análisis de seguridad de la información para betmaker
TRANSCRIPT
ANÁLISIS DE SEGURIDAD DE LA INFORMACIÓN PARA BETMAKER.AG
Marvin Zumbado Flores
Betmaker - BetCris
Definiciones Básicas:
Activo: cualquier cosa que tenga valor para la organización
Control: forma de defenderse contra un riesgo, incluyendo políticas, procedimientos, directrices, prácticas o estructuras organizacionales que pueden ser de naturaleza administrativa, técnica o de contingencia
Seguridad de la información: preservación de la confidencialidad, integridad y disponibilidad de la información
Política: intenciones o directrices globales formalmente expresadas por la dirección
Levantamiento de Activos
Entrevistas http://www.microsoft.com/spain/technet
/recursos/articulos/srappb.mspx
Spiceworks
Riesgos
Incidencia catastrófica Error mecánico Persona “benigna”
Persona malintencionada
Vulnerabilidades
Física Natural Hardware Software Vulnerabilidades colocadas
deliberadamente Errores de configuración Comunicaciones Humanos
Controles
Controles Existentes
Físicos Acceso controlado al edificio por una
recepcionista y guardas con armamento grueso
Tarjetas electrónicas para todas las puertas de acceso a oficinas de trabajo
Controles Biométricos para el acceso al cuarto de servidores y bases de datos
Múltiples cámaras de vigilancia Revisión de personal a la salida Equipo de mantenimiento que revisa las
servicios periódicamente
Controles Existentes (cont.) Software
Acceso controlado a la red por medio de claves Permisos de usuario según departamento Inventario de software instalado Firewall y antivirus en todos los equipos de la red
Datos: Destrucción y reciclaje de papelería Almacenamiento en bases de datos bien
resguardadas fuera del país Generalidades:
Existe una buena representación legal previamente contratada
Controles recomendados
Físicos: Realizar inventario intensivo de equipo
Software Compra de licencias faltantes Uso de software libre Contratar hackers para que exploten nuestras vulnerabilidades
Datos Encriptación Backups periódicos Revisiones de acceso y uso de información
Generalidades: Charlas sobre seguridad a empleados Charlas motivacionales a los empleados Plan de continuidad
Controles criptográficos
http://www.truecrypt.org/ http://www.mxcsoft.com http://www.albalia.com/
Conclusiones
La empresa para la que laboro no está a un 100% en lo que refiere a la seguridad de la información
Existen vulnerabilidades y deficiencias que pueden ser solventadas con políticas y un poco de inversión
Existen vulnerabilidades para las cuales es casi imposible estar preparado
Conclusiones (cont.)
La seguridad electrónica cada vez juega un papel más importantes en las empresas y se ha convertido en un gasto prioritario
Se debe dar seguimiento a las soluciones que velan por la seguridad, no vale con implantarlas, hay que monitorearlas y ajustarlas periódicamente
Se deben hacer simulacros para ver como se respondería ante una situación dada
Referencias
http://iso27002.wiki.zoho.com/7-1-1-Inventario-de-Activos.html
http://jmpovedar.wordpress.com/auditoria-informatica/
http://www.microsoft.com/spain/technet/recursos/articulos/srappb.mspx
http://www.inteco.or.cr/esp/ http://www.inteco.es/ Norma IRAM ISO IEC 17799 - Argentina. Estandar ISO 17799 (2005) – Español