5 prácticas básicas de Seguridad de la Información que toda organización debe seguir

René Humberto Rodríguez Mejía

Preparado por René Rodríguez-MBA, CISM

¿Por qué están en esta sesión?

Preparado por René Rodríguez-MBA, CISM

¿Cuáles son los principales riesgos de la información para su organización?

¿Cómo reaccionarían sus clientes, proveedores y público en general ante un incidente de seguridad en su empresa?

¿Sabe como mitigar los riesgos?

Preparado por René Rodríguez-MBA, CISM

Amenazas cibernéticas Preparado por René Rodríguez-MBA, CISM

Amenazas cibernéticas y de información

Delitos realizados por medio de un equipoinformático y que tienen por objetoprovocar pérdida o impedir que el equipo oprograma trabaje adecuadamente.

Preparado por René Rodríguez-MBA, CISM

Preparado por René Rodríguez-MBA, CISM

Casos en El Salvador

Preparado por René Rodríguez-MBA, CISM

¿Qué podemos hacer…?

Preparado por René Rodríguez-MBA, CISM

Práctica No.1 Alinear el Sistema de Seguridad de la Información con el negocio

Objetivos de negocios

Mismo rumboPreparado por René Rodríguez-MBA, CISM

Modelo de gobierno de información

Fuente: COBIT-ISACA

¿ Cuales son los objetivos de mi organización?

Preparado por René Rodríguez-MBA, CISM

Importante- Apoyo de la Gerencia General

Sin el apoyo de la gerencia general el SGSI

será un fracaso

Preparado por René Rodríguez-MBA, CISM

Análisis costo beneficio

Objetivos de negocios

Mismo rumboPreparado por René Rodríguez-MBA, CISM

Práctica No.2 Clasificar la información y etiquetar documentos de acuerdo al riesgo

Reposo• Electrónica

• Física

Transito• Electrónica

• Física

Uso• Electrónica

• Física

La información puede ser encontrada en diversos estados

Preparado por René Rodríguez-MBA, CISM

Clasificación de la información y etiquetado de documentos

La información institucional deberá ser clasificada de acuerdo al riesgo

Información

Uso público

Uso interno

Confidencial

Preparado por René Rodríguez-MBA, CISM

Clasificación de la información

Pública

• Riesgo nulo

• Direcciones comerciales, teléfonos de atención y otros.

Interna

• Riesgo Bajo

• Políticas, procedimientos, guías

• Uso de empleados

Confidencial

• Riesgo alto

• Información de clientes

• Información estratégica

Preparado por René Rodríguez-MBA, CISM

Práctica No.3 proteger la información electrónica en tránsito

VPN

Certificado digital

Firma digital Preparado por René Rodríguez-MBA, CISM

VPN-Virtual Privacy Network

2 tipos:1.Site to Site: usadas entre empresas, es la mejor manera de

asegurar tráfico entre entidades;2.Client to Site: usadas para conectar personas a empresas.

Ejemplos: ejecutivos, soporte técnico remoto.

Preparado por René Rodríguez-MBA, CISM

¿Cómo funciona un certificado digital?

Preparado por René Rodríguez-MBA, CISM

Práctica No.4 Capacitar/sensibilizar a los usuarios

• Se sugiere presencial

• Obligatoria

Inducción

• Puede ser en línea

• Obligatoria

Anual• “Efecto gotita”

• Distintos canales

Permanente

• Áreas con mayor exposición

Anual especial

Preparado por René Rodríguez-MBA, CISM

Temas mínimos de capacitación de usuarios

Temas Principios de seguridad de la información (confidencialidad, integridad y disponibilidad)

Clasificación de información

Uso adecuado de contraseñas

Uso adecuado de herramientas (correo, acceso a áreas y otros)

Reporte y manejo de incidentes de seguridad de la información

Preparado por René Rodríguez-MBA, CISM

Práctica No.5 Definir proceso de administración de incidentes

Evento: Situación particular con potencialidad de volverse un incidente si es no es atendida diligentemente

Incidente: Acontecimiento en el cual se establece una pérdida materializada

Preparado por René Rodríguez-MBA, CISM

Administración de incidentes

Detección

Atención/Remediación

Medidas preventivas

La administración de incidentes se constituye en un proceso continuo de vigilancia, atención y aprendizaje.

Es una fuente importante de mejoras para la seguridad

Preparado por René Rodríguez-MBA, CISM

Administración de incidentes-Proceso

Detección: procesos automatizados de detección, educación al usuario.

Atención: grupo de primera atención, protocolo de comunicación.

Prevención: SGSI, educación al usuario.

Preparado por René Rodríguez-MBA, CISM

Administración de incidentes-Protocolo

Es necesario contar con un protocolo de comunicación y atención de eventos e incidentes.

Preparado por René Rodríguez-MBA, CISM

Administración de incidentes-Protocolo Este protocolo incluirá al menos las siguientes figuras:

Director de tecnología

Coordinador manejo

incidentes

Responsable seguridad

información

Responsable continuidad

negocio

Evento mayor necesitará más

personal

Preparado por René Rodríguez-MBA, CISM

Administración de incidentes-Partes del protocolo

Incidentes caracterizados

Lista de personal crítico

Acciones pre-definidas

Comunicados al públicoPreparado por René Rodríguez-MBA, CISM

Preparado por René Rodríguez-MBA, CISM

René Humberto Rodríguez MejíaAsesoría GerencialConsultoría en SGSI-Sistema Gestión Seguridad de Informaciónrerome3004@hotmail.comCel 7797 9534

mailto:rerome3004@hotmail.com