seguridad de la información
Económicas
Sistemas de Información
Seguridad de la Información
Copyright © 2011 Accenture All Rights Reserved.
UBA – Sistemas de Información
Information Security:
una definición
“Asegurar que sólo individuos autorizados obtienen acceso a las
aplicaciones e información asociada, de acuerdo con una política
definida, de forma que la responsabilidadindividual esté asegurada”.
‘The Standard for Information Security’- ISF
How to Let the Good Guys In
… and Manage What They May Do
Identity and Access Management - Gartner Group
Copyright © 2011 Accenture All Rights Reserved.
Information Security:
una definición
Es asociar personas con aplicaciones!
El administrador de seguridad
Establece la validez de un requerimiento…
… y devuelveuna decisión sobre si otorgar o denegar acceso en función de
los Principios Básicos de la Información
Copyright © 2011 Accenture All Rights Reserved.
Information Security:
principios básicos
•Confidencialidad: sólo las personas adecuadas tienen acceso a la
información
•Integridad: sólo las personas adecuadas pueden generar la
información correcta
•Disponibilidad: las personas adecuadastienen acceso a la
información correcta en el momento justo
”Informacion correcta a las personas adecuadas en el momento justo!”
Copyright © 2011 Accenture All Rights Reserved.
Information Security:
proceso normal
BACKLOGS
Request for
Access
Generated
New Users
MISSING
AUDIT TRAIL Provisioned
REQUESTS
Users
DELAYED
Administrators
GROWING
RESOURCES
Policy &
RoleExamined
ERRORS
IT InBox
Copyright © 2011 Accenture All Rights Reserved.
Approval
INCOMPLETE
REQUEST FORMS Routing
Information Security:
riesgo inherente
Qué es el riesgo?
Definición: Contingencia o
proximidad de un daño.
• Riesgo
del
Negocio:
riesgos
específicos de la compañía y el
entorno en el cual opera
riesgo inherente
dentro de un proceso de negociodeterminado
Los sistemas de información pueden
facilitar algunos tipos de fraudes.
Amenazas comunes:
•Intercepción:
obtener
acceso
autorizado a algunos recursos.
no
•Modificación: cambiar datos de una
aplicación.
• Riesgo de Proceso:
• Riesgo del Sistema:
específico al
implementado
riesgo que es
software de gestión
Copyright © 2011 Accenture All Rights Reserved.•Fabricación: generar nuevos datos que
normalmente no existirían.
•Errores involuntarios: cualquiera de los
anteriores pero sin mala intención.
Information Security:
riesgo inherente
Ejemplos:
• Errores u omisiones en inputs de operadores.
• Errores de procesamiento de transacciones.
• Contenido Inapropiado.
• Desperdicio/ Uso indebido de recursos corporativos.
• Abuso de privilegios oderechos.
• Monitoreo.
• Fraude.
• Robo.
• Sabotaje.
• Ataques externos.
Copyright © 2011 Accenture All Rights Reserved.
Information Security:
la gente es parte de la problemática…
Cualquier de Riesgo
Triángulopersona…
Oportunidad
Se enoja
Tiene más de un rol
Comete errores
Se cansa
Se frustra
Quiere ayudar
Actitud
Se distrae
El 80% de losincidentes/fraudes/ataques son
efectuados por personal interno
Presión
Es curiosa
… frecuentemente se toma el camino más corto
The Computer Security Institute
Copyright © 2011 Accenture All Rights Reserved.
Information Security:
síntomas comunes
El tiempo de usuarios sin acceso aumenta
Se incrementan los requerimientos de seguridad a las aplicaciones
Cuentas de usuarios sin uso proliferanTiempos de generación de requerimientos de acceso crecen
Auditorías de seguridad fallan
“30-60% de los perfiles de
acceso en las compañías no
son vigentes”
IDC
Copyright © 2011 Accenture All Rights Reserved.
Information Security:
… complejidad actual
Desafíos de
Seguridad de la Información
Requerimientos del Negocio
Simplificar
Accesos, mejorar la productividad, facilitar el...
Regístrate para leer el documento completo.