riesgos cybernéticos y estrategias de...

Riesgos Cybernéticos y estrategias de prevenciónVisión de Allianz Argentina

Esponsoreo de la

Comunidad Alemana

© Copyright Allianz 27/04/2010 2Seguridad de la Información

Contenido

1 Allianz Argentina – Cifras

2 Objetivos del Plan de Seguridad

3 Proyecto en Allianz

4 Administración de contraseñas

5 Robo de información de autenticación

6 Como protegemos nuestras computadoras

7 Correcto uso del correo electrónico e Internet

8 Ley 25.326 “Habeas Data”

Esponsoreo de la

Comunidad Alemana


Allianz Argentina - Cifras

Allianz

� Staff: 250

� Producción: ARS 595 Millones (Ene/Dic 2009)

� ROE 2009: 47,2%

� ROE Top 10 2009: 20,6%

� ROE 2008: 38,4%

� ROE Top 10 2008: 6 %

�Rentabilidad promedio 10 AÑOS: 36.4% (1eros en el mercado)

� Al 30/06/2009 Top 3 Granizo

� Top 3 Transporte

� Top 3 Incendio

� Mix de Negocios: 29,6% Líneas personales

38,3% Líneas industriales

32,1% Automóviles

Es

po

ns

ore

o d

e la

Co

mu

nid

ad

Ale

ma

na

©C

opyright Allianz 2

7/04/2010

4S

eguridad d

e la Información

Objetivos

del plan de Seguridad

Alcanzar alineación

Estratégica

Adm

inistraciónde recursos

Medición del desem

peñoM

itigarlos riesgos y reducir el im

pacto

Integración

Entrega de V

alor

Código MaliciosoCódigo Malicioso

Manejo de Incidentes


Clasificación de D

atosC

lasificación de Datos

Seguridad física Seguridad física

Administración de escritorios


Admin. Usuarios y contraseñas


Uso Internet / Mail Uso Internet / Mail

Dispositivos MóvilesDispositivos Móviles

Redes / VPNRedes / VPN

Separación de Ambientes


Desarrollo de Software


MonitoreoMonitoreo

Procedim

ientos Opcionales

Procedim

ientos Opcionales

Políticas de S

eguridaddel G

rupo

Alcanzar alineación

Estratégica

Adm

inistraciónde recursos

Medición del desem

peñoM

itigarlos riesgos y reducir el im

pacto

Integración

Entrega de V

alor

Código MaliciosoCódigo Malicioso



Clasificación de D

atosC














MonitoreoMonitoreo

Procedim

ientos Opcionales

Procedim

ientos Opcionales

Políticas de S

eguridaddel G

rupo



Clasificación de D

atosC














MonitoreoMonitoreo

Procedim

ientos Opcionales

Procedim

ientos Opcionales

Políticas de S

eguridaddel G

rupo

Esponsoreo de la

Comunidad Alemana


Por donde comenzar ?

Inicio del Proyecto

� Análisis del estado de la Seguridad

� Definición de los roles relacionados con la Seguridad

� Revisión y definición de las Políticas y Normas necesarias

� Redacción de las Políticas y Normas de acuerdo a estándares del Grupo y aprobación por parte del Consejo Directivo

� Desarrollo de planes de implementación de Políticas y Normas

� Definición y puesta en marcha de un plan de Concientización

Esponsoreo de la

Comunidad Alemana


Por que concientización…

Cuando la tecnología no es suficiente� Antivirus y Firewalls por si solos no son capaces de proteger contra las

nuevas amenazas de seguridad combinadas

� El 78% de las empresas fueron atacadas por virus aunque el 99% de estastiene antivirus y firewalls instalados

� Ingeniería Social- Es la manipulación inteligente que realiza un atacante de la tendencia

humana natural a la Confianza- El objetivo del atacante con esta acción es lograr el acceso no autorizado

a un determinado sistema y especifícamente a la información contenida en este“The weakest link in the security chain is the human element”

“You could spend a fortune purchasing technology and services…and your network infraestructure could still remain vulnerable to old-fashioned manipulation”

Kevin Mitnick

Esponsoreo de la

Comunidad Alemana


Como concientizar ?

