Riesgos,seguridad yrecuperaciónante desastres

Administración De CentrosDe Información

RIESGOS, SEGURIDAD Y RECUPERACIÓN ANTE DESASTRESAdministración De Centros De Información

Del mismo modo que se ha extendido el uso de los sistemas deinformación basados en computadoras, así ha aumentado laamenaza para la integridad de los datos y la confiabilidad de lainformación. Las organizaciones deben enfrentar con seriedad losriesgos de las amenazas de la naturaleza y del hombre. Un expertoen computadoras señaló una vez: “el único sistemaverdaderamente seguro está apagado, encerrado en un bloque deconcreto y sellado en una habitación metálica con guardiasarmados. E incluso así tengo mis dudas”. En realidad, no hay unmodo de asegurar por completo un sistema de información contraalgún percance potencial; sin embargo, hay modos de reducir demanera significativa los riesgos y de recuperarse de las pérdidas.

01

METAS DE SEGURIDAD DE LA INFORMACIÓNAdministración De Centros De Información

Como ya ha visto, el desarrollo, la implementación y el mantenimiento de los IS constituyen una parte grande y creciente del costo de

realizar negocios; proteger esos recursos es una preocupación principal. La mayor dependencia en los IS, junto con la conexión al

mundo externo mediante una red pública, Internet, vuelve cada vez más desafiante la seguridad de los IS corporativos. La función de

los controles y la seguridad de la computadora es proteger los sistemas contra incidentes accidentales y el robo intencional y el daño

de datos y las aplicaciones, al igual que ayudar a las organizaciones a asegurar que sus operaciones de IT acaten la ley y cumplan con

las expectativas de privacidad de los empleados y los clientes.

En junio del 2005, los hackers invadieron las bases dedatos de CardSystems Solutions, una compañía queprocesa transacciones de tarjetas de crédito. Los datosde alrededor de 200 000 suscriptores de MasterCard,Visa y otros emisores de tarjetas de crédito fueronrobados.

“

02

METAS DE SEGURIDAD DE LA INFORMACIÓNAdministración De Centros De Información

Reducir el riesgode que los

sistemas y lasorganizaciones

dejen de operar

Mantener laconfidencialidad

de la información.

Asegurar elcumplimiento de laspolíticas y las leyesacerca de laseguridad y laprivacidad.

Asegurar ladisponibilidadininterrumpida delos recursos de datosy las operaciones enlínea.

Asegurar laintegridad y laconfiabilidad de losrecursos de datos.

03

RIESGOS PARA LOS SISTEMAS DE INFORMACIÓNAdministración De Centros De Información

RIESGOS PARAEL HARDWARE

04

• Desastres naturales• Interrupciones

prolongadas ymomentáneas delsuministro eléctrico

• Vandalismo

RIESGOS PARA LOS SISTEMAS DE INFORMACIÓNAdministración De Centros De Información

RIESGOS PARALOS DATOS Y

LASAPLICACIONES

05

• Robo de información yRobo de identidad

• Alteración ydestrucción de losdatos y deformaciónen la Web

• Virus, gusanos ybombas lógicas

• Percances que no sonmalintencionados

RIESGOS PARA LAS OPERACIONES EN LÍNEAAdministración De Centros De Información

26%China

17%EEUU

11%Rusia

Los ataques de denegación de servicio (se abreen nueva ventana) o DoS (Denial of Service) sonuno de los tipos de incidentes de seguridad mástípicos y siguen siendo muy utilizados. Llevar acabo un ataque de denegación de servicio norequiere, en muchos casos, conocimientosavanzados.

Negación del servicio

06

50%Malware

25%Troyano

15%Virus

El secuestro de una computadora significautilizar una parte o todos sus recursosconectados a una red pública sin laautorización del dueño.

Secuestro de una computadora

Solidez de unprograma y

controles deintroducción de

datos

CONTROLES

Controles deacceso

PARA PROTEGER

Rastros deverificaciones

contables

DE RIESGOS

Transaccionesatómicas

LOS SISTEMAS

Respaldo

COMUNES

CONTROLESAdministración De Centros De Información

07

MEDIDAS DE SEGURIDADAdministración De Centros De Información

Se utiliza un protocolo llamado Seguridad de Capa deTransporte (TLS) para las transacciones en la Web. La

TLS es la sucesora de la Capa de Sockets Segura (SSL)

SEGURIDAD DE CAPA DE TRANSPORTE

La autenticación es el proceso de asegurar que lapersona que envía un mensaje a o recibe un mensaje de

usted es en esencia tal persona.

