Академический Документы
Профессиональный Документы
Культура Документы
Agenda
Conceptos Tipos de Informacin Valor de la Informacin Qu es proteger la informacin Que informacin debemos proteger Amenazas Qu es Seguridad de la Informacin? Sistema de Gestin de Seguridad de la Informacin Ventajas Desventajas ISO 27002 Operador de Informacin Polticas Generales
Conceptos
Informtica:
Conjunto de conocimientos cientficos y tcnicas que hacen posible el tratamiento automtico de la informacin por medio de ordenadores Disciplina que estudia el tratamiento automtico de la informacin utilizando dispositivos electrnicos y sistemas computacionales
Informacin:
En trminos generales, informacin es un conjunto organizado de datos, que puede encontrarse en diferentes formas o medios. La informacin adquiere valor para las organizaciones mayor dependencia
Informacin
La Informacin puede existir en muchas formas:
Impresa Almacenada Sistemas de Cmputo Transmitida
Mostrada
Oral Conocimiento
Valor de la informacin
La Informacin es el activo mas importante que cada organizacin tiene hoy, y en consecuencia necesita Proteccin Adecuada.
Qu es proteger la informacin?
Impedir adulteracin de la informacin.
Impedir a usuarios no autorizados el acceso a informacin protegida. Impedir el acceso a intrusos externos y/o no autorizados a la informacin de la empresa. Impedir la revelacin de informacin a terceros Impedir prdidas innecesarias de los datos (por falta de una adecuada poltica de copias de seguridad).
Impedir que programas dainos (virus, gusanos, troyanos, software espa, dialers, etc.), causen daos a la informacin.
Informacin a Proteger
La informacin asociada a nuestros usuarios La informacin asociada a nuestras ventas La informacin asociada a nuestros colaboradores La informacin asociada a nuestros productos La informacin asociada a nuestras operaciones La informacin asociada a nuestros procesos La informacin asociada a nuestros proveedores
Somos vulnerables?
Debilidades en la tecnologa, infraestructura, recursos, o en los procesos de cada organizacin Falta de Proteccin. Las Vulnerabilidades son explotadas por las amenazas
Amenazas
Cualquier situacin o evento que puede (potencialmente) causar un incidente y afectar un bien, un recurso o una organizacin
Amenazas
Factores de Riesgo
Internas o Externas, Accidentales o Intencionales Situaciones ambientales o naturales Ataques maliciosos o Actos terroristas
Amenazas
Password cracking
Incumplimiento de Polticas
Escalamiento de privilegios
Desactualizacin
Keylogging
Port scanning
Amenazas
Spamming
Violacin de contraseas
Virus
Ingeniera social
Programas bomba, troyanos Destruccin de soportes documentales
Robo o extravo de notebooks, palms
Robo de informacin Indisponibilidad de informacin clave Intercepcin de comunicaciones voz y wireless Falsificacin de informacin Agujeros de seguridad de redes conectadas para terceros
Prdida de dispositivos de almacenamiento
Qu es Seguridad de la Informacin
Identificacin de los Riesgos de la Informacin Definicin de un conjunto de metodologa, prcticas y procedimientos para la proteccin efectiva de los elementos de informacin Garantizar la Confidencialidad, Integridad y Disponibilidad de la informacin Y en el caso de cada individuo de proteger la identidad y la privacidad.
Qu es la Seguridad de la informacin?
DISPONIBILIDAD
CONFIDENCIALIDAD
Para la persona correcta
En el momento correcto
INTEGRIDAD Informacin Correcta
SGSI
Comprende las Polticas, el Manual de Seguridad de la Informacin, la Estructura Organizativa, los procedimientos y los recursos necesarios para implantar la gestin de la Seguridad de la Informacin
PwC
Organizacin de la Seguridad
Clasificacin y control de los activos
Informacin
Desarrollo y mantenimiento
Disponibilidad
Control de accesos
Consecuencias
Prdida de Negocios Dao a la imagen y reputacin de la organizacin
Consecuencias legales
Normatividad Interna
POL-PRC-002: Seguridad de la Informacin
Compensar
Para finalizar...
