RequisitosdeSeguridadenlosSistemasdelasInstituciones

Agenda

• ¿Quiénes deben preocuparse por laseguridad delos datos?• ¿Por qué debemos preocuparnos por laseguridad?• ¿Cuáles sonlos requerimientos deseguridad?• ¿Qué es unincidente deseguridad?• ¿Cuándo sedebe reportar una incidente deseguridad?• ¿Cómo sedebe reportar unincidente deseguridad?• ¿Cómo los usuarios pueden aportar amejorar laseguridad?• ¿Cuáles sonlos próximos pasos?

¿Quiénes debe preocuparse por laseguridad delosdatos?

Presidente &JuntadeDirectores

Registraduría,Admisiones yTesorería

Asistencia Económica

PadresoTutores

Empleados yFacultad

Ex-alumnos

Estudiantes

Solicitantes/Prospectos

CIO,CISO(DepartamentodeIT)

¿Por qué debemos preocuparnos por laseguridad?

¿Por qué debemos preocuparnos por laseguridad?

¿ Por qué debemos preocuparnos por laseguridad?

• Cumplimiento conleyes yregulaciones estatales yfederales– FERPA:información estudiantil– PCI:tarjetas decrédito– HIPAA:información médica– PrivacyACTof1974– Ley111de2005,ley187de2006,ley207de2006*Mantener segura lainformación coninformación “PII”(Personallyidentifiableinformation)

• Cumplimiento conauditorías internas yexternas– Valida quesesiga unprocedimiento establecido quecumpla conlasreglas internas de

seguridad ylasmejores prácticas

¿ Por qué debemos preocuparnos por laseguridad?

¿Cuáles sonlos requerimientos deseguridad?

• Programa deseguridad deInformación– Estedebe estar desarrollado,implementado yser revisado periódicamente (políticas y

procedimiento)

• Implementar estándares establecidos ymejores prácticas– NIST– ISO

• Reducción deriesgo– Adiestramiento deempleados– Identificación delos sistemas críticos– Clasificación ymanejo dedatos– Plandemanejo deincidentes

¿Cuáles sonlos requerimientos deseguridad?

• Servicios sub-contratados– Firmar acuerdos deconfidencialidad (NDA)– Revisar los requerimientos deseguridad en los contratos

• Otras areasdeseguridad– Prevención deFraudes yRobos deidentidad

¿Cuáles sonlos requerimientos deseguridad?

• 3etapas decualquier programa deseguridad :– Prevención– Detección– Solución

¿Qué es unincidente deseguridad?

• Es cuando ocurre lapérdida,destrucción,alteración oaccesoilegítimo alainformación digitaldesu institución.

• Losincidentes deseguridad sepueden evitar cuando:– Aseguramos lainformación ymantenemos laconfidencialidad– Protegemos deamenazas odaños,ladataylos sistemas– Protegemos lainformación,archivos odocumentos deaccesos no

autorizado

¿Cuándo sedebe reportar unincidente deseguridad?

• Lasregulaciones establecidas exigen quetodo incidente deseguridad seareportado.

• Sedeben reportar inmediatamente sesospeche queexiste unabrecha deseguridad

• ADACOsetienen 10días calendarios parareportar cualquierincidente

• Denoser reportado sepueden ejercer multas contralainstitución

¿Cómo sedebe reportar unincidente deseguridad?

• Por correo electrónico asu unidad deseguridad (segúnestablezca lapolítica desu institución)

• Dataquesedebe incluir:– Fecha delabrecha– Impacto (cantidad derecords)– Metodología utilizada– Estatus deremediación

• Sereporta alasagencias guberanmentales dePRy/odelosestados donde residan los perjudicados

¿Cómo los usuarios pueden aportar amejorar laseguridad?

• Sepa identificar lainformación quemaneja yaplique lasreglasestablecidas según laclasificación

• Tenga mucha precaución conladocumentación física• Procuremantener sus dispositivos móviles ydocumentos con

información sensitiva encriptados• Bloquee su computadora cuando noesté frente deella• Evitecompartir información demás• Precaución conlaspáginas deinternetquevisita,pueden tener

virusycódigo malicioso

¿Cómo los usuarios pueden aportar amejorar laseguridad?

• Utilice contraseñas seguras ydifíciles deadivinar• Nunca comparta sus contraseñasTienes una contraseña segura?

• ¿Cómohagoparaquenosemeolvide?• Establecereglas:EJ:MaríayJosésecasaronel8deseptiembreenAguadillaàM&Jsce8dseA• Nohabilitarlaopciónderecordarcontraseñasenlossistemasni

enelInternet.

¿Cómo los usuarios pueden aportar amejorar laseguridad?

• Combata el“Phishing”• Sospeche decualquier correo electrónico que:

– Solicite información personal– Contenga errores gramaticales odedeletreo– Solicite oprimir unenlace– Proviene deundesconocido odeuna compañia conlacual notienes relación de

negocios

• Sielcorreo resulta sospechoso:– Nooprima elenlace– Nootorgue información personalofinancier– Noabra los documentos adjuntos– Envie elcorreo apersonaldeseguridad pararevisión yvalidación

¿Cómo los usuarios pueden aportar amejorar laseguridad?

• Eviteser víctima deIngeniería social• Ingenieria social– es elartedemanipular una situación através

delaconducta humana paraganar acceso noautorizado alossistemas oalainformación parapropósitos fraudulentos ocriminales.

• Estos ataques sonmás comunes ymás exitosos quelos ataquesgenerados alos sistemas através delared.

¿Cómo los usuarios pueden aportar amejorar laseguridad?

¿Cómo los usuarios pueden aportar amejorar laseguridad?

• Colabore en lasmejores prácticas• Pregunte si tiene dudas opreocupaciones• Valide laspolíticas yprocedimientos establecidos• Traiga ideasysugerencias paramejoras desistemas yprocesos

¿Cuáles sonlos próximos pasos?

• Valide yverifique lapolítica desegurida desu institución – Sinotiene una,solicite sedesarrolle una

• Identifique lapersonaresponsibledelprograma deseguridad desu institución – asegurese queesta personaseaelcontacto paracualquier incidente deseguridad

• Solicite queserealice una evaluación oavalúo deriesgo delosprocesos desu área

• Asegurese quetodo elpersonaldesu área conozco laspolíticas yprocedimientos establecidos,sobre todo cuando ocurre unabrecha deseguridad

¿Preguntas?