Comité de Seguridad de la Información -...
Transcript of Comité de Seguridad de la Información -...
![Page 1: Comité de Seguridad de la Información - cs.uns.edu.arcs.uns.edu.ar/~jechaiz/ComiteSeguridad-KickOff.pdf · Alinear la SI con las estrategias de la UNS y con normas y buenas prácticas](https://reader033.fdocument.pub/reader033/viewer/2022041920/5e6b8cc6ed18ac2b9e057b18/html5/thumbnails/1.jpg)
Javier EchaizCoordinador General
Comité de Seguridad de la Información
Javier.Echaiz (at) uns.edu.ar
Comité deSeguridad de la
Información
2010/07/08
![Page 2: Comité de Seguridad de la Información - cs.uns.edu.arcs.uns.edu.ar/~jechaiz/ComiteSeguridad-KickOff.pdf · Alinear la SI con las estrategias de la UNS y con normas y buenas prácticas](https://reader033.fdocument.pub/reader033/viewer/2022041920/5e6b8cc6ed18ac2b9e057b18/html5/thumbnails/2.jpg)
Comité de Seguridad de la Información UNS – Javier Echaiz
Ice Breaker
2
![Page 3: Comité de Seguridad de la Información - cs.uns.edu.arcs.uns.edu.ar/~jechaiz/ComiteSeguridad-KickOff.pdf · Alinear la SI con las estrategias de la UNS y con normas y buenas prácticas](https://reader033.fdocument.pub/reader033/viewer/2022041920/5e6b8cc6ed18ac2b9e057b18/html5/thumbnails/3.jpg)
Comité de Seguridad de la Información UNS – Javier Echaiz
Agenda
3
1 Motivación
2 Introducción a la Seguridad de la Info
3 Terminología Básica
4 Plan General de Trabajo
5 Objetivos Particulares
6 Acciones en Marcha
7 Factores Críticos de Éxito
8 Situación Actual / Ejemplos @ UNS
![Page 4: Comité de Seguridad de la Información - cs.uns.edu.arcs.uns.edu.ar/~jechaiz/ComiteSeguridad-KickOff.pdf · Alinear la SI con las estrategias de la UNS y con normas y buenas prácticas](https://reader033.fdocument.pub/reader033/viewer/2022041920/5e6b8cc6ed18ac2b9e057b18/html5/thumbnails/4.jpg)
Comité de Seguridad de la Información UNS – Javier Echaiz
Cambios tecnológicos
4
![Page 5: Comité de Seguridad de la Información - cs.uns.edu.arcs.uns.edu.ar/~jechaiz/ComiteSeguridad-KickOff.pdf · Alinear la SI con las estrategias de la UNS y con normas y buenas prácticas](https://reader033.fdocument.pub/reader033/viewer/2022041920/5e6b8cc6ed18ac2b9e057b18/html5/thumbnails/5.jpg)
Comité de Seguridad de la Información UNS – Javier Echaiz
Por qué?
Plan Nacional de Gobierno Electrónico.
Es necesario según ArCERT / ONTI /
Secretaría de Gestión Pública ( ).
Forma parte de los objetivos de la Comisión
Asesora (Informática) de Planeamiento:1. Comunicación
2. Información
3. Gestión
4. Infraestructura
5. Extensión
5
![Page 6: Comité de Seguridad de la Información - cs.uns.edu.arcs.uns.edu.ar/~jechaiz/ComiteSeguridad-KickOff.pdf · Alinear la SI con las estrategias de la UNS y con normas y buenas prácticas](https://reader033.fdocument.pub/reader033/viewer/2022041920/5e6b8cc6ed18ac2b9e057b18/html5/thumbnails/6.jpg)
Comité de Seguridad de la Información UNS – Javier Echaiz 6
![Page 7: Comité de Seguridad de la Información - cs.uns.edu.arcs.uns.edu.ar/~jechaiz/ComiteSeguridad-KickOff.pdf · Alinear la SI con las estrategias de la UNS y con normas y buenas prácticas](https://reader033.fdocument.pub/reader033/viewer/2022041920/5e6b8cc6ed18ac2b9e057b18/html5/thumbnails/7.jpg)
Comité de Seguridad de la Información UNS – Javier Echaiz 7
http://www.arcert.gov.ar/politica/
![Page 8: Comité de Seguridad de la Información - cs.uns.edu.arcs.uns.edu.ar/~jechaiz/ComiteSeguridad-KickOff.pdf · Alinear la SI con las estrategias de la UNS y con normas y buenas prácticas](https://reader033.fdocument.pub/reader033/viewer/2022041920/5e6b8cc6ed18ac2b9e057b18/html5/thumbnails/8.jpg)
Introducción (Muy) Breve
a la Seguridad de la
Información
8
![Page 9: Comité de Seguridad de la Información - cs.uns.edu.arcs.uns.edu.ar/~jechaiz/ComiteSeguridad-KickOff.pdf · Alinear la SI con las estrategias de la UNS y con normas y buenas prácticas](https://reader033.fdocument.pub/reader033/viewer/2022041920/5e6b8cc6ed18ac2b9e057b18/html5/thumbnails/9.jpg)
Comité de Seguridad de la Información UNS – Javier Echaiz
¿Seguridad de la Información?
