Especialización en Management Tecnológico 5

Especialización en Management Tecnológico 5
Especialización en Management Tecnológico 5. Gestión de la Seguridad Informática 2010 1

Seguridad de la Información
Indice Introducción Premisas Resumen 2 Seguridad de la Información 2

COBIT Investigar, desarrollar, hacer público y promover un marco de control de gobierno de TI autorizado, actualizado, aceptado internacionalmente para la adopción por parte de las empresas y el uso diario por parte de gerentes de negocio, profesionales de TI y profesionales de aseguramiento. 3 Seguridad de la Información 3

COBIT La efectividad tiene que ver con que la información sea relevante y pertinente a los procesos del negocio, y se proporcione de una manera oportuna, correcta, consistente y utilizable. La eficiencia consiste en que la información sea generada con el óptimo (más productivo y económico) uso de los recursos. La confidencialidad se refiere a la protección de información sensitiva contra revelación no autorizada. La integridad está relacionada con la precisión y completitud de la información, así como con su validez de acuerdo a los valores y expectativas del negocio. 4 Seguridad de la Información 4

COBIT La disponibilidad se refiere a que la información esté disponible cuando sea requerida por los procesos del negocio en cualquier momento. También concierne a la protección de los recursos y las capacidades necesarias asociadas. El cumplimiento tiene que ver con acatar aquellas leyes, reglamentos y acuerdos contractuales a los cuales está sujeto el proceso de negocios, es decir, criterios de negocios impuestos externamente, así como políticas internas. La confiabilidad se refiere a proporcionar la información apropiada para que la gerencia administre la entidad y ejerza sus responsabilidades fiduciarias y de gobierno.. 5 Seguridad de la Información 5

COBIT Definir las Metas de TI y la Arquitectura Empresarial para TI 6 Seguridad de la Información 6

Los cuatro dominios interrelacionados de COBIT
Gestión de los recursos de TI para entregar Metas de TI Los cuatro dominios interrelacionados de COBIT 7 Seguridad de la Información 7

COBIT Planear y Organizar (PO) ¿Están alineadas las estrategias de TI y del negocio? ¿La empresa está alcanzando un uso óptimo de sus recursos? ¿Entienden todas las personas dentro de la organización los objetivos de TI? ¿Se entienden y administran los riesgos de TI? ¿Es apropiada la calidad de los sistemas de TI para las necesidades del negocio? 8 Seguridad de la Información 8

COBIT ADQUIRIR E IMPLEMENTAR (AI) ¿Es probable que los nuevos proyectos generan soluciones que satisfagan las necesidades del negocio? ¿Es probable que los nuevos proyectos sean entregados a tiempo y dentro del presupuesto? ¿Trabajarán adecuadamente los nuevos sistemas una vez sean implementados? ¿Los cambios no afectarán a las operaciones actuales del negocio? 9 Seguridad de la Información 9

COBIT ENTREGAR Y DAR SOPORTE (DS) ¿Se están entregando los servicios de TI de acuerdo con las prioridades del negocio? ¿Están optimizados los costos de TI? ¿Es capaz la fuerza de trabajo de utilizar los sistemas de TI de manera productiva y segura? ¿Están implantadas de forma adecuada la confidencialidad, la integridad y la disponibilidad? 10 Seguridad de la Información 10

COBIT MONITOREAR Y EVALUAR (ME) ¿Se mide el desempeño de TI para detectar los problemas antes de que sea demasiado tarde? ¿La Gerencia garantiza que los controles internos son efectivos y eficientes? ¿Puede vincularse el desempeño de lo que TI ha realizado con las metas del negocio? ¿Se miden y reportan los riesgos, el control, el cumplimiento y el desempeño? 11 Seguridad de la Información 11

COBIT 34 procesos Los procesos requieren controles Controles de Negocio, generales de TI y de aplicación 12 Seguridad de la Información 12

