Académique Documents
Professionnel Documents
Culture Documents
FINANCIERAS.
0
ndice
1
SEMINARIO DE LA INFORMACIN EN INSTITUCIONES
FINANCIERAS
Informacin:
La informacin es un activo, que tal como otros importantes activos del negocio, tiene valor
para la compaa y consecuentemente requiere ser protegida adecuadamente.
Seguridad de la Informacin y
Seguridad de TI
Seguridad de la Informacin
Seguridad de TI
2
-Se centra en el uso de tecnologas de informacin.
- Falsificacin
- Phishing
-Malware-Virus
- Fuga de Informacin
Prdidas financieras
3
Costo de recuperacin para volver a situacin inicial
Con la finalidad de brindar una direccin estratgica, garantizar que se logren los objetivos,
monitorear el desempeo, administrar los riesgos en forma apropiada y verificar que los
recursos de la empresa se utilizan con responsabilidad.
Administracin del riesgo.- Administrar y ejecutar medidas apropiadas para mitigar los
riesgos.
Medicin del desempeo.- Medir, monitorear y reportar sobre los procesos de seguridad de
informacin.
Seguridad de TI
Su responsabilidad es asegurar que la infraestructura tcnica que hace uso la organizacin sea
operada de manera segura y este centrada en la tecnologa
Seguridad de la Informacin
4
Relacionar la seguridad de informacin y las operaciones del negocio.
Administracin de Presupuestos.
Gestin de Incidentes.
TOP-DOWN
Cuidado!
BOTTOM-UP
5
El personal de TI dirige el cambio mediante experiencias y evaluaciones.
Anlisis Costo-Beneficio debemos sacar nuestras cuentas de cuanto nos cuesta y cuanto
ganaremos.
Ms personal de seguridad
Delegarla a terceros
Este marco a su vez provee la base para el desarrollo de un programa eficiente en costo de
seguridad de informacin que soporta las metas de negocio de la organizacin.
6
Ejemplos:
Reducir los tiempos de respuesta a los incidentes de seguridad, en relacin al mes anterior.
Capacitar el 90% del personal sobre las buenas prcticas de seguridad de informacin.
7
3 Sistema de Gestin de Seguridad de la Informacin(SGSI)
El SGSI es un proceso que permite establecer, implementar, operar, monitorear, revisar,
mantener y mejorar la seguridad de la informacin en una organizacin, basado en un enfoque
de riesgo.
Planificacin
Responsables
Tiempos
Recursos
Establece requisitos para implantar controles ISO 17799 ISO 27002 (En Anexo A ISO 27001).
Es un estndar certificable
Beneficios de un SGSI
Factores de Riesgo
8
EL SGSI No est alineada al negocio
Incumplimiento de planes
Falta de Comunicacin
Factores de xito
Organizacin y Comunicacin
Modelo de Seguridad
9
4 Estndares y Normatividad de Seguridad de la Informacin
COBIT : Objetivos de Control para la Informacin y Tecnologa de Informacin
ISO/IEC 27001
ISO/IEC 27002
10
de seguridad que deben tener los sistemas para cumplir con los mecanismos y controles de
seguridad.Especifican las condiciones, derechos y obligaciones sobre el uso de los activos de la
informacin.
Debe tener una estructura bien definida Debe tener fecha de aprobacin y difusin, nmero
de versin y un control de cambios.Debe ser vigente y actualizado permanentemente.No debe
interferir con los procesos del negocio.Debe establecer las condiciones aceptables y no
aceptables Accesible al personal segn el alcance del documento Aprobado por la alta
direccin Documento oficial y de cumplimiento obligatorio, esta sujeto a sanciones ,RRHH y el
rea legal deben contemplar en los estatutos de la empresa y la ley.
Personal Tcnico.
rea Legal
RRHH
Usuarios
Considerar que puede existir excepciones en algunas declaraciones de las polticas y se debe
evaluar sin dejar expuesta la seguridad.
11
Usar un lenguaje fcilmente entendible.
4.- Aprobacin
6.- Publicacin
Secciones de la Poltica
1. Introduccin
2. Objetivo
Proporciona las principales metas de la poltica , explica las razones y ayuda a los
usuarios como debe ser usada.
3.- Alcance
Estructura de los documentosSe puede utilizar ISO 27001 e ISO 27002 como base para definir
las polticas de seguridad.
12
Deben ser documentos controlados.
1. Introduccin
2. Objetivo
3.- Alcance
Poltica de antivirus
Poltica de contraseas
13
De qu hay que protegerlo.
Cmo hacerlo.
ISO/IEC 27005
Esta Norma proporciona directrices para la Gestin del riesgo de Seguridad de la Informacin
en una Organizacin. Sin embargo, no proporciona ninguna metodologa especfica para el
anlisis y la gestin del riesgo de la seguridad de la informacin.
Empresas Comerciales
Organismo Gubernamentales
Entidades Financieras
Conceptos y Definiciones
Activos:
Recursos de los sistemas de informacin o relacionados con estos, necesarios para que la
organizacin funcione correctamente y alcance los objetivos propuestos por su direccin.
Por ejemplo:
Tipos de activos:
Software Programas
Amenaza:
Se entiende por una amenaza una condicin del entorno del sistema de informacin (persona,
mquina, suceso o idea) que ante determinada circunstancia podra dar lugar a que se
produjese una violacin de seguridad (no cumplimiento de alguno de los aspectos
mencionados) afectando alguno de los activos de la organizacin.
Vulnerabilidad:
14
Es un hecho o actividad que permite concretar una amenaza.
Impacto:
Riesgo:
Contramedidas o Salvaguardas:
Riesgo de Mercado
Riesgo de Liquidez
Riesgo de Crdito
Riesgo Operacional
Riesgo Estrategico
Riesgo Reputacional
Riesgo Pas : Posibilidad de Prdidas debido a procesos inadecuados, fallas del personal, de
tecnologa de informacin o eventos externos.
Esta definicin incluye al riesgo legal, pero excluye al riesgo estratgico y de reputacin.
Riesgo tecnolgico
Riesgo de proveedores
Riesgo de tica
Riesgo legal
15
Riesgo geopoltico
Riesgo cultural
Riesgo climtico
Clasificacin de Activos
Equipos informticos.- (Hardware) Bienes materiales, fsicos, que permiten hospedar datos,
aplicaciones y servicios.
Personas.- Colaboradores que explotan u operan todos los elementos anteriormente citados.
Identificacin de Amenazas
Amenaza
Naturales
Incendios
Terremotos
Inundaciones
Industriales
Averas
16
Corte de sumistro elctrico
Fallo en comunicaciones
Humanas
Error
Vulnerabilidad
Identificacin de Vulnerabilidades
Posibles causas:
(disuasivos/preventivos/detectivos/correctivos)
Impacto
17
18
19