Conferencia Latin America CACS 2006
Conferencia Latin America CACS 2006
#113
#113
Gobierno de Seguridad de Informació
Gobierno de Seguridad de Informaci
ón
n
Preparada por
Preparada por
Ricardo Morales, CISA, CISM, ISO27001 LA, ITIL
Ricardo Morales, CISA, CISM, ISO27001 LA, ITIL
Alestra AT&T Information Security and Service Planning Manager
Alestra AT&T Information Security and Service Planning Manager
Alestra compañía mexicana que ocupa una posición de liderazgo en el mercado nacional de telecomunicaciones, es propiedad de Alfa (51%) y de AT&T (49%). Ofrece servicios de banda ancha y valor agregado bajo la marca AT&T, de conformidad con los rigurosos estándares dictados por AT&T Inc.
La Red ALESTRA comprende actualmente más de 5,900 Km. de fibra óptica,
cobertura de servicio local en 16 ciudades y de VPN en 50, además de contar con la más avanzada tecnología en infraestructura de redes convergentes, como
softswitches y plataformas de servicios convergentes avanzados.
A través de ALESTRA la red Mundial de AT&T (AGN-AT&T Global Network) se expande a 28 de las más importantes ciudades de México.
ALESTRA tiene un área especializada en Seguridad de Información, ya que la salvaguarda de la información de sus clientes es una de sus más altas prioridades. Los controles de seguridad de la información se instrumentan en los servicios que provee a millares de usuarios.
1- Introducción
2- Situación actual en la Función de Seguridad
3- Objetivos de un Gobierno de Seguridad
4- Roles y Responsabilidades en un Gobierno de Seguridad
5- Modelo de un Gobierno de Seguridad
6- Diseño de un Plan Estratégico de Seguridad
7- La Administración de Riesgos en un Gobierno de Seguridad
8- Consideraciones de mejores prácticas en un Gobierno de Seguridad
9- Factores Críticos del éxito de un Gobierno de Seguridad
A
A
g
g
e
e
n
n
d
d
a
a
HIPAA Gobiernos,
Tratados Internacionales
Leyes/ Regulaciones/ Contratos
SOX Ley federal 999 Privacidad de Datos Visión Misión
Introducci
Introducci
ó
ó
n. Alineaci
n. Alineaci
ó
ó
n al negocio de la funci
n al negocio de la funci
ó
ó
n de SI
n de SI
Impactos en CIA Interrupción Metas no logradas Impactos Tiempo, $ Impactos Imagen, Confianza Impactos Legales
-+
Amenazas Impacto al negocio Controles de Seguridad de Información Administrativos/ Procedurales / Técnicos/ Físicos Sistemas de Información Dueños/ Custodios Procesos de NegocioDeterminar sus Riesgos
Objetivos de Negocio
Alineados a la Estrategia
Estrategias Corto/ mediano/ Largo
Entradas:
Medición Cambio ? Recursos: • System X • Arbor 2 • Billing 66 • Redes de datos • Staff • Impresión •Distribución Criterio: •Reglas de negocio. •Ofertas/tarifas •Reqistros Hacendarios Registros: •Archivos para impresión Dueño: Ricardo Morales Registros de Facturación InformaciónSalidas:
Facturas entregadas a clientes a tiempoEvento:
Incendio Probabilidad de ocurrencia: 0.10 AnualFacturación de Servicio de Voz
Impactos:
• $ 12,000,000/semanal • 2 hospitalizados •Incumplimiento de pagos •Daño a imagen UNBILLED Exclusiones en base a variables Exclusion cero duración RECICLE BILLDATS BILLMON ARBOR BILLED 5ESS VCDX ODC SONUS A investigar Pactolus UNBILLED Exclusiones en base a variables Exclusion cero duración RECICLE BILLDATS BILLMON ARBOR BILLED 5ESS VCDX ODC SONUS A investigar PactolusIntroducci
Introducci
ó
ó
n. An
n. An
á
á
lisis de procesos de negocio
lisis de procesos de negocio
1- Introducción
2- Situación actual en la Función de Seguridad
3- Objetivos de un Gobierno de Seguridad
4- Roles y Responsabilidades en un Gobierno de Seguridad
5- Modelo de un Gobierno de Seguridad
6- Diseño de un Plan Estratégico de Seguridad
7- La Administración de Riesgos en un Gobierno de Seguridad
8- Consideraciones de mejores prácticas en un Gobierno de Seguridad
9- Factores Críticos del éxito de un Gobierno de Seguridad
A
A
g
g
e
e
n
n
d
d
a
a
Situaci
Situaci
ó
ó
n Actual
n Actual
-Pobre alineación de Seguridad de
Información (SI) con los objetivos de negocio
-Roles de responsabilidad sobre la Información
no definidos:
-Dueño de la información -Dueño de los Sistemas
-Administrador de Seguridad -Dueño de procesos
-Custodio de la Información/ sistemas -Etc.
