Inducción Seguridad de Información.pptx
-
Upload
marlon-cotrina-vargas -
Category
Documents
-
view
21 -
download
1
Transcript of Inducción Seguridad de Información.pptx
Capacitación en Seguridad de Información
Noviembre del 2012
Agenda1. Por qué es importante la Seguridad de la Información
a) ¿Qué nos regula?b) ¿Qué es un Activo de información?c) ¿Cuáles son los recursos a proteger?d) Objetivo de la Seguridad de Informacióne) Pilares de la seguridad de la información
2. Amenazas comunesa) ¿Qué es Ingeniería Social?b) ¿Cómo nos afecta la perdida de seguridad de la información?
3. Tratamiento de Riesgosa) Definición de Controlb) Política del SIG
4. CONTINUIDAD DEL NEGOCIOa) ¿A que nos enfrentamos?b) Alcance del Plan de Continuidad
5. SALVAGUARDAS - Medidas de acción
1. ¿Por qué es importante la Seguridad de la Información?
Procesos deInformación
Amenazas
Publicado el 2/05/2012
RM N° 129-2012-PCM• Uso obligatorio de la NTP-ISO/IEC 27001:2008 (Sistema de Gestión de
Seguridad de Información), cuyos controles deberán ser implementados según NTP-ISO/IEC 17799:2007 (Código de buenas prácticas para la gestión de la seguridad de la información), en todas las entidades integrantes del Sistema Nacional de Informática.
• Implementación Progresiva. Fase 1 en plazo no mayor de 45 días.
• Designación de un Coordinador que hará las veces de Oficial de Seguridad de Información, mediante resolución del Titular de la Entidad.
1.a. ¿Qué nos regula?
¿Para qué un Sistema de Gestión de Seguridad de la Información?
El propósito de un SGSI es garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías
1.b. ¿Qué es un Activo de información?
Es aquello que es o contiene información y por lo tanto requiere protección:
Documentos en papel: contratos, guíasSoftware: aplicativos y software de sistemasDispositivos físicos: computadoras, medios removiblesPersonas: clientes, personal, etc.Imagen y reputación de la Institución: marcaServicios: comunicaciones, internet, energía.
1.c. Objetivo de la Seguridad de Información
• Asegurar la continuidad de las operaciones de la Institución
• Minimizar los daños a la organización en caso de pérdida o revelación no autorizada de información.
• Mantener la imagen institucional
1.d. Pilares de la seguridad de la información
Acceso cuando sea requerido
DisponibilidadSólo acceden quienes están autorizados.
Confidencialidad
La información y su procesamiento son
exactos y completos.
Integridad
Información
La Seguridad de la Información se logra sobre la base de 03 premisas fundamentales:
“La seguridad de la información se consigue implantando un conjunto adecuado de controles”. NTP-ISO/IEC 17799:2007.
2. Amenazas comunes
• Divulgación de información por email• Sabotaje• Terrorismo• Hackers• Ingeniería Social
3.a. El Sistema Integrado de Gestión
• Actuar con autonomía, transparencia y equidad; brindando un servicio oportuno y de calidad.
• Prevenir la contaminación ambiental y controlar los impactos generados por nuestras actividades, utilizando eficientemente los recursos naturales.
• Prevenir los daños y deterioro de la salud de los trabajadores y terceros. Controlar los riesgos relacionados con la SST generados por nuestras actividades.
• Cumplir con el marco normativo vigente y otros aplicables.• Asegurar la confidencialidad, integridad y disponibilidad de los activos
de información relevantes, mediante la gestión de riesgos, implementación de controles y mediciones de la seguridad de la información.
• Promover la formación y toma de conciencia del personal y la mejora continua del desempeño del SIG
3.b. Política del SIG
Gerencia / Área # Procesos Nombre de Procesos SeleccionadosOficina de Sistemas (OS) 1 Gestión documentaria
Gerencia de Fiscalización de Gas Natural (GFGN) 1 Supervisión de la comercialización en los establecimientos de
venta al público de GNV
Gerencia de Fiscalización Eléctrica (GFE) 21) Supervisión de interrupciones en instalaciones eléctricas de
media tensión.2) Supervisión de verificación de la disponibilidad y estado
operativo de las unidades de generación del SEIN.
Secretaría Técnica de Órganos Resolutivos (STOR) 2
1) Atención de apelaciones de reclamos de los usuarios de los servicios públicos de electricidad y gas natural por red de ductos.
2) Atención de quejas referidas a reclamos de los usuarios de los servicios públicos de electricidad y gas natural por red de ductos.
Gerencia Adjunta de Regulación Tarifaria (GART) 2
1) Determinación del Factor de Recargo y del Programa de Transferencias del FOSE.
2) Revisión de Pliegos Tarifarios de Distribución Eléctrica.
Gerencia de Fiscalización de Hidrocarburos Líquidos (GFHL) 2
1) Solicitudes de modificación de datos en el registro de hidrocarburos.
2) Generación y Habilitación de Usuarios y Contraseñas SCOP.
