Buenas prácticas sobre aplicación de seguridad de la información en personas /
empresas
Cátedra de Riesgos en Sistemas de Información.
3ra Jornada: Tratamiento de Datos en el ámbito de los Recursos Humanos: Aspectos regulatorios y prácticos
MARCOS GÓMEZ HIDALGO
Subdirector de eConfianza INTECO
2
1. Conceptos Generales
2. La seguridad en las personas
3. Buenas prácticas de referencia
4. Conclusiones
INDICE
3
1. Conceptos Generales
2. La seguridad en las personas
3. Buenas prácticas de referencia
4. Conclusiones
INDICE
4
Punto de Partida
Magerit V.2 (Junio 2005):
«Seguridad es la capacidad de las redes o de los sistemas de información para resistir, con un determinado nivel de confianza, los accidentes o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles.».
ISO 27.001:
«Preservación de la confidencialidad, integridad y disponibilidad de la información, en adición también de otras propiedades como autenticación, autorización, registro de actividad, no repudio y confiabilidad pueden ser también consideradas.».
1.- Conceptos Generales1.- Conceptos Generales
5
RFC 1244:Política de Seguridad como: «una declaración de intenciones de alto nivel que cubre la seguridad de los sistemas informáticos y que proporciona las bases para definir y delimitar responsabilidades para las diversas actuaciones técnicas y organizativas que se requerirán.».
RFC 2828:Seguridad de la Información: «Medidas tomadas para proteger un sistema. El estado de un sistema que resulta del establecimiento y mantenimiento de estas medidas. El estado de un sistema cuando no hay accesos desautorizados, o cambios, destrucciones o pérdidas no autorizadas».
1.- Conceptos Generales1.- Conceptos Generales
6
Dimensiones de la seguridad (Magerit V.2):
• Disponibilidad: disposición de los servicios a ser usados cuando sea necesario. La carencia de disponibilidad supone una interrupción del servicio. La disponibilidad afecta directamente a la productividad de las organizaciones.
• Integridad: mantenimiento de las características de completitud y corrección de los datos. Contra la integridad, la información puede aparecer manipulada, corrupta o incompleta. La integridad afecta directamente al correcto desempeño de las funciones de una Organización.
• Confidencialidad: que la información llegue solamente a las personas autorizadas. Contra la confidencialidad secreto pueden darse fugas y filtraciones de información, así como accesos no autorizados. La confidencialidad es una propiedad de difícil recuperación, pudiendo minar la confianza de los demás en la organización que no es diligente en el mantenimiento del secreto, y pudiendo suponer el incumplimiento de leyes y compromisos contractuales relativos a la custodia de los datos.
• Autenticidad: que no haya duda de quién se hace responsable de una información o prestación de un servicio, tanto a fin de confiar en él como de poder perseguir posteriormente los incumplimientos o errores. Contra la autenticidad se dan suplantaciones y engaños que buscan realizar un fraude. La autenticidad es la base para poder luchar contra el repudio y, como tal, fundamenta el comercio electrónico o la administración electrónica, permitiendo confiar sin papeles ni presencia física.
1.- Conceptos Generales1.- Conceptos Generales
7
Resumiendo…la Seguridad de la Información se basa en los siguientes aspectos por su orden natural de ocurrencia:
Autenticación: Quién pretende acceder a la información o al sistema informático es quien dice ser.
Confidencialidad: Quién pretende acceder a la información o a los sistemas, tiene derecho a hacerlo
Integridad: La información a la que se pretende acceder no ha sido modificada.
Disponibilidad: La información y los sistemas están disponibles cuando se pretende acceder a ellos.
