Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Seguridad

No description
by

Oscar Orjuela

on 7 January 2015

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Seguridad

SEGURIDAD DE LA INFORMACIÓN
SEGURIDAD INFORMÁTICA
90%
10%
Seguridad de la Información
Seguridad Informática
Es técnica, no involucra la alta gerencia. Enfocada a soluciones de hardware y software. No necesariamente involucra toda la organización
No es simplemente técnica, e involucra a la Alta gerencia y los directivos de la organización; además, busca proteger la información, independientemente del medio en el que se encuentre.
Personas
Procesos
Tecnología
La seguridad de la información es un Proceso de mejora continua.
Área de Tecnología
Área Directiva
Garantizar la comunicación efectiva e integración con los proveedores.
Responsabilidades
Garantizar la existencia de un inventario de Hardware y Software.
Buscar que la arquitectura de seguridad se ajuste a la estrategia y objetivos del negocio.
Gestionar que los controles tecnológicos se implementen y se mantengan adecuadamente.
Asegurar procesos de monitoreo eficaces.
Realizar pruebas periódicas de contingencia tecnológica.
Responsabilidades
Penalizar por el incumplimiento en las políticas y normas, esto se debe definir, comunicar y ejecutar desde la alta Gerencia hacia abajo.
Aprobar las políticas de seguridad de la información y realizar un monitoreo en su cumplimiento.
Liderar y apoyar continuamente.
Garantizar que todas las partes interesadas, se vean afectadas por las consideraciones de seguridad de la información.
Gobierno de Seguridad de la Información
Conjunto de responsabilidades y practicas, ejercidas por el consejo de dirección y la dirección ejecutiva, con la finalidad de brindar una dirección estratégica, garantizar que se logren los objetivos, determinar que los riesgos se administran de forma apropiada y verificar que los recursos de la empresa se utilizan con responsabilidad.
ISO 27001
La norma ISO/IEC 27001 define cómo organizar la seguridad de la información en cualquier organización, ya sea privada o pública, pequeña o grande.
Esta norma constituye la base para la gestión de la seguridad de la información y determina como hacerlo, a través, de un Sistema de Gestión de Seguridad de la Información (SGSI).
La seguridad de la información es un Proceso de mejora continua.
RESOLUCIÓN JB-2012-2148
Además de medidas tecnológicas, contiene:
Procedimientos para el mantenimiento preventivo y correctivo en los cajeros automáticos.
Todos estos procedimientos deberán estar debidamente documentados en los manuales respectivos
Establecer procedimientos y controles para la administración, transporte, instalación y mantenimiento de los elementos y dispositivos que permiten el uso de los canales electrónicos y de tarjetas.
Incorporar en los procedimientos de administración de la seguridad de la información, el bloqueo de los canales electrónicos o de las tarjetas cuando se presenten eventos inusuales que adviertan situaciones fraudulentas o después de un número máximo de tres (3) intentos de acceso fallido.
Establecer procedimientos de control y mecanismos que permitan registrar el perfil de cada cliente sobre sus costumbres transaccionales en el uso de canales electrónicos y tarjetas y definir procedimientos para monitorear en línea y permitir o rechazar de manera oportuna la ejecución de transacciones que no correspondan a sus hábitos.
Establecer procedimientos para monitorear, controlar y emitir alarmas en línea que informen oportunamente sobre el estado de los canales electrónicos.
Establecer procedimientos y mecanismos para monitorear de manera periódica la efectividad de los niveles de seguridad implementados en hardware, software, redes y comunicaciones.
Compromiso con Seguridad de la Información
Obama firma una orden ejecutiva para responder a la amenaza cibernética.
El presidente Barack Obama, anunció durante el discurso del estado de la Unión que ha firmado orden ejecutiva para garantizar la seguridad nacional ante posibles ataques cibernéticos. Estados Unidos ha sufrido diferentes asaltos a través de Internet a compañías privadas e infraestructuras públicas, declaradas en 2009 como “un bien estratégico” cuya protección es una “prioridad nacional”.
www.elpais.com
España crea el Mando Conjunto de Ciberdefensa
El Ministerio de Defensa español ha creado el Mando Conjunto de Ciberdefensa, que dirigirá y coordinará las acciones de las Fuerzas Armadas frente a los 'ciberataques', "una amenaza actual, real y en crecimiento para los intereses nacionales".

