Diplomado: Gerencia en Talento humano

MODULO II: Talento Humano 2.0

Polticas de Seguridad y monitorizacin. El caso especial BYOD

Ivan Dario Marrugo Jimenez

Socio Marrugo Rivera & Asociados, Estudio Jurdico Twitter: @imarrugoj

Diplomado: Gerencia en Talento humano.

TEMARIO PROPUESTO
La Seguridad de la Informacin en un mundo inseguro. Sistema de Gestin de Seguridad de la Informacin. El caso BYOD Ley de Proteccin de Datos Personales

Diplomado: Gerencia en Talento humano.

La Seguridad de la Informacin en un Mundo inseguro

Diplomado: Gerencia en Talento humano.

La Seguridad de la Informacin en un Mundo inseguro

La seguridad informtica no por la seguridad de los sistemas informticos (hardware) en si mismos, sino por la proteccin de los datos que ellos contienen.

Diplomado: Gerencia en Talento humano.

entonces porque es importante para ti?

Porque tu negocio se sostiene con la informacin que manejas. Porque todo de una u otra forma gira alrededor de la informacin. (Gerenciamiento) Seamos honestos cuantos cuentan con un Documento de Polticas de Seguridad de la Informacin? O cuantos han identificados sus activos crticos?

Diplomado: Gerencia en Tecnologas de la Informacin y Comunicaciones

Modelo optimo
Cultura de seguridad. Gestin conjunta (Es responsabilidad de todos).

Modelo negativo

Aqu eso no pasa Nosotros no somos importantes (No atractivos para los ataques). Si no me pasa no acto.

Diplomado: Gerencia en Talento humano.

Muchos lo ven como un problema de costos pero la Inseguridad tiene un costo MAYOR!

Diplomado: Gerencia en Talento humano.

Ok! Y por donde comenzamos?

Elabore un inventario de activos de informacin.
Con ello usted podr: Identificar informacin. Clasificarla (Documentos, datos, BD, archivos) Valorarla Gestionarla

A la par usted podr conocer e identificar otros activos como:

Humanos. Fsicos. De servicios.

Diplomado: Gerencia en Talento humano.

Pensar en los riesgos!

Considere el principal componente:

Las Amenazas!!!
Una Amenaza es la posibilidad de ocurrencia de cualquier tipo de evento o accin que puede producir un dao (material o inmaterial) sobre los elementos de un sistema, en el caso de la Seguridad Informtica, los Elementos de Informacin.

Diplomado: Gerencia en Talento humano.

Y luego vienen las Vulnerabilidades

Vulnerabilidad: una debilidad que facilita la materializacin de una amenaza Ejemplos: Inexistencia de procedimientos de trabajo Concentracin de funciones en una sola persona Infraestructura insuficiente

Diplomado: Gerencia en Talento humano.

Gestin del Riesgo Matriz de Riesgo

Evaluacin: Impacto. Probabilidad de ocurrencia Asignacin: Cualitativa y Cuantitativa

Diplomado: Gerencia en Talento humano.

Vindolo grficamente
Propietarios
Quieren minimizar

valoran

definen

Salvaguardas Pueden tener conciencia de RECURSOS

Que pueden tener

Reducen

Amenazas

explotan

Vulnerabilid ades

Permiten o facilitan

Dao

RIESGO

Diplomado: Gerencia en Talento humano.

Amenazas
Escalamiento de privilegios

Password cracking
Fraudes informticos
Man in the middle

Puertos vulnerables abiertos

Exploits

Violacin de la privacidad de los empleados

Servicios de log inexistentes o que no son chequeados Denegacin de servicio

ltimos parches no instalados

Backups inexistentes
Destruccin de equipamiento

Instalaciones default
Desactualizacin
13

Keylogging

Port scanning

Hacking de Centrales Telefnicas

Y ms Amenazas!!
Spamming
Violacin de contraseas

Intercepcin y modificacin y violacin de e-mails

Captura de PC desde el exterior

Virus

Incumplimiento de leyes y regulaciones

Mails annimos con agresiones

Ingeniera social

empleados deshonestos

Interrupcin de los servicios

Programas bomba, troyanos Destruccin de soportes documentales

Robo o extravo de notebooks, palms

Acceso clandestino a redes

Acceso indebido a documentos impresos

Propiedad de la informacin Robo de informacin Indisponibilidad de informacin clave Intercepcin de comunicaciones voz y wireless Falsificacin de informacin Agujeros de seguridad de redes conectadas para terceros 14

Diplomado: Gerencia en Talento humano.

15

Diplomado: Gerencia en Talento humano.

Beneficios de implementar polticas de seguridad de la informacin

Consolidacin de la seguridad como tema estratgico. Planeamiento y manejo de la seguridad ms efectivos. Mayor seguridad en el ambiente informtico y mejor reaccin ante incidentes. Minimizacin de los riesgos inherentes a la seguridad de la informacin. Cuantificacin de los posibles daos por ataques a la seguridad de la informacin.

