02. introducción a la seguridad de la información

2012 VRV (Contacto: [email protected])

Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.

Fundamentos de la Norma ISO

27001 para la Gestin de la

Seguridad de la Informacin

Mdulo 2 Introduccin a la Seguridad de la Informacin

Expositor: Vctor Reyna Vargas

Ingeniero de Sistemas

[email protected]

1



Agenda

El predicamento de Mike.

Importancia de la Seguridad de la Informacin.

2


Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor. 3

Mike, nuevo Gerente de Seguridad de la Informacin en

Space Scan Corp.


Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor. 4

Hola, soy Mike.

Hola Mike, soy Michelle. Soy

la secretaria del Gerente

General, John Campbell.

Hola Michelle.

As es.

Gracias Michelle.

De nada.

John te estar recibiendo

hoy a las 3 de la tarde.

Mike, John solicit una

reunin contigo para discutir

las nuevas estrategias de

seguridad de la informacin?

En la oficina de Mike



En la oficina de John Campbell (1)

5

Hola Mike, que gusto tenerte

en la empresa. Te gusta tu

nuevo trabajo? Gracias. S, me estoy

adaptando.

No soy un experto en

seguridad pero entiendo que

la Seguridad de la

Informacin debe ser como

cualquier otro proceso del

negocio, cierto?

Como debe de ser. T eres

el primer Gerente de


que hemos tenido. Tengo

algunas expectativas que me

gustara compartirte.

As es. No es suficiente

decir que tenemos

antivirus y firewalls.



En la oficina de John Campbell (2)

6

Excelente. Ests en lo cierto.

Permteme hacerlo simple,

necesitamos Seguridad de la

Informacin por 3 motivos.

Primero. Para proteger

nuevos secretos de negocio

de nuestros competidores,

ladrones e incidentes o

accidentes.

Segundo. Para estar del lado

correcto de la ley. Una buena


satisface requerimientos

regulatorios y de privacidad.

Tercero. Para satisfacer a

nuestros clientes y darles la

confianza de que su

informacin est segura con

nosotros. Gracias por hacerlo muy

sencillo y preciso.



Mike y John continan la conversacin

7

Existe algo ms John? As es. Quiero que cada

departamento de esta

organizacin sea parte de la

iniciativa de Seguridad de la

Informacin.

Esto no debera parecer

como si fuera solo tu

problema.

Eso ir a ser un reto? As es. Pienso que la


es responsabilidad de cada

uno de nosotros. Cada

miembro de la fuerza de

trabajo debe saber el valor

de la informacin del negocio

y debe protegerla.

Entiendo que no podemos

tener Seguridad de la

Informacin de la noche a la

maana.

Absolutamente Mike, est en

lo correcto. Pero si tienes un

progreso estable y

consistente yo te apoyar.

Excelente. Es bueno

saber que mi Gerente

General piensa igual a mi.

Estoy de acuerdo pero

pienso que la Seguridad

de la Informacin no es

su prioridad y que podran

no tener mucho tiempo

para ello.



De regreso a la oficina de Mike

8

Bien, la reunin con John

fue buena. Empecemos a

trabajar con lo que l dijo.

Empecemos con esto.

Ya que mi trabajo es

hacer de la Seguridad de

la Informacin un

verdadero proceso del

negocio, primero debo

conocer a todas las

cabezas funcionales del

negocio.



Mike invita a Ian, el Gerente de RRHH, a una reunin(1)

9

Bienvenido Mike.

Gracias por aceptar mi

invitacin Ian.

Ian, me estoy reuniendo con

todos los gerentes de

negocios para entender su

perspectiva acerca de la

proteccin de la informacin

del negocio como parte de

una iniciativa de Seguridad

de la Informacin.

Entiendo. Pienso que es

una buena idea y una

deuda de hace tiempo. Me podras contar acerca de

la informacin valorable que

el departamento de RRHH

almacene y use?

Cmo protegen la privacidad

de estos documentos?

Lo siento, no te entiendo.

Bueno, nosotros

almacenamos un montn

de informacin de los

empleados, como los

nmero de Seguridad

Social, copias de los

registros educativos, etc.

Quiero decir, cmo se

aseguran que estos

documentos no son robados

o mal utilizados porque

contienen informacin

sensible.



Mike invita a Ian, el Gerente de RRHH, a una reunin(2)

10

Bueno, los almacenamos

en un servidor de

archivos.

ycuntas personas tienen acceso a este servidor de

archivos?