9
La Información es un activo muy valioso en la UNS y requiere en
consecuencia una protección adecuada.
La información puede estar:
Impresa o escrita en papel.
Almacenada digitalmente.
Trasmitida por correo o medios electrónicos.
Publicada en medios digitales.
Hablada en una conversación.
Debe protegerse adecuadamente cualquiera que sea la forma que
tome o los medios por los que se comparta o almacene.
![Page 10: Comité de Seguridad de la Información - cs.uns.edu.arcs.uns.edu.ar/~jechaiz/ComiteSeguridad-KickOff.pdf · Alinear la SI con las estrategias de la UNS y con normas y buenas prácticas](https://reader033.fdocument.pub/reader033/viewer/2022041920/5e6b8cc6ed18ac2b9e057b18/html5/thumbnails/10.jpg)
Comité de Seguridad de la Información UNS – Javier Echaiz
Contribuir al logro de los objetivos de la UNS
mediante procesos, técnicas y herramientas
(tecnología) de Seguridad de la Información.
Establecer y mantener un marco de garantías y
estrategias de Seguridad de la Información.
Objetivo General
10
¿Qué buscamos con la Seguridad IT?
Lograr un nivel de Seguridad de la Información adecuado
según estándares internacionales, empleando
especialmente la familia ISO/IEC 27k y COBIT.
![Page 11: Comité de Seguridad de la Información - cs.uns.edu.arcs.uns.edu.ar/~jechaiz/ComiteSeguridad-KickOff.pdf · Alinear la SI con las estrategias de la UNS y con normas y buenas prácticas](https://reader033.fdocument.pub/reader033/viewer/2022041920/5e6b8cc6ed18ac2b9e057b18/html5/thumbnails/11.jpg)
Comité de Seguridad de la Información UNS – Javier Echaiz
Estándares
11
Operaciones
Ad
min
.
Pro
yecto
s
Ad
min
.
Se
rvic
ios
Ad
min
. Ca
lidad
De
sa
rrollo
Ap
licacio
nes
SOX
COSO
COBIT
ITIL
BS 15000
ISO 20000
CMMI
ISO 9000
PMI
Se
gu
ridad
TI
Control
Gerencial
ISO 27000
![Page 12: Comité de Seguridad de la Información - cs.uns.edu.arcs.uns.edu.ar/~jechaiz/ComiteSeguridad-KickOff.pdf · Alinear la SI con las estrategias de la UNS y con normas y buenas prácticas](https://reader033.fdocument.pub/reader033/viewer/2022041920/5e6b8cc6ed18ac2b9e057b18/html5/thumbnails/12.jpg)
Comité de Seguridad de la Información UNS – Javier Echaiz
Procesos
12
Seguridad como
Proceso
Gestión
Niveles de Servicio
Gestión
Problemas
Gestión
Releases
Ges
tión
Cam
bios
Gestión
Financiera de TI
Gestió
n
Dis
po
nib
ilidad
Gestión C
ontinuid
ad
Servic
ios d
e TI
Ges
tión
Inci
dente
s
Gestión
Configura
ción
Gesti
ón
Cap
acid
ad
![Page 13: Comité de Seguridad de la Información - cs.uns.edu.arcs.uns.edu.ar/~jechaiz/ComiteSeguridad-KickOff.pdf · Alinear la SI con las estrategias de la UNS y con normas y buenas prácticas](https://reader033.fdocument.pub/reader033/viewer/2022041920/5e6b8cc6ed18ac2b9e057b18/html5/thumbnails/13.jpg)
Comité de Seguridad de la Información UNS – Javier Echaiz
¿Qué entendemos por Seguridad?
13
CONFIDENCIALIDAD
INTEGRIDAD
DISPONIBILIDAD
Garantizar de la información
DESTRUCCIÓN
MODIFICACIÓN
REVELACIÓN
PÉRDIDA
RIESGO DE PÉRDIDA
Evitar
Reducir
Prevención
Detección
Recuperación
La Seguridad de la Información es el conjunto de prácticas y
procedimientos que buscan proteger la información, con el fin de
minimizar las amenazas y riesgos a los que está expuesta.