1.- Conceptos Generales1.- Conceptos Generales
8
1.- Conceptos Generales1.- Conceptos Generales
TRAZABILIDAD
NO REPUDIO
CONFIDENCIALIDAD
INTEGRIDAD
DISPONIBILIDAD
SSEEGGUURRIIDDAADD
SEGURIDAD INTEGRAL
SEGURIDAD
Necesidades de la Organización
RESPONSABILIDAD
GESTIÓN DE LA SEGURIDAD
AUTENTICACIÓN
9
1.- Conceptos Generales1.- Conceptos Generales
•Reducción de costes
•Protección del negocio
•Mejora de la competitividad
Aplicándolo al entorno de una organización
Implantación de una Política de Seguridad o de un Sistema de Gestión de Seguridad de la Información (SGSI)
Esto hace necesario …
Personal Instalaciones INFORMACIÓN
10
Objetivos de la Seguridad de la Información:
• «estudiar los métodos y medios de protección de los sistemas de información y comunicaciones frente a revelaciones, modificaciones o destrucciones de la información, o ante fallos de proceso, almacenamiento o transmisión de dicha información, que tienen lugar de forma accidental o intencionada.».
• «Asegurar la autenticidad, confidencialidad, integridad y disponibilidad de la información».
1.- Conceptos Generales1.- Conceptos Generales
11
• ¿Pero asegurar la información “contra” qué o quién?
• ¿Proteger la información “de qué” o “quien”?
1.- Conceptos Generales1.- Conceptos Generales
12
¿Qué es “de qué” o “qué” o “quién”?
• Amenazas Externas• Amenazas Internas
1.- Conceptos Generales1.- Conceptos Generales
13
Virus
Phishing
Spam
Troyanos
Keyloggers
Rootkits
Smishing
Spyware
Escaneo de puertos
Sabotaje de datos o de red
Robo de ordenador
Software pirata
Denegación de servicios
Intrusión en la red
Fraude financiero
Fraude de telecomunicaciones
Robo de información protegida
por copyright
Robo de banda de red wifi
Hackeo de sitio web
Amenazas Externas A través de la conexión a Internet
14
8.700 – 17.400 €
850 – 1750 €
1.500 – 3.000 €
750 – 1.500 €
150 – 600 €
11.500 – 25.000 €
Interrupción del negocio (1-2 días)
2 días de trabajo para responder al incidente
Gastos indirectos
Pérdida financiera directa
Pérdida de reputación
Coste medio del peor incidente de seguridad
Costes derivados de estas amenazas
Fuente: Ministerio de Industria Británico
15
Amenazas Internas Propios usuarios de la red: trabajadores
Falta de formación En 30 días de búsqueda, hay casi
un 100% de posibilidades de
visitar un sitio peligroso
97% internautas no sabe
detectar programas espía
Con premeditación 81% ataques con el fin de
obtener beneficios económicos
83% en el interior de la
organización y durante el horario
de trabajo
22% antiguos empleados
14% empleados en el momento
del ataque
7% relación cliente o proveedor
Fuente: Hispasec / Trusted Strategies
Fuente: McAfee
16
106 ciberataques graves al mes a las Pymes
8% Pymes pararon o cerraron su negocio por culpa de ciberataques
93% empresas que pierden datos cierran en menos de 5 años
Uso poco maduro de TICs:
Fuentes: INTECO / Symantec / Niveles de Protección de la Pyme española 2005 / US Bureau Labor of Statistics / Sophos
Empresas
Dificultades específicas PYMES
Uso de correo electrónico
Disponen de página web
Disponen de red de área local
Disponen de ordenadores
Disponen de personal TIC o Seguridad Informática
PYMES < 10 empleados
42 % 18 % 18 % 60 % 8.5 %
TOTAL PYMES 82 % 54 % 67 % 89 % 36 %
17
1.- Conceptos Generales1.- Conceptos Generales
Fuente: HispasecFuente: Hispasec
18
1. Conceptos Generales
2. La seguridad en las personas
3. Buenas prácticas de referencia
4. Conclusiones
INDICE
19
El Factor Humano:
• El factor humano puede ser el eslabón más débil en toda la cadena de seguridad y se encuentra presente en todos los procesos relacionados con la seguridad.
• La seguridad son las personas. En todos los procesos informáticos y empresariales existe la implicación de factores humanos ya sea en la toma de decisiones como en los procesos mismos.