Buenopienso que muchos de nosotros.

Bueno, pienso que eso no es

bueno.

Estoy de acuerdo contigo.

Estoy seguro que existen

un montn de esos

puntos dbiles en la

forma cmo manejamos

la informacin. Me

gustara que revisaras y

nos dijeras qu hacer.

Seguro. Tienes un actitud

buena y abierta. Estoy

seguro que podemos

mejorar las cosas.

Un gusto en ayudar Mike.



Seguido Mike se rene con Andrew, el Gerente de

Tecnologas de la Informacin

11

Bienvenido Mike. Creo

que quieres discutir

algunos aspectos de la

Seguridad de la

Informacin conmigo.

Gracias y s Andrew, ests

en lo correcto. Pienso que

Ian tendra que habrtelo

dicho.

Tenemos firewalls,

sistemas de control de

virus, filtros de contenido

y sistemas de deteccin

de intrusos.

Eso est muy bien. Ustedes

revisan regularmente sus

sistemas y dispositivos de

seguridad con pruebas de

penetracin y evaluaciones

de vulnerabilidades?

An no. Qu hay de parches

regulares y actualizaciones

importantes para todos los

sistemas? Bueno, lo hacemos una

vez cada cierto tiempo.

De acuerdo. Y siguen un

proceso de Gestin de

Cambio cuando lo hacen?

Seguro. Me gustara

considerar tus

advertencias en estos

asuntos.

Bueno, no realmente.

Para eso estoy ac.

Bueno, pienso que debemos

usar estos procesos ya que

reducen los riesgos mientras

se actualizan los sistemas.



Ahora Mike se rene con Anna, la Gerente de Finanzas(1)

12

Hola Mike. Escuch que

ests siendo muy proactivo

en la creacin de un buen

sistema de Seguridad de la

Informacin para nuestra

empresa.

Gracias. Pienso que es

un asunto muy

importante.

Yo tambin. De hecho, mi

departamento maneja un

montn de datos financieros

y estoy preocupada acerca

de la firma en que estos

datos se almacenan y usan.

Podras ser ms

especfica?

Bueno, los datos financieros

muchas veces se almacenan

en el mismo servidor de

archivos de los datos de

RHH.

Oh oh, Y piensas que las

personas en el

departamento de RRHH

pueden tener acceso a

estos datos financieros? Bueno, pienso que s

pueden. Bueno, algunos de estos

datos deben ser muy

confidenciales y no

deberan ser vistos por

las personas de RRHH

inclusive. Estoy en lo

cierto?

As es. Nunca lo vi desde

ese punto de vista. Parte de

esta informacin debera ser

vista solo por la alta

gerencia.



Ahora Mike se rene con Anna, la Gerente de Finanzas(2)

13

Cul podra ser el

problema si estos datos

son robados y

destruidos?

Oh!!! Nunca pens en eso.

Podramos ser demandados

y el gobierno podra

imponernos

penalidadesporque la informacin financiera

incluye informacin legal y

regulatoria tambin.

Bueno, entonces tengo

trabajo que hacer

S y tienes mi completo

apoyo.

Muchas gracias. Lo

necesitar.



A continuacin con Marina, la Gerente Administrativa(1)

14

Hola Marina, que bueno que

podamos reunirnos mientras

tomamos un caf. No hay problema Mike.

Las personas estn

hablando ms acerca de

la Seguridad de la

Informacin luego de tus

reuniones con los otros

gerentes.

Gracias. Cuntame acerca

de tu perspectiva en

Seguridad de la Informacin.

De hecho, he visto la

seguridad fsica de la

empresa y estoy

decepcionada con

algunos hechos que he

observado.

Podras compartir alguno de

ellos conmigo?

Claro. Por ejemplo,

nuestros guardias de

seguridad no son

realmente conocedores

de la tecnologa.

Usualmente impiden que

los visitantes ingresen

laptops a nuestras

instalaciones pero no

hacen lo mismo con los

smart-phones. Por qu pasa eso?



A continuacin con Marina, la Gerente Administrativa(2)

15

Es simple Mike. No

distinguen de un celular

de un smartphone. Esa es una seria amenaza.

Un smartphone es tan bueno

como una laptop con Wi-Fi y

Bluetooth habilitados.

As es y tambin he

notado un montn de

empleados que no tienen

cuidado con sus tarjetas

electrnicas de acceso y

las dejan en donde sea. Carambay ves bastantes colados?

