1 / 32

Seguridad de la Información como un habilitador de negocios

Seguridad de la Información como un habilitador de negocios. Andrés Cargill Gerente General andres@orion.cl. 09/09/2014. A propósito de seguridad…. La semana pasada atacó un nuevo virus/gusano. Blaster 1.2 millones de IP únicas infectadas Tasa de infección: 30.000 sistemas por hora

zahur
Download Presentation

Seguridad de la Información como un habilitador de negocios

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Seguridad de la Informacióncomo un habilitador de negocios Andrés Cargill Gerente General andres@orion.cl 09/09/2014

  2. A propósito de seguridad…

  3. La semana pasada atacó un nuevo virus/gusano...

  4. Blaster • 1.2 millones de IP únicas infectadas • Tasa de infección: 30.000 sistemas por hora • Daños: aún no estimados

  5. ¿De dónde provienen los ataques?

  6. ¿Son los virus el principal problema?

  7. Code Red Nimda Love Letter Klez SirCam Blaster SQL Slammer

  8. Es un tema real…¿?

  9. ¿A qué se expone una empresa?

  10. Consecuencias • Robo: • Dinero, información empresarial relevante para el negocio, propiedad intelectual, recursos digitales, etc. • Pérdidas de productividad: • Corrupción de datos, gastos extraordinarios para recuperarse de emergencias informáticas no previstas, no disponibilidad de herramientas de trabajo, etc. • Pérdidas indirectas: • Daño a la imagen corporativa, pérdida de confianza, etc. • Exposición legal: • Incumplimiento de contratos, incumplimiento de compromisos de confidencialidad, actividad ilegal de usuarios en los sistemas, etc.

  11. ¿Qué es la seguridad informática? de la información

  12. ¿Qué es Información? • “La información es un activo que, al igual que otros activos importantes para el negocio, tiene valor para la organización y consecuentemente necesita ser protegido apropiadamente.” ISO/IEC 17799:2000 Proceso Datos Información

  13. ¿Qué formas tiene la Información? • “La información puede existir en muchas formas. Puede ser impresa o escrita en papel, almacenada electrónicamente, transmitida por correo o medios digitales, mostrada en videos, o hablada en conversaciones.” ISO/IEC 17799:2000

  14. Objetivos de la Seguridad • Confidencialidad • Asegurar que la información es accesible sólo a aquellos que están autorizados • Integridad • Resguardar la veracidad e integridad de la información y los métodos de procesamiento • Disponibilidad • Asegurar que los usuarios autorizados tengan acceso a la información y los recursos asociados cuando lo requieran ISO/IEC 17799:2000 ... asegurar la continuidad del negocio y minimizar el daño ante un incidente de seguridad

  15. Gestión del riesgo

  16. ¿Ha identificado cuáles son sus principales activos de información? • ¿Sabe usted cuál es el valor de esos activos para su compañía? • ¿A qué amenazas está expuestos? • ¿Cuáles son sus vulnerabilidades?

  17. La seguridad es un proceso • Los productos por si solos no han resuelto los problemas de seguridad de la información después de muchos años… • Es un trabajo continuo, que involucra aspectos tecnológicos ademásde procesos y personas, para lo cual se requieren soluciones integrales.

  18. Prevenir Responder Detectar La seguridad es un proceso

  19. Gestión Comunicaciones Dominios Política Seguridad Cumplimiento Legal Organización Seguridad Plan Continuidad Controles Clasificación Recursos INFORMACIÓN RR.HH. Desarrollo Sistemas Seguridad RR.HH. CLIENTES FINANZAS Controles Acceso Seguridad Física

  20. ¿Qué es el riesgo?

  21. ? $ Riesgo Valor Recurso Vulnerabilidad Amenazas Controles - = x x Riesgo Residual: Nivel de riesgo remanente después de implementar los controles Valor del recurso para el negocio, en términos de la confidencialidad, integridad y disponibilidad. Puntos potenciales a ataques. Evento que podría explotar una vulnerabilidad. Resguardos para reducir el riesgo.

  22. Estrategias de gestión del riesgo Tecnológicos Administrativos Mitigar = Implementar Controles Operacionales Transferir = Tomar un Seguro Riesgo Eludir = No hacer o cambiar BCP, DRP Aceptar = Vivir con el riesgo

  23. ¿Cuánto invertir?

  24. Presupuestos • Encuesta 2003 de Forrester a nivel mundial: • Las empresas no saben cuánto invertir en seguridad de la información • Sólo un 28% incluyen a gerentes de negocio para determinar el presupuesto de seguridad • Sólo un 44% tiene buenos procesos para determinar el presupuesto de seguridad • 40% de los encargados de seguridad dicen haber gastado en los riesgos equivocados

  25. Tips • La seguridad de la información es responsabilidad de la alta gerencia • La discusión se debe elevar a nivel empresarial • La seguridad es un proceso, no un producto • La seguridad de la información es parte de la gestión de riesgos del negocio • La seguridad bien enfocada se transforma en un facilitador al proporcionar confianza en los negocios

  26. Seguridad de la Informacióncomo un habilitador de negocios Andrés Cargill Gerente General andres@orion.cl 09/09/2014

More Related