• Históricamente se presta una atención especial a los ataques externos que provocan daños más o menos cuantificables. ¿Cuál es la cuantía de un ataque interno?
• Más del 70 % de los incidentes ocurren dentro de la propia organización por un error humano, una errónea utilización de los medios de trabajo o por un ataque premeditado.
• Estos incidentes no siempre son intencionados, ya que un alto porcentaje de los mismos se deben a accidentes involuntarios.
• La principal causa de los incidentes no intencionados es una falta de conocimiento o la ausencia de una cultura de seguridad.
2.- Seguridad en las personas2.- Seguridad en las personas
20
Objetivos de Seguridad en cuanto a personas:
• Reducir el riesgo del factor humano, debido a errores, pérdidas, robos y usos indebidos de la información.
• Asegurarse que los usuarios toman conciencia de las amenazas y riesgos en el ámbito de la seguridad de la información, y que están preparados para sostener la política de seguridad de la organización en el curso normal de su trabajo.
• Minimizar los daños provocados por incidencias de seguridad y por el mal funcionamiento, controlándolos y aprendiendo de ellos.
• Que todo el personal de la organización, conozca tanto las líneas generales de la política de seguridad corporativa como las implicaciones de su trabajo en el mantenimiento de la seguridad global. Usen los procedimientos establecidos para reportar y responder a los incidentes de seguridad rápidamente.
2.- Seguridad en las personas2.- Seguridad en las personas
21
Principales Medidas de Seguridad en las Personas:
• Formación y concienciación: • Formar al usuario en seguridad de la información, es decir, en las políticas,
procedimientos, responsabilidades legales, controles, y• En el uso adecuado y correcto de las facilidades de procesamiento de la
información para evitar posibles riesgos de seguridad.
• Establecer acuerdos de confidencialidad con todos los términos y condiciones de los empleados relacionados con la seguridad de la información.
• Antes y después de la selección y contratación del personal:• realizar un proceso de selección riguroso y suficientemente garante del personal a
contratar• Inclusión de la seguridad como responsabilidad contractual.• Inclusión de responsabilidades después de cesar la relación laboral y las acciones
a tomar en caso de ser cesados.
• Realizar un seguimiento del personal que debe cubrir las tareas críticas de la Organización.
• Ante una infracción clarade la Política de Seguridad y de Confidencialidad:
procesos disciplinarios.
2.- Seguridad en las personas2.- Seguridad en las personas
22
Formación y Concienciación
• El mejor plan de seguridad se vería seriamente hipotecado sin una colaboración activa de las personas involucradas en el sistema de información, especialmente si la actitud es negativa, contraria o de “luchar contra las medidas de seguridad”. Es por ello que se requiere la creación de una “cultura de seguridad” que, emanando de la alta dirección, conciencie a todos los involucrados de su necesidad y pertinencia.
• Son dos los pilares fundamentales para la creación de esta cultura:• una política de seguridad corporativa que se entienda (escrita para los
que no son expertos en la materia), que se difunda y que se mantenga al día
• una formación continua a todos los niveles, recordando las cautelas rutinarias y las actividades especializadas, según la responsabilidad adscrita a cada puesto de trabajo
• A fin de que estas actividades cuajen en la organización, es imprescindible que la seguridad sea:
• mínimamente intrusiva: que no dificulte innecesariamente la actividad diaria ni hipoteque alcanzar los objetivos de productividad propuestos,
• sea “natural”: que no de pie a errores gratuitos, que facilite el cumplimiento de las buenas prácticas propuestas y
• practicada por la Dirección que de ejemplo en la actividad diaria y reaccione con presteza a los cambios e incidencias.
2.- Seguridad en las personas2.- Seguridad en las personas
23
Buenas prácticas&
Política de Seguridad
Niveles de conocimiento
Backup y rotación de funciones
• Conocimientos mínimos y suficientes para desarrollo de competencias
• Mínimos privilegios
• Compartición de responsabilidades.
• Continuación de la actividad
• Rotación de responsabilidades.
• Tareas con backup.
• Vigilancia Mutua.