Bien, tenemos bastantes

problemas que resolver. As es y estar encantada

de ayudarte donde sea

posible.

S y es bastante

decepcionante ver a los

empleados permitiendo a

otros el ingreso a las

instalaciones siguindolos

al interior de las

instalaciones sin

verificacin.

Gracias Marina.



De regreso a la oficina de Mike

16

Bueno, cada funcin del

negocio tiene diferentes

preocupaciones de

seguridad.

Estoy empezando a

confundirme.

De todas formas, he

conversado con muchos

de los gerentes del

negocio. Maana

escuchar la perspectiva

de los clientes.



Al otro da, Mike est al telfono con Julia Parks, Gerente

General de Redes Denver, cliente de Space Scan (1)

17

Hola, soy Mike, el

Gerente de Seguridad

de la Informacin de

SpaceScan. Estoy

hablando con la

seorita Parks?

Hola Mike, esta es Julia

Parks. Es bueno saber que

SpaceScan tiene un Gerente

de Seguridad de la

Informacin.

Gracias y por qu

dices eso?

Casi todos nuestros

proveedores son serios

respecto a la Seguridad de la

Informacin.

Pero nunca he tenido ese

tipo de consultas de parte de

SpaceScan hasta ahora.

Peridicamente nos

preguntan por nuestras

preocupaciones de

seguridad relacionadas a la

informacin que

compartimos con nuestros

proveedores y vendedores.

Le pido disculpas por

eso y te aseguro que

las cosas van a

cambiar.



Al otro da, Mike est al telfono con Julia Parks, Gerente

General de Redes Denver, cliente de Space Scan (2)

18

Qu otra cosa esperas

en trminos de

Seguridad de la

Informacin de

SpaceScan?

Bueno, podras invertir un

poco de tiempo para

entender nuestras

preocupaciones de


cuando compartamos datos

con ustedes. Tambin, para

reasegurarnos, podras

enviarnos una copia de tus

informes peridicos de

auditorias de seguridad.

Quiero decir, las partes que

nos corresponden.

Julia, te aseguro que

se har. Vers un

enfoque ms proactivo

de SpaceScan en

cuanto a Seguridad de

la Informacin. Que bueno escuchar eso

Mike. Te deseo suerte.

Gracias.



Debido a todo este entusiasmo ahora Mike est un poco

preocupado

19

Vaya!!!

Cada una de las

personas con quien he

conversado tiene

preocupaciones de

Seguridad de la

Informacin.

Pero dichas

preocupaciones son tan

diferentes entre ellas.

Deseara que hubiera

alguien que me ayudara.

Cmo construyo un

Sistema de Gestin de la

Seguridad de la

Informacin que maneje

todas estas

preocupaciones de

Seguridad de la

Informacin?



Agenda

El predicamento de Mike.

Importancia de la Seguridad de la Informacin.

20



Empecemos con la vida personal

Ests en un restaurante.

Decides pagar utilizando tu tarjeta de crdito.

Qu pasa en los 5 minutos desde que das tu tarjeta de crdito al

mozo y su retorno luego de realizar el cargo?

21



No te haz preguntado

Cunta informacin personal tengo?

Cul es el valor de esta informacin personal?

Qu tan bien estoy protegiendo mi informacin personal?

22



Algunos ejemplos reales de informacin personal

23

Nmero de la Tarjeta de

Crdito

Nmero del Pasaporte/Seguro Social

Correo electrnico

Historial laboral

Historial mdico

Estado de cuentas

bancarias/financieras

Historial salarial

Tu informacin personal tiene

un inmenso valor.

Muchas personas no ticas

estn interesadas en obtener

tu informacin.



De hecho, hay una jerga para esto

La jerga para la informacin personal es PII (Personally Identifiable

Information).

Las personas que roban la informacin personal son llamadas

ladrones de identidad.

24



Por qu alguien tratar de robar tu informacin?

Para venderla y ganar dinero.

Para chantajearte y ganar dinero.

Para arruinar tu reputacin.

25



Y el resultado.

Los ladrones de PII te afectan severamente.

Generando trauma mental.

Prdida de dinero y reputacin.

26



Debes proteger tu informacin

La informacin existe en muchas formas.

La informacin tiene un valor en tu vida.

Esta informacin valiosa debe ser protegida.

