Embed Size (px)
Citation preview
PRINCIPIOS BÁSICOS DE SEGURIDAD DE LA INFORMACIÓN
Oficina Tecnologías de la Información
Guillermo Cadena Ronderos
Grupo de Administración y Seguridad de la Información
Soy Respetuoso cuando…
Dejo el celular sin sonido
Me concentro en el taller
Soy responsable cuando…
Participo activamente
ACUERDOS
Formulo mis preguntas al final ?
Dejo mi puesto en optimas condiciones
AGENDA
OBJETIVO
¿ Que es Informacion?
Politicas
Normas que aplican a la seguridad de la información
Subsistema de Seguridad de la Información
Ancance SSI
Metodos para obtener Informacion
Contraseñas
Cuidado de la Informacion
OBJETIVO
Dar a conocer los principios básicos y comportamientos que debemos
adoptar en Seguridad de la Información por parte de funcionarios y
contratistas, con el fin de mitigar los riesgos de seguridad que
vulneran la información de la SNS.
¿QUE ES INFORMACIÓN?
Es todo aquello que contiene datos organizados susceptibles de
tratamiento dentro de la Organización.
La información, como Activo Corporativo, puede existir de muchas formas:
• Impresa, Almacenada electrónicamente.
• Transmitida por medios electrónicos, Suministrada en una conversación
• Conocimiento de las personas.
VIDEO DE SEGURIDAD DE LA INFORMACION PARA
REFLEXIONAR
Es el conjunto de acciones y estrategias de
administración de la información que propende por
el diseño, implantación y mantenimiento de un
conjunto de políticas y procedimientos para
gestionar eficientemente la seguridad de la
información.
Busca Preservar:
• Confidencialidad
• Integridad
• Disponibilidad
SUBSISTEMA DE SEGURIDAD DE LA INFORMACIÓN
Directriz de seguridad de la información
•La información debe ser accedida sólo poraquellas personas que lo requieran, comouna necesidad legítima para la realizaciónde sus funciones.
•La revelación no autorizada de lainformación confidencialidad clasificada oreservada, implica un grave impacto en laSNS en términos económicos, de su imageny ante sus clientes.
Confidencialidad
Para la persona correcta
Directriz de seguridad de la información
La información de la SNS debe ser precisa,coherente y completa desde su creación hastasu disposición final y únicamente podrá sermodificada por las personas expresamenteautorizadas para ello.
La falta de integridad de la información puedeexponer a la Empresa a toma de decisionesincorrectas, lo cual puede ocasionar pérdidasde imagen o financieras.
Integridad
Información Correcta
Directriz de seguridad de la información
La información debe estar en el momento y enel formato que se requiera ahora y en elfuturo, al igual que los recursos necesariospara su uso.
La no disponibilidad de la información puederesultar en pérdidas financieras, de imageny/o de credibilidad ante los clientes de laEntidad.
Disponibilidad
En el Momento Correcto
SEGURIDAD DE LA INFORMACIÓN• ¿En qué consiste? En la aplicación y la gestión de medidas de
seguridad adecuadas que implican analizar una amplia gama deamenazas, con el fin de garantizar el éxito de la Entidad y lacontinuidad de los procesos, minimizando los impactos que puedenocurrir.
• ¿Cómo se obtiene? Identificando y aplicando controles quepermitan mitigar los riesgos e integrando un Sistema de Gestión deSeguridad de la Información SGSI que este alineado con losprocesos y el negocio de la Entidad.
SEGURIDAD DE LA INFORMACIÓN
Busca garantizar la confidencialidad,
integridad y disponibilidad de la información a
todas las partes interesadas de la Entidad.
El cual abarca los procesos de:
• Gestión de la Participación Ciudadana en
las Instituciones del Sistema General de
Seguridad Social en Salud.
• Gestión de Atención al Usuario del
Sistema General de Seguridad Social en
Salud.
• Gestión de TIC de la Superintendencia
Nacional de Salud.
ALCANCE SGSI
POLÍTICAS DEL SUBSISTEMA DE SEGURIDAD DE LA INFORMACIÓN
La SNS está encargada de proteger los derechos en salud de los habitantes delterritorio colombiano mediante mecanismos de Inspección, Vigilancia y Controlacorde con la misión de la entidad; de acuerdo a los lineamientos establecidos enla norma ISO NTC 27001-2013 acorde al Subsistema de Seguridad en laInformación se compromete a:• Gestionar los riesgos en seguridad de la información que facilite la
identificación, valoración, implementación de controles, monitoreo yseguimiento de los niveles de riesgos.