![Page 14: Comité de Seguridad de la Información - cs.uns.edu.arcs.uns.edu.ar/~jechaiz/ComiteSeguridad-KickOff.pdf · Alinear la SI con las estrategias de la UNS y con normas y buenas prácticas](https://reader033.fdocument.pub/reader033/viewer/2022041920/5e6b8cc6ed18ac2b9e057b18/html5/thumbnails/14.jpg)
Comité de Seguridad de la Información UNS – Javier Echaiz
Planteos de Seguridad
Diagnóstico de
seguridad.
Análisis y gestión de
riesgos.
Plan Integral de
Seguridad.
14
¿Sabemos cómo estamos?
¿Qué riesgos tenemos?
¿Cómo priorizamos las acciones de
mejora?
¿Sabemos medir el estado de la
seguridad?
¿Cómo defino mis políticas?
¿Quién es responsable de qué?
¿Está alineada la estrategia de
seguridad con los objetivos de la
UNS?
¿Dónde tener en cuenta la
seguridad? En todas partes…
Planteo de necesidades Qué se necesita …
![Page 15: Comité de Seguridad de la Información - cs.uns.edu.arcs.uns.edu.ar/~jechaiz/ComiteSeguridad-KickOff.pdf · Alinear la SI con las estrategias de la UNS y con normas y buenas prácticas](https://reader033.fdocument.pub/reader033/viewer/2022041920/5e6b8cc6ed18ac2b9e057b18/html5/thumbnails/15.jpg)
Comité de Seguridad de la Información UNS – Javier Echaiz
Seguridad vs. Usabilidad
15
![Page 16: Comité de Seguridad de la Información - cs.uns.edu.arcs.uns.edu.ar/~jechaiz/ComiteSeguridad-KickOff.pdf · Alinear la SI con las estrategias de la UNS y con normas y buenas prácticas](https://reader033.fdocument.pub/reader033/viewer/2022041920/5e6b8cc6ed18ac2b9e057b18/html5/thumbnails/16.jpg)
Comité de Seguridad de la Información UNS – Javier Echaiz
Eje del Comité de Seguridad
16
Confidencialidad:
Accesible sólo a aquellas personas autorizadas.
Integridad:
Exactitud y totalidad de la información y los métodos de
procesamiento.
Disponibilidad:
Acceso a la información y a los recursos relacionados
con ella toda vez que se requiera.
Preservar la CIA:
![Page 17: Comité de Seguridad de la Información - cs.uns.edu.arcs.uns.edu.ar/~jechaiz/ComiteSeguridad-KickOff.pdf · Alinear la SI con las estrategias de la UNS y con normas y buenas prácticas](https://reader033.fdocument.pub/reader033/viewer/2022041920/5e6b8cc6ed18ac2b9e057b18/html5/thumbnails/17.jpg)
Comité de Seguridad de la Información UNS – Javier Echaiz
Definir el alcance del Sistema de Gestión de la Seguridad de la Información (SGSI).
Definir las políticas de seguridad (180 días!). Definir una metodología sistemática para el análisis de riesgos y
para el criterio de aceptación de riesgos. Llevar a cabo el análisis de riesgos para identificar, dentro del
contexto de la política y el alcance del SGSI, los activos (relacionados con la información) de la UNS y los riesgos sobre ellos.
Identificar y evaluar opciones para hacer frente a estos riesgos, seleccionando los objetivos de control.
Preparar una declaración de aplicabilidad (DDA), i.e. qué controles se van a implementar.
Escribir una declaración de los riesgos residuales no cubiertos.
Plan General de Trabajo
17
![Page 18: Comité de Seguridad de la Información - cs.uns.edu.arcs.uns.edu.ar/~jechaiz/ComiteSeguridad-KickOff.pdf · Alinear la SI con las estrategias de la UNS y con normas y buenas prácticas](https://reader033.fdocument.pub/reader033/viewer/2022041920/5e6b8cc6ed18ac2b9e057b18/html5/thumbnails/18.jpg)
Comité de Seguridad de la Información UNS – Javier Echaiz
Definición de un SGSI
Es la parte del sistema general de gestión que comprende:
Las políticas de seguridad.
La estructura organizativa.
Los procedimientos y guías.
Los procesos.
Los recursos necesarios.
Los planes de formación. capacitación, concientización…
Se implementa la Gestión de la Seguridad de la Información en concordancia con las políticas de seguridad y planes estratégicos.
18
![Page 19: Comité de Seguridad de la Información - cs.uns.edu.arcs.uns.edu.ar/~jechaiz/ComiteSeguridad-KickOff.pdf · Alinear la SI con las estrategias de la UNS y con normas y buenas prácticas](https://reader033.fdocument.pub/reader033/viewer/2022041920/5e6b8cc6ed18ac2b9e057b18/html5/thumbnails/19.jpg)
Comité de Seguridad de la Información UNS – Javier Echaiz
Establecer una metodología de seguridad clara y estructurada.
Reducir los riesgos y reaccionar tempranamente ante ataques.
Automatizar actividades del Área Sistemas (workflows, procedimientos).
