Seguridad... en la vida real...

perspectiva desde el negocio

Seguridad... en la vida real... perspectiva desde el negocio

ISI Technology

Presentacin

Jos Carlos Estrada Jimnez Simpatizante, entusiasta y promotor del Software Libre jcestradaj@gmail.com

Seguridad... en la vida real... perspectiva desde el negocio

Que es la seguridad?
definicin

Diccionario de la Lengua Espaola:

(Del lat. securtas, -tis). f. Cualidad de seguro. loc. adj. Dicho de un mecanismo: Que asegura algn buen funcionamiento, precaviendo que este falle, se frustre o se violente.

Seguridad... en la vida real... perspectiva desde el negocio

Y que es la seguridad de la informacin?

definicin

La Seguridad de la Informacin se refiere a la Confidencialidad, Integridad y Disponibilidad de la informacin y datos, independientemente de la forma que los datos puedan tener: electrnicos, impresos, etc...

El termino Seguridad de Informacin, Seguridad informtica y garanta de la informacin son usados con frecuencia como sinnimos aunque su significado no es el mismo

Seguridad... en la vida real... perspectiva desde el negocio

Porque es importante para el negocio?

Organizaciones de todos los tipos y tamaos:

a) recopilan, procesan, almacenan y transmiten grandes cantidades de informacin b) reconozcamos que la informacin y los procesos relacionados a ella: sistemas, redes y personas son activos importantes para el logro de los objetivos de negocio c) nos enfrentamos a una serie de riesgos que pueden afectar el funcionamiento de estos activos, y

d) debemos de mitigar los riesgos mediante la implementacin de controles de seguridad de la informacin

Seguridad... en la vida real... perspectiva desde el negocio

ms all de la tecnologa (Los 5 principios)

Para disear un plan de seguridad de la informacin debemos considerar:
a) Take stock: Conocer que informacin sensible se tiene en los archivos fsicos y en los sistemas de cmputo b) Scale down: Mantener solo aquella informacin sensible necesaria para el negocio c) Lock it. Proteger la informacin que tenemos en nuesto haber:

Seguridad Fsica Seguridad Electrnica

d) Pitch it: Como deshacerse de la informacin sensible que ya no se necesita (caducidad) e) Plan ahead: Disear un plan para responder a los incidentes de seguridad de la informacin
Seguridad... en la vida real... perspectiva desde el negocio

la Trada CIA
ISO/IEC 27000:
De la definicin de Seguridad de la Informacin: Preservacin de la confidencialidad, integridad y Disponibilidad de la informacin. Tenemos: Confidencialidad: Propiedad que garantiza que la informacin no est disponible o sea revelada a personas, entidades o procesos no autorizados.

Integridad: proteccin de la exactitud e integridad de los activos

Disponibilidad: propiedad que garantiza el acceso y utilizacin bajo demanda por entidades autorizadas

Seguridad... en la vida real... perspectiva desde el negocio

Information Security Management System (ISMS)

Seguridad... en la vida real... perspectiva desde el negocio

Aterrizando en el entorno
nuestro entorno
Es claro que no pretendemos que todas las empresas se lleven a una certificacin ISO27001 No se pretende sugerir la implementacin de un ISMS de un golpe En nuestro entorno PyME lo ms adecuado es disear la Arquitectura de Seguridad de acuerdo a las necesidades del negocio. (No pretender construir un aeropuerto si no se cuenta con aviones) Pensemos en TI como un rea de Servicios alineados al Negocio; entonces... aseguremos el negocio. Extendamos el presupuesto con el Software Libre (no es gratis, si tiene un TCO)

Seguridad... en la vida real... perspectiva desde el negocio

las reas de oportunidad

(dbiles o de alto riesgo)
Seguridad fsica: Quienes tienen y quienes deberan tener acceso fsico a la Infraestructura (Servidores, Networking) y como se debe de controlar ese acceso. En casi todos los entornos tenemos ambientes Mixtos (Windows/Unix/Otros) La coexistencia es vital. La gestin de los Sistemas Operativos Cliente (Windows/Linux) es importante: Software Compliance, Software Delivery and Patching Buenas prcticas de administracin

Tomar de ITIL lo necesario y adecuado... implementarlo.

Entornos de desarrollo (laboratorio). Control de cambios. Monitoreo. Cuidar lo que los usuarios "ven" y accesan.
Seguridad... en la vida real... perspectiva desde el negocio

Por donde comenzamos?

La gran pregunta ...

Como los riesgos de la seguridad de la informacin y la eficiencia de los controles de cambio dependen de las circunstancias cambiantes; podemos comenzar por: a) monitorear y evaluar la efectividad de los controles y procedimientos implementados actualmente. b) identificar riesgos emergentes y como mitigarlos; y c) disear, implementar y mejorar controles apropiados de acuerdo a las necesidades del negocio.

La seguridad es un proceso continuo de mejora ,por ende, las polticas y controles establecidos para la proteccin de la informacin debern revisarse y adecuarse, de ser necesario, ante los nuevos riesgos que surjan, a fin de tomar las acciones que permitan reducirlos y en el mejor de los casos eliminarlos.
Seguridad... en la vida real... perspectiva desde el negocio

Conclusiones.

"Maniobrar con un ejrcito es ventajoso. Maniobrar con una multitud indisciplinada, es peligroso." El Arte de la Guerra, Sun Tzu

Seguridad... en la vida real... perspectiva desde el negocio

Gracias!
jcestradaj@gmail.com Jos Carlos Estrada Jimnez

Seguridad... en la vida real... perspectiva desde el negocio