Title: Presentacin de PowerPoint
1Programa de Preparación para Examen de
Certificación (CPP) Mayo 2001, México.
PROTECCION DE LA INFORMACION
PRESENTACIÓN Ing. Jorge Septien Esnaurrizar,
CPP, CPO.
Camino al Desierto de los Leones No. 31 Desp. 103
Col. San Angel C.P. 01000 Tel. 5616-7615
asismexico_at_terra.com.mx
2SEGURIDAD DE LA INFORMACIÓN
Existen reportes llenos de hechos en donde
intrusos han accesado redes de cómputo, bombazos
de terroristas o desastres naturales que han
dañado o destruido información crítica. La
preocupación por la confidencialidad de
información personal como puede ser el estatus
créditicio o un historial médico, también son
motivo de noticias de primera plana.
3SEGURIDAD DE LA INFORMACIÓN Cont.
Las amenazas más comunes a las corporaciones
provienen del interior de las organizaciones. Ya
sea intencional o inadvertidamente, las acciones
de personas internas ( empleados que ya cuentan
con acceso a sus sistemas de información,
comunicaciones y cómputo ), pueden poner en
riesgo los activos de la empresa y su integridad
física personal.
4SEGURIDAD DE LA INFORMACIÓN Cont.
Con la fuga de información estratégica se pueden
planear y llevar a cabo robos, fraudes,
secuestros y atentados. La información puede ser
intervenida, grabada, copiada, interpretada y
utilizada por lo cual debe considerarse como un
bien a ser protegido. El manejo de esta
información ofrece riesgos que deben minimizarse
a través de procedimientos y equipos eficientes.
5SEGURIDAD DE LA INFORMACIÓN Cont.
- Existe información exclusiva que debe protegerse
como - Información técnica de productos, sistemas,
equipo, procesos y servicios. - Planes y estrategias vitales.
- Información sobre costos, inversiones,
utilidades, pronósticos y operaciones del
grupo. - Información personal útil a terceras personas que
con ella planearían el atentado o graves daños. - La información es uno de los activos más
importantes. Su protección es vital para
salvaguardar el futuro de los negocios.
6SEGURIDAD DE LA INFORMACIÓN Cont.
- Las personas más interesadas en penetrar en el
sistema generalmente son - Empleado enojado o en desacuerdo con la
organización. - Espionaje.
- Individuos con experiencia con computadoras y
malas intenciones. - Criminales en busca de elementos para planear
crímenes como robos y fraudes. - La información puede ser Almacenada
- Transmitida
- En forma de voz, datos, e imágenes.
7SEGURIDAD DE LA INFORMACIÓN Cont.
- Los grandes campos a proteger son
- COMUNICACIONES Fuga de información confidencial
en conversaciones telefónicas y en transmisión de
facsímiles. - OFICINAS, RESIDENCIAS Y VEHÍCULOS Fuga de
información confidencial por medio de micrófonos
y transmisores. - EQUIPO DE COMPUTO Fuga de información
confidencial, en equipos personales y redes.
Daño al equipo y bancos de información. - ARCHIVOS Obtención de información privilegiada
por falta de control sobre documentos en su
elaboración, almacenaje y destrucción.
8SEGURIDAD DE LA INFORMACIÓN Cont.
- Las personas constituyen riesgos, pero también
recursos. El éxito en la seguridad de la
información se basa principalmente en las
personas. - Los usuarios de soporte, responsables de
gestionar la seguridad de la información en la
organización, debe de considerar las siguientes
medidas - Distribuir las reglas de seguridad.
- Hacer circular regularmente avisos sobre la
seguridad. - Establecer incentivos para fomentar las
prácticas de seguridad. - Fijar de la seguridad.
- Establezca una línea de comunicación sobre
seguridad.
9SEGURIDAD DE LA INFORMACIÓN Cont.
- Todo el personal deberá tener conocimiento de
las políticas y procedimientos de seguridad de
documentos. - Todo documento que contenga información
competitiva o significativa de la empresa o de su
operación deberá ser clasificado. - Se debe considerar como un documento no
clasificado a aquel que no contenga información
altamente sensible y que no requiere el uso de
los procedimientos de seguridad utilizados con
el material clasificado. -
- La correspondencia de la empresa, aun cuando no
sea considerada como clasificada, no deberá
divulgarse ya que puede proporcionar información
valiosa a la competencia. -
10SEGURIDAD DE LA INFORMACIÓN Cont.
