SEGURIDAD DE LA INFORMACIN

Gestionar el Riesgo Corporativo

Agenda
Conceptos Tipos de Informacin Valor de la Informacin Qu es proteger la informacin Que informacin debemos proteger Amenazas Qu es Seguridad de la Informacin? Sistema de Gestin de Seguridad de la Informacin Ventajas Desventajas ISO 27002 Operador de Informacin Polticas Generales

Conceptos
Informtica:

Conjunto de conocimientos cientficos y tcnicas que hacen posible el tratamiento automtico de la informacin por medio de ordenadores Disciplina que estudia el tratamiento automtico de la informacin utilizando dispositivos electrnicos y sistemas computacionales

Informacin:

En trminos generales, informacin es un conjunto organizado de datos, que puede encontrarse en diferentes formas o medios. La informacin adquiere valor para las organizaciones mayor dependencia

Informacin
La Informacin puede existir en muchas formas:
Impresa Almacenada Sistemas de Cmputo Transmitida

Mostrada
Oral Conocimiento

Valor de la informacin
La Informacin es el activo mas importante que cada organizacin tiene hoy, y en consecuencia necesita Proteccin Adecuada.

Qu es proteger la informacin?
Impedir adulteracin de la informacin.
Impedir a usuarios no autorizados el acceso a informacin protegida. Impedir el acceso a intrusos externos y/o no autorizados a la informacin de la empresa. Impedir la revelacin de informacin a terceros Impedir prdidas innecesarias de los datos (por falta de una adecuada poltica de copias de seguridad).

Impedir que programas dainos (virus, gusanos, troyanos, software espa, dialers, etc.), causen daos a la informacin.

Informacin a Proteger
La informacin asociada a nuestros usuarios La informacin asociada a nuestras ventas La informacin asociada a nuestros colaboradores La informacin asociada a nuestros productos La informacin asociada a nuestras operaciones La informacin asociada a nuestros procesos La informacin asociada a nuestros proveedores

Somos vulnerables?
Debilidades en la tecnologa, infraestructura, recursos, o en los procesos de cada organizacin Falta de Proteccin. Las Vulnerabilidades son explotadas por las amenazas

Amenazas
Cualquier situacin o evento que puede (potencialmente) causar un incidente y afectar un bien, un recurso o una organizacin

Amenazas
Factores de Riesgo
Internas o Externas, Accidentales o Intencionales Situaciones ambientales o naturales Ataques maliciosos o Actos terroristas

Fallas en los sistemas

Incumplimiento de leyes, normas, contratos, polticas Falta de Gestin Controles administrativos Ataques Informticos Robo, Virus, SPAM, Phishing, etc. EL HOMBRE (El eslabn ms dbil)

Amenazas
Password cracking
Incumplimiento de Polticas

Escalamiento de privilegios

Puertos vulnerables abiertos

Navegacin personal Inadecuada

Servicios de log inexistentes o que no son chequeados

Denegacin de servicio
ltimos parches no instalados

Uso indebido de recursos

Desmantelamiento de equipos

Desactualizacin

Keylogging

Port scanning

Hacking de Centrales Telefnicas

Amenazas
Spamming
Violacin de contraseas

Captura de PC desde el exterior

Virus

Incumplimiento de leyes y regulaciones

Mails annimos con agresiones

Ingeniera social
Programas bomba, troyanos Destruccin de soportes documentales
Robo o extravo de notebooks, palms

Interrupcin de los servicios

Acceso clandestino a redes

Acceso indebido a documentos impresos

Robo de informacin Indisponibilidad de informacin clave Intercepcin de comunicaciones voz y wireless Falsificacin de informacin Agujeros de seguridad de redes conectadas para terceros
Prdida de dispositivos de almacenamiento

Qu es Seguridad de la Informacin
Identificacin de los Riesgos de la Informacin Definicin de un conjunto de metodologa, prcticas y procedimientos para la proteccin efectiva de los elementos de informacin Garantizar la Confidencialidad, Integridad y Disponibilidad de la informacin Y en el caso de cada individuo de proteger la identidad y la privacidad.

