seguridad de la información como un habilitador de negocios

Seguridad de la Informacióncomo un habilitador de negocios

Andrés CargillGerente General

andres@orion.cl

21/04/23

A propósito de seguridad…

La semana pasada atacó un nuevo virus/gusano...

4

• Blaster– 1.2 millones de IP únicas

infectadas– Tasa de infección: 30.000

sistemas por hora– Daños: aún no estimados

¿De dónde provienen los ataques?

6

¿Son los virus el principal problema?

8

Klez

Love Letter

Code Red

Nimda

SirCam

SQL Slammer

Blaster

9

10

Es un tema real…¿?

12

13

¿A qué se expone una empresa?

15

Consecuencias• Robo:

– Dinero, información empresarial relevante para el negocio, propiedad intelectual, recursos digitales, etc.

• Pérdidas de productividad:– Corrupción de datos, gastos extraordinarios para recuperarse

de emergencias informáticas no previstas, no disponibilidad de herramientas de trabajo, etc.

• Pérdidas indirectas:– Daño a la imagen corporativa, pérdida de confianza, etc.

• Exposición legal:– Incumplimiento de contratos, incumplimiento de compromisos

de confidencialidad, actividad ilegal de usuarios en los sistemas, etc.

¿Qué es la seguridad informática?

de la información

17

¿Qué es Información?

• “La información es un activo que, al igual que otros activos importantes para el negocio, tiene valor para la organización y consecuentemente necesita ser protegido apropiadamente.”

ISO/IEC 17799:2000

Datos Proceso

Información

18

¿Qué formas tiene la Información?• “La información puede existir

en muchas formas. Puede ser impresa o escrita en papel, almacenada electrónicamente, transmitida por correo o medios digitales, mostrada en videos, o hablada en conversaciones.”

ISO/IEC 17799:2000

19

Objetivos de la Seguridad• Confidencialidad

– Asegurar que la información es accesible sólo a aquellos que están autorizados

• Integridad– Resguardar la veracidad e

integridad de la información y los métodos de procesamiento

• Disponibilidad– Asegurar que los usuarios

autorizados tengan acceso a la información y los recursos asociados cuando lo requieran

ISO/IEC 17799:2000

... asegurar la continuidad del negocio y minimizar el

daño ante un incidente de seguridad

Gestión del riesgo

21

• ¿Ha identificado cuáles son sus principales activos de información?

• ¿Sabe usted cuál es el valor de esos activos para su compañía?

• ¿A qué amenazas está expuestos?• ¿Cuáles son sus vulnerabilidades?

22

La seguridad es un proceso• Los productos por si

solos no han resuelto los problemas de seguridad de la información después de muchos años…

• Es un trabajo continuo, que involucra aspectos tecnológicos además de procesos y personas, para lo cual se requieren soluciones integrales.

23

La seguridad es un proceso

Prevenir

DetectarResponder

24

Dominios

ControlesAcceso

ControlesClasificación

Recursos

PolíticaSeguridad

OrganizaciónSeguridad

SeguridadRR.HH.

SeguridadFísica

DesarrolloSistemas

PlanContinuidad

CumplimientoLegal

GestiónComunicaciones

¿Qué es el riesgo?

26

Valor Recurso

$

Valor del recurso para el negocio, en términos de la confidencialidad, integridad y disponibilidad.

Vulnerabilidadx

Puntos potenciales a ataques.

Amenazasx

Evento que podría explotar una vulnerabilidad.

Riesgo =

?

Riesgo Residual: Nivel de riesgo remanente después de implementar los controles

Controles-

Resguardos para reducir el riesgo.

27

Estrategias de gestión del riesgo

Riesgo

Mitigar = Implementar Controles

Transferir = Tomar un Seguro

Eludir = No hacer o cambiar

Aceptar = Vivir con el riesgo

Tecnológicos

Administrativos

BCP, DRP

Operacionales

¿Cuánto invertir?

29

30

Presupuestos

• Encuesta 2003 de Forrester a nivel mundial:

– Las empresas no saben cuánto invertir en seguridad de la información

– Sólo un 28% incluyen a gerentes de negocio para determinar el presupuesto de seguridad

– Sólo un 44% tiene buenos procesos para determinar el presupuesto de seguridad

– 40% de los encargados de seguridad dicen haber gastado en los riesgos equivocados

31

Tips

1. La seguridad de la información es responsabilidad de la alta gerencia

2. La discusión se debe elevar a nivel empresarial

3. La seguridad es un proceso, no un producto

4. La seguridad de la información es parte de la gestión de riesgos del negocio

5. La seguridad bien enfocada se transforma en un facilitador al proporcionar confianza en los negocios

Seguridad de la Informacióncomo un habilitador de negocios

Andrés CargillGerente General

andres@orion.cl

21/04/23