La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Diego Andrés Zuluaga Urrea

Publicada porEduarda Gallegos Modificado hace 10 años

Presentaciones similares

Presentación del tema: "Diego Andrés Zuluaga Urrea"— Transcripción de la presentación:

1 Diego Andrés Zuluaga Urrea
Dimensiones técnicas y humanas para la implantación del modelo de seguridad para activos de información en ISAGEN E.S.P. Diego Andrés Zuluaga Urrea Junio de 2005

2 AGENDA Tecnología Procedimientos Trabajadores Contexto
Consideraciones En Isagen Modelo de Seguridad en Información Tecnología Procedimientos Trabajadores

3 HACKERS: ¿REALIDAD O FICCION?

4 Algunas Cifras (CSI/FBI 2002)
90% de encuestados detectó violaciones a sus sistemas de seguridad 80 % identificaron pérdidas financieras 44 % pudieron cuantificarlas, US$ 455´ Robo de Información propietaria, US$ 170´827,000 Fraude Financiero US$ 115´753,000 74 % detectaron accesos a sus sistemas de información desde sitios externos

5 Algunas Cifras (CSI 2001) Las Organizaciones que quieran sobrevivir en los años siguientes, necesitan desarrollar un enfoque consistente en la seguridad de información que incluya las dimensiones técnicas y humanas. CSI, Computer Crime & Security Survey 2001

6 CONSIDERACIONES EN ISAGEN

7 FLUJO DE INFORMACIÓN

8 SOPORTE AL FLUJO DE INFORMACIÓN
PDI Link Down for Two Weeks Poor Administration Lincoln Mercury pstn and Physical Use of Industry Deale rship Security of Servers Standard Equipment ILUSTRATIVO T1 3 Com Switch 1000 Inconsistent Use of 1 S1 Legal and Reserved Existing Cisco IP Addresses ISDN Dial-on- Demand Ch 23&24 Ch 1&2 D1 D2 D1 D1 D2 D1 128Kbps T1 128Kbps T1 NI NI NI NI TI TI TI TI 9200 Creative Use of Existing Bandwidth 600 Serramonte 700 Serramonte 1500 Collins

9 PAPEL TRANSFORMADOR DE LA TÉCNOLOGÍA
Tiempo Valor DP MIS IT 60’s 70’s 80’s 90’s 2000 Habilitador Transformación Organización Integrador de Procesos Procesamiento de Transacciones Procesamiento de Datos Alineamiento Estratégico Metas y Objetivos Empresariales

10 El valor de la información………….
Analizar y responder: Negocio Mercado Grupos de Interés Por qué? Para qué? Cómo? Potenciar: Toma de decisiones Productividad Integración y relaciones Activos intangibles Información Valor de la anticipación

11 Estrategia de Información
Gestionar la información como un activo de la Empresa para que los Grupos de Interés tomen decisiones más informadas, con mayor velocidad y con una sola versión de la información, desde cualquier lugar y en cualquier momento.

12 TRANSFORMACIÓN DEL E-BUSINESS
Maduración del E-Business HIGH eBusiness eGovernance Relaciones 1:1 eBusiness Maturity Transacciones por Web Servicio al cliente en Web Presencia en Web Integración Interna Integración con la cadena de valor Comunidad de negocios Riesgo LOW HIGH Change to Business Model

13 ACTIVO DE INFORMACION

14 RIESGOS Posibles críticas del clientes debido a controles
inadecuados en la privacidad Pérdida de negocios debido a interrupción del servicio Modelo de Negocio Robo de información propietaria debido a accesos no autorizados Daño a la reputación debido a compromisos en la integridad de los datos Pérdidas Financieras por fraudes

15 Amenazas Sofisticación de las Herramientas
Falsificación de paquetes Alto Diagnóstico no detectable Back Doors Sweepers Sofisticación de las Herramientas Sniffers Explotando Vulnerabilidades Conocidas Hijacking de Sesiones Deshabilitando Auditoría Autoreplicación de Código Conocimiento Técnico Requerido Cracking de Passwords Password Guessing Bajo 1980 1990 2000

16 EL MODELO DE SEGURIDAD EN INFORMACIÓN

17 DESARROLLO A ESCALA HUMANA
COMPETENCIAS - IPP -Valores - Clima Organizacional - Trabajo en equipo Pentágono humano DESARROLLO A ESCALA HUMANA MODELO DE PRODUCTIVIDAD APRENDIZAJE - Conocimientos - Comportamientos CAPACIDADES EMPRESARIALES TRABAJADOR TRABAJO COMPETITIVIDAD PRODUCTIVIDAD - Modelo de productividad - Conexión estrategia - proceso DESARROLLO PROFESIONAL - Compensación - Desempeño Conocimientos Planes de carrera AMBIENTE DE TRABAJO - Calidad - Procesos - Normatividad - Información Decisiones SISTEMA DEL TRABAJO

