Requisitos de Seguridad en los Sistemas de las Instituciones

Agenda

• ¿Quiénes deben preocuparse por la seguridad de los datos?

• ¿ Por qué debemos preocuparnos por la seguridad?

• ¿ Cuáles son los requerimientos de seguridad?

• ¿ Qué es un incidente de seguridad?

• ¿ Cuándo se debe reportar una incidente de seguridad?

• ¿ Cómo se debe reportar un incidente de seguridad?

• ¿ Cómo los usuarios pueden aportar a mejorar la seguridad?

• ¿ Cuáles son los próximos pasos?

¿Quiénes debe preocuparse por la seguridad de losdatos?

Presidente & Junta de Directores

Registraduría, Admisiones y Tesorería

Asistencia Económica

Padres o Tutores

Empleados y Facultad

Ex-alumnos

Estudiantes

Solicitantes/Prospectos

CIO, CISO (Departamentode IT)

¿Por qué debemos preocuparnos por la seguridad?

¿Por qué debemos preocuparnos por la seguridad?

¿ Por qué debemos preocuparnos por la seguridad?

• Cumplimiento con leyes y regulaciones estatales y federales– FERPA: información estudiantil

– PCI: tarjetas de crédito

– HIPAA: información médica

– Privacy ACT of 1974

– Ley 111 de 2005, ley 187 de 2006, ley 207 de 2006

*Mantener segura la información con información “PII” (Personally identifiable information)

• Cumplimiento con auditorías internas y externas– Valida que se siga un procedimiento establecido que cumpla con las reglas internas de

seguridad y las mejores prácticas

¿ Por qué debemos preocuparnos por la seguridad?

¿Cuáles son los requerimientos de seguridad?

• Programa de seguridad de Información– Este debe estar desarrollado, implementado y ser revisado periódicamente (políticas y

procedimiento)

• Implementar estándares establecidos y mejores prácticas– NIST

– ISO

• Reducción de riesgo– Adiestramiento de empleados

– Identificación de los sistemas críticos

– Clasificación y manejo de datos

– Plan de manejo de incidentes

¿Cuáles son los requerimientos de seguridad?

• Servicios sub-contratados– Firmar acuerdos de confidencialidad (NDA)

– Revisar los requerimientos de seguridad en los contratos

• Otras areas de seguridad– Prevención de Fraudes y Robos de identidad

¿Cuáles son los requerimientos de seguridad?

• 3 etapas de cualquier programa de seguridad :

– Prevención

– Detección

– Solución

¿Qué es un incidente de seguridad?

• Es cuando ocurre la pérdida, destrucción, alteración o accesoilegítimo a la información digital de su institución.

• Los incidentes de seguridad se pueden evitar cuando:– Aseguramos la información y mantenemos la confidencialidad

– Protegemos de amenazas o daños, la data y los sistemas

– Protegemos la información, archivos o documentos de accesos no autorizado

¿Cuándo se debe reportar un incidente de seguridad?

• Las regulaciones establecidas exigen que todo incidente de seguridad sea reportado.

• Se deben reportar inmediatamente se sospeche que existe unabrecha de seguridad

• A DACO se tienen 10 días calendarios para reportar cualquierincidente

• De no ser reportado se pueden ejercer multas contra la institución

¿Cómo se debe reportar un incidente de seguridad?

• Por correo electrónico a su unidad de seguridad (segúnestablezca la política de su institución)

• Data que se debe incluir:– Fecha de la brecha

– Impacto (cantidad de records)

– Metodología utilizada

– Estatus de remediación

• Se reporta a las agencias guberanmentales de PR y/o de losestados donde residan los perjudicados

¿Cómo los usuarios pueden aportar a mejorar la seguridad?

• Sepa identificar la información que maneja y aplique las reglasestablecidas según la clasificación

• Tenga mucha precaución con la documentación física

• Procure mantener sus dispositivos móviles y documentos con información sensitiva encriptados

• Bloquee su computadora cuando no esté frente de ella

• Evite compartir información demás

• Precaución con las páginas de internet que visita, pueden tenervirus y código malicioso

¿Cómo los usuarios pueden aportar a mejorar la seguridad?

• Utilice contraseñas seguras y difíciles de adivinar

• Nunca comparta sus contraseñas

Tienes una contraseña segura?

• ¿Cómo hago para que no se me olvide?

• Establece reglas:

EJ: María y José se casaron el 8 de septiembre en Aguadilla

M&Jsce8dseA

• No habilitar la opción de recordar contraseñas en los sistemas ni en el Internet.

¿Cómo los usuarios pueden aportar a mejorar la seguridad?

• Combata el “Phishing”

• Sospeche de cualquier correo electrónico que:– Solicite información personal

– Contenga errores gramaticales o de deletreo

– Solicite oprimir un enlace

– Proviene de un desconocido o de una compañia con la cual no tienes relación de negocios

• Si el correo resulta sospechoso: – No oprima el enlace

– No otorgue información personal o financier

– No abra los documentos adjuntos

– Envie el correo a personal de seguridad para revisión y validación

¿Cómo los usuarios pueden aportar a mejorar la seguridad?

• Evite ser víctima de Ingeniería social

• Ingenieria social – es el arte de manipular una situación a travésde la conducta humana para ganar acceso no autorizado a lossistemas o a la información para propósitos fraudulentos o criminales.

• Estos ataques son más comunes y más exitosos que los ataquesgenerados a los sistemas a través de la red.

¿Cómo los usuarios pueden aportar a mejorar la seguridad?

¿Cómo los usuarios pueden aportar a mejorar la seguridad?

• Colabore en las mejores prácticas

• Pregunte si tiene dudas o preocupaciones

• Valide las políticas y procedimientos establecidos

• Traiga ideas y sugerencias para mejoras de sistemas y procesos

¿Cuáles son los próximos pasos?

• Valide y verifique la política de segurida de su institución – Si no tiene una, solicite se desarrolle una

• Identifique la persona responsible del programa de seguridad de su institución – asegurese que esta persona sea el contacto para cualquier incidente de seguridad

• Solicite que se realice una evaluación o avalúo de riesgo de losprocesos de su área

• Asegurese que todo el personal de su área conozco las políticas y procedimientos establecidos, sobre todo cuando ocurre unabrecha de seguridad

¿Preguntas?