El ministro de Defensa, Pedro Morenés, firma la Orden Ministerial 10/2013, de 19 de febrero, que publica el Boletín Oficial de Defensa (BOD), por la que se crea este mando conjunto, que dependerá del jefe de Estado Mayor de la Defensa (Jemad).
www.elmundo.es
Sigue aumentando el número de empresas certificadas en ISO 27001
Actualmente existen
7940
empresas certificadas en todo el mundo.
Actualmente en Ecuador solo existen
2
.
Otros países de Latinoamerica:

Brasil=24
Argentina=17
Colombia=14
Peru=7
International Register of ISMS Certificates.
IN-Seguridad
Multan a Sony por el ataque a PlayStation Network
77 millones de cuentas de usuarios fueron comprometidas durante el ataque a PlayStation Network, de las cuales un pequeño porcentaje también vio expuestos sus datos bancarios, por lo que millones de usuarios se vieron en la necesidad de cambiar tarjetas de crédito, nombres y contraseñas de usuario, luego de este atentado, con la intención de evitar el ser víctimas de fraude.

Reino Unido ha anunciado una Multa a Sony por 250.000 libras, lo que suponen unos 300 mil euros con motivo del ataque a PlayStation Network, sus consecuencias y las molestias ocasionadas a los usuarios.
¿Burger King o McDonald’s?
Cómo una contraseña débil en Twitter puede dañar tu imagen
Un grupo de Anonymous ingresó y tomó control de la cuenta oficial de Burger King, aparentemente, a través de una contraseña débil. Sin embargo, más allá del daño a la imagen de marca que causa este tipo de incidentes, en este caso los atacantes se tomaron el trabajo de modificar toda la cuenta para hacer publicidad del principal competidor de la marca: McDonald’s.
elportal.com.do
ESET Latinoamérica
Entonces...
¿Hace cuanto tiempo fue el último diagnóstico de seguridad en su compañía?

¿Tiene su compañía un plan de acción acorde a sus necesidades de protección de la información?
¿Sus aplicaciones web han sido probadas por especialistas en seguridad? ¿Esa seguro que aplicaron las mejores practicas durante el desarrollo?

¿Ha realizado campañas de concientización a sus usuarios? ¿Fue efectiva?

¿Ha validado que sus implementaciones de tecnología son seguras?
Preguntas
Las empresas hacen grandes inversiones en elementos de seguridad como Firewall o IDS,
sin embargo los ataques van dirigidos a otros elementos mas debiles, los USUARIOS.
Gestión de carpetas compartidas
Gestión en control de acceso
Configuraciones por defecto
Falta de actualizaciones o parches
Contraseñas fáciles
Aplicaciones inseguras en producción
Falta de cultura en seguridad
Gestión de carpetas compartidas
Problemas seguridad por falta de gestión
¿Control de contenidos?
Virus y ejércitos de infectados
Falta de parches de seguridad
La ausencia de unas políticas bien definidas y aplicadas sobre la actualización de software abre la posibilidad de un acceso no autorizado.
Contraseñas fáciles
Aplicaciones inseguras
Falta de cultura
En que estado de seguridad esta nuestra empresa
¿Se ha realizado recientemente un análisis de vulnerabilidad sobre sus aplicativos?
¿Sabemos que información sensible tenemos expuesta en directorios compartidos?
¿Es realmente mi antivirus mi única protección contra todo tipo de malware?
¿Los usuarios de la compañía hacen un debido uso de Internet?
¿Si me atacan hoy, estoy protegido contra delincuentes informáticos?
¿Son mis aplicaciones realmente seguras?
¿Se ha realizado un análisis al código de las aplicaciones?
¿Realmente mi compañía esta un paso adelante de los atacantes?
¿Ha sido comprometida la seguridad de mi compañía?
¿Si se colaron en el vaticano, podrían hacerlo en mi compañía?
¿Tengo bien definidas mis políticas, medidas de continuidad del negocio en caso de un ataque?
¿Como puedo mejorar el nivel de seguridad?
Análisis de vulnerabilidad
Ethical Hacking
Análisis de código fuente (Estatico)
Pruebas de estrés sobre antivirus
Análisis de control de contenidos
Capacitación y concienciación de talento humano
Análisis de malware
Implementar sistema de gestión SGSI
Diseño de normas y políticas basados en ISO 27001
Atacarnos a nosotros mismos, nos permite conocer nuestras debilidades antes que aquellos que pueden atacarnos ...
Jose Florez - jflorez@seltika.com
Oscar Orjuela - oorjuela@seltika.com
Tecnología es parte de Seguridad Informática y Seguridad de la Información ¿de quien hace parte?
Jose Florez Gaitan - CEH ECSA LPT
Oscar Orjuela - Consultor seguridad de la información
Full transcript