Seguridad de la Información Lima Peru Enero 2008
Seguridad de Información
¿Fuentes de Peligro?
¿Cual es el problema ? Nuestra información podria ser accesada muy fácilmente. Acceso Universal … Existe un estimado de 304 millones de personas con acceso a Internet Los 304 millones pueden comunicarse con Ud. a través de su computadora Cualquiera de esos 304 millones puede tocar la puerta de su computadora para ver si esta puerta esta CERRADA
¿Como esto nos afecta?… Una computadora comprometida provee acceso a todas sus cuentas, passwords y golpes de tecla. La información de cuentas, passwords y golpes de tecla pueden ser usada para accesar otros recursos: y documentos confidenciales Robo de su Identidad Uso Criminal de las computadoras
Algunos datos 11:22 | EL GUSANO SE LLAMA “ZAFI.D” Un nuevo virus se esconde en tarjetas navideñas
Algunos hechos
Usuarios Conocedores
Robos de Equipos
Captura de PC desde el exterior Violación de s Violación de contraseñas Interrupción de los servicios Intercepción y modificación de s Virus Fraudes informáticos Incumplimiento de leyes y regulaciones Robo o extravío de notebooks empleados deshonestos Robo de información Destrucción de soportes documentales Acceso clandestino a redes Intercepción de comunicaciones Destrucción de equipamiento Programas “bomba” Acceso indebido a documentos impresos Software ilegal Agujeros de seguridad de redes conectadas Falsificación de información para terceros Indisponibilidad de información clave Spamming Violación de la privacidad de los empleados Ingeniería social Principales riesgos Propiedad de la Información Mails “anónimos” con información crítica o con agresiones
Password cracking Man in the middleExploits Denegación de servicio Escalamiento de privilegios Replay attack Keylogging Port scanning Instalaciones default Puertos vulnerables abiertos Servicios de log inexistentes o que no son chequeados Desactualización Backups inexistentes Últimos parches no instalados Principales riesgos
La seguridad de información se logra implementando un conjunto adecuado de controles, que abarca: –Políticas –Practicas –Procedimientos –Estructuras organizacionales –Funciones del software Se deben establecer estos controles para garantizar que se logren los objetivos específicos de seguridad de la organización, alineados a los objetivos del negocio ¿Cómo se logra la seguridad de información?
Cuestionario 1.¿Conoce usted cuanto se perdería si la información confidencial que usted administra resulta en manos de alguien no autorizado? 2.¿Conoce usted cuál es la información de mayor criticidad que usted maneja y que pasa, si la misma fuera alterada? 3.¿Del proceso más importante de su gestión, cual es el máximo tiempo permitido para que dicho proceso esté fuera de servicio? 4.La contraseña que usted utiliza, ¿la considera robusta? 5.¿Cree Ud. que el correo electrónico pueda afectar la seguridad de su información?
Cuestionario 6.¿Cree Ud. que desde Internet puedan extraer información de su PC?
Proteger la Información Contenida
Repercusión de las infracciones de seguridad Pérdidas fisicas Deterioro de la confianza del publico Perjuicio de la reputación Pérdida o compromiso de seguridad de los datos Interrupción de los procesos empresariales Deterioro de la confianza dentro de la organizacion Consecuencias legales
Si TENGO que hacer algo con relacion a la SEGURIDAD, porque no lo hago teniendo en cuenta las Normas Internacionales aplicables
Elegimos la más aceptada a nivel mundial Norma ISO Gestión de Seguridad
1. Política de Seguridad 2. Organización de Seguridad 3. Administración de Activos 4. Seguridad de los Recursos Humanos 5. Seguridad Física y Ambiental 6. Gestión de Comunicaciones y Operaciones 7. Sistema de Control de Accesos 8. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información 9. Administración de Incidentes de Seguridad de la Información 10. Plan de Continuidad del Negocio 11.Cumplimiento Norma ISO17799 (versión 2005)