requisitos de seguridad en los sistemas de las instituciones de seguridad.pdf · ilegítimo a la...
TRANSCRIPT
![Page 1: Requisitos de Seguridad en los Sistemas de las Instituciones de seguridad.pdf · ilegítimo a la información digital de su institución. • Los incidentes de seguridad se pueden](https://reader034.vdocuments.co/reader034/viewer/2022042613/5fa4741a93d14e445025fd83/html5/thumbnails/1.jpg)
Requisitos de Seguridad en los Sistemas de las Instituciones
![Page 2: Requisitos de Seguridad en los Sistemas de las Instituciones de seguridad.pdf · ilegítimo a la información digital de su institución. • Los incidentes de seguridad se pueden](https://reader034.vdocuments.co/reader034/viewer/2022042613/5fa4741a93d14e445025fd83/html5/thumbnails/2.jpg)
Agenda
• ¿Quiénes deben preocuparse por la seguridad de los datos?
• ¿ Por qué debemos preocuparnos por la seguridad?
• ¿ Cuáles son los requerimientos de seguridad?
• ¿ Qué es un incidente de seguridad?
• ¿ Cuándo se debe reportar una incidente de seguridad?
• ¿ Cómo se debe reportar un incidente de seguridad?
• ¿ Cómo los usuarios pueden aportar a mejorar la seguridad?
• ¿ Cuáles son los próximos pasos?
![Page 3: Requisitos de Seguridad en los Sistemas de las Instituciones de seguridad.pdf · ilegítimo a la información digital de su institución. • Los incidentes de seguridad se pueden](https://reader034.vdocuments.co/reader034/viewer/2022042613/5fa4741a93d14e445025fd83/html5/thumbnails/3.jpg)
¿Quiénes debe preocuparse por la seguridad de losdatos?
Presidente & Junta de Directores
Registraduría, Admisiones y Tesorería
Asistencia Económica
Padres o Tutores
Empleados y Facultad
Ex-alumnos
Estudiantes
Solicitantes/Prospectos
CIO, CISO (Departamentode IT)
![Page 4: Requisitos de Seguridad en los Sistemas de las Instituciones de seguridad.pdf · ilegítimo a la información digital de su institución. • Los incidentes de seguridad se pueden](https://reader034.vdocuments.co/reader034/viewer/2022042613/5fa4741a93d14e445025fd83/html5/thumbnails/4.jpg)
¿Por qué debemos preocuparnos por la seguridad?
![Page 5: Requisitos de Seguridad en los Sistemas de las Instituciones de seguridad.pdf · ilegítimo a la información digital de su institución. • Los incidentes de seguridad se pueden](https://reader034.vdocuments.co/reader034/viewer/2022042613/5fa4741a93d14e445025fd83/html5/thumbnails/5.jpg)
¿Por qué debemos preocuparnos por la seguridad?
![Page 6: Requisitos de Seguridad en los Sistemas de las Instituciones de seguridad.pdf · ilegítimo a la información digital de su institución. • Los incidentes de seguridad se pueden](https://reader034.vdocuments.co/reader034/viewer/2022042613/5fa4741a93d14e445025fd83/html5/thumbnails/6.jpg)
¿ Por qué debemos preocuparnos por la seguridad?
• Cumplimiento con leyes y regulaciones estatales y federales– FERPA: información estudiantil
– PCI: tarjetas de crédito
– HIPAA: información médica
– Privacy ACT of 1974
– Ley 111 de 2005, ley 187 de 2006, ley 207 de 2006
*Mantener segura la información con información “PII” (Personally identifiable information)
• Cumplimiento con auditorías internas y externas– Valida que se siga un procedimiento establecido que cumpla con las reglas internas de
seguridad y las mejores prácticas
![Page 7: Requisitos de Seguridad en los Sistemas de las Instituciones de seguridad.pdf · ilegítimo a la información digital de su institución. • Los incidentes de seguridad se pueden](https://reader034.vdocuments.co/reader034/viewer/2022042613/5fa4741a93d14e445025fd83/html5/thumbnails/7.jpg)
¿ Por qué debemos preocuparnos por la seguridad?
![Page 8: Requisitos de Seguridad en los Sistemas de las Instituciones de seguridad.pdf · ilegítimo a la información digital de su institución. • Los incidentes de seguridad se pueden](https://reader034.vdocuments.co/reader034/viewer/2022042613/5fa4741a93d14e445025fd83/html5/thumbnails/8.jpg)
¿Cuáles son los requerimientos de seguridad?