Qu es la Seguridad de la informacin?
DISPONIBILIDAD

CONFIDENCIALIDAD
Para la persona correcta

En el momento correcto
INTEGRIDAD Informacin Correcta

Sistema de Gestin de Seguridad de la Informacin

SGSI
Comprende las Polticas, el Manual de Seguridad de la Informacin, la Estructura Organizativa, los procedimientos y los recursos necesarios para implantar la gestin de la Seguridad de la Informacin

PwC

Que es ISO 27002

Un conjunto de controles basados en las mejores prcticas en seguridad de la informacin; Estndar internacional que cubre todos los aspectos de la seguridad informtica: Equipos Polticas de gestin Recursos humanos Aspectos jurdicos

Norma ISO 27002

Poltica de seguridad
Cumplimiento
Administracin de la continuidad
Integridad
Confidencialidad

Organizacin de la Seguridad
Clasificacin y control de los activos

Informacin
Desarrollo y mantenimiento
Disponibilidad

Seguridad del personal

Seguridad fsica y medioambiental

Control de accesos

Gestin de comunicaciones y operaciones

Ventajas del SGSI

Cumplimiento de la legislacin Minimizacin de los riesgos inherentes a la seguridad de la informacin, al conocer los riesgos y poder gestionarlos Credibilidad, confianza y fiabilidad Una confianza mutua aumentada entre socios estratgicos de negocios Una metodologa de seguridad estructurada y reconocida internacionalmente Una mejor proteccin de la informacin confidencial de la empresa Reduccin a riesgos de ataques Una recuperacin ms rpida y ms fcil de las operaciones despus de un ataque Un mejoramiento de las prcticas sobre la vida privada y una conformidad con las leyes sobre las informaciones personales Mayor seguridad en el ambiente informtico y mejor reaccin ante incidentes. Cuantificacin de los posibles daos por ataques a la seguridad de la informacin. Mayor control de la informacin proporcionada a terceros.

Consecuencias
Prdida de Negocios Dao a la imagen y reputacin de la organizacin

Deterioro de la confianza de socios estratgicos

Prdida o compromiso de la informacin crtica

Deterioro de la confianza de usuarios

Consecuencias legales

Interrupcin de los Procesos de Negocio

Normatividad Interna
POL-PRC-002: Seguridad de la Informacin

Uso adecuado de los recursos tecnolgicos

POL-PPG-0001 MANUAL DEL SISTEMA DE GESTIN COMPENSAR Capitulo 14

Compromiso de la Direccin y Alcance SGSI

INS-PRC-0018 Matriz Declaracin Aplicabilidad SOA

Alcance SGSI . Declaracin aplicabilidad controles ISO 27002

Certificacin ISO 27001-2

Subproceso Prestar Servicio de Operador de Informacin (Asociacin con CENET S.A.) Obligatoriedad de Certificacin bajo el estndar ISO 27001 Diferente a ISO 9001 Integra diversos procesos de

Compensar

Para finalizar...
Quin es responsable de la seguridad? El usuario? Las empresas? Los colaboradores? Tecnologa e Informtica? Los profesionales? El Estado? Estados Unidos? El mundo?

La respuesta es una sola

Es responsabilidad de TODOS

Propiedad de los recursos

Los recursos deben utilizarse solamente para fines relacionados a los negocios y obligaciones de la organizacin.

El cuidado de los recursos que COMPENSAR Operador de Informacin ha provedo es responsabilidad de los usuarios.
Los sistemas de administracin de correo electrnico y todos los mensajes creados por los mismos, son considerados propiedad de COMPENSAR. No permitir o facilitar el uso de los sistemas informticos de Compensar a personas no autorizadas. Intentar acceder a cualquier otra computadora o sistema, ya sea perteneciente a COMPENSAR, al cual no se la ha autorizado

Divulgacin de Informacin
No se permite publicar ni trasmitir informacin confidencial o sensible de Compensar en ningn medio, fsico o electrnico, sin la debida autorizacin del lder del proceso respectivo. Nunca divulgue sus contraseas a NADIE aunque diga que pertenece al Proceso de Tecnologa e Infraestructura o sea su LIDER. No le pida las contraseas a los USUARIOS No provea informacin sobre asuntos de la organizacin a otras personas, a menos que hayan acreditado su identidad y sta corresponda a alquin autorizado Nunca revele informacin telefnicamente, a menos que haya acreditado fehacientemente la identidad del interlocutor que la est solicitando. No intercambie informacin clasificada sin conocer los mtodos definidos de transmisin definidos por el dueo de la informacin.

