Seguridad de la Informacióncomo un habilitador de negocios
Andrés CargillGerente General
21/04/23
A propósito de seguridad…
La semana pasada atacó un nuevo virus/gusano...
4
• Blaster– 1.2 millones de IP únicas
infectadas– Tasa de infección: 30.000
sistemas por hora– Daños: aún no estimados
¿De dónde provienen los ataques?
6
¿Son los virus el principal problema?
8
Klez
Love Letter
Code Red
Nimda
SirCam
SQL Slammer
Blaster
9
10
Es un tema real…¿?
12
13
¿A qué se expone una empresa?
15
Consecuencias• Robo:
– Dinero, información empresarial relevante para el negocio, propiedad intelectual, recursos digitales, etc.
• Pérdidas de productividad:– Corrupción de datos, gastos extraordinarios para recuperarse
de emergencias informáticas no previstas, no disponibilidad de herramientas de trabajo, etc.
• Pérdidas indirectas:– Daño a la imagen corporativa, pérdida de confianza, etc.
• Exposición legal:– Incumplimiento de contratos, incumplimiento de compromisos
de confidencialidad, actividad ilegal de usuarios en los sistemas, etc.
¿Qué es la seguridad informática?
de la información
17
¿Qué es Información?
• “La información es un activo que, al igual que otros activos importantes para el negocio, tiene valor para la organización y consecuentemente necesita ser protegido apropiadamente.”
ISO/IEC 17799:2000
Datos Proceso
Información
18
¿Qué formas tiene la Información?• “La información puede existir
en muchas formas. Puede ser impresa o escrita en papel, almacenada electrónicamente, transmitida por correo o medios digitales, mostrada en videos, o hablada en conversaciones.”
ISO/IEC 17799:2000
19
Objetivos de la Seguridad• Confidencialidad
– Asegurar que la información es accesible sólo a aquellos que están autorizados
• Integridad– Resguardar la veracidad e
integridad de la información y los métodos de procesamiento
• Disponibilidad– Asegurar que los usuarios
autorizados tengan acceso a la información y los recursos asociados cuando lo requieran
ISO/IEC 17799:2000
... asegurar la continuidad del negocio y minimizar el
daño ante un incidente de seguridad
Gestión del riesgo
21
• ¿Ha identificado cuáles son sus principales activos de información?
• ¿Sabe usted cuál es el valor de esos activos para su compañía?
• ¿A qué amenazas está expuestos?• ¿Cuáles son sus vulnerabilidades?
22
La seguridad es un proceso• Los productos por si
solos no han resuelto los problemas de seguridad de la información después de muchos años…
• Es un trabajo continuo, que involucra aspectos tecnológicos además de procesos y personas, para lo cual se requieren soluciones integrales.
23
La seguridad es un proceso
Prevenir
DetectarResponder
24
Dominios
ControlesAcceso
ControlesClasificación
Recursos
PolíticaSeguridad
OrganizaciónSeguridad
SeguridadRR.HH.
SeguridadFísica
DesarrolloSistemas
PlanContinuidad
CumplimientoLegal
GestiónComunicaciones
¿Qué es el riesgo?
26
Valor Recurso
$
Valor del recurso para el negocio, en términos de la confidencialidad, integridad y disponibilidad.
Vulnerabilidadx
Puntos potenciales a ataques.
Amenazasx
Evento que podría explotar una vulnerabilidad.
Riesgo =
?
Riesgo Residual: Nivel de riesgo remanente después de implementar los controles
Controles-
Resguardos para reducir el riesgo.
27
Estrategias de gestión del riesgo
Riesgo
Mitigar = Implementar Controles
Transferir = Tomar un Seguro
Eludir = No hacer o cambiar
Aceptar = Vivir con el riesgo
Tecnológicos
Administrativos
BCP, DRP
Operacionales
¿Cuánto invertir?
29
30
Presupuestos
• Encuesta 2003 de Forrester a nivel mundial:
– Las empresas no saben cuánto invertir en seguridad de la información
– Sólo un 28% incluyen a gerentes de negocio para determinar el presupuesto de seguridad
– Sólo un 44% tiene buenos procesos para determinar el presupuesto de seguridad
– 40% de los encargados de seguridad dicen haber gastado en los riesgos equivocados
31
Tips
1. La seguridad de la información es responsabilidad de la alta gerencia
2. La discusión se debe elevar a nivel empresarial
3. La seguridad es un proceso, no un producto
4. La seguridad de la información es parte de la gestión de riesgos del negocio
5. La seguridad bien enfocada se transforma en un facilitador al proporcionar confianza en los negocios
Seguridad de la Informacióncomo un habilitador de negocios
Andrés CargillGerente General
21/04/23