• No se han encontrado resultados

Concientización en Seguridad

N/A
N/A
Info
Descargar
Protected

Academic year: 2021

Share "Concientización en Seguridad"

Copied!
15
0
0

Cargando.... (Ver texto completo ahora)

Descargar ahora ( 15 página )

Texto completo

(1)

Security Awareness

Concientización

en Seguridad

El Factor Humano

MBA Lic. Roberto Langdon

• Lic. en Sistemas y MBA en Marketing Management

USAL – State University of New York – Albany, USA

• Director del Instituto de Investigaciones en Seguridad en

TICs de FUNDESCO

• Presidente & CEO - 2MINDS Servicios Informáticos SRL

• Profesor del Seminario Intensivo de Seguridad de la

Información en el Instituto Universitario de la Policía Federal Argentina (IUPFA) (Extensión Extracurricular)

• Profesor de Seguridad Informática en la Universidad

Nacional de Tres de Febrero (UNTREF)

(2)

EL OBJETIVO DE LA

CONCIENTIZACION EN

SEGURIDAD

NO ES FORMAR

PARANOICOS EN EL

TEMA

ES JUSTAMENTE

CREAR CONCIENCIA

(3)
(4)

Introducción a End User Security Awareness

Por qué implementar una campaña de Security Awareness?

Comunicar políticas a la comunidad de usuarios, y asegurarse de su cumplimiento

Mitigar la ecuación SEGURIDAD versus USABILIDAD

Defenderse ante las amenaza Ingeniería Social

La concientización del usuario optimiza el perfil global de seguridad

Qué queremos lograr haciendo que los usuarios conozcan sobre la seguridad?

Fomentar al uso de hábitos seguros y desalentar los comportamientos riesgosos

Cambiar la percepción del usuario respecto de la Seguridad de la Información

Informar a los usuarios sobre cómo reconocer y reaccionar ante amenazas potenciales

Educar a los usuarios sobre técnicas de seguridad de la información que pueden usar

Cómo obtener los resultados deseados?

Generar interés

Educar

Comunicar

Recurrencia en los esfuerzos

Medir resultados

(5)

End User Security Awareness Challenges

Convencer a los usuarios a crear y mantener hábitos seguros de uso en PC

Brindar un mensaje consistente sobre la importancia de IT Security

Motivar a los usuarios a tener un interés personal en Information Security

Dar alta prioridad a End User Security Awareness en la organización

(6)

Elementos clave del Programa de

Seguridad de la Información

TECNOLOGIA PROCESOS

GENTE

- System Security - UTM. Firewalls - IDS/IPS - Data Center - Physical Security - Vulnerability Assmt - Penetration Testing -Application Security - Secure SDLC - SIM/SIEM - Managed Services - Risk Management - Asset Management - Data Classification - Info Rights Mgt

- Data Leak Prevention - Access Management - Change Management - Patch Management - Configuration Mgmt - Incident Response - Incident Management - Training - Awareness - HR Policies - Background Checks - Roles / responsibilities - Mobile Computing - Social Engineering - Social Networking - Acceptable Use - Policies - Performance Mgt

(7)

§ IDENTIFICACION DE LOS RIESGOS

§ ELEGIR COMO MITIGARLOS

ANALISIS

MITIGACION

GESTION

§ TECNOLOGIAS

§ SEGURIDAD FISICA

§ SEGURIDAD INFORMATICA

§ PLAN DE SEGURIDAD

§

POLITICAS Y PROCEDIMIENTOS

§ COMPLIANCE

§ BCP / DRS - SECURITY AWARENESS

§ MONITOREO Y CONTROL

§ REPORTES

(8)

Concientización a nivel Alta Gerencia

ALTA

GERENCIA

DIRECCION

RRHH

DIRECCION

LEGALES

PRESUPUESTO

PRIORIDADES

RRHH

DISPONIBLES

IGNORANCIA

CAPACITACION

DECISION COGNITIVA

RIESGOS

AMENAZAS

VULNERABILIDADES

CONSULTOR

en SEGURIDAD

SUBESTIMACION

(9)

Acciones iniciales

NOMBRAR AL CSO / CISO

CREAR EL COMITÉ DE SEGURIDAD

EL COMITÉ SEG. REVISA Y APRUEBA LAS

POLITICAS DE SEGURIDAD

ALTA

GERENCIA

CAPACITACION

DECISION COGNITIVA

LAS POLITICAS SE IMPLEMENTAN (R+T+$)

RISK ASSESSMENT (Comité de Riesgos)

VULNERABILITY ASSESSMENT (Seguridad)

EL CSO /CISO PRESENTA POLITICAS DE

SEGURIDAD AL COMITÉ DE SEGURIDAD

(10)

Concientización de IT

• Concientización técnica

– Plataformas tecnológicas segurizadas

y actualizadas

– Vulnerability Assessment como

práctica habitual periódica

• Compliance

– Políticas, Normas, leyes y

regulaciones

(11)

Concientización de Appl.Dev.