Diplomado: Gerencia en Talento humano.

Paradigmas en materia de seguridad de la informacin

1. La seguridad informtica no afecta mi actividad.

2. La seguridad es una incumbencia del rea informtica

3. La informacin que manejamos no es objeto de ataques 4. Mi red es segura porque se encuentra protegida de ataques externos 5. Tenemos seguridad pues en la ltima auditora no tuvimos observaciones crticas.

Diplomado: Gerencia en Talento humano.

6. Tenemos un control absoluto de los incidentes de seguridad que ocurren en nuestra red.

7. El tiempo invertido en documentacin debe ser descontado de las tareas habituales del personal destinado a la elaboracin de la poltica. 8. Los recursos valiosos debern ser apartados de la lnea de fuego
9. Posibles conflictos polticos, comerciales o de relaciones humanas.. 10. No disponemos de personal especializado.

Diplomado: Gerencia en Talento humano.

Beneficios de implementar polticas de seguridad de la informacin

Orden en el trabajo bajo un marco normativo que evita la duplicacin de tareas y facilita el intercambio de informacin.
Concientizacin global sobre la importancia de la seguridad de la informacin. Mejora de la imagen. Aumento de la confianza de terceros. Mayor control de la informacin proporcionada a terceros. Auditoras de seguridad ms precisas y confiables.

Diplomado: Gerencia en Talento humano.

Organizacin de las polticas de seguridad de la informacin

Garantizar que la seguridad sea parte del proceso de planificacin de la informacin.
Evaluar y coordinar la implementacin de controles especficos para nuevos sistemas o servicios. Coordinar el proceso de administracin de la continuidad de la operatoria de los sistemas de tratamiento de la informacin frente a interrupciones imprevistas.

Responsabilidad
Seguridad del Personal
Seguridad Fsica y Ambiental. Seguridad en las Comunicaciones y las Operaciones

Comit de Seguridad de la Informacin

Control de Accesos

Seguridad en el Desarrollo y Mantenimiento de Sistemas

Planificacin de la Continuidad Operativa Control de acceso

Seguridad de desarrollos

Departamento Legal

Cumplimiento Sanciones

Diplomado: Gerencia en Talento humano.

Clasificacin y Control de Activos

Activos de informacin: bases de datos y archivos, documentacin de sistemas, manuales de usuario, material de capacitacin, procedimientos operativos o de soporte, planes de continuidad, informacin archivada, etc. Recursos de software: software de aplicaciones, sistemas operativos, herramientas de desarrollo, utilitarios, etc. Activos fsicos: equipamiento informtico (CPU, monitores, notebooks, mdems), equipos de comunicaciones (routers, mquinas de fax, contestadores automticos), medios magnticos (cintas, discos), otros equipos tcnicos (relacionados con el suministro elctrico, unidades de aire acondicionado), mobiliario, lugares de emplazamiento, etc. Servicios: servicios informticos y de comunicaciones, utilitarios generales (calefaccin, iluminacin, energa elctrica, etc.).

Diplomado: Gerencia en Talento humano.

En un sentido practico
La seguridad de la informacin se caracteriza como la preservacin de:
su confidencialidad, asegurando que slo quienes estn autorizados pueden acceder a la informacin;
su integridad, asegurando que la informacin y sus mtodos de proceso son exactos y completos. su disponibilidad, asegurando que los usuarios autorizados tienen acceso a la informacin y a sus activos asociados cuando lo requieran.

Aspectos legales de las Polticas de seguridad y monitorizacin

24

Diplomado: Gerencia en Talento humano.

Justificacin de herramientas de trabajo

Intimidad: Derecho Fundamental. Art. 15 C.P. Para darle una perspectiva ms amplia, al desarrollo legislativo de este precepto constitucional, se ha dado lugar dentro de este contexto, a la implementacin de nuevas polticas de monitorizacin y de seguridad de los empleados OJO: Los recursos informticos tanto de hardware como de software, incluido el acceso a internet, los ficheros y repositorios, as como el correo electrnico deben ser calificados de entrada por parte del patrono o empleador como una herramienta de trabajo que le pertenece, que utiliza el nombre de dominio de la compaa y que es otorgada por l a sus trabajadores o dependientes, en los trminos establecidos por la legislacin laboral Colombiana, cuando prohbe a los trabajadores, usar los tiles o herramientas suministradas por el empleador en objetos distintos del trabajo contratado, esbozado en el artculo 60, numeral 8 del Cdigo Sustantivo del Trabajo.

Diplomado: Gerencia en Talento humano.

Justificacin de herramientas de trabajo

Por ende, el correo electrnico institucional u oficial asignado a un trabajador solo debe ser utilizado, en principio, para los fines relacionados con su objeto contractual o funciones.
Lo anterior no obsta para que el empleado o dependiente pueda utilizar estos recursos para algunos asuntos personales, siempre y cuando no impacten o generen consecuencias nocivas para la organizacin en la que trabaja.