Concientizar usuarios respecto a la seguridad de la Información.
Alinear la SI con las estrategias de la UNS y con normas y buenas prácticas reconocidas.
Garantizar el valor añadido de las actividades de seguridad.
Lograr conformidad con los requisitos legales.
Mejorar reconocimiento e imagen de la UNS (+ confianza).
Mejorar la gestión de la continuidad del “negocio”.
Incorporar actividades para la mejora continua (procesos y actividades de revisión, auditorias, capacitaciones, etc.).
SGSI y Objetivos del Comité de SI
19
![Page 20: Comité de Seguridad de la Información - cs.uns.edu.arcs.uns.edu.ar/~jechaiz/ComiteSeguridad-KickOff.pdf · Alinear la SI con las estrategias de la UNS y con normas y buenas prácticas](https://reader033.fdocument.pub/reader033/viewer/2022041920/5e6b8cc6ed18ac2b9e057b18/html5/thumbnails/20.jpg)
Comité de Seguridad de la Información UNS – Javier Echaiz
SGSI - SISTEMA DE GESTION DE
SEGURIDAD DE LA INFORMACION
20
Planificar
Hacer
Actuar
Verificar
Metodología basada en el Modelo utilizado por las NORMAS ISO en general:
Check
Plan
DoAct
![Page 21: Comité de Seguridad de la Información - cs.uns.edu.arcs.uns.edu.ar/~jechaiz/ComiteSeguridad-KickOff.pdf · Alinear la SI con las estrategias de la UNS y con normas y buenas prácticas](https://reader033.fdocument.pub/reader033/viewer/2022041920/5e6b8cc6ed18ac2b9e057b18/html5/thumbnails/21.jpg)
Comité de Seguridad de la Información UNS – Javier Echaiz
Metodología
21
7- GESTION DE ACTIVOS
8- SEGURIDAD
EN RECURSOS
HUMANOS
9-SEGURIDAD
FÍSICA Y DEL
ENTORNO
10-GESTIÓN DE
COMUNICACIONE
Y OPERACIONES
12-ADQUISICIÓN
DESARROLLO Y
MANTENIMIENTO
SISTEMAS
INFORMACION
6-ORGANIZACIÓN DE SEGURIDAD DE LA INFORMACIÓN
5-POLITICA DE SEGURIDAD
11-CONTROL DE ACCESOS
13-GESTION DE INCIDENTES DESEGURIDAD INFORMACION
14-GESTION DE CONTINUIDAD DEL NEGOCIO
15-CONFORMIDAD
Implementar gestión de riesgos
Implementar el SGSI
Implementar los controles
Revisar internamente el SGSI
Realizar auditorias internas del
SGSI
Adoptar las acciones correctivas
Adoptar las acciones preventivas
Definir políticas de seguridad
Establecer alcance del al SGSI
Realizar análisis de riesgos
Seleccionar los controles
DO
PLAN
CHECK
ACT
![Page 22: Comité de Seguridad de la Información - cs.uns.edu.arcs.uns.edu.ar/~jechaiz/ComiteSeguridad-KickOff.pdf · Alinear la SI con las estrategias de la UNS y con normas y buenas prácticas](https://reader033.fdocument.pub/reader033/viewer/2022041920/5e6b8cc6ed18ac2b9e057b18/html5/thumbnails/22.jpg)
Comité de Seguridad de la Información UNS – Javier Echaiz
SGSI Documentación
22
Políticas, alcance,
evaluación de riesgos,
declaración de aplicabilidad
Describe procesos –
quién, qué, cuándo, dónde
Describe las tareas y las actividades
específicas y cómo se realizan
Check
Plan
DoAct
Proporciona las pruebas objetivas del cumplimiento
con las exigencias del SGSI
![Page 23: Comité de Seguridad de la Información - cs.uns.edu.arcs.uns.edu.ar/~jechaiz/ComiteSeguridad-KickOff.pdf · Alinear la SI con las estrategias de la UNS y con normas y buenas prácticas](https://reader033.fdocument.pub/reader033/viewer/2022041920/5e6b8cc6ed18ac2b9e057b18/html5/thumbnails/23.jpg)
Comité de Seguridad de la Información UNS – Javier Echaiz
Acciones en Marcha
Recopilación de información previa.
Drafts, normas internas, auditoras, guías, etc.
Auditoría siguiendo COBIT / ISO 27k.
Desarrollo de las Políticas de Seguridad.
Se comenzaron a establecer métricas e indicadores para el Área de Sistemas.
Vinculación con Gobierno Electrónico.
