Seguridad Informática

Taller de Empleo Microinformática. 2013-2014. La Rinconada

Tema 1

ConfidencialidadIntegridad

Disponibilidad

Son las medidas y controles que aseguran la confidencialidad, integridad y disponibilidad de los activos de los sistemas de información, incluyendo Hardware, Software, firmware y aquella información que procesan, almacenan y comunican.

ISO 17799 No certificableEnlace al documento 17799

UNE 71502 Norma certificable

Normas

ISO 17799 No certificableEnlace al documento 17799

UNE 71502 Norma certificable

Metodologia Magerit

Seguridad Informática• FACTORES QUE INFLUYEN• Sensibilización Directores/

Directivos• Conocimiento de la tecnología• Correcta instalación y

Mantenimiento• Limitar Permisos usuarios• Actualizaciones / Parches

correctas

Seguridad Informática• Sigue…

• Proteger respecto a amenazas internas (ej.: Proteger puertos USB)

• Adaptar las reglas genéricas a las necesidades específicas de la empresa

Seguridad InformáticaOBJETIVOS

• Minimizar y gestionar los riesgos• Detectar las amenazas.• Garantizar correcta utilización de

los recursos.• Limitar las pérdidas en caso de

accidente o ataque.• Cumplir con el marco legal.

Seguridad InformáticaPARA CONSEGUIRLOS… (Pág. 19)

• A NIVEL TECNICO

• A NIVEL LEGAL

• A NIVEL HUMANO

• A NIVEL ORGANIZATIVO

Seguridad InformáticaLa SEGURIDAD ES UN PROCESO

LA SEGURIDAD NO ES UN PRODUCTO

SE HACE “DIA A DIA”(Filósofo Silvester Stallone. “Película RAMBO III”)

LA SEGURIDAD COMO PROCESO

Funciones de la SeguridadConfidencialidad

AutenticaciónIntegridad

No RepudiaciónDisponibilidadAutorizaciónAuditabilidad

Reclamación de OrigenReclamación de Propiedad

Anonimato en el UsoProtección a la Réplica

Confirmación de la Prestación de un ServicioReferencia de Tiempo

Certificación mediante terceros

Técnicas de SeguridadIdentificación Usuarios y Contraseñas

Control de acceso a los recursosCopias de SeguridadCentros de Respaldo

Cifrado transmisionesHuella digital de Mensajes

Sellado Temporal de mensajesUtilización de la Firma Electrónica

Protocolos CriptográficosAnálisis y Filtrado del Tráfico (Firewall)

Servidores ProxySistema de detección de Intrusiones

Antivirus

Fallos de Seguridad

NEW YORK 2.001

Fallos de Seguridad

MADRID 2.005

Fallos de Seguridad

MADRID 2.005

El incendio provocó la pérdida de los soportes documentales de una auditoría realizada por Deloitte al Grupo FG, que habían sido solicitados por la Fiscalía Anticorrupción un día antes del siniestro

En consecuencia…El gasto en prevención, para aumentar la seguridad informática, es similar a un seguro contra incendios, contra robos. No produce valor a la empresa, pero minimiza la posibilidad de que se produzca un incidente que haga perder la capacidad productiva de la empresa.

“Es un dinero bien gastado”

Pensar que…El gasto en prevención, nunca puede ser mayor que el valor de los activos a proteger…

“Mal negocio sino”

Pensar que…- Horas de trabajo para reparar y

reconfigurar- Perdidas ocasionadas por tener el

sistema inoperativo.- Perdidas por robo de formulas,

documentos.- Perdida de credibilidad, imagen.- Perdida de pedidos.- Perdidas humanas (en el limite).- Pago de indemnizaciones.

Pensar que…- En un proyecto que tenga que ver con

los sistemas informáticos, siempre tengamos en cuenta un apartado de “Seguridad de la informacion” referido a este proyecto.

- Imprescindible el contar con el apoyo de la Dirección, y como no, con la colaboración de los usuarios.

Defensa en Profundidad- Si utilizamos un sistema de

seguridad tipo “cebolla”, con varias capas de seguridad, esto va a redundar en nuestro beneficio, y va a mantener alejados a los SCRIPT KIDDIES.

Personas que utilizan algún programa bajado de internet para atacar sistemas, sin tener los suficientes conocimientos de Sistemas Informáticos.

S G S I- Sistema de Gestión de Seguridad

de la Información.

- Es una parte del sistema de gestión, que comprende “LO NECESARIO” para implantar la

GESTION DE LA SEGURIDAD en la Organización

Sistema Seguro- Sistema apagado, en caja fuerte

de Titanio, en un bloque de cemento, rodeado de gas nervioso, custodiado por guardias bien pagados. Y no apostaría mi vida en ello.

- Gene Spafford

POLITICAS DE GSI- Conjunto de Normas,

procedimientos, buenas prácticas que determinan como protegemos todo el SGI.

POLITICAS DE GSI- Es importante Formalizar la

gestión- Establecer Procesos PDCA

- Plan ( Planificar )- Do ( Hacer )- Check ( Chequear )- Act ( Actualizar )

Etapas en la GSI1)Medidas Básicas de Sentido

ComúnAlguna copia de seguridad

Algun control de usuario/contraseña

2)Adaptación al Marco legalLopdDelitos informáticos

Etapas en la GSI3) Gestión Integral de la Seg. Inf.

Politica de seguridadPlanes y ProcedimientosAnálisis de riesgosPlan de continuidad de Negocio

4) Certificación en SeguridadAdaptación a ISO 27001UNE71501, UNE71502

LA PRIVACIDAD

ACCESO A VIDEOTUTORIALES DE PRIVACIDAD

WEB DE REFERENCIA: WWW.AGPD.ES

Nota: Documentos varios del tema 01

ANEXONORMATIVAS RELACIONADAS

ISO27001LOPDLSSI

LEY DE PROPIEDAD INTELECTUAL

ANEXO iiSoftware de Encriptacion

TRUE CRYPT

Ejercicio: Instalar y Evaluar

ANEXO iiiSoftware de Protección USB

USB manager

Ejercicio: Instalar y Evaluar

Seguridad Informática

Technology

Seguridad Informática Tema 1: Introducción a la seguridad informática

Seguridad informática

SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICA

SEGURIDAD INFORMÁTICA

Seguridad informática

Seguridad Informática