ANÁLISIS DE SEGURIDAD DE LA INFORMACIÓN PARA BETMAKER.AG

Marvin Zumbado Flores

Betmaker - BetCris

Definiciones Básicas:

Activo: cualquier cosa que tenga valor para la organización

Control: forma de defenderse contra un riesgo, incluyendo políticas, procedimientos, directrices, prácticas o estructuras organizacionales que pueden ser de naturaleza administrativa, técnica o de contingencia

Seguridad de la información: preservación de la confidencialidad, integridad y disponibilidad de la información

Política: intenciones o directrices globales formalmente expresadas por la dirección

Levantamiento de Activos

Entrevistas http://www.microsoft.com/spain/technet

/recursos/articulos/srappb.mspx

Spiceworks

Riesgos

Incidencia catastrófica Error mecánico Persona “benigna”

Persona malintencionada

Vulnerabilidades

Física Natural Hardware Software Vulnerabilidades colocadas

deliberadamente Errores de configuración Comunicaciones Humanos

Controles

Controles Existentes

Físicos Acceso controlado al edificio por una

recepcionista y guardas con armamento grueso

Tarjetas electrónicas para todas las puertas de acceso a oficinas de trabajo

Controles Biométricos para el acceso al cuarto de servidores y bases de datos

Múltiples cámaras de vigilancia Revisión de personal a la salida Equipo de mantenimiento que revisa las

servicios periódicamente

Controles Existentes (cont.) Software

Acceso controlado a la red por medio de claves Permisos de usuario según departamento Inventario de software instalado Firewall y antivirus en todos los equipos de la red

Datos: Destrucción y reciclaje de papelería Almacenamiento en bases de datos bien

resguardadas fuera del país Generalidades:

Existe una buena representación legal previamente contratada

Controles recomendados

Físicos: Realizar inventario intensivo de equipo

Software Compra de licencias faltantes Uso de software libre Contratar hackers para que exploten nuestras vulnerabilidades

Datos Encriptación Backups periódicos Revisiones de acceso y uso de información

Generalidades: Charlas sobre seguridad a empleados Charlas motivacionales a los empleados Plan de continuidad

Controles criptográficos

http://www.truecrypt.org/ http://www.mxcsoft.com http://www.albalia.com/

Conclusiones

La empresa para la que laboro no está a un 100% en lo que refiere a la seguridad de la información

Existen vulnerabilidades y deficiencias que pueden ser solventadas con políticas y un poco de inversión

Existen vulnerabilidades para las cuales es casi imposible estar preparado

Conclusiones (cont.)

La seguridad electrónica cada vez juega un papel más importantes en las empresas y se ha convertido en un gasto prioritario

Se debe dar seguimiento a las soluciones que velan por la seguridad, no vale con implantarlas, hay que monitorearlas y ajustarlas periódicamente

Se deben hacer simulacros para ver como se respondería ante una situación dada

Referencias

http://iso27002.wiki.zoho.com/7-1-1-Inventario-de-Activos.html

http://jmpovedar.wordpress.com/auditoria-informatica/

http://www.microsoft.com/spain/technet/recursos/articulos/srappb.mspx

http://www.inteco.or.cr/esp/ http://www.inteco.es/ Norma IRAM ISO IEC 17799 - Argentina. Estandar ISO 17799 (2005) – Español