• Concientización técnica

– Técnicas de Programación Segura (OWASP) –

SQL Inj. – XSS - XSRF

– Vulnerabilidades de Plataformas tecnológicas

– Code Vulnerability Assessment como práctica

habitual

• Concientización en las Políticas de

Desarrollo

– Entornos separados y controlados de Desarrollo,

Testing y Producción

– Archivos de Prueba especialmente generados por

programas controlados

– Control de Versionado de Aplicaciones

(Bibliotecas)

– Documentación actualizada y resguardada

siempre

• Auditoría de Cumplimiento

(12)

Concientización del Personal

Concientización en Seguridad

– Seguridad en el Hogar

– Riesgos de los Menores y Adolescentes en Internet – Seguridad Urbana

– Comportamiento en Redes Sociales (Social Engineering) – Protección de los Information Assets – Responsabilidades

– Conocimiento de todas las Políticas de Seguridad de la Información de la Organización

Concientización en las Políticas de Uso Correcto de los Activos de Información

(por RRHH)

– Uso correcto del Email Laboral (dominio)

– Uso correcto de los recursos de acceso a Internet

• Uso del ancho de banda

• Acceso a contenidos inapropiados (Explicar el filtro de Contenidos)

– Almacenamiento de contenidos inapropiados en su PC

– Responsabilidad del resguardo de información de workstations

Protagonismo en ejercer el cumplimiento de las políticas de Seguridad de la

Información

Responsabilidad primaria de controlar el cumplimiento por los jefes y

supervisores directos

(13)

Seguridad en Redes Sociales

Principales riesgos por la información brindada

– No tener correctamente seteados los parámetros de Seguridad de acceso a la info – Exceso de información privada (facilita enormemente a la Ingeniería Social)

– Imágenes en exceso de familiares del titular (facilitan secuestros reales o virtuales)

– Imágenes de Auto, Vivienda o Casa de Fin de Semana (demuestra poder adquisitivo disponible, y por ende nivel de rescate a solicitar)

– Imágenes de los menores en la sede de su Colegio (ídem anterior + identificación del lugar) – Fotos de destino de Vacaciones (demuestra poder adquisitivo disponible)

– Fotos y/o comentarios que demuestran que el individuo está fuera de su casa, ya sea viaje de negocios o placer (facilita el robo de la vivienda)

– Comentarios en el muro, que demuestren proyectos futuros de inversión

– Fotos de menores que brinden una imagen equivocada respecto de su tipo de vida y moral

Principales riesgos de las aplicaciones

– No todas son inocentes (algunas son códigos maliciosos)

– Las aplicaciones que aceptemos, “dicen claramente” que podrán ver todo nuestro perfil, contactos y contenidos,

que podrán enviar emails en nuestro nombre, etc…

Ataques de “LIKEJACKING” (dar “me gusta” a cualquier cosa, donde “facilitamos” la descarga de código malicioso)

(14)

Conclusiones y Recomendaciones

• La Seguridad de la Información es una disciplina, y como tal,

debe enseñarse la práctica de la misma

• Introducir los conceptos de Seguridad

de la Información dentro de la Cultura

de la Organización

• Fijar lineamientos claros de interpretar,

de cumplir y de controlar

• Las Políticas deben ser desarrolladas

objetivamente

• La concientización en Seguridad debe darle un valor personal

al empleado, no sólo laboral.

• Recordar que Security Awareness es un proceso contínuo de

(15)

Referencias

Descargar ahora ( PDF - 15 página - 3.71 MB )

Documento similar

ODAS, || FERNANDO VIL f§

que hasta que llegue el tiempo en que su regia planta ; | pise el hispano suelo... que hasta que el

Dona Leonor de Guzmán a la muerte de Alfonso XI

dente: algunas decían que doña Leonor, "con muy grand rescelo e miedo que avía del rey don Pedro que nueva- mente regnaba, e de la reyna doña María, su madre del dicho rey,

La iguaLdad en La apLicación de La Ley: anáLisis de aLgunas objeciones iusfiLosóficas*

d) que haya «identidad de órgano» (con identidad de Sala y Sección); e) que haya alteridad, es decir, que las sentencias aportadas sean de persona distinta a la recurrente, e) que

EL AYUNTAMIENTO DE PALMA EN LA SALA DE MILLONES EN EL ANTIGUO RÉGIMEN1

La siguiente y última ampliación en la Sala de Millones fue a finales de los años sesenta cuando Carlos III habilitó la sexta plaza para las ciudades con voto en Cortes de

EL ARCHIVO DE LOYOLA EN TIEMPOS DE LA EXPULSIÓN Y LAS APORTACIONES DE LOS JESUÍTAS LLEGADOS DE ITALIA (SEGÚN RESEÑA DEL P. PÉREZ PICÓN)

Ciaurriz quien, durante su primer arlo de estancia en Loyola 40 , catalogó sus fondos siguiendo la división previa a la que nos hemos referido; y si esta labor fue de

CANTO A LA ARGELIA IRREDENTA: LA POESÍA EN ESPAÑOL DE SALAH NÉGAOUI Isaac Donoso

En este trabajo estudiamos la obra poética en español del escritor y profesor argelino Salah Négaoui, a través de la recuperación textual y análisis de Poemas la voz, texto pu-

LA CAPILLA DE MÚSICA DE LA COLEGIAL DE SAN NICOLÁS DE ALICANTE DURANTE EL SIGLO XVIII

Las manifestaciones musicales y su organización institucional a lo largo de los siglos XVI al XVIII son aspectos poco conocidos de la cultura alicantina. Analizar el alcance y

UNA ESCALA DE LA PLANIFICACIÓN EN ATENCIÓN A LA FUNCIÓN DIRECTIVA DE LOS PLANES. EL EJEMPLO DE LOS PLANES CONTRA LA DESPOBLACIÓN

En la parte central de la línea, entre los planes de gobierno o dirección política, en el extremo izquierdo, y los planes reguladores del uso del suelo (urbanísticos y