Riesgos Cybernéticos y estrategias de...
Transcript of Riesgos Cybernéticos y estrategias de...
Riesgos Cybernéticos y estrategias de prevenciónVisión de Allianz Argentina
Esponsoreo de la
Comunidad Alemana
© Copyright Allianz 27/04/2010 2Seguridad de la Información
Contenido
1 Allianz Argentina – Cifras
2 Objetivos del Plan de Seguridad
3 Proyecto en Allianz
4 Administración de contraseñas
5 Robo de información de autenticación
6 Como protegemos nuestras computadoras
7 Correcto uso del correo electrónico e Internet
8 Ley 25.326 “Habeas Data”
Esponsoreo de la
Comunidad Alemana
© Copyright Allianz 27/04/2010 3Seguridad de la Información
Allianz Argentina - Cifras
Allianz
� Staff: 250
� Producción: ARS 595 Millones (Ene/Dic 2009)
� ROE 2009: 47,2%
� ROE Top 10 2009: 20,6%
� ROE 2008: 38,4%
� ROE Top 10 2008: 6 %
�Rentabilidad promedio 10 AÑOS: 36.4% (1eros en el mercado)
� Al 30/06/2009 Top 3 Granizo
� Top 3 Transporte
� Top 3 Incendio
� Mix de Negocios: 29,6% Líneas personales
38,3% Líneas industriales
32,1% Automóviles
Es
po
ns
ore
o d
e la
Co
mu
nid
ad
Ale
ma
na
©C
opyright Allianz 2
7/04/2010
4S
eguridad d
e la Información
Objetivos
del plan de Seguridad
Alcanzar alineación
Estratégica
Adm
inistraciónde recursos
Medición del desem
peñoM
itigarlos riesgos y reducir el im
pacto
Integración
Entrega de V
alor
Código MaliciosoCódigo Malicioso
Manejo de Incidentes
Manejo de Incidentes
Clasificación de D
atosC
lasificación de Datos
Seguridad física Seguridad física
Administración de escritorios
Administración de escritorios
Admin. Usuarios y contraseñas
Admin. Usuarios y contraseñas
Uso Internet / Mail Uso Internet / Mail
Dispositivos MóvilesDispositivos Móviles
Redes / VPNRedes / VPN
Separación de Ambientes
Separación de Ambientes
Desarrollo de Software
Desarrollo de Software
MonitoreoMonitoreo
Procedim
ientos Opcionales
Procedim
ientos Opcionales
Políticas de S
eguridaddel G
rupo
Alcanzar alineación
Estratégica
Adm
inistraciónde recursos
Medición del desem
peñoM
itigarlos riesgos y reducir el im
pacto
Integración
Entrega de V
alor
Código MaliciosoCódigo Malicioso
Manejo de Incidentes
Manejo de Incidentes
Clasificación de D
atosC
lasificación de Datos
Seguridad física Seguridad física
Administración de escritorios
Administración de escritorios
Admin. Usuarios y contraseñas
Admin. Usuarios y contraseñas
Uso Internet / Mail Uso Internet / Mail
Dispositivos MóvilesDispositivos Móviles
Redes / VPNRedes / VPN
Separación de Ambientes
Separación de Ambientes
Desarrollo de Software
Desarrollo de Software
MonitoreoMonitoreo
Procedim
ientos Opcionales
Procedim
ientos Opcionales
Políticas de S
eguridaddel G
rupo
Manejo de Incidentes
Manejo de Incidentes
Clasificación de D
atosC
lasificación de Datos
Seguridad física Seguridad física
Administración de escritorios
Administración de escritorios
Admin. Usuarios y contraseñas
Admin. Usuarios y contraseñas
Uso Internet / Mail Uso Internet / Mail
Dispositivos MóvilesDispositivos Móviles
Redes / VPNRedes / VPN
Separación de Ambientes
Separación de Ambientes
Desarrollo de Software
Desarrollo de Software
MonitoreoMonitoreo
Procedim
ientos Opcionales
Procedim
ientos Opcionales
Políticas de S
eguridaddel G
rupo
Esponsoreo de la
Comunidad Alemana
© Copyright Allianz 27/04/2010 5Seguridad de la Información
Por donde comenzar ?
Inicio del Proyecto
� Análisis del estado de la Seguridad
� Definición de los roles relacionados con la Seguridad
� Revisión y definición de las Políticas y Normas necesarias
� Redacción de las Políticas y Normas de acuerdo a estándares del Grupo y aprobación por parte del Consejo Directivo
� Desarrollo de planes de implementación de Políticas y Normas
� Definición y puesta en marcha de un plan de Concientización
Esponsoreo de la
Comunidad Alemana
© Copyright Allianz 27/04/2010 6Seguridad de la Información
Por que concientización…
Cuando la tecnología no es suficiente� Antivirus y Firewalls por si solos no son capaces de proteger contra las
nuevas amenazas de seguridad combinadas
� El 78% de las empresas fueron atacadas por virus aunque el 99% de estastiene antivirus y firewalls instalados
� Ingeniería Social- Es la manipulación inteligente que realiza un atacante de la tendencia
humana natural a la Confianza- El objetivo del atacante con esta acción es lograr el acceso no autorizado
a un determinado sistema y especifícamente a la información contenida en este“The weakest link in the security chain is the human element”
“You could spend a fortune purchasing technology and services…and your network infraestructure could still remain vulnerable to old-fashioned manipulation”
Kevin Mitnick
Esponsoreo de la
Comunidad Alemana
© Copyright Allianz 27/04/2010 7Seguridad de la Información
Como concientizar ?
