Académique Documents
Professionnel Documents
Culture Documents
de Gestión de la Seguridad de
Información
AGENDA
■ Crackers.
■ Vándalos.
■ Usuarios del sistema.
■ Competencia.
■ Ex-empleados.
■ En general, de cualquier insider.
■ Millones de adolescentes
¿De qué nos protegemos?
Objetivos de los intrusos sobre un
Sistema Informático:
Gene Spafford
¿Qué hace a un sistema inseguro?
■ Huecos de Seguridad Físicos.
■ Huecos de Seguridad en el Software.
■ Falta de Experiencia.
■ Ausencia de un Esquema de Seguridad.
¿Cómo se rompe la
seguridad de un sistema?
■ Intrusión Física
■ Intrusión Remota
Qué es Seguridad de la Información
• Secreto impuesto de acuerdo con
políticas de seguridad
Prevenir • SINO: Fugas y filtraciones de
Divulgación no autorizada de información; accesos no autorizados;
Información Activos de Información pérdida de confianza de los demás
(incumplimiento de leyes y compromisos)
E Autenticidad de
C quien hace uso de datos o
D servicios
T
E-commerce Trazabilidad del uso
de servicios (quién, cuándo)
o a datos (quien y que hace)
Prevenir Información
Cambios no autorizados en No repudio
(dimensiones)
Activos de Información Confiabilida
d
Prevenir
I 6 D 7x24x365 Destrucción no autorizada de
+=5 Activos de Información
Amenazas Exposiciones
se Expectativas se
incrementa se incrementan
de Virus,n crackers incrementan
Mayor conectividad,
Fraudes, espionaje de Clientes, socios,
Mas dependencia de TI
Auditores, reguladores
El Porqué de la Seguridad de la Información
Encuesta 2003 56 % 34 % 6% 5%
Encuesta 2004 67 % 26 % 4% 3%
Manufactura 2004 52 % 38 % 8% 2%
Encuesta 2003
15 % 21 % 12 % 19 % 19 % 14 %
Encuesta 2004
15 % 16 % 8% 10 % 39% 11 %
Manufactura 2004 5% 10 % 9% 14 % 46 % 16 %
CLASE 30/10/06
Qué consideran las organizaciones como sus peligros más
apremiantes
Porcentaje Sí No
Incidente Ocurrencia
Interno Externo
3 Mejorar la seguridad en Cumplir con las Hacer cumplir la Alinear la estrategia Intensificar el
redes exigencias política de de seguridad con programa de
regulatorias seguridad las metas y los recuperación
relacionadas informática objetivos del ante desastres
con la seguridad negocio informáticos
de la
información
Acceso a los
datos sólo por
Información Acceso a los
datos en el
personal momento en
autorizado que sean
necesarios
Confidencialidad Disponibilidad
Objetivos de la Seguridad de la
Información
• Minimizar la probabilidad de ocurrencia de
pérdidas económicas debido a deficiencias, fallas o
eventos externos adversos sobre la información y la
tecnología que soportan los procesos críticos de la
Compañía.
Acerca de la Encuesta Global de
Seguridad de la Información de
Ernst & Young
Encuesta Global de Seguridad de
Información de Ernst & Young
■ En 1993 efectuó primera encuesta de seguridad, en
coordinación con Information Week.
■ En 1997, Ernst & Young decide continuar con este
proyecto bajo su total responsabilidad.
■ Esta encuesta es utilizada como un benchmark de la
industria a nivel local y mundial.
■ Esta encuesta permite mejorar los programas de
seguridad de las organizaciones.
■ Cualquier empresa a nivel global puede participar de
esta encuesta.
Gestión Efectiva de la
Seguridad IT: Principales
Obstáculos
Resultados
encuesta 1994
Resultados encuesta
2003
Resultados encuesta
2004
Resultados encuesta
2005
1. Carencia de 1. Limitaciones o 1. Concientización en 1. Concientización
recurso restricciones de seguridad de los de la Gerencia y
humano presupuesto usuarios usuarios
2. Limitaciones o 2. Prioridad de 2. Limitaciones o 2. Limitaciones o
restricciones de recursos restricciones de restricciones de
presupuesto presupuesto presupuesto
3. Personal
3.Concientización entrenado 3. Personal 3. Dificultad en
de la Gerencia entrenado asignar valor a la
4. Compromiso de la seguridad de
4. Herramientas y 4. Dificultad en
alta gerencia información
situación asignar valor a la
5. Concientización seguridad de
de la Gerencia información 4. Nuevas
5. Velocidad del tecnologías
cambio en IT
2%
Ningún beneficio
2%
13%
Otros
7%
Global
Perú 0% 10% 20% 30% 40% 50% 60% 70% 80% 90%
¿Cuáles son los beneficios para su organización al adquirir estándares de seguridad informática?
Impacto en la Seguridad de
Información Resultados Globales vs.
Locales
Virus y Gusanos 53%
57%
Otros 6%
10%
Global
Perú 0% 10% 20% 30% 40% 50% 60% 70%
No la toman en
cuenta
■ Una quinta parte
Procedimientos
no toma en cuenta informales
la administración Procedimientos
formales
del riesgo con Procedimientos formales
proveedores. validados por un tercero
informales para
hacerlo.