No debemos olvidarnos que

� No alcanza con el respaldo de la dirección

� Debemos lograr que no se nos vea como el departamento que solamenteprohibe

� El objetivo final es lograr el conocimiento de las Políticas y Normas

� Adaptar la campaña a la realidad de la empresa y el grupo objetivo

� Debemos poner el foco en que la seguridad de la empresa la hacemos entre todos y no es solamente responsabilidad del Departamento de Seguridad

Tips para la campaña

� Lograr la participación masiva

� Incluir temas laborales y personales

� Utilizar todos los medios que disponemos para la sensibilización

Esponsoreo de la

Comunidad Alemana


Acciones llevadas a Cabo en Allianz Argentina

Afiches publicados en Carteleras Plataforma E-learning

Esponsoreo de la

Comunidad Alemana


Acciones llevadas a Cabo en Allianz Argentina

Notas en revista interna Día de la Seguridad

Esponsoreo de la

Comunidad Alemana


Creación de una contraseña segura

Requisitos� No utilizar datos facilmente deducibles como nombres de integrantes de

nuestra familia, mes en curso, fecha de nacimiento, palabras del diccionario

� La contraseña no debe ser corta (mínimo 8 caracteres)

� Combine letras, números y utilice todo tipo de teclas

� Utilice frases que le sea fácil de recordar

� Cambie la constraseña con regularidad

� No debemos compartir ni divulgar nuestra contraseña a nadie

Evite� Usar secuencias o circuitos predecibles ej:pepe01, pepe02,pepe03

� Sustituir únicamente letras por números o simbolos ej: Dan13l

� Utilizar la misma contraseña en todos los sistemas, correos, etc

� Escribir la contraseña en papel o almacenarla en su computadora

Esponsoreo de la

Comunidad Alemana


Como hago para acordarme la contraseña

Algunos Consejos

� Piense en alguna frase o el titulo del libro que esta leyendo actualmente. Ejemplo: estoy leyendo El Simbolo perdido de Dan Brown

� Utilice la primer letra de cada palabra (elespddb)

� Aumente la complejidad utilizando mayusculas/minúsculas y números(3lE5pdD8)

� Utilice algún caracter especial.

� Habrá obtenido una contraseña segura 3lE$pdD8

Esponsoreo de la

Comunidad Alemana


Robo de Información de autenticación

Phishing

� El atacante desarrolla un programa (fake logon) que se ve exactamenteigual que el original y lo ejecuta en el equipo de la víctima

� En algún momento el usuario ingresará en este programa que simula ser real, su usuario y contraseña

� Esta información ingresada por el usuario en el programa suplantado, ahoraservirá al atacante para falsear la identidad de la víctima

Phishing + Troyanos

� Estos son programas instalados en nuestras Pc’s que pueden permanecerinactivos por un tiempo indeterminado sin poder ser detectados por nuestrosistema de antivirus

� Para que nos afecte, el troyano debe estar programado para la entidad con la cual operamos y que se ingrese desde la Pc infectada

Esponsoreo de la

Comunidad Alemana


Robo de Información de autenticación

Como mitigamos el riesgo en Allianz

� Manteniendo “al día” las actualizaciones del navegador de Internet y de los sistemas operativos

� Verificando que el antivirus se encuentre actualizado

� Concientizando permanentemente a nuestros usuarios en estos temas, yaque la concientización es la mejor prevención contra este tipo de amenazas

Esponsoreo de la

Comunidad Alemana


Como protejemos nuestras computadoras

USB � Allianz tiene denegados el uso de los puertos USB para evitar el ingreso a la

red de diferentes tipos de virus y troyanos

� Se habilita según la necesidad de los usuarios el uso de los mismos, monitoreandose los dispositivos para evitar el robo de información

Instalación de programas� La instalación de los mismos esta centralizada en el depto. de IT

� Todo programa debe estar licenciado para su instalación

� Para los freeware o versiones trial se registra la fecha de instalación, versióndel software, actualización del mismo y Pc’s en las que se los instala