No debemos olvidarnos que
� No alcanza con el respaldo de la dirección
� Debemos lograr que no se nos vea como el departamento que solamenteprohibe
� El objetivo final es lograr el conocimiento de las Políticas y Normas
� Adaptar la campaña a la realidad de la empresa y el grupo objetivo
� Debemos poner el foco en que la seguridad de la empresa la hacemos entre todos y no es solamente responsabilidad del Departamento de Seguridad
Tips para la campaña
� Lograr la participación masiva
� Incluir temas laborales y personales
� Utilizar todos los medios que disponemos para la sensibilización
Esponsoreo de la
Comunidad Alemana
© Copyright Allianz 27/04/2010 8Seguridad de la Información
Acciones llevadas a Cabo en Allianz Argentina
Afiches publicados en Carteleras Plataforma E-learning
Esponsoreo de la
Comunidad Alemana
© Copyright Allianz 27/04/2010 9Seguridad de la Información
Acciones llevadas a Cabo en Allianz Argentina
Notas en revista interna Día de la Seguridad
Esponsoreo de la
Comunidad Alemana
© Copyright Allianz 27/04/2010 10Seguridad de la Información
Creación de una contraseña segura
Requisitos� No utilizar datos facilmente deducibles como nombres de integrantes de
nuestra familia, mes en curso, fecha de nacimiento, palabras del diccionario
� La contraseña no debe ser corta (mínimo 8 caracteres)
� Combine letras, números y utilice todo tipo de teclas
� Utilice frases que le sea fácil de recordar
� Cambie la constraseña con regularidad
� No debemos compartir ni divulgar nuestra contraseña a nadie
Evite� Usar secuencias o circuitos predecibles ej:pepe01, pepe02,pepe03
� Sustituir únicamente letras por números o simbolos ej: Dan13l
� Utilizar la misma contraseña en todos los sistemas, correos, etc
� Escribir la contraseña en papel o almacenarla en su computadora
Esponsoreo de la
Comunidad Alemana
© Copyright Allianz 27/04/2010 11Seguridad de la Información
Como hago para acordarme la contraseña
Algunos Consejos
� Piense en alguna frase o el titulo del libro que esta leyendo actualmente. Ejemplo: estoy leyendo El Simbolo perdido de Dan Brown
� Utilice la primer letra de cada palabra (elespddb)
� Aumente la complejidad utilizando mayusculas/minúsculas y números(3lE5pdD8)
� Utilice algún caracter especial.
� Habrá obtenido una contraseña segura 3lE$pdD8
Esponsoreo de la
Comunidad Alemana
© Copyright Allianz 27/04/2010 12Seguridad de la Información
Robo de Información de autenticación
Phishing
� El atacante desarrolla un programa (fake logon) que se ve exactamenteigual que el original y lo ejecuta en el equipo de la víctima
� En algún momento el usuario ingresará en este programa que simula ser real, su usuario y contraseña
� Esta información ingresada por el usuario en el programa suplantado, ahoraservirá al atacante para falsear la identidad de la víctima
Phishing + Troyanos
� Estos son programas instalados en nuestras Pc’s que pueden permanecerinactivos por un tiempo indeterminado sin poder ser detectados por nuestrosistema de antivirus
� Para que nos afecte, el troyano debe estar programado para la entidad con la cual operamos y que se ingrese desde la Pc infectada
Esponsoreo de la
Comunidad Alemana
© Copyright Allianz 27/04/2010 13Seguridad de la Información
Robo de Información de autenticación
Como mitigamos el riesgo en Allianz
� Manteniendo “al día” las actualizaciones del navegador de Internet y de los sistemas operativos
� Verificando que el antivirus se encuentre actualizado
� Concientizando permanentemente a nuestros usuarios en estos temas, yaque la concientización es la mejor prevención contra este tipo de amenazas
Esponsoreo de la
Comunidad Alemana
© Copyright Allianz 27/04/2010 14Seguridad de la Información
Como protejemos nuestras computadoras
USB � Allianz tiene denegados el uso de los puertos USB para evitar el ingreso a la
red de diferentes tipos de virus y troyanos
� Se habilita según la necesidad de los usuarios el uso de los mismos, monitoreandose los dispositivos para evitar el robo de información
Instalación de programas� La instalación de los mismos esta centralizada en el depto. de IT
� Todo programa debe estar licenciado para su instalación
� Para los freeware o versiones trial se registra la fecha de instalación, versióndel software, actualización del mismo y Pc’s en las que se los instala
Esponsoreo de la
Comunidad Alemana
© Copyright Allianz 27/04/2010 15Seguridad de la Información
Correcto uso del correo electrónico
Consideraciones a tener en cuenta
