Requisitos de Seguridad en los Sistemas de las Instituciones
Agenda
• ¿Quiénes deben preocuparse por la seguridad de los datos?
• ¿ Por qué debemos preocuparnos por la seguridad?
• ¿ Cuáles son los requerimientos de seguridad?
• ¿ Qué es un incidente de seguridad?
• ¿ Cuándo se debe reportar una incidente de seguridad?
• ¿ Cómo se debe reportar un incidente de seguridad?
• ¿ Cómo los usuarios pueden aportar a mejorar la seguridad?
• ¿ Cuáles son los próximos pasos?
¿Quiénes debe preocuparse por la seguridad de losdatos?
Presidente & Junta de Directores
Registraduría, Admisiones y Tesorería
Asistencia Económica
Padres o Tutores
Empleados y Facultad
Ex-alumnos
Estudiantes
Solicitantes/Prospectos
CIO, CISO (Departamentode IT)
¿Por qué debemos preocuparnos por la seguridad?
¿Por qué debemos preocuparnos por la seguridad?
¿ Por qué debemos preocuparnos por la seguridad?
• Cumplimiento con leyes y regulaciones estatales y federales– FERPA: información estudiantil
– PCI: tarjetas de crédito
– HIPAA: información médica
– Privacy ACT of 1974
– Ley 111 de 2005, ley 187 de 2006, ley 207 de 2006
*Mantener segura la información con información “PII” (Personally identifiable information)
• Cumplimiento con auditorías internas y externas– Valida que se siga un procedimiento establecido que cumpla con las reglas internas de
seguridad y las mejores prácticas
¿ Por qué debemos preocuparnos por la seguridad?
¿Cuáles son los requerimientos de seguridad?
• Programa de seguridad de Información– Este debe estar desarrollado, implementado y ser revisado periódicamente (políticas y
procedimiento)
• Implementar estándares establecidos y mejores prácticas– NIST
– ISO
• Reducción de riesgo– Adiestramiento de empleados
– Identificación de los sistemas críticos
– Clasificación y manejo de datos
– Plan de manejo de incidentes
¿Cuáles son los requerimientos de seguridad?
• Servicios sub-contratados– Firmar acuerdos de confidencialidad (NDA)
– Revisar los requerimientos de seguridad en los contratos
• Otras areas de seguridad– Prevención de Fraudes y Robos de identidad
¿Cuáles son los requerimientos de seguridad?
• 3 etapas de cualquier programa de seguridad :
– Prevención
– Detección
– Solución
¿Qué es un incidente de seguridad?
• Es cuando ocurre la pérdida, destrucción, alteración o accesoilegítimo a la información digital de su institución.
• Los incidentes de seguridad se pueden evitar cuando:– Aseguramos la información y mantenemos la confidencialidad
– Protegemos de amenazas o daños, la data y los sistemas
– Protegemos la información, archivos o documentos de accesos no autorizado
¿Cuándo se debe reportar un incidente de seguridad?
• Las regulaciones establecidas exigen que todo incidente de seguridad sea reportado.
• Se deben reportar inmediatamente se sospeche que existe unabrecha de seguridad
• A DACO se tienen 10 días calendarios para reportar cualquierincidente
• De no ser reportado se pueden ejercer multas contra la institución
¿Cómo se debe reportar un incidente de seguridad?
• Por correo electrónico a su unidad de seguridad (segúnestablezca la política de su institución)
• Data que se debe incluir:– Fecha de la brecha
– Impacto (cantidad de records)
– Metodología utilizada
– Estatus de remediación
• Se reporta a las agencias guberanmentales de PR y/o de losestados donde residan los perjudicados
¿Cómo los usuarios pueden aportar a mejorar la seguridad?
• Sepa identificar la información que maneja y aplique las reglasestablecidas según la clasificación
• Tenga mucha precaución con la documentación física
• Procure mantener sus dispositivos móviles y documentos con información sensitiva encriptados
• Bloquee su computadora cuando no esté frente de ella
• Evite compartir información demás
• Precaución con las páginas de internet que visita, pueden tenervirus y código malicioso
¿Cómo los usuarios pueden aportar a mejorar la seguridad?
• Utilice contraseñas seguras y difíciles de adivinar
• Nunca comparta sus contraseñas
Tienes una contraseña segura?
• ¿Cómo hago para que no se me olvide?
• Establece reglas:
EJ: María y José se casaron el 8 de septiembre en Aguadilla
M&Jsce8dseA
• No habilitar la opción de recordar contraseñas en los sistemas ni en el Internet.
¿Cómo los usuarios pueden aportar a mejorar la seguridad?
• Combata el “Phishing”
• Sospeche de cualquier correo electrónico que:– Solicite información personal
– Contenga errores gramaticales o de deletreo
– Solicite oprimir un enlace
– Proviene de un desconocido o de una compañia con la cual no tienes relación de negocios
• Si el correo resulta sospechoso: – No oprima el enlace
– No otorgue información personal o financier
– No abra los documentos adjuntos
– Envie el correo a personal de seguridad para revisión y validación
¿Cómo los usuarios pueden aportar a mejorar la seguridad?
• Evite ser víctima de Ingeniería social
• Ingenieria social – es el arte de manipular una situación a travésde la conducta humana para ganar acceso no autorizado a lossistemas o a la información para propósitos fraudulentos o criminales.
• Estos ataques son más comunes y más exitosos que los ataquesgenerados a los sistemas a través de la red.
¿Cómo los usuarios pueden aportar a mejorar la seguridad?
¿Cómo los usuarios pueden aportar a mejorar la seguridad?
• Colabore en las mejores prácticas
• Pregunte si tiene dudas o preocupaciones
• Valide las políticas y procedimientos establecidos
• Traiga ideas y sugerencias para mejoras de sistemas y procesos
¿Cuáles son los próximos pasos?
• Valide y verifique la política de segurida de su institución – Si no tiene una, solicite se desarrolle una
• Identifique la persona responsible del programa de seguridad de su institución – asegurese que esta persona sea el contacto para cualquier incidente de seguridad
• Solicite que se realice una evaluación o avalúo de riesgo de losprocesos de su área
• Asegurese que todo el personal de su área conozco las políticas y procedimientos establecidos, sobre todo cuando ocurre unabrecha de seguridad
¿Preguntas?