COBIT MODELOS DE MADUREZ 13 Seguridad de la Información 13

COBIT MODELOS DE MADUREZ 14 Seguridad de la Información 14

COBIT Metas - Resultados 15 Seguridad de la Información 15

COBIT Relación Procesos – Metas – Métricas (DS5) 16 Seguridad de la Información 16

COBIT Cubo CobIT 17 Seguridad de la Información 17

COBIT CobIT y áreas de enfoque Gobierno de TI 20 Seguridad de la Información 20

Métricas Métricas de TI / Negocio Cumplimiento de las políticas internas (nivel de cumplimiento de auditorías interna y externa) Disminuir costos (costo planificado vs costo real anual) Cumplimiento con los proyectos es curso (planificado vs desvíos en costo y días) Encuesta de satisfacción del usuario. Métricas de TI (indicador) Productividad del personal (horas trabajadas en proyectos/ horas totales) Respuesta a los requerimientos (incidentes cerrados / incidentes sin resolver - tiempo medio de cierre – satisfacción del usuario) Desvío de planificación sobre desarrollos o modificación a aplicaciones Continuidad (horas sin servicio de aplicaciones, red, Internet) Retención del personal (%) Capacitación (% y horas) 21 Seguridad de la Información 21

¿Qué significa el término Seguridad de la Información? Confidencialidad (se refiere al acceso a la información y a su protección) Integridad (se refiere a impedir que la información resulte inexacta o incompleta) Disponibilidad (se refiere a asegurar que la información esté disponible para atender las necesidades del negocio). Personas Procesos Tecnología 22 Seguridad de la Información 22

¿ Por qué es necesaria la seguridad de la información? Amenazas (fraude asistido por computadora, espionaje, sabotaje, vandalismo, incendio o inundación, ataques mediante virus informáticos, "hacking" y denegación de servicio se han vuelto más comunes, ambiciosos y crecientemente sofisticados). La dependencia de los organismos respecto de los sistemas y servicios de información denota que los mismos son más vulnerables a las amenazas concernientes a seguridad. La interconexión de las redes, la existencia de Internet y el uso compartido de recursos de información incrementa la dificultad de lograr el control de todos los accesos de las personas 23 Seguridad de la Información 23

El esquema de Seguridad de la Información Mitigar los riesgos Proteger los activos informáticos para evitar pérdidas económicas y daño a la reputación de la sociedad y de otros organismos Facilitar las estrategias de la organización, asegurando la confiabilidad, integridad y disponibilidad de la información administrada La alineación estratégica de la Seguridad de la Información Debe permitir a la organización tomar ventaja total de su información para maximizar sus beneficios, capitalizar oportunidades y ganar ventaja competitiva. 24 Seguridad de la Información 24

Administración de riesgos y controles Nivel de riesgo aceptable Inversiones La seguridad y los controles en los sistemas de información ayudan a administrar los riesgos, no los eliminan Control Se define como las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para garantizar razonablemente que los objetivos del negocio o la organización serán alcanzados y que eventos no deseables serán prevenidos o detectados y corregidos. 25 Seguridad de la Información 25

Vulnerabilidades más conocidas y métodos de protección Aplicaciones maliciosas Malware Desbordamiento de búfer Spyware Cookies Troyano Pharming Hijacking Botnet Cross Site Scripting Phishing Spam 26 Seguridad de la Información 26

Vulnerabilidades más conocidas y métodos de protección Herramientas de protección Antivirus Firewall 27 Seguridad de la Información 27

Introducción a los controles y las buenas prácticas de trabajo Identifique requerimientos de seguridad Evaluar los riesgos Impacto potencial de una falla de seguridad en los procesos Probabilidad de ocurrencia Requisitos legales, normativos, reglamentarios y contractuales Principios, objetivos y requisitos para el procesamiento de la información Determinar las prioridades Revisiones periódicas - Cambios 28 Seguridad de la Información 28

