230 likes | 366 Views
UBA – Facultad de Ciencias Económicas Seguridad de la Información. Introducción: algunos datos….
E N D
UBA – Facultad de Ciencias Económicas Seguridad de la Información
Introducción: algunos datos…
INFORMATICAEl objetivo del virus “Bugbear” no es colapsar computadoras sino robar datos bancariosLos expertos confirmaron que envía la información que captura a miles de direcciones de Internet. Además, también puede desactivar los sistemas de seguridad de la PC, destruir sus archivos y descomponer impresoras. Introducción: algunos datos…
Introducción: algunos datos…
Information Security: una definición “Asegurar que sólo individuos autorizados obtienen acceso a las aplicaciones e información asociada, de acuerdo con una política definida, de forma que la responsabilidad individual esté asegurada”. ‘The Standard forInformation Security’- ISF How to Let the Good Guys In … and Manage What They May Do Identity and Access Management - Gartner Group
Information Security: una definición Es asociar personas con aplicaciones! • El administrador de seguridad • Establece la validez de un requerimiento… • … y devuelve una decisión sobre si otorgar o denegar acceso en función de los Principios Básicos de la Información
Information Security: principios básicos • Confidencialidad: sólo las personas adecuadastienen acceso a la información • Integridad: sólo las personas adecuadas pueden generar la información correcta • Disponibilidad: las personas adecuadas tienen acceso a la información correcta en el momento justo ”Informacion correcta a las personas adecuadas en el momento justo!”
Information Security: riesgo inherente Qué es el riesgo? Definición: Contingencia o proximidad de un daño. • Riesgo del Negocio: riesgos específicos de la compañía y el entorno en el cual opera • Riesgo de Proceso: riesgo inherente dentro de un proceso de negocio determinado • Riesgo del Sistema: riesgo que es específico al software de gestión implementado • Los sistemas de información pueden facilitar algunos tipos de fraudes. • Amenazas comunes: • Intercepción: obtener acceso no autorizado a algunos recursos. • Modificación: cambiar datos de una aplicación. • Fabricación: generar nuevos datos que normalmente no existirían. • Errores involuntarios: cualquiera de los anteriores pero sin mala intención.
Information Security: riesgo inherente • Ejemplos: • Errores u omisiones en inputs de operadores. • Errores de procesamiento de transacciones. • Contenido Inapropiado. • Desperdicio/ Uso indebido de recursos corporativos. • Abuso de privilegios o derechos. • Monitoreo. • Fraude. • Robo. • Sabotaje. • Ataques externos.
El 80% de los incidentes/fraudes/ataques son efectuados por personal interno TheComputer Security Institute Information Security: la gente es parte de la problemática… Triángulo de Riesgo Cualquier persona… Oportunidad Se enoja Tienemásde un rol Comete errores Se cansa Se frustra Quiere ayudar Actitud Presión Se distrae Es curiosa … frecuentemente se toma el camino más corto
“30-60% de los perfiles de acceso en las compañías no son vigentes” IDC Information Security: síntomas comunes El tiempo de usuarios sin acceso aumenta Se incrementan los requerimientos de seguridad a las aplicaciones Cuentas de usuarios sin uso proliferan Tiempos de generación de requerimientos de acceso crecen Auditorías de seguridad fallan
Desafíos de Seguridad de la Información Requerimientos del Negocio Privileges almost double yearly growing Autenticación Quién soy? Cómo puedo probarlo? Relaciones A qué grupo/unidad pertenezco? Qué rol(es) debo tener? 800 Privileges (1,000's of) Autorización A qué tengo que tener acceso? Políticas Qué regla gobierna mis accesos? Qué situación especial aplica? Perfiles Qué preferencias debería tener? 600 400 Users (100's of) 200 Resources - 2000 2001 2002 Year 2003 Information Security: … complejidad actual • Simplificar • Accesos, mejorar la productividad, facilitar el adecuamientoa regulaciones • Automatizar • Administración de accesos, reducir costos • Soporte • Múltiples usuarios y aplicaciones heterogéneas Estimated Privilege distribution Activity in Typical Companies
Qué se hace con los accesos de los usuarios? … a quién se les otorga? Algunos criterios para administrar la Seguridad de Usuarios: • Restringir el alcance de los accesos a transacciones • Políticas respecto del numero de usuarios • Determinación a nivel de propiedad de los datos • Determinación a partir del entorno de negocio • Influencias legales / regulatorias / corporativas
NEGOCIOSUna nuevafiebre “enferma” a las empresas de todo el mundo: la seguridad de la informaciónLa gestión de las políticas de seguridad de la informaciónobsesiona a miles de empresas de todo el mundo. Ahora, ya no se conforman con controlar los datos circulantes; tambiénquierenahorrarmillones.Por Daniela Blanco. Especial para Clarín.com. Algunos datos finales
Information Security: Factores Clave • Factores críticos de éxito: • Capacitación de usuarios. • Planes de continuidad de negocio. • Roles y Responsabilidades definidas. • Marco Legal (políticas y procedimientos). • Estadísticas (tendencias, KPI, KMI). • Presupuesto y recursos. • Compromiso de la alta gerencia.
Conclusiones • Los Sistemas de Información crean un nuevo escenario para la auditoria en general • Los seguridad de la información se transforman en un foco central para las organizaciones • Los auditores requieren desarrollar nuevas habilidades: políticas de Information Security, identificación de riesgos de sistemas, uso de transacciones, mejores practicas de administración de accesos, etc. • Las políticas y procedimientos de seguridad no son opcionales • La seguridad de la información tiene relevancia legal / regulatoria (Sarbanes–Oxley, ISO 17799, COSO, COBIT, etc.) (Video 1 B)