- Se debe aplicar las políticas de escritorio
limpio y de mantener con llave y guardar la
llave para asegurar que no se presenten casos de
revelación accidental o por confusión de
información. -
- Se debe limitar la distribución de documentos a
bajo el principio de que tener que saber (Need
to know). -
- Los documentos clasificados como secretos o
confidenciales, no podrán ser duplicados, a
excepción de las copias hechas por el creador del
documento. -
- Todo material clasificado, deberá mantenerse bajo
llave cuando no se encuentre bajo el control del
responsable del mismo. -
- Todo material secreto o confidencial, o sus
copias y duplicados, deberán ser destruidos.
11SEGURIDAD DE LA INFORMACIÓN Cont.
COPIAS DE SEGURIDAD En el entorno de las
computadoras personales, el problema principal no
es su uso fraudulento, sino el daño o pérdida de
datos importantes. La medida de seguridad
simple más efectiva que puede seguir es el hacer
copias de seguridad en forma regular.
AB
12SEGURIDAD DE LA INFORMACIÓN Cont.
INSTALACIÓN DE EQUIPO DE CODIFICACIÓN Y
DECODIFICACION PARA TRANSMISIÓN Y RECEPCIÓN DE
DATOS
INSTALACIÓN DE PROGRAMAS DE CODIFICACIÓN Y
DECODIFICACION PARA ACCESO RESTRINGIDO
13SEGURIDAD DE LA INFORMACIÓN Cont.
Podemos decir que si el principal actualmente no
esta siendo intervenido con micrófonos o lo a
sido en el pasado, probablemente en el futuro lo
será. Esto obliga al profesional en seguridad a
comprender los principios básicos de la
vigilancia electrónica y las medidas de
contrainteligencia necesarias para vencer este
tipo de vigilancia. El espionaje no siempre es
de tipo electrónico ya que de hecho puede existir
vigilancia auditiva .
14SEGURIDAD DE LA INFORMACIÓN Cont.
- Mencionaremos a continuación algunas formas de
ataques. - Ataque mecánico o no electrónico
- Uno de los elementos más utilizados para obtener
información es el oído humano. Otro tipo de
ataque mecánico es el uso de grabadoras .
15SEGURIDAD DE LA INFORMACIÓN Cont.
- Ataque óptico o visual
- Se incluyen los ataques producto de la simple
observación ocupando telescopios, binoculares,
cámaras con telefoto y cámaras de vídeo. - Ataques de video
- Las cámaras de video representan una amenaza en
aquellas áreas a las que el delincuente tiene
oportunidad de tener acceso para esconder el
dispositivo. La tecnología del video continua
evolucionando así como la vigilancia por este
tipo de medio.
16SEGURIDAD DE LA INFORMACIÓN Cont.
Micrófonos y cableado
MICROFONOS Y TRANSMISORES OCULTOS
17SEGURIDAD DE LA INFORMACIÓN Cont.
- Un programa de seguridad auditivo efectivo debe
contener 2 consideraciones básicas - Aislamiento y nulificación Medidas que se
tomaran para complicar o prevenir un ataque o
espionaje auditivo -
- Búsqueda de elementos auditivos Medidas que se
tomaran para detectar la presencia de un ataque
de espionaje
18SEGURIDAD DE LA INFORMACIÓN Cont.
19SEGURIDAD DE LA INFORMACIÓN Cont.
- BARRERAS ACÚSTICAS
-
- Se debe dar una especial consideración en el tipo
de construcción de la habitación con vista en las
características de atenuación acústica del
perímetro esto es la habilidad de las paredes,
techo y piso para actuar como barrera de sonido. - Deben también considerarse medidas del tipo
electrónico, como son la instalación de material
que edite la salida de radiación electromagnética
de la habitación protegida, en caso de que se
hubiesen introducido algún transmisor de audio o
vídeo en forma posterior ala revisión de
seguridad, o bien que algún asistente a la sala
portase un equipo consigo.
20SEGURIDAD DE LA INFORMACIÓN Cont.
INSTALACIÓN DE EQUIPOS INHABILITADORES DE
TRANSMISIÓN Y GRABACIÓN