Seguridad Informática
Propósito de la seguridad • El propósito de la seguridad es proteger recursos valiosos. • La información y sus recursos asociados (hardware, software, instalaciones y gente) son elementos tanto o más valiosos que los tradicionales bienes de una organización.
1
RECURSOS INFORMÁTICOS Integridad
Confidencialidad
Instalaciones
Personas
Disponibilidad Datos Software
Hardware
PRIVACIDAD CURIOSIDAD --- EXTORSIÓN CONFLICTO: Derecho del individuo vs. Necesidades de organizaciones privadas y públicas (voluntarias obligatorias), Cómo y que información va a ser recogida Cómo y quien la va a usar Cómo habrá de ser revisada, modificada y corregida
2
¿LA SEGURIDAD ES UNA PREOCUPACION FUNDAMENTAL?
¿Por qué ? No hay una clara percepcion del problema (¡no es mi problema!)
Existen otras prioridades La seguridad es cara Requiere apoyo de la direccion superior Síndrome : “a mi no me va a ocurrir” Dedicacion especial y diversidad de conocimientos Falta de reconocimiento de la información como un recurso importante 1983
3
¡ ¡ ¡ A M E N A Z A S ! ! ! Da In ño te Hu nc m ion an al o
no l ma ona u H ci ño nten a D I no
Recursos Informáticos
VULNERABILIDAD
Pr o Op blem er at as ivo s
la de a s z to le Ac tura na
CONSECUENCIAS
1983
Actos de la naturaleza • Incendio • Inundación • Filtraciones • Alta temperatura • Terremoto • Derrumbe • Explosion • Corte de energia • Disturbios
4
Fallas de hardware, software e instalaciones • Caida o falla del procesador • Caida o falla de periféricos • Comunicaciones • Software de base • Software de aplicación • Aire acondicionado • Falla en el sistema electrico
Errores y omisiones • En el ingreso de los datos • En la operacion • En el uso de archivos • En el uso de programas • En el desarrollo de sistemas • En el uso de respaldo (back-up) • En el uso de terminales • Perdida de soportes • Falta actualizacion documentacion • Accidentes en prueba programa • Daño accidental de archivos
5
Fraudes • Hurto • Robo • Defraudacion • Uso indebido de recursos • Phishing
Daño intencional • Terrorismo • Vandalismo • Sabotaje • Operacion maliciosa • Programacion maliciosa • Infiltracion en lineas • Hackers / crackers • Virus • Malware
6
NUEVAS tecnologías, amenazas Internet Wireless Computación ubicua Dispositivos móviles
Virus Spam Spyware Phishing Pornografía
Nuevas exigencias legislación, estándares, mejores prácticas
Vulnerabilidades • • • • • • • •
Controles de acceso físico y/o lógico Controles de entrada, proceso y salida de datos Diseño y/o programación del soft de aplicación Documentación Back-ups Capacitación a usuarios y gente de sistemas Responsable de seguridad informática Plan de contingencia y/o continuidad de negocios • Medidas preventivas, detectivas y de reacción
7
Consecuencias Pérdida de Ingresos
Pérdida de Reputación
Ciclos de Negocios Desperdiciados
Problemas de Confidencialidad
Pérdida de Información
Consecuencias Legales
Interrupción de los Procesos de Negocios
Fuente: Microsoft
Cálculo de la posible perdida Cuantitativas
Valor de reposición del recurso. Lucro cesante. Multas / juicios. Incidencia financiera. Costo de recuperación.
8
Cálculo de la posible pérdida Cualitativas – – – –
Imágen. Moral. Confianza. Responsabilidad legal.
Medidas de protección (Countermeasures) Preventivas / disuasivas Detectivas Correctivas / de recuperació recuperación Evitar, mitigar o trasladar una consecuencia no deseable.
9
Incidencia de las medidas de seguridad Pérdida de performance Mayor complejidad Pérdida de flexibilidad del sistema Mayor requerimiento de hardware Mayor requerimiento de rrhh
Gestión de riesgos (i) 1. Identificar los recursos informáticos afectados 2. Identificar las amenazas 3. Identificar las vulnerabilidades 4. Estimar las consecuencias 5. Estimar probabilidad de ocurrencia de las amenazas
10
Gestión de riesgos (ii) 6. Determinar el valor esperado 7. Determinar medidas preventivas, detectivas, correctivas y de recuperación. 8. Estimar los costos de las medidas 9. Comparar valor esperado contra costos de las medidas 10.Formular el plan de seguridad y el plan de contingencia
VULNERABILIDAD
GESTIÓN DE RIESGOS
AMENAZA
RECURSOS INFORMATICOS
CONSECUENCIA
MEDIDAS DE PROTECCIÓN
11
CONSECUENCIA A M E N A Z A
ALTO IMPACTO
BAJO IMPACTO
ALTA FRECUENCIA
BAJA FRECUENCIA
¿No debería ocurrir?
Controles Internos
¡¡Atención!!
¿No tener en cuenta?
Seguridad: un cambio de enfoque De Alcance Propietario Costo Objetivo
A
Problema técnico Área de TI
Problema de negocio Áreas de Negocio
Gasto Seguridad de TI
Inversión Continuidad del negocio
12
La gente es el eslabón más débil de un programa de seguridad informática.
13
Crear conciencia (awareness) a través de la capacitación y la comunicación.
La concientización es la inversión de mayor rentabilidad.
14
DE LA INFORMACIĂ“N
Equilibrio entre seguridad, funcionalidad y costo.
15
La seguridad total no existe o puede no ser conveniente.
El sĂndrome de la lĂnea Maginot.
16
El outsourcing no deslinda la responsabilidad de la seguridad.
17
Incorporar la seguridad en los procesos y las aplicaciones (desde el principio).
Las organizaciones siguen siendo reactivas, respondiendo mediante la asignaci贸n de valiosos recursos a acciones t谩cticas y esfuerzos de cumplimiento aislados.
Fuente: Infosecurity Professional Autumn 2008
18
Al final, las medidas de emergencia y las soluciones puntuales terminan siendo costosas y difíciles de gestionar debido a la complejidad de soluciones múltiples y redundantes.
Fuente: Infosecurity Professional Autumn 2008
Muchas empresas descansan solamente en la tecnología para enfrentar los riesgos; eso ha probado ser ineficiente y hasta dañino. Esto es así porque un enfoque basado exclusivamente en herramientas ataca a las amenazas de una manera poco sistemática, que puede amplificar problemas futuros.
Fuente: Infosecurity Professional Autumn 2008
19
En el interés de resolver problemas más holisticamente, las empresas deberían desarrollar acciones tácticas guiadas por el valor de los activos, de las probabilidad de las amenazas y del potencial impacto en los negocios.
Fuente: Infosecurity Professional Autumn 2008
Leyes en la Republica Argentina • PROPIEDAD INTELECTUAL (11723) / (25036) – Libros – Software
• HABEAS DATA (25326 / 2000) – Protección del dato – Protección de los datos del usuario – Anti SPAM
• FIRMA DIGITAL (25506 / 2001)
– Envío de e-mails con firma y encriptados – Valor como carta documento (Código Penal)
• DELITOS INFORMÁTICOS (26338 /2008)) – Modificaciones al Código Penal – Alcance restringido
20