Diplomado: Gerencia en Talento humano.

Por lo tanto, es importante que el patrono o empleador entre a desvirtuar desde el principio la presuncin o expectativa de privacidad que puede amparar al correo electrnico institucional u oficial.
En consecuencia, la informacin en todas sus formas y estados se ha convertido en un activo de altsimo valor, de tal forma que las empresas., no puede ser indiferentes y por lo tanto, se hace necesario proteger, asegurar y administrar la informacin para garantizar su integridad, confidencialidad y disponibilidad, de conformidad con lo establecido por la ley.

Diplomado: Gerencia en Talento humano.

Poltica de Seguridad corporativa

La poltica de seguridad de la informacin es el conjunto de normas, reglas, procedimientos y prcticas que regulan la proteccin de la informacin contra la prdida de confidencialidad, integridad o disponibilidad, tanto de forma accidental como intencionada.

Diplomado: Gerencia en Talento humano.

Principios
Conocimiento informado: Para desvirtuar la presuncin de privacidad que puede amparar al correo institucional, es necesario que el empleado o dependiente tenga conocimiento previo e informado de tal hecho, desde que firma, suscribe o acepta las condiciones generales a las que se somete en su relacin laboral o legal. Es as como los contratos laborales, los de prestacin de servicios y todos los dems reglamentos que se consideren necesarios deben dejar claro, desde el principio, para el trabajador, empleado, dependiente, contratista o servidor pblico, que no se genera ningn tipo de expectativa de privacidad cuando se utilizan correos electrnicos institucionales u oficiales, pues se otorgan como herramientas de trabajo.

Diplomado: Gerencia en Talento humano.

Principios
La Corte Constitucional, en Sentencia C-1235, de noviembre 29 de 2005, se pronuncia sobre la denominada responsabilidad in eligendo e in vigilando, responsabilidad por un hecho ajeno o de un tercero que le puede caber a las empresas frente al deber de diligencia y cuidado sobre las herramientas electrnicas en el mbito laboral, pues all se compromete la responsabilidad del patrono o empresario cuando se generan perjuicios a terceros, que se hubieran podido evitar con una correcta vigilancia y control sobre estos recursos.

Diplomado: Gerencia en Talento humano.

Que contienen las polticas

Procedimientos para la creacin de cuentas. Polticas de acceso. Mtodos de seguridad. Acceso a internet.
Webmail. Paginas de terceros. Downloads

Diplomado: Gerencia en Talento humano.

Que contienen las polticas

Correos electrnicos. Prohibiciones Administracin y seguimiento del correo electrnico.

Diplomado: Gerencia en Talento humano.

El caso BYOD
El Bring Your Own Device (BYOD), o Traiga su propio dispositivo como se traducira al espaol, es una tendencia creciente en las empresas latinoamericanas, que han encontrado en ella la posibilidad de reducir sus costos de inversin tecnolgica relacionados con la compra de dispositivos, a la vez que le permiten a los empleados elegir los equipos con los que se sienten ms cmodos para trabajar, condicin esencial cuando se trata de teletrabajadores. (segn ESET latinoamerica)

Diplomado: Gerencia en Talento humano.

El caso BYOD
Se trata de una tendencia global. Una poltica de negocio que permite al empleado traer su propio dispositivo movil al trabajo. El uso de dicho dispositivo implica el acceso a recursos de las empresa (Informacion, redes, bases de datos.)

Diplomado: Gerencia en Talento humano.

La ley de Proteccin de Datos Personales Ley 1581 de 2012

35

Diplomado: Gerencia en Talento humano.

CATEGORIAS ESPECIALES DE DATOS

- Datos sensibles Aquellos que afectan la intimidad de la personas o cuyo uso indebido puede generar discriminacin. (Origen racial o tnico, orientacin poltica, convicciones filosficas o religiosas, pertenencia a sindicatos u organizaciones sociales o de derechos humanos, datos de salud, vida sexual y biomtricos). Se prohbe el tratamiento de datos sensibles salvo las excepciones del artculo 6 de la ley.

Diplomado: Gerencia en Talento humano.

CATEGORIAS ESPECIALES DE DATOS

-Datos personales de menores Se proscribe el tratamiento de datos personales de menores de edad salvo aquellos datos que sean de naturaleza pblica. La Corte Constitucional precis que tal prohibicin debe interpretarse en el sentido de que los datos personales de los menores de 18 aos, pueden ser tratados, siempre y cuando el fin que se persiga con dicho tratamiento responda al inters superior de los menores y se asegure el respeto de sus derechos prevalentes.

Diplomado: Gerencia en Talento humano.

RECOMENDACIONES

Asesrese - Indague - Revise su entorno e industria - Implemente - Vuelva a comenzar

Diplomado: Gerencia en Talento humano.

Ivan Dario Marrugo Jimenez

Socio Marrugo Rivera & Asociados, Estudio Jurdico Twitter: @imarrugoj www.marrugorivera.com