presta atención a la interacción máquina-persona La Seguridad de la Informacion es tan fuerte como el eslabón más débil – Las personas son el eslabón mas débil. Por que gastar tanto tiempo atacando la tecnología si una persona te puede dar acceso?

33 I.S. PORQUE ES TAN EFECTIVA ? Naturaleza Humana – Útil – Que confía – Inocente Tres fases: – Fase 1: Recopilación de inteligencia – Fase 2: Selección de la víctima – Fase 3: El Ataque

34 ANATOMIA DE UN ATAQUE Fase 1: Recopilación de Inteligencia – Fuentes de información primaria Basureros Páginas Web Ex-empleados Contratistas Vendedores Socios estratégicos

35 ANATOMIA DE UN ATAQUE Fase 2: Selección de la víctima – Se busca por debilidades en el personal de la organización Help Desk Soporte Técnico Recepción Soporte Administrativo Etc.

36 ANATOMIA DE UN ATAQUE Fase 3: El Ataque – Basado en rutas periféricas de persuasión: Autoridad Similitud Reciprocidad

37 EJEMPLOS DE INGENIERIA SOCIAL El caso MOTOROLA El caso Bancario

38 COMO EVITAR LA I.S. Todos los empleados deben tener una actitud hacia la seguridad y cuestionar las cosas. Necesitan reconocer los trucos Se deben tener procedimientos de respuesta a incidentes y equipos que mitiguen el daño si ocurre un ataque Se debe notificar a los involucrados Probar cuan listos estamos periódicamente La mejor defensa: Educación combinada con tecnología

39 SNIFFING ROBO DE CONTRASEÑAS

40 COMO ELEGIR UNA CLAVE Clave Insegura jorge Clave Mas segura jorGe#$qw23 Clave Super Segura: Cuandohacefriomedamuchapereza

41 Gracias…


Descargar ppt "SEGURIDAD DE LA INFORMACION Ing. Esp. CISSP: Jorge Mario Rodriguez F. ASESOR DE PRESIDENCIA."

Presentaciones similares


Anuncios Google