seguridad informatica para pymes
Post on 11-Apr-2017
45 Views
Preview:
TRANSCRIPT
SEGURIDADINFORMÁTICAPARAPYMES
Ing.JuanPabloMartínezPulidoEspecialistaenSeguridadInformática
¿Qué Protegemos?
Infraestructura de tecnologías de la información Activos de información
CONTEXTUALIZACIÓN
SEGURIDAD INFORMÁTICA
SEGURIDAD DE LA INFORMACIÓN
5
Gestión del riesgo en la seguridad de la informaciónProceso de Inscripciones y Admisiones DARCA
Identificar Información Organizacional• Identificar, clasificar y valorar los activos de la organización
Tipos de
Activos
Información
Sistemas
Aplicaciones
Servicios
Intangibles
Personas
6
Gestión del riesgo en la seguridad de la informaciónProceso de Inscripciones y Admisiones DARCA
2. Crear Perfiles de Amenaza• Selección de Activos Críticos.
Si el activo al perderse, destruirse, modificarse,
interrumpirse o revelarse, ocasiona un impacto en la continuidad del proceso de negocio, se considera
el activo como critico.
Gestión del riesgo en la seguridad de la informaciónProceso de Inscripciones y Admisiones DARCA
7
Gestión del riesgo en la seguridad de la informaciónProceso de Inscripciones y Admisiones DARCA
8
Gestión del riesgo en la seguridad de la informaciónProceso de Inscripciones y Admisiones DARCA
Establecer criterios de evaluación de impacto
TIPODEIMPACTO
REPUTACION PRODUCTIVIDAD FINANCIERO SALUD
Reputación HorasdePersonal CostosOperativos Vida
PerdidadeUsuarios PerdidadeIngresos Salud
PerdidaFinanciera
Gestión del riesgo en la seguridad de la informaciónProceso de Inscripciones y Admisiones DARCA
Reputación/Confianzadelosusuarios
Tipodeimpacto BajoImpacto MedioImpacto AltoImpacto
Reputación Lareputaciónseveafectadamínimamente,serequierepocooningúnesfuerzoogastopararecuperarse.
Lareputaciónsedaña,yserequiereunpocodeesfuerzoygastospararecuperarse.
Lareputaciónestáirrevocablementedestruidaodañada.
PerdidadeUsuarios Menosde5%dereducciónenlosusuariosdebidoalapérdidadeconfianza
5a10%dereducciónenlosusuariosdebidoalapérdidadeconfianza
Másde10%dereducciónenlosusuariosdebidoalapérdidadeconfianza
Establecer criterios de evaluación de impacto
Gestión del riesgo en la seguridad de la informaciónProceso de Inscripciones y Admisiones DARCA
Financiero
Tipodeimpacto BajoImpacto MedioImpacto AltoImpacto
Costosoperativos Loscostosoperativosseaumentanmínimamente(<5%).
Loscostosoperativosseincrementansignificativamente(Hasta10%).
Loscostosoperativosseincrementanenmásde10%
PerdidadeIngresos Reduccióndeingresosenun5%
5a15%dereduccióndeingresos
Másdel15%enreduccióndeingresos
PerdidaFinanciera Costofinancieromenora50millonesdepesosanuales
Costofinancierode51a250millonesdepesoanuales
Costofinancieromayora250millonesdepesosanuales
Establecer criterios de evaluación de impacto
Gestión del riesgo en la seguridad de la informaciónProceso de Inscripciones y Admisiones DARCA
Productividad
Tipodeimpacto BajoImpacto MedioImpacto AltoImpacto
Horasdepersonal Lashorasdetrabajodelpersonalseincrementaronenmenosde10%de5a10día(s).
Lashorasdetrabajodelpersonalseincrementaronentre11%y20%de5a10día(s).
Lashorasdetrabajodelpersonalseincrementaronenmásdeun21%de5a10día(s).
Establecer criterios de evaluación de impacto
Gestión del riesgo en la seguridad de la informaciónProceso de Inscripciones y Admisiones DARCA
Seguridad/Salud
Tipodeimpacto BajoImpacto MedioImpacto AltoImpacto
Vida Nohaypérdidaoamenazasignificativaalasvidasdelosclientesoelpersonaldelosmiembros
Vidasdelosclientesodelosmiembrosdelpersonalestánamenazados,peroserecuperarándespuésderecibirtratamientomédico.
Lapérdidadevidasdelosusuariosoellosmiembrosdelpersonal
Salud Mínimadegradacióndelasalud,inmediatamentetratableenlosusuariosomiembrosdelpersonalconrecuperacióndecuatrodías
Impedimentodesaludtemporalorecuperabledelosusuariosomiembrosdelpersonal
Undeteriorosignificativoopermanentedelasaluddelosusuariosomiembrosdelpersonal
Establecer criterios de evaluación de impacto
Gestión del riesgo en la seguridad de la informaciónProceso de Inscripciones y Admisiones DARCA
Establecer los criterios de evaluación de probabilidad.
CriteriosdeProbabilidad
BajaProbabilidad MediaProbabilidad AltaProbabilidad
Tiempoentreeventos 1vezcada:2años,5años,10años,20años,50años.
1vezalaño 365vecesalaño(diario),52vecesalaño(semanal),12vecesalaño(mensual),4vecesalaño,2vecesalaño.
Gestión del riesgo en la seguridad de la informaciónProceso de Inscripciones y Admisiones DARCA
Examinar las vías de acceso a los activos críticos en la infraestructura informática.
Gestión del riesgo en la seguridad de la informaciónProceso de Inscripciones y Admisiones DARCA
Examinar la infraestructura con relación a los activos críticos.
• Analizar los procesos tecnológicos relacionados con los activos críticos.
18
Gestión del riesgo en la seguridad de la informaciónProceso de Inscripciones y Admisiones DARCA
Desarrollar estrategias de protección y planes de mitigación.
Actividad de mitigación
Razón fundamental
Responsabilidad de mitigación
POLÍTICASDESEGURIDAD
Es unadeclaracióndeintencionesdealtonivelquecubrelaseguridaddelossistemasinformáticosyqueproporcionalasbasesparadefinirydelimitarresponsabilidades
Entreotrascosas,unaPolíticadeSeguridadpuedeincluir:
• Objetivosyalcance
• Clasificacióndelainformación.
• Operacionespermitidasydenegadasconlainformación
• Acuerdosycontratos
CONCLUSIONES
SedebedisponerdeunaEstrategiaIntegraldeseguridadconunenfoquetantotécnicocomoorganizacionalque:
Prevengalaocurrenciadeincidentesdeseguridad,eliminandolaoportunidadyprotejalaempresaantelosmismos.
Detectelaejecucióndeataquesencurso,inclusoenestadostempranos.
Reaccioneanteunincidentedeformaágilpermitiendolarecuperaciónyelregresoalanormalidadenunlapsodetiempomínimo(resiliencia),permitiendoademástomaraccionesconbaseaesainformación(procesosdeleccionesaprendidas).
Gestión del riesgo en la seguridad de la informaciónProceso de Inscripciones y Admisiones DARCA
Contextodelriesgo
Vulnerabilidades
Controles Activos
Requerimientos de seguridad
Valor de los Activos
Amenazas
Riesgos
21
Aprovechan
Aumentan Exponen
TienenAumenta
Impactan si se
materializan
Disminuyen
AumentanProtegen
de
ImponenMarcan
Fuente: www.iso27000.es
PREGUNTAS
GRACIASPORSUATENCIÓN
top related