Riesgos,

seguridad y
recuperacin
ante desastres

Administracin De Centros
De Informacin

RIESGOS, SEGURIDAD Y RECUPERACIN ANTE DESASTRES

Administracin De Centros De Informacin

Del mismo modo que se ha extendido el uso de los sistemas de

informacin basados en computadoras, as ha aumentado la
amenaza para la integridad de los datos y la conabilidad de la
informacin. Las organizaciones deben enfrentar con seriedad los
riesgos de las amenazas de la naturaleza y del hombre. Un experto
en computadoras seal una vez: el nico sistema
verdaderamente seguro est apagado, encerrado en un bloque de
concreto y sellado en una habitacin metlica con guardias
armados. E incluso as tengo mis dudas. En realidad, no hay un
modo de asegurar por completo un sistema de informacin contra
algn percance potencial; sin embargo, hay modos de reducir de
manera signicativa los riesgos y de recuperarse de las prdidas.

01

METAS DE SEGURIDAD DE LA INFORMACIN

Administracin De Centros De Informacin

En junio del 2005, los hackers invadieron las bases de

datos de CardSystems Solutions, una compaa que
procesa transacciones de tarjetas de crdito. Los datos
de alrededor de 200 000 suscriptores de MasterCard,
Visa y otros emisores de tarjetas de crdito fueron
robados.

Como ya ha visto, el desarrollo, la implementacin y el mantenimiento de los IS constituyen una parte grande y creciente del costo de
realizar negocios; proteger esos recursos es una preocupacin principal. La mayor dependencia en los IS, junto con la conexin al
mundo externo mediante una red pblica, Internet, vuelve cada vez ms desaante la seguridad de los IS corporativos. La funcin de
los controles y la seguridad de la computadora es proteger los sistemas contra incidentes accidentales y el robo intencional y el dao
de datos y las aplicaciones, al igual que ayudar a las organizaciones a asegurar que sus operaciones de IT acaten la ley y cumplan con
las expectativas de privacidad de los empleados y los clientes.

02

METAS DE SEGURIDAD DE LA INFORMACIN

03

Administracin De Centros De Informacin

Asegurar el
cumplimiento de las
polticas y las leyes
acerca de la
seguridad y la
privacidad.

Reducir el riesgo
de que los
sistemas y las
organizaciones
dejen de operar

Asegurar la
disponibilidad
ininterrumpida de
los recursos de datos
y las operaciones en
lnea.

Mantener la
condencialidad
de la informacin.

Asegurar la
integridad y la
conabilidad de los
recursos de datos.

RIESGOS PARA LOS SISTEMAS DE INFORMACIN

Administracin De Centros De Informacin

RIESGOS PARA
EL HARDWARE

Desastres naturales
Interrupciones
prolongadas y
momentneas del
suministro elctrico
Vandalismo

04

RIESGOS PARA LOS SISTEMAS DE INFORMACIN

Administracin De Centros De Informacin

Robo de informacin y
Robo de identidad
Alteracin y
destruccin de los
datos y deformacin
en la Web
Virus, gusanos y
bombas lgicas
Percances que no son
malintencionados

RIESGOS PARA
LOS DATOS Y
LAS
APLICACIONES

05

RIESGOS PARA LAS OPERACIONES EN LNEA

06

Administracin De Centros De Informacin

China

26%
EEUU

17%
Rusia

11%

Secuestro de una computadora

El secuestro de una computadora signica
utilizar una parte o todos sus recursos
conectados a una red pblica sin la
autorizacin del dueo.

Negacin del servicio

Los ataques de denegacin de servicio (se abre
en nueva ventana) o DoS (Denial of Service) son
uno de los tipos de incidentes de seguridad ms
tpicos y siguen siendo muy utilizados. Llevar a
cabo un ataque de denegacin de servicio no
requiere, en muchos casos, conocimientos
avanzados.

Malware

50%
Troyano

25%
Virus

15%

CONTROLES

07

Administracin De Centros De Informacin

Transacciones
atmicas

Respaldo
CONTROLES
Solidez de un
programa y
controles de
introduccin de
datos

COMUNES

PARA PROTEGER
Controles de
acceso

LOS SISTEMAS

DE RIESGOS
Rastros de
vericaciones
contables

MEDIDAS DE SEGURIDAD

08

Administracin De Centros De Informacin

FIREWALLS Y SERVIDORES PROXY

La mejor defensa contra el acceso no autorizado a los
sistemas por Internet es un firewall, el cual es hardware y
software que bloquean el acceso a los recursos de
cmputo..

AUTENTICACIN Y CIFRADO
La autenticacin es el proceso de asegurar que la
persona que enva un mensaje a o recibe un mensaje de
usted es en esencia tal persona.