23
![Page 24: Comité de Seguridad de la Información - cs.uns.edu.arcs.uns.edu.ar/~jechaiz/ComiteSeguridad-KickOff.pdf · Alinear la SI con las estrategias de la UNS y con normas y buenas prácticas](https://reader033.fdocument.pub/reader033/viewer/2022041920/5e6b8cc6ed18ac2b9e057b18/html5/thumbnails/24.jpg)
Algunos ejemplos que
ayudan a mostrar la
situación actual
24
Disclaimer: a continuación se muestran
problemas de seguridad @ UNS que ponen
en evidencia que no contamos con
personal especializado/dedicado a la
Seguridad de la Información.
![Page 25: Comité de Seguridad de la Información - cs.uns.edu.arcs.uns.edu.ar/~jechaiz/ComiteSeguridad-KickOff.pdf · Alinear la SI con las estrategias de la UNS y con normas y buenas prácticas](https://reader033.fdocument.pub/reader033/viewer/2022041920/5e6b8cc6ed18ac2b9e057b18/html5/thumbnails/25.jpg)
Comité de Seguridad de la Información UNS – Javier Echaiz
Ejemplos Reales @ UNS
25
Disclaimer: ninguno de los “incidentes de seguridad” que aquí se
muestran provocan cambios permanentes (“No Harm Done Disclaimer").
![Page 26: Comité de Seguridad de la Información - cs.uns.edu.arcs.uns.edu.ar/~jechaiz/ComiteSeguridad-KickOff.pdf · Alinear la SI con las estrategias de la UNS y con normas y buenas prácticas](https://reader033.fdocument.pub/reader033/viewer/2022041920/5e6b8cc6ed18ac2b9e057b18/html5/thumbnails/26.jpg)
Comité de Seguridad de la Información UNS – Javier Echaiz
Ejemplos Reales
26
![Page 27: Comité de Seguridad de la Información - cs.uns.edu.arcs.uns.edu.ar/~jechaiz/ComiteSeguridad-KickOff.pdf · Alinear la SI con las estrategias de la UNS y con normas y buenas prácticas](https://reader033.fdocument.pub/reader033/viewer/2022041920/5e6b8cc6ed18ac2b9e057b18/html5/thumbnails/27.jpg)
Comité de Seguridad de la Información UNS – Javier Echaiz 27
![Page 28: Comité de Seguridad de la Información - cs.uns.edu.arcs.uns.edu.ar/~jechaiz/ComiteSeguridad-KickOff.pdf · Alinear la SI con las estrategias de la UNS y con normas y buenas prácticas](https://reader033.fdocument.pub/reader033/viewer/2022041920/5e6b8cc6ed18ac2b9e057b18/html5/thumbnails/28.jpg)
Comité de Seguridad de la Información UNS – Javier Echaiz
Inyección de Código SQL (light!)
28
![Page 29: Comité de Seguridad de la Información - cs.uns.edu.arcs.uns.edu.ar/~jechaiz/ComiteSeguridad-KickOff.pdf · Alinear la SI con las estrategias de la UNS y con normas y buenas prácticas](https://reader033.fdocument.pub/reader033/viewer/2022041920/5e6b8cc6ed18ac2b9e057b18/html5/thumbnails/29.jpg)
Comité de Seguridad de la Información UNS – Javier Echaiz
Entradas inapropiadamente
validadas…
29
![Page 30: Comité de Seguridad de la Información - cs.uns.edu.arcs.uns.edu.ar/~jechaiz/ComiteSeguridad-KickOff.pdf · Alinear la SI con las estrategias de la UNS y con normas y buenas prácticas](https://reader033.fdocument.pub/reader033/viewer/2022041920/5e6b8cc6ed18ac2b9e057b18/html5/thumbnails/30.jpg)
Comité de Seguridad de la Información UNS – Javier Echaiz
Robo de Bases de Datos (light!)
30
![Page 31: Comité de Seguridad de la Información - cs.uns.edu.arcs.uns.edu.ar/~jechaiz/ComiteSeguridad-KickOff.pdf · Alinear la SI con las estrategias de la UNS y con normas y buenas prácticas](https://reader033.fdocument.pub/reader033/viewer/2022041920/5e6b8cc6ed18ac2b9e057b18/html5/thumbnails/31.jpg)
Comité de Seguridad de la Información UNS – Javier Echaiz 31
![Page 32: Comité de Seguridad de la Información - cs.uns.edu.arcs.uns.edu.ar/~jechaiz/ComiteSeguridad-KickOff.pdf · Alinear la SI con las estrategias de la UNS y con normas y buenas prácticas](https://reader033.fdocument.pub/reader033/viewer/2022041920/5e6b8cc6ed18ac2b9e057b18/html5/thumbnails/32.jpg)
Comité de Seguridad de la Información UNS – Javier Echaiz
Phishing (e-mail)
32
Concientización
y
Capacitación de
Usuarios La seguridad depende más del Factor Humano
que del Factor Tecnológico…
![Page 33: Comité de Seguridad de la Información - cs.uns.edu.arcs.uns.edu.ar/~jechaiz/ComiteSeguridad-KickOff.pdf · Alinear la SI con las estrategias de la UNS y con normas y buenas prácticas](https://reader033.fdocument.pub/reader033/viewer/2022041920/5e6b8cc6ed18ac2b9e057b18/html5/thumbnails/33.jpg)
Comité de Seguridad de la Información UNS – Javier Echaiz 33
Phishing (e-mail)
![Page 34: Comité de Seguridad de la Información - cs.uns.edu.arcs.uns.edu.ar/~jechaiz/ComiteSeguridad-KickOff.pdf · Alinear la SI con las estrategias de la UNS y con normas y buenas prácticas](https://reader033.fdocument.pub/reader033/viewer/2022041920/5e6b8cc6ed18ac2b9e057b18/html5/thumbnails/34.jpg)
Comité de Seguridad de la Información UNS – Javier Echaiz
Verificando existencia de
cuentas de e-mail
34
El 2do servidor le
permite al atacante
verificar que una
cuenta/alias existe.