Procesos Inmaduros e Inadecuados en la
Administración del Riesgo con Proveedores
que la aplicación de
estos estándares Sí No, lo No
muestra a sus clientes planea
la adopción y
certificación de CobIT 2% 19% 80%
estándares de
Seguridad de ITIL 4% 22% 74%
Información.
Other 12.1% 5% 77%
y #
Preocupaciones en Seguridad de
Información
■ La mitad de los
encuestados Computación móvil
reconocen a la Dispositivos
tecnología móvil removibles
como una Redes inalámbricas
preocupación de
Seguridad de Telefonía de Voz
sobre IP
Información
Software libre
■ Las
preocupaciones Virtualización
de servidores
bajan para otras
tecnologías en
desarrollo, a pesar
de las serias Las principales nuevas tecnologías que las organizaciones han
amenazas que identificado como preocupaciones en Seguridad de
Información
éstas conllevan.
Preocupaciones en Seguridad de
Información Resultados globales vs. locales
GLOBAL - Redes Inalámbricas 54% 24% 14% 9%
GLOBAL - Dispositivos removibles(e.g., USB flash drive, portable drives) 43% 32% 15% 10%
PERU - Dispositivos removibles (e.g., USB flash drive, portable drives) 53% 27% 20% 0%
GLOBAL - Computación móvil (e.g., PDA, smart phones, Black Berry) 50% 26% 16% 8%
PERU - Computación móvil (e.g., PDA, smart phones, Black Berry) 38% 42% 21% 0%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
No Existen Planes para Manejar los Riesgos de
Seguridad de las Nuevas Tecnologías
■ Entre un cuarto y un
tercio de los
encuestados indican Computación móvil
que no planean, por lo
menos en los próximos Dispositivos
removibles
doce meses, tomar Redes inalámbricas
acción en las
preocupaciones de Telefonía de Voz
sobre IP
seguridad relacionadas
Software libre
con las nuevas
tecnologías. Virtualización
de servidores
Sí 53%
No 47%
5%
Gerente Operativo 6%
22%
Gerente Financiero 9%
31%
Gerente de Sistemas 42%
10%
Oficial de Seguridad 7%
0%
Oficial de Privacidad y Riesgo 3%
5%
Asesor Legal 1%
3%
Comité de Seguridad Informática 5%
12%
Otro 13%
Global Peru
0% 5% 10% 15% 20% 25% 30% 35% 40% 45%
Mensualmente o
■ El 40% se reúne frecuentemente
Trimestralmente
con la Junta de
Dos veces al año
Directores y
Anualmente
Comités de
Menos frecuente
Auditoría menos
Nunca
de una vez al
año o nunca.
■ El 44% indica la Junta de Directores/Comité de L
Auditoría ega
misma l
31%
Gerente General 30%
3%
Gerente Operativo 7%
36%
Gerente Financiero 16%
8%
Gerente de Sistemas 28%
2%
Oficial de Seguridad 2%
0%
Oficial de Privacidad y Riesgo 1%
5%
Asesor Legal 3%
2%
Comité de Seguridad Informática 3%
13%
Otro 10%
Global Peru
0% 5% 10% 15% 20% 25% 30% 35% 40%
■ Más de la mitad
del tiempo y el Estrategia (incluye desarrollo de políticas y
procedimientos)
22%
25%
presupuesto de
Seguridad de
Operaciones de rutina (administración de cuentas, de 38%
vulnerabilidades, de parches, entre otros) 38%
Información se
Respuesta ante incidentes cuando existe un ataque 15%
asignan a (incluye w orms y virus) 18%
operaciones 18%
rutinarias y a Actividades de cumplimiento o relacionadas a auditoría
14%
responder ante 6%
incidentes. Otros
4%
Global
■ Sólo el 22% del Perú 0% 5% 10% 15% 20% 25% 30% 35% 40%
tiempo del
Asignación del tiempo y presupuesto para actividades de
presupuesto se Seguridad de Información.
asignan a
estrategias.
Responsables de Ejecución de los
Planes de Acción
Resultados Locales
Oficina de Regulaciones
Otro
de los encuestados
brinda capacitación Grupos generales
Gerencias
para responder ante de usuarios
incidentes de
seguridad.
Capacitación y programas de concientización sobre
■ Menos de la mitad de
Seguridad de Información, ofrecidos a las gerencias de la
los encuestados brinda organización y grupos generales de usuarios.
este entrenamiento a
grupos generales de
usuarios.
Capacitación y Programas de
Concientización - Resultados Locales
■ Dos terceras partes
de los encuestados
brindan capacitación
a la Gerencia sobre Impacto de eventos de
temas de Seguridad
60%
seguridad en la
respectivo impacto.
■ Sólo una tercera Políticas y procedimientos
67%
encuestados brinda
capacitación para Respuesta ante
33%
incidentes de Gerencias
■ Casi la totalidad de
los encuestados Capacitación y programas de concientización sobre
brinda capacitación Seguridad de Información, ofrecidos a las gerencias de la
sobre las Políticas y organización y grupos generales de usuarios.
Procedimientos a los
Usuarios Generales.
Cerrar la Brecha