Documente Academic
Documente Profesional
Documente Cultură
Reinaldo N. Mayol Arnao
Gerencia de Seguridad Informática
Universidad de Los Andes
Introducción Cont…
La red ha crecido sin prácticamente ningún tipo de control
La red está llena de implementaciones “as is” .
El crecimiento exponencial de la conectividad ha traído consigo una relación similar de
incidentes, vocablos, anécdotas, amenazas y tecnología.
Introducción Cont…
La jurisprudencia también ha sido conmovida, hoy en día casi todos países cuentan con
algún tipo de legislación informática.
La empresa de hoy en día no puede más que reaccionar a esta realidad y adecuar sus
estructuras y métodos.
Introducción Cont…
Los cambios necesarios incluyen varias áreas:
Las responsabilidades de empleados y patronos
El uso de los sistemas de comunicaciones y cómputo
La propia estructura de la empresa.
Introducción Cont…
Otras áreas “afectadas”:
La criminología
La criminalística
Las estructuras de seguridad y defensa
Es realmente tan urgente?
137539
El número de incidentes 2003
1990 252
1988 6
Es realmente tan urgente? Cont…
El número de vulnerabilidades
reportadas, desde 1995 ha 2003 3788
crecido en un 2215 %
2002 2437
2003
2002
2000 1090 2000
1997
1995
1997 311
1995 171
Es realmente tan urgente? Cont…
Regiones como América Latina tienen un peso de solo el 5 % de ese total.
No es por falta de incidentes sino por ausencia de cultura de reportarlos o de la
capacidad para reconocerlos como tales.
Teniendo en cuenta la densidad de población con acceso a computadoras y el
nivel de uso de las mismas el número de incidentes es superior al del primer
mundo.
La Gerencia de Seguridad Informática
Hay que Gerenciar la Seguridad de la Información, de forma
segura.
¿Qué posición dentro de la empresa debe tener la
Gerencia de Seguridad Informática?
La Gerencia de Seguridad Informática debe ser funcional y operativamente
independiente de la(s) Gerencias de Operaciones de la plataforma de tecnología.
La Gerencia de Seguridad debe responder directamente a la gerencia general de
tecnologías de información.
Por que no ser parte de operaciones?
La Gerencia de Seguridad será responsable de generar un grupo
de recomendaciones, normas y procedimientos que pueden estar
en contraposición, en el mejor de los escenarios, con los deseos
inherentes a operaciones de brindar un servicio “a cualquier
precio”.
Por que no ser parte de operaciones? Cont…
La Gerencia de Seguridad no solo será responsable de salvaguardar a la
organización de los peligros externos, sino también e incluso en mayor medida,
de los riesgos que acarrea la propia operación de la infraestructura tecnológica
y la manera en que estas labores son ejecutadas.
Se requieren altos niveles de especialización y dedicación exclusiva al tema
difíciles de lograr en gerencias de objetivos mas generales
Por que esa posición dentro del
organigrama empresarial?
La inmediatez con que algunas medidas o decisiones deben ser
tomadas es incompatible con un estructura burocrática profunda.
Lo delicado y confidencial de la información que se maneja aconseja
acercar lo más posible la Gerencia de Seguridad a las capas más altas
de dirección de la empresa.
Las medidas de seguridad muchas veces se extienden a varias áreas
de la organización.
¿Cómo conformar el equipo de la
Gerencia de Seguridad?
Líder de la Gerencia
Identificar las amenazas a las que esta expuesta la plataforma tecnológica.
Identificar los posibles orígenes de estas amenazas.
¿Qué funciones debe asumir la Gerencia
de Seguridad?
Cont…
Identificar configuraciones deficientes en los componentes de la plataforma
Clasificar los recursos tecnológicos en función de su importancia para la operación del
“core business’’de la empresa. (BIA)
¿Qué funciones debe asumir la Gerencia
de Seguridad? Cont…
Evaluar, desde el punto de seguridad las prácticas de operaciones utilizadas por el
personal (formalmente especificadas y “de facto”).
Identificar las medidas que se pueden implantar para proteger los recursos de
información en forma económica, eficaz y oportuna.
¿Qué funciones debe asumir la
Gerencia de Seguridad? Cont…
Seleccionar, instalar y mantener las herramientas de seguridad informática
Realizar las correcciones a las vulnerabilidades detectadas en el proceso de evaluación
de seguridad de la plataforma tecnológica.
¿Qué funciones debe asumir la
Gerencia de Seguridad? Cont…
Desarrollar y documentar las políticas de seguridad informática, basadas en las mejores
normas y prácticas internacionales (ISO 17799, ITIL, OCTAVE, Cobra, etc…).
Desarrollar un plan de adiestramiento en los procedimientos del buen uso y
mantenimiento de las herramientas de seguridad.
¿Qué funciones debe asumir la
Gerencia de Seguridad? Cont…
Ejecutar el plan de adiestramiento en los procedimientos del buen uso y mantenimiento
de las herramientas de seguridad para el personal técnico informático.
Generar recomendaciones dirigidas a mejorar el desempeño de los componentes
críticos de la plataforma tecnológica y optimizar sus niveles de seguridad.
¿Qué funciones debe asumir la
Gerencia de Seguridad? Cont…
Generar de mandatos básicos para permitir el crecimiento de la red manteniendo el
nivel de seguridad
Ofrecer apoyo y consultoría para el desarrollo de nuevos productos, su prueba,
escalado, puesta en operación y mantenimiento.
¿Qué funciones debe asumir la
Gerencia de Seguridad? Cont…
Crear metodologías y la plataforma tecnológica que las sustente, para
solventar incidentes de seguridad, identificar sus orígenes, controlar sus
efectos.
Crear un sistema integral y equilibrado de medición y monitoreo
Desarrollar estrategias tecnológicas generales y que sirvan a varios
aspectos de la operación de la empresa. Ej: PKI (Infraestructura de
Clave Pública)
FIN
Gracias!!!
Reinaldo Mayol Arnao Email:mayol@ula.ve