� El correo electrónico es provisto para fines laborales, debiendo hacer un correcto uso del mismo evitando registrar la dirección del correocoorporativo en distintos foros de discución, sorteos, campañas publicitarias, etc
� Utilizar el sistema de correo de Allianz para el envío de correspondencia de negocios quedando prohibido la utilización de correos como Yahoo, Gmail, etc
� El sistema de correo de Allianz no puede ser utilizado para el intercambio de archivos de música, videos, juegos, etc
� El uso inaceptable de esta tecnología incluye
- Mensajes con contenido legal o difamatorio
- Pornografía, discriminación en todas sus formas
- Reenvío de mensajes comúnmente conocidos como “cadenas”
Esponsoreo de la
Comunidad Alemana
© Copyright Allianz 27/04/2010 16Seguridad de la Información
Correcto uso de Internet
Consideraciones a tener en cuenta
� Todo uso de Internet debe efectuarse exclusivamente con objetivos del negocio
� El acceso a las paginas de Internet es regulado y monitoreado a fin de garantizar que el servicio es utilizado con objetivo del negocio y dentro de la legislación local
� Allianz definió distintas listas de navegación
- Lista “negra” de sitios prohibidos
- Lista “blanca” de sitios permitidos
- Lista “gris” para el resto de los sitios
� Ante problemas de acceso a páginas que se necesita ingresar, luego de la evaluación y de corresponder se procede a incluir la página dentro de lascategorias habilitadas
Esponsoreo de la
Comunidad Alemana
© Copyright Allianz 27/04/2010 17Seguridad de la Información
Ley 25.326 Habeas Data
Objetivo de la Ley
� Es la protección integral de los datos personales, almacenados en archivoso Bases de Datos, para garantizar el derecho de honor y a la intimidad
Que son los datos personales
� La ley define a los datos personales como la información de cualquier tiporeferida a personas físicas o de existencia ideal y le da un tratamientoespecial a los considerados sensibles
� Sensibles: relacionados con origen racial y étnico, opiniones políticas, religión, salud o vida sexual
Que datos posee Allianz
� Datos personales de clientes, proveedores, empleados, etc
� Datos patrimoniales
� Datos de salud, siniestros, etc
Esponsoreo de la
Comunidad Alemana
© Copyright Allianz 27/04/2010 18Seguridad de la Información
Ley 25.326 Habeas Data
Que establece la Ley
� Cuando se recaben datos personales se deberá informar previamente a sustitulares en forma expresa y clara una serie de circuntancias como:
- La existencia del archivo, base de datos, etc y la identidad y domicilio de su responsable y la finalidad para la que serán tratados
- La posibilidad del interesado de ejercer los derehos de acceso, rectificación y supresión de los datos
� Como deben ser los datos recolectados y como se debe efectuar esarecolección
- No puede ser por medios fraudulentos, desleales o en forma contraria a la Ley
- No pueden ser utilizados para finalidades distintas con aquellas quemotivaron su obtención
- Deben ser exactos y deben actualizarse
- Deben ser almacenados de modo que permitan el ejercicio del derecho de acceso del titular y destruidos cuando dejen de ser necesarios para los fines del negocio
Esponsoreo de la
Comunidad Alemana
© Copyright Allianz 27/04/2010 19Seguridad de la Información
Ley 25.326 Habeas Data
Acciones implementadas
� Allianz tiene registradas sus bases desde el año 2006
� Obligaciónes de seguridad:
- Adopción de medidas técnicas y organizativas que resulten necesariaspara garantizar la seguridad y confidencialidad de los datos personales
- Creación de un documento de seguridad de datos personales quedescriba los procedimientos y las medidas de seguridad básicas que se han implementado para garantizar la seguridad de la informaciónalmacenada en la base de datos
- Inclusión para cumplir con la disposición 10/2008 en un lugar visible, en las páginas Web y en toda comunicación o publicidad, en particular, en los formularios utilizados en la recolección de datos personales, una leyenda que indique que el titular de los datos personales tiene la facultad de ejercer el derecho de acceso a los mismos
Esponsoreo de la
Comunidad Alemana
© Copyright Allianz 27/04/2010 20Seguridad de la Información
Ley 25.326 Habeas Data
Acciones implementadas
Según resolución conjunta 627/2010 y 34.933/2010 se establece que los Productores Asesores de seguros deberán inscribirse en el Registro Nacional de Bases de Datos personales como responsables de bases de datos
Muchas gracias por suatenciónPara mayores informaciones [email protected]