27



Una definicin

28

La proteccin de la

informacin que es valiosa

se llama Seguridad de la Informacin

Oh Oh!!! Sabio



Seguridad de la Informacin para un negocio

29

Por qu es importante la Seguridad

de la Informacin para un negocio?

Bueno!!! Incluso una tienda

de fideos necesita Seguridad

de la InformacinVeamos por qu?



Veamos un caso de estudio

Imagina que eres el propietario de una tienda de fideos llamada

FIDEOS 2000.

Tu negocio est por ser un franquicia y est creciendo muy bien.

Demos una mirada a la informacin secreta que tu negocio de fideos

tiene.

30



Informacin secreta de tu negocio

31

Las ventas calculadas por da, mes, ao

Volumen de negocios

proyectado

Dnde abrir mi prxima tienda?

Estrategias de marketing

A qu precio compro palillos

a mis proveedores?

La receta secreta de mis

fideos

El proveedor A sabe que le pago menos

que al proveedor B?



Protege la informacin secreta de tu negocio

32

Quin estara

interesado en poner

sus manos en toda

esta informacin?

Tu competencia, por

ejemplo Fideos 2010!!!



En resumen

33

El Negocio

Factores de xito

Calidad de los entregables, entrega a tiempo Seguridad de los datos de los clientes, proteccin de la

propiedad intelectual

Debilidades de Seguridad

Incidentes y accidentes (conocidos y desconocidos)

El Negocio

Confianza de los clientes, sostenibilidad del negocio y prosperidad, mantenimiento de los empleados

Depende de

Puede afectarse

por

Impacta



Tipo de informacin de negocios

34

Existen dos tipos de informacin de negocios

Informacin que es generada por el negocio

Inteligencia de Negocios, Datos Financieros

Cdigos fuente, diseos, documentos, detalles de

productos, etc.

Informacin que el negocio toma de otros

Informacin dada por los clientes

Registros de empleados



Datos financieros

Utilizados para:

Gestionar los ingresos y egresos.

Cumplir requerimientos regulatorios.

Informar a los accionistas acerca de la salud financiera de la empresa.

Su revelacin podra conducir a:

Prdida de ventaja competitiva.

Repercusiones legales.

35



Inteligencia de Negocios

Utilizada para:

Hacer predicciones.

Generar nuevos servicios y productos.



Prdida de ingresos, puestos de trabajo, etc.

36



Cdigos fuente, diseos de nuevos productos

Utilizados para:

Crear nuevos productos.

Ser lder en la industria.



Prdida de cuota de mercado, ingresos, etc.

37



Datos del cliente

Utilizados para:

Crear nuevos servicios y productos para el cliente.


Prdida de negocios/clientes.

Prdida de reputacin.

Prdida de dinero debido a repercusiones legales.

38



Registros de empleados

Utilizados para:

Mantener la base de datos de recursos humanos para propsitos legales y de

negocios.


Prdida de privacidad de los empleados y acciones legales.

Prdida de reputacin/dinero.

39



Entonces, por qu es importante la Seguridad de la

Informacin para un negocio?

1. Para mantenernos en el negocio.

2. Para crear ms negocios y generar mayores ingresos.

3. Para preservar la reputacin y mejorarla.

4. Para estar del lado correcto de la ley.

5. Para dar confianza a los clientes, interesados, empleados, socios y

el Gobierno.

40



El reto de la Seguridad de la Informacin para un negocio

Existe demasiada informacin!!!.

La informacin se guarda de muchas formas:

Papel.

Medios electrnicos.

Incluso la Mente Humana.

41

El reto consiste en controlar

la informacin de diferentes

formas, en diferentes

lugares.



La Informacin se almacena y transmite de numerosas

maneras (1)

42

Computadora Internet

Email

Impresora

Archivos

Basura



La Informacin se almacena y transmite de numerosas

maneras (2)

43

Mente humana

Telfono

Interaccin directa



Entonces

El reto consiste en proteger la informacin en diferentes formas y

localizaciones de la divulgacin no autorizada.

Las amenazas son:

Eliminacin o destruccin accidental.

Defraudadores (hackers, etc).

Competencia.

Desastres naturales.

44



La solucin

Un bien diseado Sistema de Gestin de la Seguridad de la

Informacin (SGSI).

Un SGSI utiliza los procesos y la tecnologa para proteger la

informacin del negocio lo mejor posible de las amenazas ms

relevantes.

45



Taller 01: Importancia de la


46



Fin de la Presentacin

47

02. introducción a la seguridad de la información

Documents