-No hay un presupuesto asignado a la función
de SI
-Orientación de SI a la tecnología y no a los
procesos
Situaci
Situaci
ó
ó
n Actual
n Actual
-Función de SI embebida en el área de TI
-Seguridad es todavía un gran esfuerzo, no se ve
como un requerimiento del negocio
-No se cuenta con un proceso de administración
de riesgos para la determinación de controles
de SI
Situaci
Situaci
ó
ó
n Actual
n Actual
-No se cuenta con comités de SI para tomar decisiones
colegiadas y que consideren a las áreas críticas de la
empresa
-No se diseñan controles en base a políticas, normas,
ni estándares
1- Introducción
2- Situación actual en la Función de Seguridad
3- Objetivos de un Gobierno de Seguridad
4- Roles y Responsabilidades en un Gobierno de Seguridad
5- Modelo de un Gobierno de Seguridad
6- Diseño de un Plan Estratégico de Seguridad
7- La Administración de Riesgos en un Gobierno de Seguridad
8- Consideraciones de mejores prácticas en un Gobierno de Seguridad
9- Factores Críticos del éxito de un Gobierno de Seguridad
A
A
g
g
e
e
n
n
d
d
a
a
Reducir impactos adversos sobre la organización a
un nivel aceptable de riesgos
IT Governance Institute
Objetivos de un Gobierno de Seguridad de
Objetivos de un Gobierno de Seguridad de
Informaci
Gobierno de Seguridad de Información (GSI):
“Es el conjunto de responsabilidades y prácticas ejercidas por el
grupo directivo con el objetivo de proveer dirección estratégica,
asegurar que los objetivos sean alcanzados, validar que los
riesgos de la información sean apropiadamente administrados y
verificar que los recursos de la empresa sean usados
responsablemente.”
IT Governance Institute
Objetivos de un GSI
-La información está disponible y utilizable cuando sea requerida, los sistemas que proporcionan esta información pueden resistir o recuperarse apropiadamente de ataques (Disponibilidad)
-La información es observada o revelada sólo a entidades que tienen una necesidad de conocerla (Confidencialidad)
-La información es protegida contra modificaciones no autorizadas (Integridad)
-Las transacciones del negocio así como intercambios de la información entre diversas áreas de la organización o con entidades externas que tengan relaciones de negocio deben ser confiables (Autenticidad y no-repudiación)
IT Governance Institute
Objetivos de un GSI. Objetivos de Seguridad
Optimización en inversiones relacionadas Mediciones para asegurar el logro de objetivos Uso efectivo y eficiente de recursos Reducción de Riesgos de SI a nivel aceptable Alineación Estratégica al negocio
Objetivos de un GSI. Beneficios de un GSI
1- Introducción
2- Situación actual en la Función de Seguridad
3- Objetivos de un Gobierno de Seguridad
4- Roles y Responsabilidades en un Gobierno de Seguridad
5- Modelo de un Gobierno de Seguridad
6- Diseño de un Plan Estratégico de Seguridad
7- La Administración de Riesgos en un Gobierno de Seguridad
8- Consideraciones de mejores prácticas en un Gobierno de Seguridad
9- Factores Críticos del éxito de un Gobierno de Seguridad
A
A
g
g
e
e
n
n
d
d
a
a
Director General
Presidente del Comité
Comité de SI ---TI Operaciones TI Desarrollo *RRHH *LEGAL *Finanzas *Dueños de Procesos Seguridad de Información --- ---Auditor de SI Áreas Operativas
Ingeniería,, Unidades de Negocio, Procesos, Tesorería, etc.