![Page 35: Comité de Seguridad de la Información - cs.uns.edu.arcs.uns.edu.ar/~jechaiz/ComiteSeguridad-KickOff.pdf · Alinear la SI con las estrategias de la UNS y con normas y buenas prácticas](https://reader033.fdocument.pub/reader033/viewer/2022041920/5e6b8cc6ed18ac2b9e057b18/html5/thumbnails/35.jpg)
Comité de Seguridad de la Información UNS – Javier Echaiz
Enviando e-mails falsificados (1)
35
![Page 36: Comité de Seguridad de la Información - cs.uns.edu.arcs.uns.edu.ar/~jechaiz/ComiteSeguridad-KickOff.pdf · Alinear la SI con las estrategias de la UNS y con normas y buenas prácticas](https://reader033.fdocument.pub/reader033/viewer/2022041920/5e6b8cc6ed18ac2b9e057b18/html5/thumbnails/36.jpg)
Comité de Seguridad de la Información UNS – Javier Echaiz
Enviando e-mails falsificados (2)
36
Nóta: Sólo se puede hacer este ataque desde la Intranet UNS.
Nótese que por simplicidad
no se incluyeron algunos
Headers (Subject, Date, To,
User-Agent, etc.)
![Page 37: Comité de Seguridad de la Información - cs.uns.edu.arcs.uns.edu.ar/~jechaiz/ComiteSeguridad-KickOff.pdf · Alinear la SI con las estrategias de la UNS y con normas y buenas prácticas](https://reader033.fdocument.pub/reader033/viewer/2022041920/5e6b8cc6ed18ac2b9e057b18/html5/thumbnails/37.jpg)
Comité de Seguridad de la Información UNS – Javier Echaiz 37
![Page 38: Comité de Seguridad de la Información - cs.uns.edu.arcs.uns.edu.ar/~jechaiz/ComiteSeguridad-KickOff.pdf · Alinear la SI con las estrategias de la UNS y con normas y buenas prácticas](https://reader033.fdocument.pub/reader033/viewer/2022041920/5e6b8cc6ed18ac2b9e057b18/html5/thumbnails/38.jpg)
Comité de Seguridad de la Información UNS – Javier Echaiz
Hay más...
Existen problemas que aquí no se presentan.
Sólo una Demo (toma de conocimiento?).
Algo más además de la web UNS y nuestro server
de e-mails?
También problemas de seguridad web en sitios
“vecinos”, como servicios, guia, …
Seguridad en nuestras redes? Servers?
Máquinas en las oficinas? Wireless?
Etc.
Necesitamos Mejorar nuestra Seguridad.
38
![Page 39: Comité de Seguridad de la Información - cs.uns.edu.arcs.uns.edu.ar/~jechaiz/ComiteSeguridad-KickOff.pdf · Alinear la SI con las estrategias de la UNS y con normas y buenas prácticas](https://reader033.fdocument.pub/reader033/viewer/2022041920/5e6b8cc6ed18ac2b9e057b18/html5/thumbnails/39.jpg)
Comité de Seguridad de la Información UNS – Javier Echaiz
Necesitamos Mejorar nuestra
Seguridad de la Información
Recordemos: seguridad como proceso…
Metodología: PDCA.
Plan Integral de Seguridad.
39
You can not boil the ocean, you need to start somewhere
![Page 40: Comité de Seguridad de la Información - cs.uns.edu.arcs.uns.edu.ar/~jechaiz/ComiteSeguridad-KickOff.pdf · Alinear la SI con las estrategias de la UNS y con normas y buenas prácticas](https://reader033.fdocument.pub/reader033/viewer/2022041920/5e6b8cc6ed18ac2b9e057b18/html5/thumbnails/40.jpg)
Comité de Seguridad de la Información UNS – Javier Echaiz
Hacia una Universidad de
Vanguardia en IT La UNS es una Universidad de vanguardia en
nuestro país.