Selección de controles Algunos controles no son aplicables a todos los sistemas. Costo de implementación en relación con los riesgos y las pérdidas Factores no monetarios, como el daño en la reputación protección de datos y confidencialidad de la información personal protección de registros y documentos de la organización derechos de propiedad intelectual documentación de la política de seguridad de la información asignación de responsabilidades en materia de seguridad de la información instrucción y entrenamiento en materia de seguridad de la información comunicación de incidentes relativos a la seguridad administración de la continuidad de la organización 29 Seguridad de la Información 29

30 Seguridad de la Información 30

convicciones religiosas, información referente a la salud
Datos Personales ¿Cuales son datos personales? Datos sensibles origen racial y étnico opiniones políticas convicciones religiosas, filosóficas o morales afiliación sindical información referente a la salud vida sexual 31 Seguridad de la Información 31

Contexto global cada día más informatizado
Datos Personales La ley denominada “Habeas Data” indica que tanto el estado, las compañías como los particulares, que utilicen, cedan o transfieran información de personas o entidades, deben cumplir una serie de requisitos determinados. Legislación Derechos que poseen las personas Privacidad Intimidad Administrar los datos de las personas Concientización Contexto global cada día más informatizado 32 Seguridad de la Información 32

Datos Personales : 1- ¿Quién puede acceder a la información? El riesgo consiste en los accesos no autorizados que puedan modificar, copiar, borrar la información. 2- El daño es provocado al propietario de la información y al responsable de la guarda de la misma. 3- La diseminación de la información aumenta al incrementar el nivel de tecnología utilizada. 4- Al aumentar los riesgos, las medidas de protección deben ser más efectivas. 33 Seguridad de la Información 33

Datos Personales Se ceden los datos cuando se los comunica a un tercero. Cesión individual a un tercero – Ej.: En un juicio a una persona, la empresa pasa los datos a un estudio de abogados. Cesión masiva a terceros – Ej.: La información para el pago de sueldos al banco. Interconexiones con otros bancos de datos - Dar informes a terceros a título gratuito (Ej. Encuesta) u oneroso (Veraz) Cesión de datos a Organismos públicos o entes privados para brindar datos a terceros Identificar a la otra entidad. Finalidad de la cesión Marco o pautas del proceso 34 Seguridad de la Información 34

Datos Personales Se denomina transferencia internacional cuando los datos se dirigen a otro país. Se recomienda transferir datos personales sólo a países con protección adecuada. No existen disposiciones formales. Existen acuerdos con la Comunidad Europea, Canadá, Suiza. Las medidas de protección se hacen extensivas a los países donde la información es transmitida. 35 Seguridad de la Información 35

Datos Personales Agenda Personal Periodismo Persona que registra sus contactos personales, esta información le pertenece y es parte de su intimidad y uso personal. No es necesario el registro. Los periodistas poseen acceso a información confidencial. Se reserva el derecho a la identidad propio de la profesión. Se pueden registrar las bases, pero no se encuentran obligados a informar cual información se mantiene respecto de las personas. Leyes de libertad de expresión y periodismo. Empresa Cesión de Datos Empresa con su página de Internet que recibe CV por búsquedas laborales. Los CV son analizados por una consultora en RRHH. Las dos empresas deben registrar la base de CV, la primera porque cede sus datos, la segunda porque se los ceden. Ambos deben proteger la información personal en forma adecuada. En general las empresas poseen tres bases de datos: Empleados Proveedores Clientes Se destaca la importancia de la información de los empleados, ya que la acumulación de la información en el tiempo hace que tenga más valor. 36 Seguridad de la Información 36

Marketing – Menores de edad
Datos Personales Marketing Empresa de medicina prepaga con otras actividades de marketing y comercialización. Contrata empresa de correo privado que procesa e imprime acciones de marketing sobre las personas. Las dos empresas deben registrar sus bases y proteger la información en forma adecuada. La información administrada se considera sensible (grupo familiar, plan médico y gastos asociados). Marketing – Menores de edad Administración de concursos y promociones en Internet (empresa de golosinas) Una compañía es la de golosinas, otra es la administradora de los concursos, otra es la administradora de los programas / aplicaciones, y otra de las computadoras. Todos son responsables por tener acceso a la información personal. Información sensible por tratarse de menores de edad. Multinacional Administración de correos electrónicos y procesamiento de la aplicación de RRHH y sueldos en otro país. La información que se ingresa en Argentina es transferida a un país extranjero. Los procesos de la compañía hacen que el lugar donde se procesa la información sea diferente al de donde se guardan copias de la información para resguardo (otro país). 37 Seguridad de la Información 37

