PROTECCIÓN DE LOS SISTEMAS DE INFORMACIÓN: DISEÑAR UNA ESTRUCTURA ORGANIZACIONAL PARA LA SEGURIDAD Y EL CONTROL CONOCER HERRAMIENTAS Y TECNOLOGÍAS PARA PROTEGER LOS RECURSOS DE LA INFORMACIÓN Maria Alejandra Masclef Facultad de Ciencias Económicas Universidad Nacional de Tucumán

SECUENCIA DE LA CLASE Conceptos de Seguridad y Control Conceptos de Estructura Organizacional Diseño de la Estructura Organizacional (Norma ISO 17799) Herramientas y Tecnologías a partir de la clasificación utilizada en la Norma ISO 17799. Conclusión Bibliografía

OBJETIVOS Resignificar el valor de la información en relación con la seguridad y el control Diseñar una estructura organizacional que responda a los requerimientos de la seguridad y el control Conocer algunas herramientas y tecnologías más importantes para proteger los recursos de información.

Información es un Recurso Otros Recursos de la Organización VALOR

¿ Qué es la Seguridad de la Información? ISO 17799 ES LA PRESERVACIÓN DE LAS SIGUENTES CARACTERÍSTICAS Confidencialidad: garantiza que la información sea accesible sólo a aquellas personas autorizadas Integridad: salvaguarda la exactitud y totalidad de la información y los métodos de procesamiento. Disponibilidad: garantiza que los usuarios autorizados tengan acceso a la información y a los recursos relacionados toda vez que se requiera

¿Por qué es necesaria la seguridad? Confidencialidad Disponibilidad Integridad Mantener una ventaja competitiva Mantener el flujo de fondos Mantener la rentabilidad Cumplir con disposiciones legales Imagen Corporativa

¿Por qué es necesaria la seguridad? Los sistemas de información están expuestos a: AMENAZA: Una persona o cosa vista como posible fuente de peligro o catástrofe VULNERABILIDAD: Situación producida por la falta de uno o varios controles, que de suceder afectaría el entorno informático. RIESGO: Probabilidad de que una amenaza llegue a concretarse por la existencia de una vulnerabilidad. EXPOSICIÓN O IMPACTO: La evaluación del efecto del riesgo.

Evaluación de riesgos Acciones Administración EVITARLOS TRANSFERIRLOS REDUCIRLOS ASUMIRLOS Proceso de Identificación, control, minimización o eliminación a un costo aceptable, de los riesgos de seguridad que podrían afectar a los sistemas de información

Desarrollo de una estructura de control COSTOS: Los controles no deben ser costosos de implementar, ni su uso complicado BENEFICIOS: Reducir errores costosos, pérdidas de tiempo, recursos o clientes Evaluación de riesgos: Determinación de la posible frecuencia de ocurrencia de un problema y del daño que ocasionaría

Desarrollo de una estructura de control Valor de los Activos de Información. Puntos de vulnerabilidad. Evaluación de riesgos: Determinación de la posible frecuencia de ocurrencia de un problema y del daño que ocasionaría Daño Potencial. Frecuencia Probable.

Seguridad de la Información - CONTROL Implementación de un conjunto de medidas que abarcan Políticas Métodos Procedimientos Estructuras Organizacionales Funciones del Software

Estructura Organizacional Definición Se refiere a la forma en que se dividen, agrupan y coordinan las actividades de la organización en cuanto a las relaciones entre: Gerentes - Empleados Gerentes - Gerentes Empleados – Empleados Stoner,J

Estructura Organizacional Infraestructura de seguridad de la información Gerente de Seguridad Informática Ventas y marketing Manufactura Finanzas Contabilidad Recursos Humanos Sistemas Asesoramiento Responsable de: Desarrollo Implementación Soporte Responsabilidad Promover Planificar Controlar FORO GERENCIAL SOBRE SEGURIDAD DE LA INFORMACION Cooperación FORO INTERFUNCIONAL AUDITORIA

AUDITORIA EXAMINAR EL ENTORNO DE SEGURIDAD Y TODOS LOS CONTROLES DE LOS SISTEMAS DE INFORMACION + EVALUAR SU EFICACIA

AUDITORIA PRUEBAS: realizadas con regularidad y en fases tempranas contribuye a la calidad del sistema. AUDITORIA DE SEGURIDAD: revisar tecnologías, procedimientos, documentación, capacitación y personal. AUDITORIA DE CALIDAD DE DATOS: Estudio de archivos para verificar que los datos del sistema sean correctos y completos

PROTECCIÓN DE LOS SISTEMAS DE INFORMACIÓN: CONOCER HERRAMIENTAS Y TECNOLOGÍAS PARA PROTEGER LOS RECURSOS DE LA INFORMACIÓN Marco conceptual Norma ISO 17.799 Código de práctica para la administración de la seguridad de la información