Documentos y Escritorios
Ningn medio magntico con documentos del trabajo puede permanecer en el escritorio o en sus computadores.
Todos los archivos de trabajo deben quedar en los servidores que soportan el subproceso de operador de informacin.

Mantenga una conducta de escritorios limpios.

No reutilice documentos que contengan informacin de la organizacin como papel borrador. Destruya los documentos que contengan informacin confidencial y privada de COMPENSAR

Uso de Internet
No se permite descargar software de Internet sin la debida autorizacin No se permite descargar ni enviar archivos que puedan violar las normas de Derechos de Autor, entre los cuales se incluyen archivos de msica y videos en todos los formatos (mp3, wma, wav, mid, ogg, mpeg, mpg, avi, wmv, mov, etc.). La informacin consultada en Internet y usada en los trabajos internos de Compensar deber contener la resea bibliogrfica de la fuente donde se obtuvo. Ingresar a web sites inapropiados (pornografa, juegos, hacking, etc.).

Uso de correo electrnico y fax

No se permite el envo de mensajes en cadena, oraciones a cambio de beneficios, chistes, o de cualquier forma similar. La cuenta de correo asignada por Compensar, es para uso laboral en forma exclusiva Los mensajes de correo electrnico y fax se convierten en prueba legal y por tanto las autoridades competentes o Compensar pueden usar este material como instrumento probatorio para cualquier investigacin a que haya lugar. El usuario no debe crear una identidad, direccin o encabezamiento de correo electrnico o fax falsos, o intentar engaar a otras personas con el origen del mensaje. Si se reciben mensajes con archivos adjuntos de dudosa procedencia no se deben abrir ya que pueden contener virus o cdigo malicioso que afecten los sistemas de informacin de Compensar, estos casos se deben reportar a la direccin electrnica incidentesdeseguridad@compensar.com

Contraseas
Las contraseas de sistema operativo de todos los usuarios indistintamente el tipo de contratacin o labores asignadas deben ser cambiadas cada 60 das al igual que para las cuentas en las aplicaciones. **Algunas aplicaciones de tecnologa anterior no pueden cumplir con este propsito hasta tanto sean reemplazadas o implementado el modulo que lo permita. Las contraseas de las cuentas de servicios de tecnologa deben ser cambiadas 2 veces al ao. Las contraseas deben tener por lo menos ocho (8) caracteres alfanumricos. No se debe usar la misma contrasea de las cuentas de la empresa para otras cuentas personales. No se debe escribir ni guardar las contraseas en ningn medio fsico ni electrnico. El prstamo de contraseas est prohibido bajo cualquier circunstancia. Si alguien pide prestada una contrasea, se le debe ensear este documento e informar al lder del proceso PRC Gestionar el Riesgo Corporativo y Control Si una contrasea ha sido comprometida debe ser cambiada inmediatamente. Las contraseas fuertes y recomendadas tienen las siguientes caractersticas:
Tienen combinacin de maysculas y minsculas. Tienen letras, dgitos y caracteres de puntuacin tales como: !@#$%^&*(/ etc. No se basan en ninguna informacin personal como: fechas de cumpleaos, direcciones, nmeros telefnicos, nmeros de documentos de identificacin, etc. Son de fcil recordacin para el propietario.

Incidentes
Todos los colaboradores de Compensar y en especial los relacionados al ciclo de Operador de Informacin estn en la obligacin de reportar cualquier incidente relacionado con la Seguridad de la informacin.
Todos los incidentes deben ser reportados a travs del buzn de IncidentesdeSeguridad@compensar.com Para el caso de Operador de Informacin Los nicos medios de recepcin de incidentes son el CallCenter y los asesores de COMPENSAR.

Los incidentes sern gestionados por el administrador de seguridad y por el asesor asignado.
Si no es posible resolver el incidente ser escalado a CENET, pero el asesor asignado o el administrador de seguridad deben continuar con la gestin del mismo.