• Programa de seguridad de Información– Este debe estar desarrollado, implementado y ser revisado periódicamente (políticas y
procedimiento)
• Implementar estándares establecidos y mejores prácticas– NIST
– ISO
• Reducción de riesgo– Adiestramiento de empleados
– Identificación de los sistemas críticos
– Clasificación y manejo de datos
– Plan de manejo de incidentes
![Page 9: Requisitos de Seguridad en los Sistemas de las Instituciones de seguridad.pdf · ilegítimo a la información digital de su institución. • Los incidentes de seguridad se pueden](https://reader034.vdocuments.co/reader034/viewer/2022042613/5fa4741a93d14e445025fd83/html5/thumbnails/9.jpg)
¿Cuáles son los requerimientos de seguridad?
• Servicios sub-contratados– Firmar acuerdos de confidencialidad (NDA)
– Revisar los requerimientos de seguridad en los contratos
• Otras areas de seguridad– Prevención de Fraudes y Robos de identidad
![Page 10: Requisitos de Seguridad en los Sistemas de las Instituciones de seguridad.pdf · ilegítimo a la información digital de su institución. • Los incidentes de seguridad se pueden](https://reader034.vdocuments.co/reader034/viewer/2022042613/5fa4741a93d14e445025fd83/html5/thumbnails/10.jpg)
¿Cuáles son los requerimientos de seguridad?
• 3 etapas de cualquier programa de seguridad :
– Prevención
– Detección
– Solución
![Page 11: Requisitos de Seguridad en los Sistemas de las Instituciones de seguridad.pdf · ilegítimo a la información digital de su institución. • Los incidentes de seguridad se pueden](https://reader034.vdocuments.co/reader034/viewer/2022042613/5fa4741a93d14e445025fd83/html5/thumbnails/11.jpg)
¿Qué es un incidente de seguridad?
• Es cuando ocurre la pérdida, destrucción, alteración o accesoilegítimo a la información digital de su institución.
• Los incidentes de seguridad se pueden evitar cuando:– Aseguramos la información y mantenemos la confidencialidad
– Protegemos de amenazas o daños, la data y los sistemas
– Protegemos la información, archivos o documentos de accesos no autorizado
![Page 12: Requisitos de Seguridad en los Sistemas de las Instituciones de seguridad.pdf · ilegítimo a la información digital de su institución. • Los incidentes de seguridad se pueden](https://reader034.vdocuments.co/reader034/viewer/2022042613/5fa4741a93d14e445025fd83/html5/thumbnails/12.jpg)
¿Cuándo se debe reportar un incidente de seguridad?
• Las regulaciones establecidas exigen que todo incidente de seguridad sea reportado.
• Se deben reportar inmediatamente se sospeche que existe unabrecha de seguridad
• A DACO se tienen 10 días calendarios para reportar cualquierincidente
• De no ser reportado se pueden ejercer multas contra la institución
![Page 13: Requisitos de Seguridad en los Sistemas de las Instituciones de seguridad.pdf · ilegítimo a la información digital de su institución. • Los incidentes de seguridad se pueden](https://reader034.vdocuments.co/reader034/viewer/2022042613/5fa4741a93d14e445025fd83/html5/thumbnails/13.jpg)
¿Cómo se debe reportar un incidente de seguridad?
• Por correo electrónico a su unidad de seguridad (segúnestablezca la política de su institución)
• Data que se debe incluir:– Fecha de la brecha
– Impacto (cantidad de records)
– Metodología utilizada
– Estatus de remediación
• Se reporta a las agencias guberanmentales de PR y/o de losestados donde residan los perjudicados
![Page 14: Requisitos de Seguridad en los Sistemas de las Instituciones de seguridad.pdf · ilegítimo a la información digital de su institución. • Los incidentes de seguridad se pueden](https://reader034.vdocuments.co/reader034/viewer/2022042613/5fa4741a93d14e445025fd83/html5/thumbnails/14.jpg)
¿Cómo los usuarios pueden aportar a mejorar la seguridad?
• Sepa identificar la información que maneja y aplique las reglasestablecidas según la clasificación
• Tenga mucha precaución con la documentación física
• Procure mantener sus dispositivos móviles y documentos con información sensitiva encriptados
• Bloquee su computadora cuando no esté frente de ella
• Evite compartir información demás
• Precaución con las páginas de internet que visita, pueden tenervirus y código malicioso
![Page 15: Requisitos de Seguridad en los Sistemas de las Instituciones de seguridad.pdf · ilegítimo a la información digital de su institución. • Los incidentes de seguridad se pueden](https://reader034.vdocuments.co/reader034/viewer/2022042613/5fa4741a93d14e445025fd83/html5/thumbnails/15.jpg)
¿Cómo los usuarios pueden aportar a mejorar la seguridad?