Herramientas y Tecnologías - Metodologías ITEM (ISO 17799) ACCION de PROTECCIÓN SEGURIDAD DEL PERSONAL Acuerdos de confidencialidad Los empleados deben firmar acuerdos de confidencialidad y no divulgación. Dan un marco de reserva de la información. Deben firmarse antes a acceder a las instalaciones Se deben revisar ante cambios en condiciones de empleo/desvinculación Se debe establecer la responsabilidad por la Seguridad de la Información

Herramientas y Tecnologías - Metodologías ITEM (ISO 17799) ACCION de PROTECCIÓN SEGURIDAD FISICA Y AMBIENTAL Políticas de escritorios y pantallas limpias / Retiro de bienes Impedir el riesgo de robo o daño de las instalaciones y la información Escritorios limpios: proteger documentos y dispositivos removibles Pantalla limpia: evita accesos no autorizados, husmeo, daño, robo de inf. Los documentos y medios magnéticos deben ponerse a resguardo. Las computadoras, impresoras, etc. no deben quedar desatendidas. Todo hardware, software, medios, etc. solo se retiran con autorización El reingreso de los mismos también debe ser informado

Herramientas y Tecnologías - Metodologías ITEM (ISO 17799) ACCION de PROTECCIÓN GESTION DE COMUNICACIONES Y OPERACIONES Controles contra software malicioso Proteger la integridad del software y la información Controles para detección de software malicioso / Conciencia del usuario Propiciar el uso de software con licencia Prohibir el uso de software no autorizado en la organización. (Estandarización) Concientización de uso de software antivirus. Educación al usuario respecto de verificación de adjuntos en el correo, descarga de programas, etc. y potenciales riesgos.

Herramientas y Tecnologías - Metodologías ITEM (ISO 17799) ACCION de PROTECCIÓN CONTROL DE ACCESOS Uso de contraseñas Impedir el acceso de usuarios no autorizados Generar buenas prácticas de selección y uso de contraseñas. Mantener contraseñas en secreto. No dejarla en lugares visibles Cambiarla en caso de duda de su divulgación Seleccionar contraseñas fáciles de recordar y difíciles de descubrir Cambio con regularidad No compartir la contraseña

Herramientas y Tecnologías - Metodologías ITEM (ISO 17799) ACCION de PROTECCIÓN DESARROLLO Y MANTENMIENTO DE SISTEMAS Criptografía Proteger la confidencialidad, autenticidad, o integridad de la Información Debe determinase la información susceptible de ser protegida. Seleccionar la solución criptográfica apropiada Evaluar el control criptográfico adecuado Diseñarse una política sobre su uso: maximizar beneficios/ minimizar Riesgos Establecer procesos de recuperación en caso de perdida o daño. Debe haber una solución acorde a cada proceso de negocio.

Herramientas y Tecnologías - Metodologías ITEM (ISO 17799) ACCION de PROTECCIÓN ADMINISTRACIÓN DE LA CONTINUIDAD Plan de continuidad de los negocios Permitir mantener o restablecer las operaciones de los negocios. Establecer responsabilidades y procedimientos de emergencia. Procedimientos de emergencia para permitir la recuperación en plazo. Instrucción al personal. Prueba y actualización de los planes periódicamente. El plan debe enfocarse en los objetivos del negocio. Se deben considerar sitios alternativos de procesamiento de información.

Herramientas y Tecnologías - Metodologías ITEM (ISO 17799) ACCION de PROTECCIÓN CUMPLIMIENTO Prevención del uso inadecuado de recursos Los recursos se usan para el propósito del negocio El uso indebido debe ser monitoreado e informado Los usuarios deben ser informados del uso permitido El usuarios debe ser advertidos de todo acceso no autorizado

CONCLUSIONES El nivel Gerencial debe establecer una política de Seguridad clara y mostrar apoyo y compromiso. Es necesario comprender y concientizar, que el diseño de una Estructura Organizacional de seguridad y control, es una tarea que abarca y compromete a todos los niveles de la organización. Es importante hacer revisiones periódicas de riesgos y de controles: Revisar cambios de requerimientos y prioridades Considerar nuevas amenazas y vulnerabilidades Corroborar que los controles sigan siendo eficaces

Material bibliográfico: Auditoria de Tecnologías y Sistemas de información. Piattini Velthuis, M del Peso Navarro, E; Del Peso Ruiz ,M. 1ª Edición. 2008. Alfa omega. Méjico. Sistemas de Información Gerencial, Keneth C. Laudon y Jane P. Laudon , 10ª Edición, 2008. Peason Prentice Hall, Méjico. Norma ISO 17799 Revista Information Technology – Tecnología para Ejecutivos:

Maria Alejandra Masclef alema@webmail.unt.edu.ar Facultad de Ciencias Económicas Universidad Nacional de Tucumán