SeguridaddelaInformacion
Páginas: 7 (1531 palabras)
Publicado: 5 de mayo de 2015
SEGURIDAD DE LA
INFORMACION
Políticas de seguridad
Yessica Gómez G.
Porqué hablar de la Seguridad
de la Información?
Porque el negocio se sustenta a partir de la
información que maneja.....
Estrategia de
negocio
Funciones y procesos de
negocio
ACTIVIDADES DE LA EMPRESA
Diseño y ejecución de
acciones para conseguir
objetivo
Planificación de
Objetivos
Control (de resultados de
accionescontra objetivos)
Sistemas de
Información
Registro de
transacciones
Entorno
Transacciones
ORGANIZACION
Porque no sólo es un tema Tecnológico.
Porque la institución no cuenta con
Políticas de Seguridad de la Información
formalmente aceptadas y conocidas por
todos.
CULTURA de la seguridad ,
responsabilidad de TODOS
ACTITUD proactiva,
Investigación permanente
Porque la seguridadtiene un costo, pero la
INSEGURIDAD tiene un costo mayor.
“Ninguna medicina es útil a menos que
el paciente la tome”
¿ Entonces, por donde partir?........
Reconocer los activos de
información importantes para la
Información propiamente tal : bases de datos,
institución..
archivos, conocimiento de las personas
Documentos: contratos, manuales, facturas,
pagarés, solicitudes decréditos.
Software: aplicaciones, sistemas operativos,
utilitarios.
Físicos: equipos, edificios, redes
Recursos humanos: empleados internos y externos
Servicios: electricidad, soporte, mantención.
Reconocer las Amenazas a que
están expuestos...
Amenaza:” evento con el potencial de afectar
negativamente la Confidencialidad, Integridad o
Disponibilidad de los Activos de Información”.
Ejemplos:
–
–
––
–
Desastres naturales (terremotos, inundaciones)
Errores humanos
Fallas de Hardware y/o Software
Fallas de servicios (electricidad)
Robo
Reconocer las Vulnerabilidades
Vulnerabilidad: “ una debilidad que facilita
la materialización de una amenaza”
Ejemplos:
– Inexistencia de procedimientos de trabajo
– Concentración de funciones en una sola
persona
– Infraestructura insuficiente Identificación de Riesgos
Riesgo: “ La posibilidad de que una
amenaza en particular explote una
vulnerabilidad y afecte un activo”
Que debe analizarse?
– El impacto (leve ,moderado,grave)
– La probabilidad (baja, media, alta)
Contexto general de seguridad
valoran
Propietarios
Quieren minimizar
definen
Salvaguardas
Pueden tener
conciencia de
Amenaza
s
Que pueden
tener
explotan
RECURSOSReducen
Vulnerabili
dades
RIESGO
RIESGO
Permiten o
facilitan
Daño
Principales problemas:
No se entienden o no se cuantifican las amenazas
de seguridad y las vulnerabilidades.
No se puede medir la severidad y la probabilidad
de los riesgos.
Se inicia el análisis con una noción preconcebida
de que el costo de los controles será excesivo o
que la seguridad tecnológica no existe.
Se creeque la solución de seguridad interferirá
con el rendimiento o apariencia del producto o
servicio del negocio.
Estándares de Seguridad
Normas Internacionales de seguridad
– Proporcionan un conjunto de buenas prácticas en gestión
de seguridad de la información:
– Ejemplos ISO/IEC 17799,COBIT,ISO 15408
Se ha homologado a la realidad Chilena NCh2777 la
ISO 17799 que tiene la bondad de sertransversal a
las organizaciones , abarcando la seguridad como un
problema integral y no meramente técnico.
Ley 19.233 sobre delitos informáticos.
Ley 19.628 sobre protección de los datos personales.
Ley 19.799 sobre firma electrónica
¿Qué es una Política?
Conjunto de orientaciones o directrices que
rigen la actuación de una persona o entidad
en un asunto o campo determinado.
¿Qué es unaPolítica de
Seguridad?
Conjunto de directrices que permiten
resguardar los activos de información .
¿Cómo debe ser la política de
seguridad?
Definir la postura del Directorio y de la gerencia con
respecto a la necesidad de proteger la información
corporativa.
Rayar la cancha con respecto al uso de los recursos
de información.
