Seguridad informatica para pymes

SEGURIDADINFORMÁTICAPARAPYMES

Ing.JuanPabloMartínezPulidoEspecialistaenSeguridadInformática

¿Qué Protegemos?

Infraestructura de tecnologías de la información Activos de información

CONTEXTUALIZACIÓN

SEGURIDAD INFORMÁTICA

SEGURIDAD DE LA INFORMACIÓN

5

Gestión del riesgo en la seguridad de la informaciónProceso de Inscripciones y Admisiones DARCA

Identificar Información Organizacional• Identificar, clasificar y valorar los activos de la organización

Tipos de

Activos

Información

Sistemas

Aplicaciones

Servicios

Intangibles

Personas

6


2. Crear Perfiles de Amenaza• Selección de Activos Críticos.

Si el activo al perderse, destruirse, modificarse,

interrumpirse o revelarse, ocasiona un impacto en la continuidad del proceso de negocio, se considera

el activo como critico.


7


8


Establecer criterios de evaluación de impacto

TIPODEIMPACTO

REPUTACION PRODUCTIVIDAD FINANCIERO SALUD

Reputación HorasdePersonal CostosOperativos Vida

PerdidadeUsuarios PerdidadeIngresos Salud

PerdidaFinanciera


Reputación/Confianzadelosusuarios

Tipodeimpacto BajoImpacto MedioImpacto AltoImpacto

Reputación Lareputaciónseveafectadamínimamente,serequierepocooningúnesfuerzoogastopararecuperarse.

Lareputaciónsedaña,yserequiereunpocodeesfuerzoygastospararecuperarse.

Lareputaciónestáirrevocablementedestruidaodañada.

PerdidadeUsuarios Menosde5%dereducciónenlosusuariosdebidoalapérdidadeconfianza

5a10%dereducciónenlosusuariosdebidoalapérdidadeconfianza

Másde10%dereducciónenlosusuariosdebidoalapérdidadeconfianza



Financiero


Costosoperativos Loscostosoperativosseaumentanmínimamente(<5%).

Loscostosoperativosseincrementansignificativamente(Hasta10%).

Loscostosoperativosseincrementanenmásde10%

PerdidadeIngresos Reduccióndeingresosenun5%

5a15%dereduccióndeingresos

Másdel15%enreduccióndeingresos

PerdidaFinanciera Costofinancieromenora50millonesdepesosanuales

Costofinancierode51a250millonesdepesoanuales

Costofinancieromayora250millonesdepesosanuales



Productividad


Horasdepersonal Lashorasdetrabajodelpersonalseincrementaronenmenosde10%de5a10día(s).

Lashorasdetrabajodelpersonalseincrementaronentre11%y20%de5a10día(s).

Lashorasdetrabajodelpersonalseincrementaronenmásdeun21%de5a10día(s).



Seguridad/Salud


Vida Nohaypérdidaoamenazasignificativaalasvidasdelosclientesoelpersonaldelosmiembros

Vidasdelosclientesodelosmiembrosdelpersonalestánamenazados,peroserecuperarándespuésderecibirtratamientomédico.

Lapérdidadevidasdelosusuariosoellosmiembrosdelpersonal

Salud Mínimadegradacióndelasalud,inmediatamentetratableenlosusuariosomiembrosdelpersonalconrecuperacióndecuatrodías

Impedimentodesaludtemporalorecuperabledelosusuariosomiembrosdelpersonal

Undeteriorosignificativoopermanentedelasaluddelosusuariosomiembrosdelpersonal



Establecer los criterios de evaluación de probabilidad.

CriteriosdeProbabilidad

BajaProbabilidad MediaProbabilidad AltaProbabilidad

Tiempoentreeventos 1vezcada:2años,5años,10años,20años,50años.

1vezalaño 365vecesalaño(diario),52vecesalaño(semanal),12vecesalaño(mensual),4vecesalaño,2vecesalaño.


Examinar las vías de acceso a los activos críticos en la infraestructura informática.


Examinar la infraestructura con relación a los activos críticos.

• Analizar los procesos tecnológicos relacionados con los activos críticos.

18


Desarrollar estrategias de protección y planes de mitigación.

Actividad de mitigación

Razón fundamental

Responsabilidad de mitigación

POLÍTICASDESEGURIDAD

Es unadeclaracióndeintencionesdealtonivelquecubrelaseguridaddelossistemasinformáticosyqueproporcionalasbasesparadefinirydelimitarresponsabilidades

Entreotrascosas,unaPolíticadeSeguridadpuedeincluir:

• Objetivosyalcance

• Clasificacióndelainformación.

• Operacionespermitidasydenegadasconlainformación

• Acuerdosycontratos

CONCLUSIONES

SedebedisponerdeunaEstrategiaIntegraldeseguridadconunenfoquetantotécnicocomoorganizacionalque:

Prevengalaocurrenciadeincidentesdeseguridad,eliminandolaoportunidadyprotejalaempresaantelosmismos.

Detectelaejecucióndeataquesencurso,inclusoenestadostempranos.

Reaccioneanteunincidentedeformaágilpermitiendolarecuperaciónyelregresoalanormalidadenunlapsodetiempomínimo(resiliencia),permitiendoademástomaraccionesconbaseaesainformación(procesosdeleccionesaprendidas).


Contextodelriesgo

Vulnerabilidades

Controles Activos

Requerimientos de seguridad

Valor de los Activos

Amenazas

Riesgos

21

Aprovechan

Aumentan Exponen

TienenAumenta

Impactan si se

materializan

Disminuyen

AumentanProtegen

de

ImponenMarcan

Fuente: www.iso27000.es

PREGUNTAS

GRACIASPORSUATENCIÓN

Seguridad informatica para pymes

Technology

Transcript of Seguridad informatica para pymes