Datos Personales Identificar / Definir / Establecer 1- Responsable 2- Las bases a inscribir, administrar y proteger 3- Verificar el origen / recolección de los datos 4- Procesos para la atención de personas - Acceso - Rectificación / Actualización - Supresión (a menos que la misma pueda perjudicar a terceros o existiera obligación legal de conservar los datos) 5- Datos sensibles con mayores implicancias (menores de edad, terrorismo, narcotráfico, crimen organizado, seguridad nacional, secreto bancario) 38 Seguridad de la Información 38

Datos Personales Identificar / Definir / Establecer 6- Administración de la seguridad - Nivel Básico – datos de carácter personal - Nivel Medio – empresas de servicios públicos y que deban guardar en secreto la información personal - Nivel Crítico – datos de carácter personal sensibles Se exigen medidas para: - Controles de acceso a la información - Administrar la seguridad de los datos y los incidentes - Procedimientos para el resguardo de la información, copia y traslado - Cifrado de la información 39 Seguridad de la Información 39

Datos Personales - Resumen
A los responsables del manejo de la información Comprensión del contexto, nivel de tecnología Motivo para tener información de las personas Obtención de un consentimiento Responsabilidad por la seguridad y ante incidentes Administración formal de los procesos de atención Educación y concientización A las personas Educación para conocer sus derechos y hacerlos respetar Cuidado al brindar información personal Concientización para saber el alcance que su información personal puede tener y los riesgos asociados Responsabilidad al manejar información 40 Seguridad de la Información 40

Delitos informáticos En el año 2006 se desató la polémica sobre la violación de correos electrónicos de varios periodistas y jueces. En el mismo año Diputados aprueba un proyecto de ley. Durante 2007 el proyecto es tratado en el Senado y mejorado El miércoles 4 de junio de 2008, Diputados aprueba la ley. La Ley 26388, reforma del código Penal en materia de delitos informáticos, para que finalmente se contemplen aspectos relacionados con Internet y nuevas tecnologías. En realidad la ley es una reforma al Código Penal, no es una ley de delitos informáticos porque no se crean nuevos delitos sino que se modifican los existentes. 42 Seguridad de la Información 42

Delitos informáticos Nuevos términos (Significación de conceptos empleados en el código) El término “documento” comprende toda representación de actos o hechos, con independencia del soporte utilizado para su fijación, almacenamiento, archivo o transmisión. Los términos “firma” y “suscripción” comprenden la firma digital, la creación de una firma digital o firmar digitalmente. Los términos “instrumento privado” y “certificado” comprenden el documento digital firmado digitalmente. 43 Seguridad de la Información 43

Delitos informáticos Violación de Secretos y de la Privacidad El que abriere o accediere indebidamente a una comunicación electrónica, una carta, un pliego cerrado, un despacho telegráfico, telefónico o de otra naturaleza, que no le esté dirigido; o se apoderare indebidamente de una comunicación electrónica, una carta, un pliego, un despacho u otro papel privado, aunque no esté cerrado; o indebidamente suprimiere o desviare de su destino una correspondencia o una comunicación electrónica que no le esté dirigida. El que indebidamente interceptare o captare comunicaciones electrónicas o telecomunicaciones provenientes de cualquier sistema de carácter privado o de acceso restringido. Se agrava si el autor además comunicare a otro o publicare el contenido de la carta, escrito, despacho o comunicación electrónica. Penas desde 15 días a 1 año. Inhabilitación especial por el doble del tiempo de la condena si es funcionario público en abuso de sus funciones. 44 Seguridad de la Información 44