Creo que también debe serlo en las cuestiones
relacionadas con la gestión de su información /
gobierno electrónico.
La seguridad IT no puede ser “actor de reparto”
sino “actor principal”.
40
![Page 41: Comité de Seguridad de la Información - cs.uns.edu.arcs.uns.edu.ar/~jechaiz/ComiteSeguridad-KickOff.pdf · Alinear la SI con las estrategias de la UNS y con normas y buenas prácticas](https://reader033.fdocument.pub/reader033/viewer/2022041920/5e6b8cc6ed18ac2b9e057b18/html5/thumbnails/41.jpg)
Comité de Seguridad de la Información UNS – Javier Echaiz
Factores Críticos de Éxito
Implementar la Seguridad en consonancia con la cultura de la UNS.
Contar con el apoyo de la Gestión.
Buen entendimiento de los requisitos de seguridad, de la evaluación y gestión de los riesgos.
Concientizar sobre la necesidad de la seguridad a directivos y empleados (docentes y administrativos!).
Proveer formación y guías sobre políticas y normas a toda la UNS. Capacitar!
Implementar un sistema de medición para evaluar el rendimiento de la gestión de la seguridad y sugerir mejoras.
41
![Page 42: Comité de Seguridad de la Información - cs.uns.edu.arcs.uns.edu.ar/~jechaiz/ComiteSeguridad-KickOff.pdf · Alinear la SI con las estrategias de la UNS y con normas y buenas prácticas](https://reader033.fdocument.pub/reader033/viewer/2022041920/5e6b8cc6ed18ac2b9e057b18/html5/thumbnails/42.jpg)
Javier Echaiz javier.echaiz @
Gracias por
su Atención!
![Page 43: Comité de Seguridad de la Información - cs.uns.edu.arcs.uns.edu.ar/~jechaiz/ComiteSeguridad-KickOff.pdf · Alinear la SI con las estrategias de la UNS y con normas y buenas prácticas](https://reader033.fdocument.pub/reader033/viewer/2022041920/5e6b8cc6ed18ac2b9e057b18/html5/thumbnails/43.jpg)
43
![Page 44: Comité de Seguridad de la Información - cs.uns.edu.arcs.uns.edu.ar/~jechaiz/ComiteSeguridad-KickOff.pdf · Alinear la SI con las estrategias de la UNS y con normas y buenas prácticas](https://reader033.fdocument.pub/reader033/viewer/2022041920/5e6b8cc6ed18ac2b9e057b18/html5/thumbnails/44.jpg)
Comité de Seguridad de la Información UNS – Javier Echaiz
Política de Seguridad
44
Son instrucciones gerenciales que trazan una dirección y
describen la manera de administrar o dar solución a un
problema o situación.
Son planteos de alto nivel que transmiten a los trabajadores la
orientación que necesitan para tomar decisiones presentes y
futuras.
Son requisitos generalizados que deben ser documentados y
comunicados dentro, y en algunos casos fuera, de la
organización.
Son reglas de negocio de cumplimiento obligatorio debido a que
son el equivalente de una ley propia de la organización lo cual
garantiza que los controles serán aplicados de manera
consistente.
Son diferentes a los controles.
![Page 45: Comité de Seguridad de la Información - cs.uns.edu.arcs.uns.edu.ar/~jechaiz/ComiteSeguridad-KickOff.pdf · Alinear la SI con las estrategias de la UNS y con normas y buenas prácticas](https://reader033.fdocument.pub/reader033/viewer/2022041920/5e6b8cc6ed18ac2b9e057b18/html5/thumbnails/45.jpg)
Comité de Seguridad de la Información UNS – Javier Echaiz
Algunas Normas de Gestión ISO
45
ISO 9001 – Calidad.
ISO 14001 – Ambiental.
ISO 27002 – Seguridad de la Información –
(Código de Prácticas, catálogo comprensivo de
buena seguridad).
ISO 27001 – CERTIFICACION de Seguridad de la
Información.