• Eliminar “único” punto de fallo.
2.- Seguridad en las personas2.- Seguridad en las personas
24
1. Conceptos Generales
2. La seguridad en las personas
3. Buenas prácticas de referencia
4. Conclusiones
INDICE
25
¿Qué objetivos tienen?
• Ser el punto de partida para la estandarización.• Impulsar recomendaciones para la gestión de la seguridad.
• Generar una base común para agrupar y desarrollar: ...– normas de seguridad organizativas (política de seguridad, controles, amenazas,
etc.),– prácticas efectivas de gestión de la seguridad,– sello de confianza
• Alinearse con la legislación y los reglamentos aplicables.
Referentes: Guías de buenas prácticas para la gestión de la seguridad
• ISO 17799:2005>ISO 27002: ISO, Organización Internacional de Normalización. • COBIT: IT Governance Institute e ISACA, Asociación de Auditoria y Control de Sistemas de Información.
3.- Buenas prácticas de referencia3.- Buenas prácticas de referencia
26
1. Conceptos Generales
2. La seguridad en las personas
3. Buenas prácticas de referencia• ISO 27.002• COBIT
4. Conclusiones
INDICE
27
3.- Buenas prácticas de referencia: ISO 27.0023.- Buenas prácticas de referencia: ISO 27.002
Entorno
Activos
Pe rso n al
M o b iliar io
Salas, o fic inas,e d ific io s, e tc.
Sumin istro s
Equ ipamie n to
Información
F ormato s, e stru ctu ras,co n fig u racio n e s, e tc.
Datos, arch iv os,fich e ro s, e tc.
Sop o rte s
Sistemas
Software
Co m.
Siste masin fo rmáticos
Funcionalidades
Ob je tiv oy misio n
Sop o rte ao pe racion e s
Se rv icio s
Varios
Kn o wh ow
Imag e n
Cre d ib ilidad
28
An
ális
is d
e R
iesg
os
(2 O
bje
tivos)
Organización de la seguridad(2 Objetivo, 11 Controles)
Gestión de activos(2 Objetivo, 5 Controles)
Recursos humanos de seguridad(3 Objetivo, 9 Controles)
Seguridad física(2 Objetivo, 13 Controles)
Conformidad legal(3 Objetivo, 10 Controles)
Com
unic
aci
ones
y o
pera
cion
es
(10 O
bje
tivo,
32 C
ontr
ole
s)
Contr
ol de a
cceso
(7 O
bje
tivo, 2
5 C
ontr
ole
s)
Com
pra
s, D
esa
rrollo
y M
ante
nim
iento
de s
iste
mas
(6 O
bje
tivo, 1
6 C
ontr
ole
s)
Política de Seguridad(1 Objetivo, 2 Controles)
Gestió
n d
e in
ciden
tes d
e se
gu
ridad
(2 O
bje
tivo, 5
Con
trole
s)
Pla
n d
e C
on
tinu
idad d
e N
egocio
(1 O
bje
tivo, 5
Con
trole
s)
29
Organización interna
Comité
Coordinación
Responsabilidad
Autorización
Acuerdos de confidencialidad
Contacto con autoridades
Revisión
Externos
Identificaciónde riesgos
Requerimientosde seguridad
en los contratos con terceros
Establece la estructura organizativa (terceros, responsables, comités, colaboraciones, etc.) y su funcionamiento de cara a gestionar la seguridad de la información
Contacto con grupos de interés
Requerimientos de seguridad en relaciones con clientes
30
Sección 8: Recursos Humanos de seguridad
Antes de la contratación
Perfiles y responsabilidades
Revisión y verificación
Términos y Condiciones de relación laboral
Durante la contratación
Gestión de responsabilidades
Al fin de la contratación
Responsabilidades en la finalización
Devolución de activos
Retirada de los derechos de acceso
Procesosdisciplinarios
Establece las medidas de seguridad que se van a tomar con el personal, ya que finalmente son estos los que van a utilizar los sistemas y la información
Educación y capacitación en seguridad
31
1. Conceptos Generales
2. La seguridad en las personas
3. Buenas prácticas de referencia• ISO 27.002• COBIT
4. Conclusiones
INDICE
32
3.- Buenas prácticas de referencia: COBIT3.- Buenas prácticas de referencia: COBIT
33
Dominios de COBIT