18 CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD
ACTIVOS DE INFORMACION CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD TRABAJADORES PROCEDIMIENTOS TECNOLOGÍA CRITERIOS EMPRESARIALES - ISO 17799 MODELO DE SEGURIDAD EN INFORMACIÓN

19 SEGURIDAD EN INFORMACIÓN:
MODELO DE SEGURIDAD EN INFORMACIÓN SEGURIDAD EN INFORMACIÓN: Preservación de la confidencialidad, integridad y disponibilidad de la información.

20 MODELO DE SEGURIDAD EN INFORMACIÓN
DISPONIBILIDAD: Asegurar que los usuarios autorizados tengan acceso a la información y sus recursos asociados cuando se requiera CONFIDENCIALIDAD: Asegurar que la información es accesible sólo para quienes están autorizados. INTEGRIDAD:Salvaguardar la exactitud y completitud de la información y sus métodos de procesamiento.

21 EL PLAN DE ACCIÓN

22 DESARROLLO DE LA SEGURIDAD EN INFORMACIÓN
MODELO DE SEGURIDAD EN INFORMACIÓN DOCUMENTOS PARA LA GESTIÓN DE SEGURIDAD HERRAMIENTAS TECNOLOGICAS APLICACIÓN DEL MODELO DESARROLLO DE HABITOS DE SEGURIDAD MEJORAMIENTO CONTINUO ANÁLISIS DE NECESIDADES DE SEGURIDAD DESPLIEGUE INSTRUMENTACIÓN DESTREZAS Modelo De Seguridad Maduro IDENTIFICACIÓN 2004 >>>

23 RESULTADOS DEL DIAGNÓSTICO Análisis del Modelo de SI

24 LOS RESULTADOS

25 CLASIFICACIÓN DE LA INFORMACIÓN EN ISAGEN
DE INFORMACIÓN A ACTIVO DE INFORMACIÓN Se establece explícitamente la necesidad de administrar la información como un activo dentro de la estrategia empresarial y se fijan metas a cinco años para lograrlo. ACTIVOS DE INFORMACIÓN

26 CLASIFICACIÓN DE LA INFORMACIÓN EN ISAGEN
ACTIVOS DE INFORMACIÓN

27 MODELO DE SEGURIDAD EN INFORMACIÓN
DIRECTRICES Se han establecido de directrices en el tema de seguridad en información, de acuerdo con la política de Información y el estándar ISO 17799 PROCEDIMIENTOS Se han establecido procedimientos generales y específicos para garantizar el mantenimiento y flujo de la información en forma segura. ESTANDARES Se han establecido estándares para la configuración de los ambientes que soportan el flujo de información en ISAGEN.

28 de Redes y Computadores
PROCEDIMIENTOS Seguridad Física Mantenimiento y desarrollo de sistemas Organización de seguridad Plan de Continuidad del negocio Clasificación control de activos ISO 17799 AREAS DE DESARROLLO Cumplimiento de políticas y normatividad legal Seguridad con personal Sistemas de Control de Acceso Administración de Redes y Computadores

29 MODELO DE SEGURIDAD EN INFORMACIÓN
INCORPORACION TECNOLOGICA Se implantan elementos de seguridad en cada una de las incorporaciones de tecnología realizadas. Se hacen nuevas incorporaciones de herramientas que facilitan o mejoran la seguridad en la gestión de la Información. CONFIGURACIONES DE SEGURIDAD Se realizan configuraciones adicionales de seguridad a la tecnología que soporta la información.