Definir la base para la estructura de seguridad de...
INFORMACION
Políticas de seguridad
Yessica Gómez G.
Porqué hablar de la Seguridad
de la Información?
Porque el negocio se sustenta a partir de la
información que maneja.....
Estrategia de
negocio
Funciones y procesos de
negocio
ACTIVIDADES DE LA EMPRESA
Diseño y ejecución de
acciones para conseguir
objetivo
Planificación de
Objetivos
Control (de resultados de
accionescontra objetivos)
Sistemas de
Información
Registro de
transacciones
Entorno
Transacciones
ORGANIZACION
Porque no sólo es un tema Tecnológico.
Porque la institución no cuenta con
Políticas de Seguridad de la Información
formalmente aceptadas y conocidas por
todos.
CULTURA de la seguridad ,
responsabilidad de TODOS
ACTITUD proactiva,
Investigación permanente
Porque la seguridadtiene un costo, pero la
INSEGURIDAD tiene un costo mayor.
“Ninguna medicina es útil a menos que
el paciente la tome”
¿ Entonces, por donde partir?........
Reconocer los activos de
información importantes para la
Información propiamente tal : bases de datos,
institución..
archivos, conocimiento de las personas
Documentos: contratos, manuales, facturas,
pagarés, solicitudes decréditos.
Software: aplicaciones, sistemas operativos,
utilitarios.
Físicos: equipos, edificios, redes
Recursos humanos: empleados internos y externos
Servicios: electricidad, soporte, mantención.
Reconocer las Amenazas a que
están expuestos...
Amenaza:” evento con el potencial de afectar
negativamente la Confidencialidad, Integridad o
Disponibilidad de los Activos de Información”.
Ejemplos:
–
–
––
–
Desastres naturales (terremotos, inundaciones)
Errores humanos
Fallas de Hardware y/o Software
Fallas de servicios (electricidad)
Robo
Reconocer las Vulnerabilidades
Vulnerabilidad: “ una debilidad que facilita
la materialización de una amenaza”
Ejemplos:
– Inexistencia de procedimientos de trabajo
– Concentración de funciones en una sola
persona
– Infraestructura insuficiente Identificación de Riesgos
Riesgo: “ La posibilidad de que una
amenaza en particular explote una
vulnerabilidad y afecte un activo”
Que debe analizarse?
– El impacto (leve ,moderado,grave)
– La probabilidad (baja, media, alta)
Contexto general de seguridad
valoran
Propietarios
Quieren minimizar
definen
Salvaguardas
Pueden tener
conciencia de
Amenaza
s
Que pueden
tener
explotan
RECURSOSReducen
Vulnerabili
dades
RIESGO
RIESGO
Permiten o
facilitan
Daño
Principales problemas:
No se entienden o no se cuantifican las amenazas
de seguridad y las vulnerabilidades.
No se puede medir la severidad y la probabilidad
de los riesgos.
Se inicia el análisis con una noción preconcebida
de que el costo de los controles será excesivo o
que la seguridad tecnológica no existe.
Se creeque la solución de seguridad interferirá
con el rendimiento o apariencia del producto o
servicio del negocio.
Estándares de Seguridad
Normas Internacionales de seguridad
– Proporcionan un conjunto de buenas prácticas en gestión
de seguridad de la información:
– Ejemplos ISO/IEC 17799,COBIT,ISO 15408
Se ha homologado a la realidad Chilena NCh2777 la
ISO 17799 que tiene la bondad de sertransversal a
las organizaciones , abarcando la seguridad como un
problema integral y no meramente técnico.
Ley 19.233 sobre delitos informáticos.
Ley 19.628 sobre protección de los datos personales.
Ley 19.799 sobre firma electrónica
¿Qué es una Política?
Conjunto de orientaciones o directrices que
rigen la actuación de una persona o entidad
en un asunto o campo determinado.
¿Qué es unaPolítica de
Seguridad?
Conjunto de directrices que permiten
resguardar los activos de información .
¿Cómo debe ser la política de
seguridad?
Definir la postura del Directorio y de la gerencia con
respecto a la necesidad de proteger la información
corporativa.
Rayar la cancha con respecto al uso de los recursos
de información.
Definir la base para la estructura de seguridad de...
Leer documento completo
Regístrate para leer el documento completo.