• Asegurar la confidencialidad, integridad y disponibilidad de la información dela SNS, así como la información de terceros en su poder; acorde con el nivelde riesgo aceptado por la Entidad.
• Mantener y evaluar el Subsistema de Seguridad en la Información.
Con el compromiso de la Alta dirección y todos los responsables de los procesosde la Entidad, fortalecimiento de las competencias del personal en materia deGestión de la Seguridad de la Información.
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
La SNS es la encargada de proteger los derechos en salud de los habitantes del territorio colombiano encumplimiento de los principios, garantías y procedimientos previstos por el gobierno nacional para laprotección de Datos Personales, se compromete a:• Regular la recolección, almacenamiento, uso, circulación y eliminación de datos personales de
nuestros usuarios.• Establecer procesos y lineamientos para el tratamiento de datos personales apoyándose en el
Subsistema de Seguridad de la Información y en la gestión de Activos de Información.• Dar cumplimiento a lo establecido en la Ley 1581 de 2012, mediante la cual se expidió el Régimen
General de Protección de Datos Personales, y demás normas que adicionen, modifiquen o deroguen la protección de datos personales.
• Dar a conocer a todos nuestros usuarios los derechos y deberes que se derivan de la protección de datos personales.
• Realizar socialización, divulgación y capacitación de los procesos y lineamientos establecidos para el tratamiento de datos personales a los funcionarios de la SNS a través del equipo conformado para la implementación del Subsistema de Seguridad de la Información.
• Recolectar, actualizar y registrar la información que reposa en base de datos personales y está sujeta a tratamiento de la presente política.
• Solicitar autorización a los usuarios titulares de la información, para su recolección, almacenamiento, uso, cesión, transmisión y eliminación.
POLÍTICA DE PROTECCIÓN DE DATOS
Asegurar la adecuada gestión de los incidentes que se
generen dentro de la Entidad.
• Acceso no autorizado a la información.
• Divulgación de información sensible.
• Denegación del servicio.
• Daño de la información.
Reportar los incidentes de seguridad de la Información a
través de los mecanismos autorizados.
POLITICA DE GESTIÓN DE INCIDENTES
POLÍTICAS DE SEGUNDO NIVEL DEL SUBSISTEMA DE SEGURIDAD
DE LA INFORMACIÓN
ASPO09
NORMAS QUE APLICAN A LA SEGURIDAD DE LA INFORMACIÓN
Habeas dataLey 1266 de 2008Regula el manejo de la información personal, crediticia, y financiera de las bases de datos de las centrales de riesgo.
Derechos de AutorCódigo Penal Colombiano, Ley 599 del 2000
Delitos InformáticosLey 1273 de 2009
Ley Estatutaria 1581 de 2012 Disposiciones generales para la Protección de Datos Personales.
Decreto 1377 (27 de Junio de 2013)“Por el cual se reglamenta parcialmente la Ley 1581 de 2012”
Ley 734 de 2002 Código Disciplinario Único para funcionarios públicos.
Ley 1474 de 2011 Estatuto Anticorrupción.
Ley 527 de 1999 Se define y reglamenta el acceso y uso de los mensajes de datos.
Decreto 2364 de 2012Se reglamenta el uso de la firma electrónica.
Ley 1712 – 2014 Ley de Acceso Publico de la Información (Ley
de Transparencia).
Decreto 1078 – 2015 DecretoÚnico Reglamentario del Sectorde Tecnologías de laInformación y lasComunicaciones.
Normas nacionales que buscan la protección
de la información
MÉTODOS PARA OBTENER INFORMACIÓN
INGENIERIA SOCIAL
PHISHING
DUMPSTER DIVING
INGENIERIA SOCIAL
“Es la práctica de obtener información confidencial a
través de la manipulación de las personas”.
Como Evitarlo
• Sea cauteloso al entregar información personal en rifas,
encuestas u ofertas.
• Verifique con quien habla, sobre todo si le están
preguntado datos personales o contraseñas de acceso.
• No se deje intimidar o adular para entregar información.
• Si recibe llamadas telefónicas extrañas solicite los datos
de su interlocutor (Ej: nombre, número de registro,
nombre del jefe inmediato, número telefónico/extensión) y
corrobore dicha información.
PHISHING
PHISHING
Cómo Evitarlo
• Desconfié de cualquier correo electrónico que solicite datos confidenciales
como nombres de usuario, contraseñas, números de tarjeta de crédito,
etc.