30 Arquitectura de Seguridad
Monitoreo continuo Gestión segura Directorios encriptados Correo seguro Navegación controlada Autenticación fuerte Entidad certificadora Autenticación centralizada Hardening de dispositivos Filtros de acceso de nivel 3, 4, 5 Filtrado de acceso por direcciones MAC VLANs para procesos críticos

31 Modelo OSI Aplicación: Se utilizarán Aplicaciones que envíen datos encriptados a través de la red; Se emplearán mecanismos de autenticación centralizados para las aplicaciones; Se utilizarán sistemas de control de acceso con contraseñas de una sola vez para las autorizaciones de SAP por parte de los directivos y para el acceso vía RAS a la compañía; Se firmaran y encriptarán los correos electrónicos que se empleen dentro de la organización; Se mantendrán directorio encriptados para los portátiles e información sensible para la compañía. Se verifica la seguridad con herramientas de escaneo automático de vulnerabilidades Presentación: Al nivel de presentación se utilizan todos los mecanismos estándar de presentación como el ASCII, GIF, JPEG, los cuales podrán ser analizados con firmas detectadas en los IDS. Sesión: se utilizarán banderas de estado que permitan identificar las sesiones establecidas y su origen, para autorizar el establecimiento de las mismas Transporte: Se cerrarán todos los puertos que no sean necesarios para el correcto desempeño de la red de la organización, para ello, se usaran listas de control de acceso. Red: se utilizarán sólo protocolos de enrutamiento que provean seguridad adicional como EIGRP. Se verifica el trafico de red con filtros de dirección origen y destino y Sistemas de Detección de Intrusos Enlace: se establecerán las direcciones MAC Autorizadas para conectarse a la red. Físico: Los puntos de red que no estén siendo empleados por personal de la organización se mantienen deshabilitados en todo momento. Cuando sean requeridos, debe habilitarse previa verificación y autorización, se realiza segmentación del trafico a través de .VLANs para procesos críticos de gestión

32 Filtro Especifico de VLAN y Servidores
Firewall Internet - RAS Filtro Generico Filtro Especifico de VLAN y Servidores FIltro Zona Desmilitarizada -DMZ Autenticación SERVICIO AUTORIZADO Hardening de dispositivos MONITOREO CONTINUO: IDS

33 MODELO DE SEGURIDAD EN INFORMACIÓN
ORGANIZACIÓN PARA LA SEGURIDAD Se establece una organización que facilita el desarrollo de la seguridad en Información. Se habilitará a los responsables de la seguridad en información. COMPROMISO CON LA SEGURIDAD: Se mejoran los hábitos de seguridad de acuerdo con las necesidades empresariales.

34 MODELO DE SEGURIDAD EN INFORMACIÓN
Propietario de la Información Custodio de Control Compromiso con la Seguridad Funciones Cotidianas

35 DESARROLLO DE HÁBITOS DE SEGURIDAD
     ANTECEDENTES PROYECTO DESARROLLO DE HÁBITOS DE SEGURIDAD Artificios Comportamientos Normas Valores Creencias

36 El manejo de Involucrados se refiere a:
¿Necesitamos acompañamiento? La dinámica de la resistencia Energía de la resistencias Tiempo Inmovilización Enojo Negación Entendimiento Cuestionamiento Aceptación Compromiso El manejo de Involucrados se refiere a: Administrar la curva emocional -

37 DESARROLLO DE HÁBITOS DE SEGURIDAD
PROYECTO      METODOLOGÍA DESARROLLO DE HÁBITOS DE SEGURIDAD 1. Diagnóstico y diseño del plan de cambio 2. Ejecución del plan de cambio 2.1 Patrocinio Identificar mecanismos de medición del impacto del cambio Realizar el mapa de roles Identificar los roles y responsabilidades del grupo (patrocinadores y tutores de apoyo logístico) Establecer el programa de trabajo Aplicar y analizar los mecanismos definidos 2.2 Sensibilización Facilitar la creación y apropiación de la cultura de seguridad Divulgar y facilitar el entendimiento del modelo de seguridad de información Aplicar un plan asertivo de administración de cambio 2.3 Comunicación Identificar públicos Definir objetivos Analizar y definir medios Elaborar plan comunicaciones Desarrollar mensajes Retroalimentar 3. Monitoreo y seguimiento del cambio Conformar equipos Monitorear avances Identificar riesgos e impactos Definir nuevas acciones Implantar acciones complementarias

38 Manifestación de Cultura
Formadores de Cultura PLAN DE CAMBIO Arraigo en la Cultura Manifestación de Cultura Acciones de los líderes Medidas de desempeño Prácticas de la gente Impactos de la Cultura Valores Símbolos Creencias Normas Resultados Comportamientos Decisiones Desempeño del negocio

39 PLAN DE CAMBIO Articulación con Sistema de Administración del Desempeño SISTEMA DE ADMINISTRACIÓN DEL DESEMPEÑO Conocimientos Comportamientos Seguridad de la información Descriptores de K Descriptores de Cto.

