Seguridad de la Informaci贸n
Reuni贸n 1 Fundamentos de la Seguridad de la Informaci贸n
Fundamentos de la Seguridad de la Información
Temari o
Amenazas a la Seguridad de la Información Confidencialidad Integridad Disponibilidad Incidentes de seguridad Políticas de Seguridad de la Información Normas vigentes
2
Fundamentos de la Seguridad de la Información
¿Qué se debe Asegurar? La información debe considerarse un activo importante con el que cuentan las Organizaciones para satisfacer sus objetivos, razón por la cual, tiene un alto valor para las mismas y es crítica para su desempeño y subsistencia. Por tal motivo, al igual que el resto de los activos organizacionales, debe asegurarse que esté debidamente protegida. 3
Fundamentos de la Seguridad de la Información
¿Contra qué se debe proteger la información? Las “buenas prácticas” en Seguridad de la Información, protegen a ésta contra una amplia gama de amenazas, tanto de orden fortuito (destrucción parcial o total por incendio inundaciones, eventos eléctricos y otros) como de orden deliberado, tal como fraude, espionaje, sabotaje, vandalismo, etc.
4
Fundamentos de la Seguridad de la Información
Vulnerabilidades y Amenazas Una vulnerabilidad es una debilidad en un activo. Una amenaza es una violación potencial de la seguridad. No es necesario que la violación ocurra para que la amenaza exista. Las amenazas “explotan” vulnerabilidades.
5
Fundamentos de la Seguridad de la Informaci贸n
Amenazas
Naturales
Incendios Terremotos Inundaciones
Internas
AMENAZAS
Maliciosas Externas
Humanas No Maliciosas
Impericia 6
Fundamentos de la Seguridad de la Información
¿Qué se debe garantizar?
1. CONFIDENCIALIDAD
Se garantiza que la información es accesible sólo a aquellas personas autorizadas.
7
Fundamentos de la Seguridad de la Información
¿Qué se debe garantizar?
2. INTEGRIDAD
Se salvaguarda la exactitud y totalidad de la información y los métodos de procesamiento y transmisión. 8
Fundamentos de la Seguridad de la Informaci贸n
驴Qu茅 se debe garantizar?
3. DISPONIBILIDAD
Se garantiza que los usuarios autorizados tienen acceso a la informaci贸n y a los recursos relacionados toda vez que lo requieran. 9
Fundamentos de la Seguridad de la Informaci贸n
Incidente Un incidente de seguridad, es un evento adverso que puede afectar a un sistema o red de computadoras. Puede ser causado por una falla en alg煤n mecanismo de seguridad, un intento o amenaza (concretada o no) de romper mecanismos de seguridad, etc. 10
Fundamentos de la Seguridad de la Informaci贸n
Algunos Incidentes
1
2
3
4 11
Fundamentos de la Seguridad de la Información
¿Por qué Aumentan las Amenazas? Mayor dependencia de los Sistemas, Servicios de Información y de tecnologías asociadas.
Algunas Causas
Crecimiento exponencial de las Redes y Usuarios Interconectados Profusión de las Bases de Datos en-línea Inmadurez de las Nuevas Tecnologías Alta disponibilidad de Herramientas Automatizadas para Ataques a la Seguridad 12
Fundamentos de la Seguridad de la Información
¿Por qué Aumentan las Amenazas?
Nuevas Técnicas de Ataque Distribuido (Ej:Denegación de Servicio) Algunas Causas
Técnicas de Ingeniería Social Falta o insuficiencia de capacitación Rentabilidad de los ataques
13
Fundamentos de la Seguridad de la Información
¿Qué es el riesgo? Es la probabilidad o posibilidad de que ocurra un acontecimiento indeseado o se realice una acción no deseada de modo que afecte negativamente a la organización, a sus activos y/o a la consecución de sus fines, objetivos y resultados.
14
Fundamentos de la Seguridad de la Informaci贸n
Pol铆tica de seguridad de la informaci贸n (PSI)
15
Fundamentos de la Seguridad de la Información
PSI Aumento de los niveles de seguridad en las organizaciones La implementación de una “PSI”, le permite a las Organizaciones cumplir una gestión efectiva de los recursos de información críticos e instalar y administrar los mecanismos de protección adecuados, determinando qué conductas son permitidas y cuáles no. Esto redundará en una efectiva reducción de los niveles de riesgo y de las vulnerabilidades, lo cual, en definitiva, se traduce en ahorro de tiempo y dinero, genera mayor confianza y un fortalecimiento de la imagen institucional. 16
Fundamentos de la Seguridad de la Información
PSI Planificación de actividades A través de la actuación de distintos actores las Organizaciones pueden armar una efectiva planificación de las actividades a desarrollar, con el objetivo de hacer más seguros sus sistemas. Esto es importante pues no sólo asegura que se abarquen todas las áreas relevantes, si no también el cumplimiento de los objetivos.