• No utilice enlaces para acceder a sitios web con información
confidencial, y menos aún si proceden de mensajes de correo electrónicos
o páginas no fiables. En su lugar, se recomienda escribir en el navegador
la dirección correspondiente.
“Duplicación ilegal de una página web que tiene como
objetivo adquirir información confidencial de manera
fraudulenta”.
DUMPSTER DIVING
Como Evitarlo
• Destruya los documentos físicos con información confidencial o restringida
utilizando un mecanismo seguro.
• Antes de arrojar a la basura rompa los documentos que contengan
información personal o corporativa como: planos, diagramas, sentencias,
memorandos, bitácoras, extractos bancarios, recibos de pago, etc.
“Buscar entre la basura información confidencial con el
fin de suplantar la identidad de alguien o realizar fraude”.
CONTRASEÑAS
Contraseñas Seguras
• Inclúyales caracteres alfanuméricos y especiales (# - $ - % - *)
• Debe tener mínimo 8 caracteres.
• Utilice caracteres diferentes, no consecutivos ni idénticos.
• Memorice la contraseña y nunca la divulgue o la comparta.
• Cambie las contraseñas periódicamente.
• No utilice combinaciones obvias del teclado: asdf, aqsw, !»#$
¿ Cu ánto se d e mora u n H ac ker e n d e sc i f rar u n a co ntraseña?
Construir una contraseña segura es fácil
Seleccione una frase, tome la primera o última letra de cada palabra y agregue
caracteres especiales y alfanuméricos .
Frase: “L o m í o n o e s s u e r t e s o n b e n d i c i o n e s ”
Clave: L m n e s s b % 1 6
Frase: “A b u e n e n t e n d e d o r p o c a s p a l a b r a s ”
Clave: A % b e p p $ 1 2 0 4
Seleccione las consonantes de una palabra y establezca un orden, agregue
caracteres especiales y alfanuméricos.
Palabra: crucigrama
Clave: * 2 3 c r c g r m *
CUIDADO DE LA
INFORMACIÓN
Sea cuidadoso con la información que publica en redes sociales y chat:
• Cuide sus datos personales. Nunca publique:
• La dirección de la casa ni el teléfono
• El número de cédula, fecha de nacimiento
• El lugar de trabajo
• El nombre del colegio de los niños
• Fotos de la casa, el carro, la placa.
• Planes de vacaciones
• Revise su perfil periódicamente.
• Revise la configuración de privacidad.
• Cuide los comentarios que hace de otras personas, o del trabajo.
• Piense antes de publicar fotografías.
• Acepte como amigos a personas que realmente conozca.
• Revise la información de sus hijos, el perfil, los amigos, con quiénes
comparte fotos
Fuente: http://www.humblelibertarian.com/2010/10/libertarian-virtues-of-dumpster-diving.html
Cuidado de la Información
EN LA CASA
• Claves bancarias y claves de cuentasde correo personal.
• Al salir de viaje tome medidas deseguridad que mitiguen hechosdelictivos en su residencia.
• Información personal comoescrituras, pólizas de seguro,extractos bancarios, cheques, entreotros, requieren medidas adecuadasde seguridad.
EN EL TRABAJO
• Claves de acceso a los aplicativos delos sistemas de la Entidad y clavepara cuenta de correo corporativo.
• Cuando se retire de su puesto detrabajo tome las medidas pertinentespara asegurar la información de losequipos bajo su responsabilidad.
• Información relacionada con laactividad laboral (sentencias,memorandos, resoluciones,expedientes, archivos impresos etc.)
RECUERDA QUE…
La Seguridad de la Información: Es importante para la Entidad; ya que mitiga, protege, asegura y controla todos los riesgos, que
pueden generar grandes pérdidas que afecten los recursos de la Superintendencia Nacional De Salud.
Referencias
• http://www.dreamstime.com/stock-image-email-icon-3d-image10691671• https://blogcomercioelectronico.com/estatuto-consumidor-proteccion-al/• http://vanessasarraldemetadoumental.weebly.com/comercio-
electroacutenico.html• https://www.behance.net/gallery/24116593/Propuesta-Centro-Ciberntico-Policial-
(Col)• http://dticucv.blogspot.com.co/2014/10/el-riesgo-de-la-ingenieria-social-en-
la.html• https://youtu.be/KiuTyXehW-8
Fecha: Junio 10 DE 2016
Grupo de Administración y Seguridad de la Información
Oficina Tecnologías de la Información
Guillermo Cadena Ronderos
GRACIAS
SUBSISTEMA DE SEGURIDAD DE LA INFORMACION