• Utilice contraseñas seguras y difíciles de adivinar
• Nunca comparta sus contraseñas
Tienes una contraseña segura?
• ¿Cómo hago para que no se me olvide?
• Establece reglas:
EJ: María y José se casaron el 8 de septiembre en Aguadilla
M&Jsce8dseA
• No habilitar la opción de recordar contraseñas en los sistemas ni en el Internet.
![Page 16: Requisitos de Seguridad en los Sistemas de las Instituciones de seguridad.pdf · ilegítimo a la información digital de su institución. • Los incidentes de seguridad se pueden](https://reader034.vdocuments.co/reader034/viewer/2022042613/5fa4741a93d14e445025fd83/html5/thumbnails/16.jpg)
¿Cómo los usuarios pueden aportar a mejorar la seguridad?
• Combata el “Phishing”
• Sospeche de cualquier correo electrónico que:– Solicite información personal
– Contenga errores gramaticales o de deletreo
– Solicite oprimir un enlace
– Proviene de un desconocido o de una compañia con la cual no tienes relación de negocios
• Si el correo resulta sospechoso: – No oprima el enlace
– No otorgue información personal o financier
– No abra los documentos adjuntos
– Envie el correo a personal de seguridad para revisión y validación
![Page 17: Requisitos de Seguridad en los Sistemas de las Instituciones de seguridad.pdf · ilegítimo a la información digital de su institución. • Los incidentes de seguridad se pueden](https://reader034.vdocuments.co/reader034/viewer/2022042613/5fa4741a93d14e445025fd83/html5/thumbnails/17.jpg)
¿Cómo los usuarios pueden aportar a mejorar la seguridad?
• Evite ser víctima de Ingeniería social
• Ingenieria social – es el arte de manipular una situación a travésde la conducta humana para ganar acceso no autorizado a lossistemas o a la información para propósitos fraudulentos o criminales.
• Estos ataques son más comunes y más exitosos que los ataquesgenerados a los sistemas a través de la red.
![Page 18: Requisitos de Seguridad en los Sistemas de las Instituciones de seguridad.pdf · ilegítimo a la información digital de su institución. • Los incidentes de seguridad se pueden](https://reader034.vdocuments.co/reader034/viewer/2022042613/5fa4741a93d14e445025fd83/html5/thumbnails/18.jpg)
¿Cómo los usuarios pueden aportar a mejorar la seguridad?
![Page 19: Requisitos de Seguridad en los Sistemas de las Instituciones de seguridad.pdf · ilegítimo a la información digital de su institución. • Los incidentes de seguridad se pueden](https://reader034.vdocuments.co/reader034/viewer/2022042613/5fa4741a93d14e445025fd83/html5/thumbnails/19.jpg)
¿Cómo los usuarios pueden aportar a mejorar la seguridad?
• Colabore en las mejores prácticas
• Pregunte si tiene dudas o preocupaciones
• Valide las políticas y procedimientos establecidos
• Traiga ideas y sugerencias para mejoras de sistemas y procesos
![Page 20: Requisitos de Seguridad en los Sistemas de las Instituciones de seguridad.pdf · ilegítimo a la información digital de su institución. • Los incidentes de seguridad se pueden](https://reader034.vdocuments.co/reader034/viewer/2022042613/5fa4741a93d14e445025fd83/html5/thumbnails/20.jpg)
¿Cuáles son los próximos pasos?
• Valide y verifique la política de segurida de su institución – Si no tiene una, solicite se desarrolle una
• Identifique la persona responsible del programa de seguridad de su institución – asegurese que esta persona sea el contacto para cualquier incidente de seguridad
• Solicite que se realice una evaluación o avalúo de riesgo de losprocesos de su área
• Asegurese que todo el personal de su área conozco las políticas y procedimientos establecidos, sobre todo cuando ocurre unabrecha de seguridad
![Page 21: Requisitos de Seguridad en los Sistemas de las Instituciones de seguridad.pdf · ilegítimo a la información digital de su institución. • Los incidentes de seguridad se pueden](https://reader034.vdocuments.co/reader034/viewer/2022042613/5fa4741a93d14e445025fd83/html5/thumbnails/21.jpg)
¿Preguntas?