Roles y responsabilidades en un GSI
Roles y responsabilidades en un GSI
*= Áreas siempre presentes Depende del alcance
definido en el SASI
(Sistema de Administración de Seguridad de Información)
Política de Seguridad
Corporativa Aprobar Revisión final Revisar Elaborar
Objetivos SASI Aprobar Revisión final Revisar Elaborar
Alcance del SASI Aprobar Revisión final Revisar Elaborar
Metodología de Admon. De
Riesgos Aprobar Revisar Elaborar
Reporte de Admon. De
Riesgos Aprobar Revisar Elaborar
Plan de Tratamiento de
Riesgo Aprobar Revisar Elaborar
Nivel de Riesgo Aceptable Aprobar Revisión final Revisar Elaborar
Manual del Sistema de
Seguridad Información Aprobar Revisión final Revisar Elaborar Procedimientos y Controles
del SASI (en proyecto To) Aprobar Elaborar Revisar
Procedimientos y Controles del SASI (ya en operación
el SASI Tn) Aprobar Revisar Elaborar
SoA Aprobar Revisar Elaborar
Procedimiento de Auditoria
Interna del SASI Aprobar Revisar Elaborar
Procedimiento de Acciones
correctivas y Preventivas Aprobar Elaborar Revisar
Auditoría Interna de
SASI Areas Operativas Gobierno del Sistema de Administración de Seguridad de Información
Dirección General
Rolando Zubirán
Presidente Comité
Alejandro Irigoyen Comité de SI Area de SI
Roles y responsabilidades en un GSI
Responsabilidades de Direcci
Responsabilidades de Direcci
ó
ó
n General
n General
Garantizar que se establezcan objetivos y planesGarantizar que se establezcan objetivos y planes de SI.de SI.
Establecer, comunicar y revisar la PolEstablecer, comunicar y revisar la Políítica de SItica de SI..
Proveer RecursosProveer Recursos para: Constituir, Implementar, Operar, Monitorear, Revisar, para: Constituir, Implementar, Operar, Monitorear, Revisar,
Mantener y Mejorar el SASI (Sistema de Administraci
Mantener y Mejorar el SASI (Sistema de Administracióón de Seguridad de n de Seguridad de Informaci
Informacióón)n)
Aprobar Niveles de AceptaciAprobar Niveles de Aceptacióón Riesgosn Riesgos de SI y documentacióde SI y documentación requerida por n requerida por
norma seleccionada. norma seleccionada.
Roles y responsabilidades en un GSI
Responsabilidades del Presidente
Responsabilidades del Presidente
Constitución del SASI:
– Aprobar los objetivos y planes de SI.
– Establecer Roles y Responsabilidades de SI.
– Proveer Recursos Suficientes para: Constituir Implementar, Operar, Monitorear, Revisar, Mantener, Mejorar el SASI.
Administrativos:
– Aprobación de documentación del Comité de SI (CSI). – Presidir las reuniones del Comité de SI.
– Convocar reuniones extraordinarias del CSI.
– Aprobación de Cambios de Procesos de Gobierno. – Aprobación de Cambios Estructurales al SASI.
Revisiones del SASI:
– Garantizar que se conduzcan Auditorias Internas. – Conducir Revisiones de la Dirección del SASI.
– Verificar el cumplimiento de objetivos y planes de SI.
Roles y responsabilidades en un GSI
Constitución del SASI:
- Elaboración de Procedimientos y Controles del SASI.
Administrativos:
– Establecer y operar control documental del SASI.
Administración de Riesgos:
– Elaboración de modelos, análisis de brechas y tratamiento de riesgos.
Seguimiento del desempeño del SASI:
– Consolidar resultados de efectividad del SASI.
