SEGURIDAD DE LA INFORMACIÓNEl caso “Bibliotecas”

Andrés Camilo Bustamante – Lantech S.A.

camilo.bustamante@lantech.com.co

Agenda

Seguridad Informática: Los Riesgos ¿Qué hacer? ¿Cómo hacerlo?

Duración: 8 minutos

Seguridad de la Información

¿Qué es la seguridad de la información? Intuitivamente sabemos que se trata de mecanismos para

gestionar los riesgos

Específicamente se trata de la preservación de la Integridad Confidencialidad Disponibilidad

Para preservar estos atributos es necesaria una mezcla de Políticas organizacionales Procedimientos administrativos Controles tecnológicos

¿Qué pasa si no le damos la importancia suficiente? Aumentamos el riesgo de exponer a nuestros

usuarios y empleados a problemas de:

Suplantación de identidad Robo de información personal Uso indiscriminado y fraudulento de sus datos personales con fines comerciales

Riesgos

Riesgos

¿Qué pasa si no le damos la importancia suficiente? Aumentamos el riesgo de incurrir en la

violación de acuerdos o contratos de licenciamiento de bases de datos de investigación o de consulta controlada con consecuencias económicas o legales

Riesgos

¿Qué pasa si no le damos la importancia suficiente? Aumentamos el riesgo de prestar la

plataforma computacional para fines diferentes a los intereses de la biblioteca, incluso fines poco éticos o hasta fraudulentos.

Riesgos

En general se afecta la reputación de la institución y sus consecuencias pueden ser:

Legales Económicas Sociales

(credibilidad)

USUARIOS/COMUNIDA

D

PROVEEDORES

EMPLEADOSBIBLIOTECA

PATROCINADORES

¿Qué hacemos?

Entonces…

Solución

¿Qué se puede hacer?1. Elaborar un inventario de los activos de

información2. Definir una política de tratamiento de

riesgo3. Establecer un conjunto de políticas de

seguridad4. Implementar controles tecnológicos5. Definir procedimientos administrativos

para controlar el riesgo

Inventario de Activos•Físicos (colecciones físicas)•Bases de datos•Hardware y Software

Tratamiento del Riesgo•Minimizar: tomar acciones para disminuir la probabilidad o la consecuencia•Asumir: aceptar el riesgo cuando se concrete•Transferir: un tercero asumirá la responsabilidad de gestionar este riesgo

Políticas de Seguridad•Políticas de uso de Internet•Políticas de Antivius, Email, Firewall, Proxy•Políticas de cuenta de usuarios•Políticas de backup

Controles Tecnológicos•Implementación de DMZ, control de acceso, filtro de contenido•Administración de plataforma Antivirus•Gestión de cuentas de usuario•Administración y operación de backup

Procedimientos•Capacitaciones y divulgación•Auditorias•Reportes de no conformidades

SGSISistema deGestión deSeguridad

de laInformación

¿Cómo lo hacemos?

Entonces…

Solución - Metodología

Se requieren conocimientos especializados. Piense en la siguiente estrategia: Primera fase - Consultoría: Normas tipo ISO

27000 y COBIT. Consultor para simplificarlas y extraer lo realmente necesario (riesgos y controles)

Segunda Fase – Definición: Especificación de Políticas y Procedimientos. Esto se hace en lenguaje del negocio, no necesariamente se usa lenguaje técnico.

Tercera Fase – Implementación: Implementación de soluciones tecnológicas para aplicar las políticas. Tercerización de la operación: Administración de Redes y Mesa de Ayuda.

De políticas y tecnología

Algunos detalles…

Solución - Políticas

Defina por lo menos las siguientes políticas: backup, cuentas de usuario, uso de email, uso de internet y uso de estaciones de trabajo

Si no están escritas, las políticas no podrán ser difundidas

Revise sus políticas con periodicidad y verifique que los controles están activados

Asegúrese de que esté claramente especificada la consecuencia de la violación de una política.

Escriba su política de privacidad respecto a la protección que le brindará a los datos de sus usuarios y hágala conocer. Sea realista y limite su responsabilidad razonablemente.

Solución - Tecnología

Segmente su red en administrativa, pública (usuarios) y servidores

Proteja sus servidores con Firewalls perimetrales No permita conexiones directas a las bases de

datos. Prefiera aplicaciones Web o de múltiples capas.

Mantenga actualizada su plataforma antivirus en toda la red

Automatice las tareas de backup Utilice políticas de cambio periódico de

contraseñas y complejidad (mínimo de ocho caracteres)

Solución - Tecnología

Segmentación de la red

•Switches capa 3 con VLANS•3COM•CISCO•Linksys

Firewall y Seguridad

•ISA Server•Linux IP Tables•Astaro ASG

Servidores de Aplicaciones

•Microsoft IIS•Oracle Weblogic•IBM WebSphere

Antivirus

•ESET NOD32 y Smart Security•Kaspersky Business Space Security

Automatización de Backups

•Symantec Backup Exec•Bacula•ntbackup

Directorios de Servicios

•Microsoft Active Directory•OpenLDAP•Novell eDirectory

Algunas Herramientas de Clase Mundial

GRACIAS POR SU TIEMPO

Para cualquier duda, me puede contactar en:

camilo.bustamante@lantech.com.cowww.lantech.com.co

Lantech S.A.

Expertos en Seguridad Informática