![Page 46: Comité de Seguridad de la Información - cs.uns.edu.arcs.uns.edu.ar/~jechaiz/ComiteSeguridad-KickOff.pdf · Alinear la SI con las estrategias de la UNS y con normas y buenas prácticas](https://reader033.fdocument.pub/reader033/viewer/2022041920/5e6b8cc6ed18ac2b9e057b18/html5/thumbnails/46.jpg)
Comité de Seguridad de la Información UNS – Javier Echaiz
ISO 27002
Incluye las siguientes once secciones principales:
Política de seguridad
Aspectos organizativos para la seguridad
Clasificación y control de activos
Seguridad ligada al personal
Seguridad física y del entorno
Gestión de comunicaciones y operaciones
Control de accesos
Desarrollo y mantenimiento de sistemas
Gestión de incidentes de seguridad de la información
Gestión de continuidad de negocio
Conformidad
46
![Page 47: Comité de Seguridad de la Información - cs.uns.edu.arcs.uns.edu.ar/~jechaiz/ComiteSeguridad-KickOff.pdf · Alinear la SI con las estrategias de la UNS y con normas y buenas prácticas](https://reader033.fdocument.pub/reader033/viewer/2022041920/5e6b8cc6ed18ac2b9e057b18/html5/thumbnails/47.jpg)
Comité de Seguridad de la Información UNS – Javier Echaiz 47
Eye test
![Page 48: Comité de Seguridad de la Información - cs.uns.edu.arcs.uns.edu.ar/~jechaiz/ComiteSeguridad-KickOff.pdf · Alinear la SI con las estrategias de la UNS y con normas y buenas prácticas](https://reader033.fdocument.pub/reader033/viewer/2022041920/5e6b8cc6ed18ac2b9e057b18/html5/thumbnails/48.jpg)
Comité de Seguridad de la Información UNS – Javier Echaiz
Norma ISO/IEC 17799:2005 (ISO 27002)
Áreas o Dominios de Control
48
7- GESTION DE ACTIVOS
8- SEGURIDAD
EN RECURSOS
HUMANOS
9-SEGURIDAD
FÍSICA Y DEL
ENTORNO
10-GESTIÓN DE
COMUNICACIONES
Y OPERACIONES
12- ADQUISICIÓN,
DESARROLLO Y
MANTENIMIENTO
DE SISTEMAS DE
INFORMACIÓN
6-ORGANIZACIÓN DE SEGURIDAD DE LA INFORMACIÓN
5-POLITICA DE SEGURIDAD
11-CONTROL DE ACCESOS
13-GESTION DE INCIDENTES DE SEGURIDAD DE INFORMACION
14-GESTION DE CONTINUIDAD DEL NEGOCIO
15-CONFORMIDAD
Seguridad organizativa
Seguridad lógica
Seguridad física
Seguridad legal
![Page 49: Comité de Seguridad de la Información - cs.uns.edu.arcs.uns.edu.ar/~jechaiz/ComiteSeguridad-KickOff.pdf · Alinear la SI con las estrategias de la UNS y con normas y buenas prácticas](https://reader033.fdocument.pub/reader033/viewer/2022041920/5e6b8cc6ed18ac2b9e057b18/html5/thumbnails/49.jpg)
Comité de Seguridad de la Información UNS – Javier Echaiz 49
![Page 50: Comité de Seguridad de la Información - cs.uns.edu.arcs.uns.edu.ar/~jechaiz/ComiteSeguridad-KickOff.pdf · Alinear la SI con las estrategias de la UNS y con normas y buenas prácticas](https://reader033.fdocument.pub/reader033/viewer/2022041920/5e6b8cc6ed18ac2b9e057b18/html5/thumbnails/50.jpg)
Comité de Seguridad de la Información UNS – Javier Echaiz
Descentralizadas
Plan Sectorial de Gobierno Electrónico.
Utilización de servicios Web.
Uso de TICs para aumentar la transparencia.
Desarrollo de instrumentos que promuevan mayor participación
ciudadana.
Expediente Electrónico.
Utilización de Firma Digital.
Seguridad Informática.
Coordinadas
Ventanilla Única.
Cooperación entre organismos y niveles de gobierno.
Decreto 378/2005
Acciones del Plan de Gobierno Electrónico
![Page 51: Comité de Seguridad de la Información - cs.uns.edu.arcs.uns.edu.ar/~jechaiz/ComiteSeguridad-KickOff.pdf · Alinear la SI con las estrategias de la UNS y con normas y buenas prácticas](https://reader033.fdocument.pub/reader033/viewer/2022041920/5e6b8cc6ed18ac2b9e057b18/html5/thumbnails/51.jpg)
Comité de Seguridad de la Información UNS – Javier Echaiz
Guía para la elaboración del Informe de Diagnóstico de Situación de los
Organismos
SISTEMAS DE MISIÓN CRÍTICA
Se entiende por sistemas de misión crítica a aquellos que están directamente
relacionados con el cumplimiento de los objetivos del Organismo, según su competencia y
que hacen a su razón de ser.
PORTALES
En esta sección se deberá consignar cada uno de los Sitios Web que el Organismo tiene
implementados, como así también los datos de los mismos.
SEGURIDAD
En esta sección se deberá indicar si el Organismo cuenta con una Política de Seguridad
de la Información.
AUTENTICACIÓN DE USUARIOS
Se deberá incluir en el informe – si en su Organismo existe - alguna forma de autenticar
(poder determinar si es o no la persona que dice ser) cuando el usuario intenta realizar
alguna transacción electrónica.
Decreto 378/2005
Acciones del Plan de Gobierno Electrónico