Dominio: Planificación y OrganizaciónDominio: Planificación y OrganizaciónPO1 Definir un plan estratégico de TI PO2 Definir la arquitectura de la información PO3 Determinar la dirección tecnológica PO4 Definir procesos, organización y
relaciones de TI PO5 Administrar la inversión en TI PO6 Comunicar las aspiraciones y la dirección de la
gerencia PO7 Administrar recursos humanos de TI PO8 Administrar la calidad PO9 Evaluar y administrar los riesgos de TI PO10 Administrar proyectos
Dominio: Adquisición e Dominio: Adquisición e ImplementaciónImplementación
AI1 Identificar soluciones automatizadas AI2 Adquirir y mantener software aplicativo AI3 Adquirir y mantener infraestructura tecnológica AI4 Facilitar la operación y el uso AI5 Adquirir recursos de TI AI6 Administrar cambios AI7 Instalar y acreditar soluciones y cambios
Dominio: Entrega y prestación de Dominio: Entrega y prestación de SoporteSoporte
DS1 Definir y administrar los niveles de servicio DS2 Administrar los servicios de terceros DS3 Administrar el desempeño y la capacidad DS4 Garantizar la continuidad del servicio DS5 Garantizar la seguridad de los sistemas DS6 Identificar y asignar costos DS7 Educar y entrenar a los usuarios DS8 Administrar la mesa de servicio y los incidentes DS9 Administrar la configuración DS10 Administrar los problemas DS11 Administrar los datos DS12 Administrar el ambiente físico DS13 Administrar las operaciones
Dominio: MonitorizaciónDominio: MonitorizaciónME1 Monitorear y evaluar el desempeño de TI ME2 Monitorear y evaluar el control interno ME3 Garantizar el cumplimiento regulatorio ME4 Proporcionar gobierno de TI
3.- Buenas prácticas de referencia: COBIT3.- Buenas prácticas de referencia: COBIT
34
Dominio: Planificación y Organización (PO4)Definir los procesos, organización y relaciones de TI
• Objetivos: Control sobre el proceso de TI • Condicionantes:
– Una organización de TI se debe definir tomando en cuenta los requerimientos de personal, funciones, delegación, autoridad, roles, responsabilidades y supervisión. La organización estará incrustada en un marco de trabajo de procesos de TI que asegura la transparencia y el control, así como la involucración de los altos ejecutivos y de la gerencia del negocio.
– Un comité estratégico debe garantizar la vigilancia del consejo directivo sobre la TI, y uno ó más comités administrativos, en los cuales participan tanto el negocio como TI, deben determinar las prioridades de los recursos de TI alineados con las necesidades del negocio.
– Deben existir procesos, políticas administrativas y procedimientos para todas las funciones, con atención específica en el control, el aseguramiento de la calidad, la administración de riesgos, la seguridad de la información, la propiedad de datos y de sistemas y la segregación de tareas.
– Para garantizar el soporte oportuno de los requerimientos del negocio, TI se debe involucrar en los procesos importantes de decisión.
3.- Buenas prácticas de referencia: COBIT3.- Buenas prácticas de referencia: COBIT
35
Dominio: Planificación y Organización (PO4)
¿Cómo?:
• Satisfaciendo el requisito de negocio de TI para: agilizar la respuesta a las estrategias del negocio mientras al mismo tiempo cumple con los requerimientos de gobierno y se establecen puntos de contacto definidos y competentes.
• Enfocándose en: el establecimiento de estructuras organizacionales de TI transparentes, flexibles y responsables, y en la definición e implantación de procesos de TI con los propietarios, y en la integración de roles y responsabilidades hacia los procesos de negocio y de decisión.
