Presentacin de PowerPoint

1
Programa de Preparación para Examen de
Certificación (CPP) Mayo 2001, México.
PROTECCION DE LA INFORMACION
PRESENTACIÓN Ing. Jorge Septien Esnaurrizar,
CPP, CPO.
Camino al Desierto de los Leones No. 31 Desp. 103
Col. San Angel C.P. 01000 Tel. 5616-7615
asismexico_at_terra.com.mx
2
SEGURIDAD DE LA INFORMACIÓN
Existen reportes llenos de hechos en donde
intrusos han accesado redes de cómputo, bombazos
de terroristas o desastres naturales que han
dañado o destruido información crítica. La
preocupación por la confidencialidad de
información personal como puede ser el estatus
créditicio o un historial médico, también son
motivo de noticias de primera plana.
3
SEGURIDAD DE LA INFORMACIÓN Cont.
Las amenazas más comunes a las corporaciones
provienen del interior de las organizaciones. Ya
sea intencional o inadvertidamente, las acciones
de personas internas ( empleados que ya cuentan
con acceso a sus sistemas de información,
comunicaciones y cómputo ), pueden poner en
riesgo los activos de la empresa y su integridad
física personal.
4
SEGURIDAD DE LA INFORMACIÓN Cont.
Con la fuga de información estratégica se pueden
planear y llevar a cabo robos, fraudes,
secuestros y atentados. La información puede ser
intervenida, grabada, copiada, interpretada y
utilizada por lo cual debe considerarse como un
bien a ser protegido. El manejo de esta
información ofrece riesgos que deben minimizarse
a través de procedimientos y equipos eficientes.
5
SEGURIDAD DE LA INFORMACIÓN Cont.

• Existe información exclusiva que debe protegerse
  como
• Información técnica de productos, sistemas,
  equipo, procesos y servicios.
• Planes y estrategias vitales.
• Información sobre costos, inversiones,
  utilidades, pronósticos y operaciones del
  grupo.
• Información personal útil a terceras personas que
  con ella planearían el atentado o graves daños.
• La información es uno de los activos más
  importantes. Su protección es vital para
  salvaguardar el futuro de los negocios.

6
SEGURIDAD DE LA INFORMACIÓN Cont.

• Las personas más interesadas en penetrar en el
  sistema generalmente son
• Empleado enojado o en desacuerdo con la
  organización.
• Espionaje.
• Individuos con experiencia con computadoras y
  malas intenciones.
• Criminales en busca de elementos para planear
  crímenes como robos y fraudes.
• La información puede ser Almacenada
• Transmitida
• En forma de voz, datos, e imágenes.

7
SEGURIDAD DE LA INFORMACIÓN Cont.

• Los grandes campos a proteger son
• COMUNICACIONES Fuga de información confidencial
  en conversaciones telefónicas y en transmisión de
  facsímiles.
• OFICINAS, RESIDENCIAS Y VEHÍCULOS Fuga de
  información confidencial por medio de micrófonos
  y transmisores.
• EQUIPO DE COMPUTO Fuga de información
  confidencial, en equipos personales y redes.
  Daño al equipo y bancos de información.
• ARCHIVOS Obtención de información privilegiada
  por falta de control sobre documentos en su
  elaboración, almacenaje y destrucción.

8
SEGURIDAD DE LA INFORMACIÓN Cont.

• Las personas constituyen riesgos, pero también
  recursos. El éxito en la seguridad de la
  información se basa principalmente en las
  personas.
• Los usuarios de soporte, responsables de
  gestionar la seguridad de la información en la
  organización, debe de considerar las siguientes
  medidas
• Distribuir las reglas de seguridad.
• Hacer circular regularmente avisos sobre la
  seguridad.
• Establecer incentivos para fomentar las
  prácticas de seguridad.
• Fijar de la seguridad.
• Establezca una línea de comunicación sobre
  seguridad.

9
SEGURIDAD DE LA INFORMACIÓN Cont.

• Todo el personal deberá tener conocimiento de
  las políticas y procedimientos de seguridad de
  documentos.
• Todo documento que contenga información
  competitiva o significativa de la empresa o de su
  operación deberá ser clasificado.
• Se debe considerar como un documento no
  clasificado a aquel que no contenga información
  altamente sensible y que no requiere el uso de
  los procedimientos de seguridad utilizados con
  el material clasificado.
• La correspondencia de la empresa, aun cuando no
  sea considerada como clasificada, no deberá
  divulgarse ya que puede proporcionar información
  valiosa a la competencia.

