“seguridad informática mitos y realidades”€¦ · asociación latinoamericana de...

Asociación Latinoamericana de Profesionales en Seguridad Informática

“Seguridad Informática Mitos y Realidades”

VII Reunión de Responsables de Sistemas de InformaciónSan Pedro Sula, Honduras

Adrián Palma,CISSP,CISA,CISM.PresidenteALAPSI INTERNACIONAL

Introducción

La actualidad y la información.

Grandes volúmenes de información y procesos.

Alta dependencia tecnológica.

Bajo control en la protección de información.

Internet, una nueva forma de vida o un problema para pensar.

Necesitamos seguridad.

Introducción

Pero...

¿qué vamos a proteger?

¿cómo lo vamos a proteger?

¿qué tan costosa es la seguridad?

¿quién va a responder estas preguntas?

Sin embargo, antes de que se respondan, sabemos que necesitamos seguridad, eso es un hecho!!!.

Introducción

Veamos los 6 errores mas comunes:

Ya compramos un Firewall, ya tenemos seguridad ¿no?.

Manejar el oscurantismo de lo inesperado.

Nunca ha pasado nada, o al menos no nos hemos dado cuenta.

No estoy en Internet, no necesito seguridad.

Mis empleados son gente de confianza!!!

Ver el problema de la seguridad como un problema tecnológico.

Estadísticas de Ataques

¿quién invierte mas en seguridad?¿de dónde vienen los ataques?¿ qué tecnologías son las mas usadas?¿cuánto cuestan las intrusiones?¿y los sitios web?, etc.

Estadísticas

Clasificación por puesto del participante

Fuente: Encuesta Global de Seguridad de la Información 2004

Estadísticas

Clasificación por volumen de ingresos de laorganización participante

Estadísticas

Participación por sector industrial

Estadísticas

¿Qué tan importante es la seguridad de la informaciónpara alcanzar los objetivos del negocio?

Estadísticas

¿Cuánta importancia le dan los ejecutivos al tema?

Estadísticas

¿Existen o se planea que existan las siguientesposiciones en su organización?

Estadísticas

¿Existen o se planea que existan las siguientesposiciones en su organización?

Estadísticas

¿A quién le reporta su departamento de seguridad de lainformación?

Estadísticas

¿Qué tan efectivo es su departamento de seguridad dela información para satisfacer sus necesidades de laorganización?

Estadísticas

¿Con qué frecuencia se reporta a su consejo dedirección o equivalente sobre temas relacionados conseguridad de la información?

Estadísticas

¿Qué tan seguido se reúne el responsable de laseguridad de la información con los líderes de lasunidades de negocio?

Estadísticas

De la Preocupación a la Conciencia

Estadísticas

Prácticas de Control

Estadísticas

Prácticas de Control

Estadísticas

Prácticas de Monitoreo

Estadísticas

Prácticas de Análisis de Riesgos

Estadísticas

¿Qué le preocupa?

Estadísticas

¿En qué va a concentrarse?

Estadísticas

¿Qué le quitó el sueño?

Estadísticas

¿Qué le quitó el sueño?

Estadísticas

¿Cuanto se lo quitó?

Estadísticas

¿Cuál fue el que más daño causó?

Estadísticas

¿Ejecuta pruebas de penetración recurrentes o planeaejecutarlas en el 2004?

Estadísticas

¿Qué tan preparados están para hacer frente a susvulnerabilidades?

Estadísticas

¿Quién cree que enfrenta mayores riesgos?

Estadísticas

Preparándose para lo inesperado

Estadísticas

En relación con los ingresos por ventas ¿Qué porcentajerepresenta su presupuesto para seguridad?

Estadísticas

¿Cómo es su presupuesto de seguridad de lainformación de 2004 en comparación con 2003?

Estadísticas

¿Cómo cree que será su presupuesto de seguridad de lainformación de 2005 en comparación con 2004?

Estadísticas

¿Espera que el tiempo que su organización dedique altema de seguridad de la información en 2004 seincremente o decremento?