Delitos informáticos Acceso indebido El que a sabiendas accediere por cualquier medio, sin la debida autorización o excediendo la que posea, a un sistema o dato informático de acceso restringido. Se agrava cuando el acceso fuese en perjuicio de un sistema o dato informático de un organismo público estatal o de un proveedor de servicios públicos o de servicios financieros. Penas de 15 días a 1 año. Delitos contra la integridad sexual en menores de edad en cuanto a la distribución y tenencia con fines de distribución de pornografía infantil. 45 Seguridad de la Información 45

Delitos informáticos Publicación de Correspondencia El que hallándose en posesión de una correspondencia, una comunicación electrónica, un pliego cerrado, un despacho telegráfico, telefónico o de otra naturaleza, no destinados a la publicidad, los hiciere publicar indebidamente, si el hecho causare o pudiere causar perjuicios a terceros. Exento de responsabilidad penal el que hubiere obrado con el propósito inequívoco de proteger un interés público. Penas de $ a $ Información secreta Al funcionario público que revelare hechos, actuaciones, documentos o datos, que por ley deben ser secretos. Penas de 1 mes a 2 años e inhabilitación especial de 1 a 4 años. 46 Seguridad de la Información 46

Delitos informáticos Acceso a Datos Personales A sabiendas e ilegítimamente, o violando sistemas de confidencialidad y seguridad de datos, accediere, de cualquier forma, a un banco de datos personales; Ilegítimamente proporcionare o revelare a otro información registrada en un archivo o en un banco de datos personales cuyo secreto estuviere obligado a preservar por disposición de la ley. Ilegítimamente insertare o hiciere insertar datos en un archivo de datos personales. Penas de 1 mes a 2 años, se agrava si el autor es funcionario público (inhabilitación especial de 1 a 4 años). 47 Seguridad de la Información 47

Delitos informáticos Fraude El que defraudare a otro mediante cualquier técnica de manipulación informática que altere el normal funcionamiento de un sistema informático o la transmisión de datos.” El que alterare, destruyere o inutilizare datos, documentos, programas o sistemas informáticos; o vendiere, distribuyere, hiciere circular o introdujere en un sistema informático, cualquier programa destinado a causar daños. Delitos contra la propiedad - Daños (el que destruyere, inutilizare, hiciere desaparecer o de cualquier modo dañare una cosa mueble, o inmueble, etc.) Ejecutarlo en archivos, registros, … o en datos, documentos, programas o sistemas informáticos públicos; Ejecutarlo en sistemas informáticos destinados a la prestación de servicios de salud, de comunicaciones, de provisión o transporte de energía, de medios de transporte u otro servicio público. 48 Seguridad de la Información 48

Delitos informáticos Seguridad de los medios de transporte y de comunicación - Interrupción de comunicaciones El que interrumpiere o entorpeciere la comunicación telegráfica, telefónica o de otra naturaleza o resistiere violentamente el restablecimiento de la comunicación interrumpida. Penas de 6 meses a 2 años. Violación de documentos - Alteración de Pruebas El que sustrajere, alterare, ocultare, destruyere o inutilizare en todo o en parte objetos destinados a servir de prueba ante la autoridad competente, registros o documentos confiados a la custodia de un funcionario público o de otra persona en el interés del servicio público. Si el hecho se cometiere por imprudencia o negligencia del depositario, éste será reprimido con multa de $ 750 a $ Penas de 1 mes a 4 años. Si el autor fuere el mismo depositario, sufrirá además inhabilitación especial por doble tiempo. 49 Seguridad de la Información 49

Delitos informáticos Caso de análisis 50 Seguridad de la Información 50

Delitos informáticos - Resumen
Principales aspectos contemplados: Delitos contra la privacidad violación de correo electrónico (otras formas de comunicación) acceso ilegítimo a sistemas informáticos y a datos personales Fraude Daño destrucción de datos y sistemas informáticos y distribución de virus daño informático agravado por tratarse de servicios públicos Seguridad de las comunicaciones Violación de documentos 51 Seguridad de la Información 51