• Se logra con: La definición de un marco de trabajo de procesos de TI El establecimiento de un cuerpo y una estructura organizacional apropiada La definición de roles y responsabilidades.
• Se mide con: El porcentaje de roles con descripciones de puestos y autoridad documentados El número de unidades/procesos de negocio que no reciben soporte de TI y que
deberían recibirlo, de acuerdo a la estrategia Número de actividades clave de TI fuera de la organización de TI que no son
aprobadas y que no están sujetas a los estándares organizacionales de TI
3.- Buenas prácticas de referencia: COBIT3.- Buenas prácticas de referencia: COBIT
36
Dominio: Planificación y Organización (PO4)Objetivo de Control: Definir los procesos, la organización y las
Relaciones TI
4.6 Roles y Responsabilidades4.11 Segregación de Funciones4.12 Personal de Tecnologías de la Información4.13 Personal clave de TI4.14 Políticas y Procedimientos para personal contratado
3.- Buenas prácticas de referencia: COBIT3.- Buenas prácticas de referencia: COBIT
37
Dominio: Planificación y Organización (PO7)Administrar recursos humanos de TI.
• Objetivos: Adquirir, mantener y motivar una fuerza de trabajo para la creación y entrega de servicios de TI para el negocio.
• Condicionantes: – proceso es crítico, ya que las personas son activos importantes, y el ambiente de gobierno y de control interno
depende fuertemente de la motivación y competencia del personal.
¿Cómo?
• Satisfaciendo el requisito de negocio de TI para: personas competentes y motivadas para crear y entregar servicios de TI.
• Enfocándose en: la contratación y entrenamiento del personal, la motivación por medio de planes de carrera claros, la asignación de roles que correspondan a las habilidades, el establecimiento de procesos de revisión definidos, la creación de descripción de puestos y el aseguramiento de la conciencia de la dependencia sobre los individuos.
• Se logra con: La revisión del desempeño del personal La contratación y entrenamiento de personal de TI para apoyar los planes tácticos de TI La mitigación del riesgo de sobre-dependencia de recursos clave.
• y se mide con: El nivel de satisfacción de los interesados respecto a la experiencia y habilidades del personal La rotación de personal de TI Porcentaje de personal de TI certificado de acuerdo a las necesidades del negocio
3.- Buenas prácticas de referencia: COBIT3.- Buenas prácticas de referencia: COBIT
38
Dominio: Planificación y Organización (PO7)Objetivo de Control: Administrar Recursos Humanos de TI
7.1 Reclutamiento y Retención de Personal7.2 Competencias del Personal7.3 Asignación de roles 7.4 Entrenamiento del personal de TI7.5 Dependencia sobre los individuos 7.6 Procedimientos de Investigación del personal 7.7 Evaluación de Desempeño del Empleado7.8 Cambios y Terminación del trabajo
3.- Buenas prácticas de referencia: COBIT3.- Buenas prácticas de referencia: COBIT
39
1. Conceptos Generales
2. La seguridad en las personas
3. Buenas prácticas de referencia• ISO 27.002• COBIT
4. Conclusiones
INDICE
40
“Proteger la información es responsabilidad de todos los miembros de una organización. Al implementar las políticas y las medidas de seguridad, muchas organizaciones se centran sólo en la tecnología que hay detrás de los procesos, pero olvidan un elemento vital: las personas. Los empleados deben asumir, aprender y practicar una cultura de seguridad corporativa generalizada.”
Guía básica:
1. Implementar una cultura de seguridad desde arriba.La alta Dirección debe adoptar una cultura de seguridad y asegurarse de que los empleados tienen un acceso constante a la información y a cursos de formación en privacidad y seguridad.
2. Ofrecer programas anuales de la formación.Proporcionar oportunidades de formación anual, así como un fácil acceso a los expertos en seguridad de la organización, que ayudará a los empleados a mantener la importancia de una cultura de seguridad en la mente y procesos de sus empleados.