SEGURIDAD DE CAPA DE TRANSPORTE

Se utiliza un protocolo llamado Seguridad de Capa de
Transporte (TLS) para las transacciones en la Web. La
TLS es la sucesora de la Capa de Sockets Segura (SSL)

FIRMAS DIGITALES
Una firma digital es un modo de autenticar los mensajes
en lnea, similar a una rma fsica en un papel, pero
implementada con cifrado de clave pblica.

CERTICADOS DIGITALES
Los certificados digitales son archivos de computadora
que equivalen a las tarjetas de identicacin, porque
asocian la identidad de una persona con la clave pblica
de esa persona.

DESVENTAJA DE LAS MEDIDAS DE SEGURIDAD

Administracin De Centros De Informacin

Las medidas de seguridad tienen un costo.

Hacen lentas las comunicaciones de datos y requieren

disciplina del usuario.

Los empleados tienden a olvidar sus contraseas, sobre

todo si deben cambiarlas cada 30 o 90 das.

Una solucin ms sencilla es un mtodo llamado SSO

El cifrado hace ms lenta la comunicacin porque el

software debe cifrar y descifrar todos los mensajes

09

LAS MEDIDAS DE RECUPERACIN

Administracin De Centros De Informacin

En 2005, una encuesta de SunGard en el Reino Unido

encontr que 52% de las empresas participantes
invirtieron en medidas de continuidad empresarial
principalmente debido a las nuevas normas.
El temor al terrorismo fue la principal razn para 33%
de las compaas.

Las medidas de seguridad pueden reducir los incidentes indeseables, pero nadie puede controlar todos los desastres. Con el n de
estar preparadas para los desastres cuando ocurran, las organizaciones deben contar con medidas de recuperacin. Las
organizaciones que dependen mucho de sus IS para sus actividades diarias suelen usar la redundancia; es decir, ejecutan todos los
sistemas y transacciones en dos computadoras en paralelo como proteccin contra la prdida de datos y de negocios. Si una
computadora falla, el trabajo contina en la otra. La redundancia hace que el sistema sea tolerante a fallas. Sin embargo, en los
sistemas distribuidos, es muy costoso duplicar todos los recursos de cmputo, de modo que deben tomarse otras medidas.

10

PLAN DE RECUPERACIN EMPRESARIAL

Administracin De Centros De Informacin

OBTENER EL
COMPROMISO DE LA
ADMINISTRACIN CON EL
PLAN

ESTABLECER UN
COMIT DE
PLANIFICACIN

REALIZAR UNA
VALORACIN DE RIESGOS
Y UN ANLISIS DE
IMPACTOS

11

PRIORIZAR LAS
NECESIDADES DE
RECUPERACIN

SELECCIONAR UN
PLAN DE
RECUPERACIN

SELECCIONAR LOS
VENDEDORES

DESARROLLAR E
IMPLEMENTAR EL
PLAN

PROBAR EL PLAN

PROBAR Y EVALUAR DE
MANERA CONTINUA

PLANEACIN DE LA RECUPERACIN Y PROVEEDORES DE SITIOS ALTERNOS

Administracin De Centros De Informacin

Las compaas que eligen no

desarrollar por completo su propio
plan de recuperacin pueden
subcontratarlo con empresas que se
especializa
en
planicar
la
recuperacin ante desastres o en
suministrar sitios alternos. .

12

LA ECONOMA DE LA SEGURIDAD DE LA INFORMACIN

Administracin De Centros De Informacin

Fredrickson International es una agencia de cobranza

lder. Al haber implementado ISO/IEC 27001 tiene ahora
una mayor consciencia de la seguridad a travs de la
organizacin.
La
certificacin
ha
reducido
significativamente el tiempo que toma hacer la oferta
para los contratos y ha ofrecido confianza al mercado
de sus prcticas de seguridad en la informacin.

Las medidas de seguridad deben enfrentarse de una manera similar a la compra de un seguro. El gasto en las medidas debe ser
proporcional al dao potencial. Las organizaciones tambin necesitan valorar la tasa mnima de tiempo de interrupcin del sistema y
asegurar que en lo econmico resisten ese tiempo de interrupcin del servicio.

13

CUNTA SEGURIDAD ES SUFICIENTE?

Administracin De Centros De Informacin

Desde slo el punto de vista del costo, cunto debe gastar una
organizacin en medidas de seguridad de los datos? Existen dos
tipos de costos que deben considerarse para responder esta
pregunta: el costo del dao potencial y el costo de implementar
una medida preventiva. El costo del dao es el agregado de todos
los daos potenciales multiplicados por sus probabilidades
respectivas.

14

GRACIAS
ACI - 2015A