Estadísticas

¿Qué tan efectiva cree que está siendo la inversión enseguridad de la información en relación con losobjetivos de negocio y las amenazas?

Estadísticas

¿Qué lo detiene?

Estadísticas

¿Qué tan efectivas son sus herramientas?

Estadísticas

¿Qué tan efectiva es la tercerización para su programade seguridad?

Estadísticas

¿Qué tan efectivos son sus servicios?

Estadísticas

Si algo le sucediera ¿A quién le avisaría?

La seguridad Informática, sus problemas y limitaciones

¿los conocemos?...

¿todos?

La seguridad de la información

Áreas Tecnológicas

De herramientas de Seguridad

Infraestructura de TI

Negocio

Organizacional

¿De quién es el problema de la seguridad?

La seguridad y sus problemas

La seguridad “corre” en sentido completamente opuesto a la operación...

Seguridad Operación

Entonces, ¿¿¿mucha o poca seguridad???

La operación vs. el Nivel de Seguridad

Estado de EQUILIBRIO

≡ Seguridad en proporción del posible impacto y costo de implantación

≡ Esto es logrado mediante la construcción de una arquitectura de seguridad basada en análisis de riesgos

Internet es:Cada vez más peligrosa, mas necesaria y más complejaCada vez hay mas proveedores, socios de negocio, clientes, pero tambien, competidores, enemigos y amenazas

Productos de seguridad orientados a la detecciónRechazan el ataque, oFallan!!!

La seguridad y sus limitaciones

Demasiados proveedoresDemasiados productosDemasiados serviciosPoca información sólida

Problemas en el escalamiento y/o comprensión de las necesidades de seguridad

Ya tenemos un firewall!!! o ¿no?

Cuando vendes martillos, a todos los problemas les ves

cabeza de clavo, ¿o no?

El administrador de seguridad debe estar prevenido de todos y cada uno de los ataques y vulnerabilidades, conocidos y desconocidos

Los atacantes SÓLO necesitan explotar UNAvulnerabilidad

Poca gente disponible y especializada

Pocos proveedores enfocados a la seguridad de la información

Muy pocos con verdadera provisión de Soluciones Integrales, o son productos o serviciosDemasiada improvisaciónOrientados a un área de experiencia

La seguridad es relativa y dinámicaLo que hoy puede ser seguro, mañana “seguramente” no lo seráNo existe seguridad a prueba de todo

Algunas recomendaciones

Administre el riesgoTodas las compañías lo hacen en sus procesos de negocioEl de la tecnología de información es uno másSe presentarán fallasEl negocio las puede resistirDebe incluirse en el costo de hacer negocio

Hay que equilibrar riesgo .vs. costoLa evaluación de esta fórmula debe ser continuaCambia con el tiempo, las condiciones de negocio, la gente, los cambios organizacionales, las fusiones, las alianzas, la tecnología, etc.

Proteja, Detecte y RespondaTodos los productos presentan fallas durante su vida útilTodos los proveedores de servicios cometen errores durante la duración del contratoSus usuarios se equivocan o deciden actuar en contra de las recomendaciones

Hay que monitorearLos monitores deben estar capacitados para tomar acciones que vayan más de allá de hacer sonar una alarma

Contrate uno o más Proveedores de Cabecera.

Ellos se dedican a la seguridad, su empresa oinstitución no!

Tienen mas experiencia por el número de clientes conlos que trabajan.

Un buen proveedor puede entender, apreciar y actuarde manera efectiva observando la seguridad y susefectos así como los requerimientos de negocio.

¡M u c h a s g r a c i a s!

Adrián Palma,CISSP,CISA,CISMpresidencia@alapsi.orgwww.alapsi.org

“seguridad informática mitos y realidades”€¦ · asociación latinoamericana de...

Documents

seguridad informática tema 1: introducción a la seguridad...

programaciÓn del mÓdulo seguridad informÁtica ·...

seguridad informÁtica y policia informÁtica

seguridad informÁtica

seguridad informática

seguridad informática