40 Estrategia de comunicación y sensibilización
PLAN DE CAMBIO Estrategia de comunicación y sensibilización COMUNIDAD COMUNICACIÓN Y SENSIBILIZACIÓN Trabajadores Medellín, Centrales, Regionales Reconocer incidentes. Divulgar procedimientos para reporte de incidentes de seguridad. Comunicar incidentes a las personas responsables en Seguridad. Comunicar las consecuencias por incumplimiento de la política de SI. Comunicar la importancia de la protección de información sensible en documentos a la vista.   Divulgar el documento sobre el Uso de Recursos Informáticos. Recordar que las actividades de los trabajadores en sus equipos pueden ser monitoreadas.  Sensibilizar sobre Ingeniería Social: cómo detectar y frustrar ataques. Trabajadores nuevos Incluir en la inducción de la compañía información sobre el tema de Seguridad (modelo y proyecto de SI) Equipo de Auditoria Informar incidentes de seguridad. Personal con equipos portátiles Informar sobre las medidas de seguridad que conciernen a ese tipo de equipos.

41

42

43 PLAN DE CAMBIO Ruta de Aprendizaje
Competencia inconciente Competencia conciente Incompetencia conciente C1 C2 C3 C4 C5 C6 C7 Cn Incompetencia Inconciente Desarrollo C1 C2 C3 C4 C5 C6 Cn C1 C2 C3 C4 C5 Cn C1 C2 C3 C4 Cn Tiempo C= Comportamientos

44 RESULTADOS DEL DIAGNÓSTICO Análisis del Modelo de SI

45 EL FUTURO

46 Ciclo de Control de Riesgos
identificación Evaluación de Riesgos Control

47 Monitoreo Centralizado

48 GRACIAS Especialmente a ISAGEN por permitir compartir su modelo y a DinamicSoft y KPMG por permitir incluir algunas diapositivas en esta presentación para la V Jornada Nacional de Seguridad Informática. Las opiniones presentadas en ésta presentación son responsabilidad del autor y no expresan necesariamente las opiniones de ISAGEN.

49 Preguntas y Comentarios

50

Descargar ppt "Diego Andrés Zuluaga Urrea"

Presentaciones similares

GOBIERNO DE IT. QUÉ ES EN REALIDAD?

GOBIERNO DE IT. QUÉ ES EN REALIDAD?
Intranets P. Reyes / Octubre 2004.

Intranets P. Reyes / Octubre 2004.
5º de Pedagogía Evaluación de Centros, Programas y Profesores (T6) Alumna: Sandra Valiente García.

5º de Pedagogía Evaluación de Centros, Programas y Profesores (T6) Alumna: Sandra Valiente García.
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.

C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
SEGURIDAD EN REDES DE DATOS

SEGURIDAD EN REDES DE DATOS
Control Interno Informático. Concepto

Control Interno Informático. Concepto
Diagnóstico de la Organización de la Calidad PDVSA

Diagnóstico de la Organización de la Calidad PDVSA
CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000

CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000
TEMA 4.- SISTEMAS DE GESTIÓN MEDIOAMBIENTAL (I): ANTECEDENTES

TEMA 4.- SISTEMAS DE GESTIÓN MEDIOAMBIENTAL (I): ANTECEDENTES
Hugo PuigGestión de Personas - ULA 1 Cómo llevar a cabo una gestión estratégica de los recursos humanos ( las personas)

Hugo PuigGestión de Personas - ULA 1 Cómo llevar a cabo una gestión estratégica de los recursos humanos ( las personas)
CENTRO DE LA TECNOLOGIA DEL DISEÑO Y LA PRODUCTIVIDAD EMPRESARIAL

CENTRO DE LA TECNOLOGIA DEL DISEÑO Y LA PRODUCTIVIDAD EMPRESARIAL
Segunda Jornada Nacional de Seguridad Informática ACIS 2002

Segunda Jornada Nacional de Seguridad Informática ACIS 2002
Manuel H. Santander Peláez GIAC Certified Forensic Analyst

Manuel H. Santander Peláez GIAC Certified Forensic Analyst
Administración de redes

Administración de redes
Medición, Análisis y Mejora

Medición, Análisis y Mejora
Auditoria Informática Unidad II

Auditoria Informática Unidad II
Estrategia TI Entendimiento estratégico

Estrategia TI Entendimiento estratégico
La Administración de Riesgos como Herramienta del Gobierno Corporativo

La Administración de Riesgos como Herramienta del Gobierno Corporativo
XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.

XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.

Presentaciones similares

Anuncios Google