Esponsoreo de la

Comunidad Alemana


Correcto uso del correo electrónico

Consideraciones a tener en cuenta

� El correo electrónico es provisto para fines laborales, debiendo hacer un correcto uso del mismo evitando registrar la dirección del correocoorporativo en distintos foros de discución, sorteos, campañas publicitarias, etc

� Utilizar el sistema de correo de Allianz para el envío de correspondencia de negocios quedando prohibido la utilización de correos como Yahoo, Gmail, etc

� El sistema de correo de Allianz no puede ser utilizado para el intercambio de archivos de música, videos, juegos, etc

� El uso inaceptable de esta tecnología incluye

- Mensajes con contenido legal o difamatorio

- Pornografía, discriminación en todas sus formas

- Reenvío de mensajes comúnmente conocidos como “cadenas”

Esponsoreo de la

Comunidad Alemana


Correcto uso de Internet

Consideraciones a tener en cuenta

� Todo uso de Internet debe efectuarse exclusivamente con objetivos del negocio

� El acceso a las paginas de Internet es regulado y monitoreado a fin de garantizar que el servicio es utilizado con objetivo del negocio y dentro de la legislación local

� Allianz definió distintas listas de navegación

- Lista “negra” de sitios prohibidos

- Lista “blanca” de sitios permitidos

- Lista “gris” para el resto de los sitios

� Ante problemas de acceso a páginas que se necesita ingresar, luego de la evaluación y de corresponder se procede a incluir la página dentro de lascategorias habilitadas

Esponsoreo de la

Comunidad Alemana


Ley 25.326 Habeas Data

Objetivo de la Ley

� Es la protección integral de los datos personales, almacenados en archivoso Bases de Datos, para garantizar el derecho de honor y a la intimidad

Que son los datos personales

� La ley define a los datos personales como la información de cualquier tiporeferida a personas físicas o de existencia ideal y le da un tratamientoespecial a los considerados sensibles

� Sensibles: relacionados con origen racial y étnico, opiniones políticas, religión, salud o vida sexual

Que datos posee Allianz

� Datos personales de clientes, proveedores, empleados, etc

� Datos patrimoniales

� Datos de salud, siniestros, etc

Esponsoreo de la

Comunidad Alemana



Que establece la Ley

� Cuando se recaben datos personales se deberá informar previamente a sustitulares en forma expresa y clara una serie de circuntancias como:

- La existencia del archivo, base de datos, etc y la identidad y domicilio de su responsable y la finalidad para la que serán tratados

- La posibilidad del interesado de ejercer los derehos de acceso, rectificación y supresión de los datos

� Como deben ser los datos recolectados y como se debe efectuar esarecolección

- No puede ser por medios fraudulentos, desleales o en forma contraria a la Ley

- No pueden ser utilizados para finalidades distintas con aquellas quemotivaron su obtención

- Deben ser exactos y deben actualizarse

- Deben ser almacenados de modo que permitan el ejercicio del derecho de acceso del titular y destruidos cuando dejen de ser necesarios para los fines del negocio

Esponsoreo de la

Comunidad Alemana



Acciones implementadas

� Allianz tiene registradas sus bases desde el año 2006

� Obligaciónes de seguridad:

- Adopción de medidas técnicas y organizativas que resulten necesariaspara garantizar la seguridad y confidencialidad de los datos personales

- Creación de un documento de seguridad de datos personales quedescriba los procedimientos y las medidas de seguridad básicas que se han implementado para garantizar la seguridad de la informaciónalmacenada en la base de datos

- Inclusión para cumplir con la disposición 10/2008 en un lugar visible, en las páginas Web y en toda comunicación o publicidad, en particular, en los formularios utilizados en la recolección de datos personales, una leyenda que indique que el titular de los datos personales tiene la facultad de ejercer el derecho de acceso a los mismos

Esponsoreo de la

Comunidad Alemana



Acciones implementadas

Según resolución conjunta 627/2010 y 34.933/2010 se establece que los Productores Asesores de seguros deberán inscribirse en el Registro Nacional de Bases de Datos personales como responsables de bases de datos

Muchas gracias por suatenciónPara mayores informaciones [email protected]

riesgos cybernéticos y estrategias de...

Documents