AUTENTICACIÓN Y CIFRADO

La mejor defensa contra el acceso no autorizado a lossistemas por Internet es un firewall, el cual es hardware y

software que bloquean el acceso a los recursos decómputo..

FIREWALLS Y SERVIDORES PROXY

Los certificados digitales son archivos de computadoraque equivalen a las tarjetas de identificación, porqueasocian la identidad de una persona con la clave públicade esa persona.

CERTIfiCADOS DIGITALES

Una firma digital es un modo de autenticar los mensajesen línea, similar a una firma física en un papel, peroimplementada con cifrado de clave pública.

FIRMAS DIGITALES

08

DESVENTAJA DE LAS MEDIDAS DE SEGURIDADAdministración De Centros De Información

Las medidas de seguridad tienen un costo.

Hacen lentas las comunicaciones de datos y requieren

disciplina del usuario.

Los empleados tienden a olvidar sus contraseñas, sobre

todo si deben cambiarlas cada 30 o 90 días.

Una solución más sencilla es un método llamado SSO

El cifrado hace más lenta la comunicación porque el

software debe cifrar y descifrar todos los mensajes

09

LAS MEDIDAS DE RECUPERACIÓNAdministración De Centros De Información

Las medidas de seguridad pueden reducir los incidentes indeseables, pero nadie puede controlar todos los desastres. Con el fin de

estar preparadas para los desastres cuando ocurran, las organizaciones deben contar con medidas de recuperación. Las

organizaciones que dependen mucho de sus IS para sus actividades diarias suelen usar la redundancia; es decir, ejecutan todos los

sistemas y transacciones en dos computadoras en paralelo como protección contra la pérdida de datos y de negocios. Si una

computadora falla, el trabajo continúa en la otra. La redundancia hace que el sistema sea tolerante a fallas. Sin embargo, en los

sistemas distribuidos, es muy costoso duplicar todos los recursos de cómputo, de modo que deben tomarse otras medidas.

En 2005, una encuesta de SunGard en el Reino Unidoencontró que 52% de las empresas participantesinvirtieron en medidas de continuidad empresarialprincipalmente debido a las nuevas normas.El temor al terrorismo fue la principal razón para 33%de las compañías.

“

10

OBTENER ELCOMPROMISO DE LAADMINISTRACIÓN CON ELPLAN

PLAN DE RECUPERACIÓN EMPRESARIALAdministración De Centros De Información

11

REALIZAR UNAVALORACIÓN DE RIESGOSY UN ANÁLISIS DEIMPACTOS

ESTABLECER UNCOMITÉ DE

PLANIFICACIÓN

PRIORIZAR LASNECESIDADES DE

RECUPERACIÓN

SELECCIONAR UNPLAN DERECUPERACIÓN

SELECCIONAR LOSVENDEDORES

DESARROLLAR EIMPLEMENTAR EL

PLAN

PROBAR Y EVALUAR DEMANERA CONTINUA

PROBAR EL PLAN

Las compañías que eligen nodesarrollar por completo su propioplan de recuperación puedensubcontratarlo con empresas que seespecializa en planificar larecuperación ante desastres o ensuministrar sitios alternos. .

PLANEACIÓN DE LA RECUPERACIÓN Y PROVEEDORES DE SITIOS ALTERNOSAdministración De Centros De Información

12

LA ECONOMÍA DE LA SEGURIDAD DE LA INFORMACIÓNAdministración De Centros De Información

Las medidas de seguridad deben enfrentarse de una manera similar a la compra de un seguro. El gasto en las medidas debe ser

proporcional al daño potencial. Las organizaciones también necesitan valorar la tasa mínima de tiempo de interrupción del sistema y

asegurar que en lo económico resisten ese tiempo de interrupción del servicio.

Fredrickson International es una agencia de cobranzalíder. Al haber implementado ISO/IEC 27001 tiene ahorauna mayor consciencia de la seguridad a través de laorganización. La certificación ha reducidosignificativamente el tiempo que toma hacer la ofertapara los contratos y ha ofrecido confianza al mercadode sus prácticas de seguridad en la información.

“

13

¿CUÁNTA SEGURIDAD ES SUFICIENTE?Administración De Centros De Información

Desde sólo el punto de vista del costo, ¿cuánto debe gastar una

organización en medidas de seguridad de los datos? Existen dos

tipos de costos que deben considerarse para responder esta

pregunta: el costo del daño potencial y el costo de implementar

una medida preventiva. El costo del daño es el agregado de todos

los daños potenciales multiplicados por sus probabilidades

respectivas.

14

GRACIASACI - 2015A