4.- Conclusiones4.- Conclusiones
41
3. Fomentar una política clara de mesas de trabajo.Cualquier mesa ubicada en un espacio abierto y cualquier oficina sin cerrar bajo llave es un objetivo fácil para el robo de información. Es una norma básica pedir a los empleados que tengan bajo llave la información confidencial cuando no estén cerca de sus mesas -especialmente antes de abandonar la oficina cada día-, puede mejorar enormemente la seguridad sobre la información altamente delicada.
4. Activar una política de clasificación de la información.Designar una clasificación para los diferentes tipos de información puede ayudar a establecer los niveles apropiados de control, tanto para las comunicaciones externas como las internas. Asegurarse de que los empleados entienden las diferencias entre cada clasificación y facilitar ejemplos de los tipos de información que entran en cada categoría. Ej.: Las incidencias ocurren con frecuencia cuando los empleados reenvían correos electrónicos que contienen largas cadenas de información altamente confidencial a personas que no pertenecen a la empresa, incluso sin darse cuenta de que esa información formaba parte del correo electrónico. Concienciar sobre qué tipos de información son “sólo para tu empresa” es una sencilla forma de reducir las brechas de seguridad.
4.- Conclusiones4.- Conclusiones
42
5. Ordenar la información con seguridad.La información desechada en la papelera de la empresa puede acabar con facilidad en las manos equivocadas. Aquí es donde las clasificaciones resultan realmente prácticas. Las trituradoras comerciales de cada departamento pueden usarse para desechar información altamente confidencial, mientras la papelera de la empresas se puede destinar a documentos menos delicados.
6. Vigilar conversaciones fuera de las instalaciones de la compañía.Ejemplos:
– ¿Cuántas veces se escuchan conversaciones de temas confidenciales/importantes en un aeropuerto, restaurante, etc?
– ¿Cuántas veces se manejan documentos confidenciales o críticos fuera de la empresa?
Cuando los empleados estén en un lugar público, no estarán protegidos por las paredes de su empresa y no se podrá garantizar la confidencialidad. Concienciar a los empleados que cualquier discusión o conducta relacionada con el trabajo en un lugar público está expuesta al conocimiento general y a serias brechas de seguridad.
4.- Conclusiones4.- Conclusiones
43
7. Enfocar la seguridad en múltiples capas.Saber quién/qué tiene acceso a los recursos de la empresa. Disponer de controles y los métodos de autenticación apropiados para acceder a la red de la empresa valiéndose de la seguridad que le ofrecen las Tecnologías de la Información (TIC) así como el acceso a las instalaciones físicas.
8. Asegurarse de que los empleados pueden responder a dos cuestiones cruciales:
– “¿Detectaría una violación de seguridad si ocurriera?”– “¿A quién se lo contaría?”– Enfocar la concienciación y formación en seguridad en torno
a estas dos cuestiones pueden contribuir a educar a los empleados en la protección de la información de la empresa.
4.- Conclusiones4.- Conclusiones
44
9. Tener siempre en cuenta el factor humano El elemento humano en una organización es muchas veces la principal causa de fallos. En general, las personas deben o desean confiar en otras personas. Otros empleados de distintos departamentos o no empleados pueden utilizar tácticas de ingeniería social para conseguir datos confidenciales, simulando situaciones, identidades, etc.
10. Asegurarse de que se realiza un proceso periódico y continuo de auditoría:
La formación e implementación de controles necesita para cerrarse el círculo de un proceso de auditoría de todos los factores implicados en el ciclo de vida de la información en la empresa, activos, recursos TI y humanos, controles, procesos, etc. la revisión y mejora de todos ellos incrementa la estabilidad y la seguridad de la empresa.
4.- Conclusiones4.- Conclusiones
45
Alguna bibliografia y referencia
ISO – International Organization for Standardizationhttp://www.iso.org/
Cobit 4 – Objetivos de Control para las Tecnologías de Información. ISACA http://www.isaca.org/Content/NavigationMenu/Members_and_Leaders/COBIT6/Obtain_COBIT/CobiT4_Espanol.pdf
INTECO – http://www.inteco.es
46
¿PREGUNTAS?
www.inteco.es