Quin es responsable de la seguridad? El usuario? Las empresas? Los colaboradores? Tecnologa e Informtica? Los profesionales? El Estado? Estados Unidos? El mundo?
El cuidado de los recursos que COMPENSAR Operador de Informacin ha provedo es responsabilidad de los usuarios.
Los sistemas de administracin de correo electrnico y todos los mensajes creados por los mismos, son considerados propiedad de COMPENSAR. No permitir o facilitar el uso de los sistemas informticos de Compensar a personas no autorizadas. Intentar acceder a cualquier otra computadora o sistema, ya sea perteneciente a COMPENSAR, al cual no se la ha autorizado
Divulgacin de Informacin
No se permite publicar ni trasmitir informacin confidencial o sensible de Compensar en ningn medio, fsico o electrnico, sin la debida autorizacin del lder del proceso respectivo. Nunca divulgue sus contraseas a NADIE aunque diga que pertenece al Proceso de Tecnologa e Infraestructura o sea su LIDER. No le pida las contraseas a los USUARIOS No provea informacin sobre asuntos de la organizacin a otras personas, a menos que hayan acreditado su identidad y sta corresponda a alquin autorizado Nunca revele informacin telefnicamente, a menos que haya acreditado fehacientemente la identidad del interlocutor que la est solicitando. No intercambie informacin clasificada sin conocer los mtodos definidos de transmisin definidos por el dueo de la informacin.
Documentos y Escritorios
Ningn medio magntico con documentos del trabajo puede permanecer en el escritorio o en sus computadores.
Todos los archivos de trabajo deben quedar en los servidores que soportan el subproceso de operador de informacin.
Uso de Internet
No se permite descargar software de Internet sin la debida autorizacin No se permite descargar ni enviar archivos que puedan violar las normas de Derechos de Autor, entre los cuales se incluyen archivos de msica y videos en todos los formatos (mp3, wma, wav, mid, ogg, mpeg, mpg, avi, wmv, mov, etc.). La informacin consultada en Internet y usada en los trabajos internos de Compensar deber contener la resea bibliogrfica de la fuente donde se obtuvo. Ingresar a web sites inapropiados (pornografa, juegos, hacking, etc.).
Contraseas
Las contraseas de sistema operativo de todos los usuarios indistintamente el tipo de contratacin o labores asignadas deben ser cambiadas cada 60 das al igual que para las cuentas en las aplicaciones. **Algunas aplicaciones de tecnologa anterior no pueden cumplir con este propsito hasta tanto sean reemplazadas o implementado el modulo que lo permita. Las contraseas de las cuentas de servicios de tecnologa deben ser cambiadas 2 veces al ao. Las contraseas deben tener por lo menos ocho (8) caracteres alfanumricos. No se debe usar la misma contrasea de las cuentas de la empresa para otras cuentas personales. No se debe escribir ni guardar las contraseas en ningn medio fsico ni electrnico. El prstamo de contraseas est prohibido bajo cualquier circunstancia. Si alguien pide prestada una contrasea, se le debe ensear este documento e informar al lder del proceso PRC Gestionar el Riesgo Corporativo y Control Si una contrasea ha sido comprometida debe ser cambiada inmediatamente. Las contraseas fuertes y recomendadas tienen las siguientes caractersticas:
Tienen combinacin de maysculas y minsculas. Tienen letras, dgitos y caracteres de puntuacin tales como: !@#$%^&*(/ etc. No se basan en ninguna informacin personal como: fechas de cumpleaos, direcciones, nmeros telefnicos, nmeros de documentos de identificacin, etc. Son de fcil recordacin para el propietario.
Incidentes
Todos los colaboradores de Compensar y en especial los relacionados al ciclo de Operador de Informacin estn en la obligacin de reportar cualquier incidente relacionado con la Seguridad de la informacin.
Todos los incidentes deben ser reportados a travs del buzn de IncidentesdeSeguridad@compensar.com Para el caso de Operador de Informacin Los nicos medios de recepcin de incidentes son el CallCenter y los asesores de COMPENSAR.
Los incidentes sern gestionados por el administrador de seguridad y por el asesor asignado.
Si no es posible resolver el incidente ser escalado a CENET, pero el asesor asignado o el administrador de seguridad deben continuar con la gestin del mismo.