Mejora Continua La PSI describe, no solamente los aspectos a tener en cuenta en el proceso del alcance de los objetivos en materia de Seguridad de la Información, sino también los criterios de revisión y mejora continua para mantenerlos. 17
Fundamentos de la Seguridad de la Información
PSI Involucramiento Ud. es muy importante para la organización, y como tal debe involucrarse en el cumplimiento de la PSI.
Conocimiento Es necesario que ud. conozca y comprenda la PSI de su Organización.
18
Fundamentos de la Seguridad de la Informaci贸n
Leyes y Normas Vigentes
19
Fundamentos de la Seguridad de la Informaciรณn
Cumplimiento de Normas La PSI permite alinear los esfuerzos y recursos dispuestos en la organizaciรณn acorde a las normativas generales o particulares que la alcance. Ademรกs existen otras normas respecto al tratamiento de la informaciรณn, como por ejemplo la Ley de Protecciรณn de Datos Personales, Ley de Derecho de Autor, de Firma Digital, etc. 20
Fundamentos de la Seguridad de la Información
DA 669/2004 Todos los organismos de la APN deben contar con: Una PSI aprobada e implementada. Un responsable de seguridad informática. Un comité de seguridad de la información para el tratamiento de dichos temas.
21
Fundamentos de la Seguridad de la Información
Protección de la Información en la APN Obligaciones de los funcionarios públicos Ley 25.164 Observar el deber de fidelidad y guardar la discreción correspondiente o la reserva absoluta, en su caso, de todo asunto del servicio que así lo requiera. Hacer uso indebido o con fines particulares del patrimonio estatal.
22
Fundamentos de la Seguridad de la Información
Prevención de uso no adecuado de recursos informáticos en la APN Obligaciones de los funcionarios públicos Ley 25.188 Abstenerse de utilizar información adquirida en el cumplimiento de sus funciones para realizar actividades no relacionadas con sus tareas oficiales o de permitir su uso en beneficio de intereses privados. Proteger y conservar la propiedad del Estado y sólo emplear sus bienes con los fines autorizados.
23
Fundamentos de la Seguridad de la Información
Protección de Datos Personales Constitución Nacional - Art. 43
“
TODA PERSONA PUEDE ... Mediante un procedimiento formal, tomar conocimiento de los datos a ella referidos y de su finalidad, que consten en Registros o Bancos de Datos Públicos o los Privados destinados a proveer informes, ...
” 24
Fundamentos de la Seguridad de la Información
Protección de Datos Personales Ley 25.326 Dato personal
Toda información relativa a una persona física o jurídica
Requisitos para el tratamiento de datos personales
Consentimiento libre, expreso e informado del Titular de los datos Existen algunas excepciones al consentimiento, tales como DNI, Nombre, ocupación, domicilio, etc.
Derechos del titular
Controlar el tratamiento de sus datos personales Acceder a sus datos personales contenidos en archivos de terceros Solicitar supresión, actualización o corrección de sus datos personales 25
Fundamentos de la Seguridad de la Información
Ley N° 11.723/25.036 Propiedad Intelectual
“
... Las obras científicas, literarias y artísticas comprenden los escritos de toda naturaleza y extensión, entre ellos los programas de computación, fuente, objeto ...
”
26
Fundamentos de la Seguridad de la Información
¿Qué protege?
Ley N° 11.723/25.036 Propiedad Intelectual
Los derechos de autor de los programas de computación fuente y objeto; las compilaciones de datos o de otros materiales.
Consecuencias Los funcionarios públicos únicamente podrán utilizar material autorizado por el Organismo. El Organismo solo podrá autorizar el uso de material conforme los términos y condiciones de las licencias de uso. La infracción a estos derechos puede tener como resultado acciones legales que podrían derivar en demandas penales. 27
Fundamentos de la Seguridad de la Información
Ley N° 25.506 – Firma Digital Se reconoce la eficacia jurídica al empleo de la Firma Digital. Documento Digital ... Representación digital de actos o hechos con independencia del soporte utilizado para su fijación, almacenamiento o archivo ...
Firma Digital ... Resultado de aplicar a un documento digital un procedimiento matemático que requiere información de exclusivo conocimiento del firmante 28