Ley del Software LEY DE PROMOCIÓN DE LA INDUSTRIA DEL SOFTWARE LEY ¿Por qué promocionar el software? Mejorar la competitividad de las empresas. Estimular el desarrollo y dinamizar la industria del Software. Incentivar la inversión y fomentar I+D. Promover las Exportaciones de productos de Software Contribuir al incremento del empleo. Mejorar los estándares de calidad de productos y procesos. Consideración de la producción de software como actividad industrial. (Ley ) 53 Seguridad de la Información 53

Ley del Software Calidad Para gozar de los beneficios de la ley las empresas deben contar con: CERTIFICACIÓN DE PROCESOS DE PRODUCCIÓN CMMi IRAM-ISO 9001 /// ISO/IEC 90003 IRAM (CMMi (SEI)) ISO/IEC (IRAM-ISO/IEC 15504) CERTIFICACIÓN DE CALIDAD DE PRODUCTO ISO/IEC 9126 (IRAM-ISO/IEC 9126) 54 Seguridad de la Información 54

Ley del Software ¿QUÉ ES EL FONSOFT? El Fonsoft es el fondo fiduciario que se creó en el 2004, a partir de la sanción de la Ley de Promoción de la Industria del Software (Ley ). El Fondo está sostenido por el presupuesto nacional y financia diferentes actividades a través de convocatorias de créditos y subsidios que serán administrados por la Agencia. 55 Seguridad de la Información 55

Ley del Software ¿QUÉ FINANCIA EL FONSOFT? Proyectos de investigación y desarrollo relacionados a las actividades comprendidas en el régimen de promoción (creación, diseño, desarrollo, producción e implementación y puesta a punto de los sistemas de software). Programas de nivel terciario o superior para la capacitación de recursos humanos. Programas para la mejora en la calidad de los procesos de creación, diseño, desarrollo y producción de software. Programas de asistencia para la constitución de nuevos emprendimientos. 56 Seguridad de la Información 56

Ley del Software Entre 2007 y 2008, la Agencia Nacional de Promoción Científica y Tecnológica aprobó, a través de los instrumentos implementados por el FONSOFT, 317 proyectos por un monto total de $25,2 millones 57 Seguridad de la Información 57

Licenciamiento del SW Licencia: Contrato entre entre dos partes donde se establece una serie de términos y condiciones de uso. Los términos y condiciones de una licencia de SW pueden afectar: Las libertades de Uso del SW. La libertad de modificar el SW. La libertad de Copiar y Redistribuir SW. Costo. Usar un programa sin su respectiva licencia es ILEGAL. 59 Seguridad de la Información 59

Licenciamiento del SW SW Libre Vs SW Propietario Las Cuatro libertades del Software Libre: Libertad utilizar el programa con cualquier fin. Libertad para modificar y estudiar el programa Libertad para copiar y redistribir el programa a la comunidad de usuarios Libertad para mejorar el programa y hacer públicas esas mejoras para beneficio de la comunidad de usuarios. 60 Seguridad de la Información 60

Licenciamiento del SW SW Libre Vs SW Propietario
Tiene algún costo para los usuarios el SW Libre ? El 99 % del SW libre no tiene costo alguno Como se Distribuye el SW Libre ? Principalmente se lo distribuye a través de internet Licencia de SW Propietario más común CLUFs: Contrato de Licencia para Usuario Final o EULAs: End User License Agreement Licencia de SW Libre más común Free Software License o GPL (General Public Licence) 61 Seguridad de la Información 61

Licenciamiento del SW 62 Seguridad de la Información 62

Especialización en Management Tecnológico 5

Presentaciones similares

Presentación del tema: "Especialización en Management Tecnológico 5"— Transcripción de la presentación:

Presentaciones similares

Sobre el proyecto

Feedback

Iniciar la sesión

Autorizarse a través de una red social:

Especialización en Management Tecnológico 5

Presentaciones similares

Presentación del tema: "Especialización en Management Tecnológico 5"— Transcripción de la presentación:

Presentaciones similares

Sobre el proyecto

Feedback