10
SEGURIDAD DE LA INFORMACIÓN Cont.

• Se debe aplicar las políticas de escritorio
  limpio y de mantener con llave y guardar la
  llave para asegurar que no se presenten casos de
  revelación accidental o por confusión de
  información.
• Se debe limitar la distribución de documentos a
  bajo el principio de que tener que saber (Need
  to know).
• Los documentos clasificados como secretos o
  confidenciales, no podrán ser duplicados, a
  excepción de las copias hechas por el creador del
  documento.
• Todo material clasificado, deberá mantenerse bajo
  llave cuando no se encuentre bajo el control del
  responsable del mismo.
• Todo material secreto o confidencial, o sus
  copias y duplicados, deberán ser destruidos.

11
SEGURIDAD DE LA INFORMACIÓN Cont.
COPIAS DE SEGURIDAD En el entorno de las
computadoras personales, el problema principal no
es su uso fraudulento, sino el daño o pérdida de
datos importantes. La medida de seguridad
simple más efectiva que puede seguir es el hacer
copias de seguridad en forma regular.
AB
12
SEGURIDAD DE LA INFORMACIÓN Cont.
INSTALACIÓN DE EQUIPO DE CODIFICACIÓN Y
DECODIFICACION PARA TRANSMISIÓN Y RECEPCIÓN DE
DATOS
INSTALACIÓN DE PROGRAMAS DE CODIFICACIÓN Y
DECODIFICACION PARA ACCESO RESTRINGIDO
13
SEGURIDAD DE LA INFORMACIÓN Cont.
Podemos decir que si el principal actualmente no
esta siendo intervenido con micrófonos o lo a
sido en el pasado, probablemente en el futuro lo
será. Esto obliga al profesional en seguridad a
comprender los principios básicos de la
vigilancia electrónica y las medidas de
contrainteligencia necesarias para vencer este
tipo de vigilancia. El espionaje no siempre es
de tipo electrónico ya que de hecho puede existir
vigilancia auditiva .
14
SEGURIDAD DE LA INFORMACIÓN Cont.

• Mencionaremos a continuación algunas formas de
  ataques.
• Ataque mecánico o no electrónico
• Uno de los elementos más utilizados para obtener
  información es el oído humano. Otro tipo de
  ataque mecánico es el uso de grabadoras .

15
SEGURIDAD DE LA INFORMACIÓN Cont.

• Ataque óptico o visual
• Se incluyen los ataques producto de la simple
  observación ocupando telescopios, binoculares,
  cámaras con telefoto y cámaras de vídeo.
• Ataques de video
• Las cámaras de video representan una amenaza en
  aquellas áreas a las que el delincuente tiene
  oportunidad de tener acceso para esconder el
  dispositivo. La tecnología del video continua
  evolucionando así como la vigilancia por este
  tipo de medio.

16
SEGURIDAD DE LA INFORMACIÓN Cont.
Micrófonos y cableado
MICROFONOS Y TRANSMISORES OCULTOS
17
SEGURIDAD DE LA INFORMACIÓN Cont.

• Un programa de seguridad auditivo efectivo debe
  contener 2 consideraciones básicas
• Aislamiento y nulificación Medidas que se
  tomaran para complicar o prevenir un ataque o
  espionaje auditivo
• Búsqueda de elementos auditivos Medidas que se
  tomaran para detectar la presencia de un ataque
  de espionaje

18
SEGURIDAD DE LA INFORMACIÓN Cont.
19
SEGURIDAD DE LA INFORMACIÓN Cont.

• BARRERAS ACÚSTICAS
• Se debe dar una especial consideración en el tipo
  de construcción de la habitación con vista en las
  características de atenuación acústica del
  perímetro esto es la habilidad de las paredes,
  techo y piso para actuar como barrera de sonido.
• Deben también considerarse medidas del tipo
  electrónico, como son la instalación de material
  que edite la salida de radiación electromagnética
  de la habitación protegida, en caso de que se
  hubiesen introducido algún transmisor de audio o
  vídeo en forma posterior ala revisión de
  seguridad, o bien que algún asistente a la sala
  portase un equipo consigo.

20
SEGURIDAD DE LA INFORMACIÓN Cont.
INSTALACIÓN DE EQUIPOS INHABILITADORES DE
TRANSMISIÓN Y GRABACIÓN