3.c. Alcance Actual del SGI
4. CONTINUIDAD DEL NEGOCIO
¿A que nos enfrentamos?
Sismo / Terremoto Incendio
Indisponibilidad de los Sistemasde Información
Terrorismo
Huelgas / Manifestaciones
Proceso 1 Proceso 2 Proceso 3 Proceso 10
Proveedores / Terceros
Suministros
Edificios / Infraestructura
Tecnología
Personas y Conocimientos
…
Alcance del Plan de Continuidad
Plan de Recuperación
(OS)
Plan de Continuidad del Negocio
Planes de Emergencia
(ASAM)
Planes de Contingencia(LOGÍSTICA)
Planes de Comunicación (INT y EX (OC))
Planes de Contingencia o
Continuidad(PROVEEDORES)
1. Solicitudes de modificación de datos en el registro de hidrocarburos (GFHL).
2. Generación y Habilitación de Usuarios y Contraseñas SCOP (GFHL).
3. Gestión documentaria (OS).4. Supervisión de la comercialización en los establecimientos
de venta al público de GNV (GFGN).5. Supervisión de interrupciones en instalaciones eléctricas de
media tensión (GFE). 6. Supervisión de verificación de la disponibilidad y estado
operativo de las unidades de generación del SEIN (GFE).7. Atención de apelaciones de reclamos de los usuarios de los
servicios públicos de electricidad y gas natural por red de ductos (STOR).
8. Atención de quejas referidas a reclamos de los usuarios de los servicios públicos de electricidad y gas natural por red de ductos (STOR).
9. Determinación del Factor de Recargo y del Programa de Transferencias del FOSE (GART)
10. Revisión de Pliegos Tarifarios de Distribución Eléctrica (GART)
5. SALVAGUARDASMedidas de acción
• Dispositivos móviles
• Eliminar los correos antiguos• Sincronizar el contenido, como
videos y fotos en la PC y luego eliminarlo.
• Nunca conectarse a redes WIFI no confiables
• En medida de lo posible, encriptar el teléfono
• Es bueno usar encriptación WAP2.
• No conectarse a redes inalámbricas EXTERNAS a las instalaciones de OSINERGMIN
• Cambiar el nombre de la conexión inalámbrica en sus hogares
• No usar moden usb o smatphone como modem al mismo tiempo que se tiene una conexión OSINERGMIN
• Desconectar el Access Point cuando no este en uso.
• Consideraciones de conexiones inalámbricas
• Tener al menos ocho caracteres• Combinar letras mayúsculas, minúsculas, números y símbolos• No usar una palabra común o nombre, ni una variación parecida.• Incluya sustituciones de aspecto similar, como el número cero en lugar
de la letra 'O' o el símbolo '$' en lugar de la letra 'S'.• Incluya sustituciones fonéticas, como 'es3ado' por 'estresado‘. • No utilice información personal en la contraseña (como su nombre,
fecha de nacimiento, nombre de la esposa, etc.)• No utilice patrones de teclado (asdf) ni números en secuencia (1234).• No escriba nunca su contraseña.• No envíe nunca su contraseña en un mensaje de correo electrónico o de
chat.
• Proteger las Contraseñas
Escogemos una frase que nos recordemos:
“En Osinergmin brindamos servicio de calidad 24 horas”
Escogemos sólo las primeras letras mayúsculas , minúsculas y los números… entonces quedaría:
EObsdc24h Si cambiamos algunas letras parecidas a otros caracteres como la ‘$’ por ‘s’ y por el número ‘0’ por la letra ‘O’ quedaría
E0b$dc24h
Reglas nemotécnicas para crear Contraseñas seguras
• Bloquear pantalla
Cuando: - Se va a una reunión- A recoger las impresiones- Cuando se va al sitio de
un compañero- Escritorio limpio
• Proteger las cuentas de correo - Sea celoso con su correo, no lo
comparta- No reenvié las cadenas, hay gente
que recolecta los correos- Suscríbase a Indecopi
http://systems.indecopi.gob.pe/noinsista/home.seam
- De sus correos personales puede reportar a [email protected]
- De sus correos OSINERGMIN puede reportar a HelpDesk
• Protección contra el Phishing- NUNCA responda a NINGUNA
solicitud de información personal a través de correo electrónico
- Las entidades u organismos NUNCA le solicitan contraseñas, números de tarjeta de crédito o cualquier información personal por correo electrónico, por teléfono o SMS.
- Para visitar sitios Web, teclee la dirección URL en la barra de direcciones. NUNCA POR ENLACES PROCEDENTES DE CUALQUIER SITIO.
• Utilice software legal y autorizado por OS
- Utilice solamente software autorizado para garantizar que no existas fallas por incompatibilidad o virus en los sistemas
- Recuerde que cualquier anomalía o incidencia reportarlo a Mesa de ayuda al 1164 para que puedan darle el tratamiento adecuado
Procedimiento de solicitud de accesos
Políticas Específicas de Seguridad de Información
Colabore con las actividades del logro de la certificación ISO
27001 para OSINERGMIN
Gracias
La Seguridad inicia y finaliza con las personas