Responsabilidades de Seguridad de Informaci
Responsabilidades de Seguridad de Informaci
ó
ó
n (
n (
Á
Á
rea)
rea)
Mejora Continua:
– Identificación y Revisión de Áreas de Oportunidad y de acciones correctivas.
Roles y responsabilidades en un GSI
1- Introducción
2- Situación actual en la Función de Seguridad
3- Objetivos de un Gobierno de Seguridad
4- Roles y Responsabilidades en un Gobierno de Seguridad
5- Modelo de un Gobierno de Seguridad
6- Diseño de un Plan Estratégico de Seguridad
7- La Administración de Riesgos en un Gobierno de Seguridad
8- Consideraciones de mejores prácticas en un Gobierno de Seguridad
9- Factores Críticos del éxito de un Gobierno de Seguridad
A
A
g
g
e
e
n
n
d
d
a
a
SASI
Establecer el SASI Implementar y operar el SASI Monitoreo y revisión del SASI Mantener y mejorar el SASIPlan
Do
Check
Act
• Alcance del SASI.
• Análisis & Evaluación de riesgos. • Definir la política del SASI.
• Controles objetivo y
controles para tratamiento de riesgos.
• Declaración de Aplicabilidad.
• Implementación del plan de tratamiento de riesgos. • Protección de registros. • Trazabilidad. • Revisión de la dirección. • Monitoreo de desempeño del SASI. • Revisiones al SASI.
• Revisión de riesgo residual. • Auditorias internas bajo un
programa de trabajo. • Documentar acciones correctivas
•Comunicar los resultados y acciones y tomar acuerdos con las partes involucradas.
• Monitoreo y seguimiento.
Modelo ISO 27001
Modelo de un GSI.
Modelo de un GSI.
Edwards Deming,
Modelo de un GSI. Est
Modelo de un GSI. Est
á
á
ndares a considerar.
ndares a considerar.
BS 15000 PLAN CHEC K ACT COSO
COSO --SOXSOX
BSC BSC COBIT 3,4 DO ISO 27001 ISO 20000 CMM ó ó Estrategia del Negocio Regulaciones Control y Auditoria Seguridad Nivel de Madurez IT Management Fuente: Latincacs 2005 Panamá
A ce pt aci ón t 19 80 19 85 19 90 19 95 20 00 20 05 Jun 2005 ISO/IEC 17799:2005 Estándar de Shell 1995 BS7799 Parte 1 1998 BS7799 Parte 2 1999 BS7799 Parte 1 y 2 Dic 2000 ISO 17799 2001Revisión de BS 7799-2 El código de práctica (PD0003)
1993 Grupo industrial de trabajo
1993 Código de práctica
Oct 2005 ISO/IEC FDIS 27001:2005
Práctica interna de una organización Acuerdo entre organizaciones:
Departamento de Comercio e Industria
Std. Internacional
Std. Regional
Std. Nacional
Documento de Consorcio
Modelo de un GSI. Evoluci
Modelo de un GSI. Evoluci
ó
ó
n ISO27001.
n ISO27001.
Sep 2002
Sep 2002
BS7799
Pareja de Documentos
Pareja de Documentos
ISO 17799:2005 GuISO 17799:2005 Guíía de Implementacia de Implementacióón de controlesn de controles
C
Cóódigo de prdigo de prááctica para un ISMSctica para un ISMS
BS 7799BS 7799--2:2002 2:2002 Evoluciona en ISO27001Evoluciona en ISO27001
Especificaciones para un ISMS
Especificaciones para un ISMS
Resumen de cambios
Resumen de cambios
RevisiRevisióón n ISO17799:2005 ISO17799:2005
–
– ISO17799:2000 es retiradaISO17799:2000 es retirada –
– Se publicóSe publicó en Julio 2005en Julio 2005 –
– 17 nuevos controles –17 nuevos controles – ahora hay 134 en lugar de 127ahora hay 134 en lugar de 127 –
– 11 Capí11 Capítulos antes 10, se agrega manejo de incidentestulos antes 10, se agrega manejo de incidentes –
– EvolucionaráEvolucionará en ISO 27002 en Abril 2007en ISO 27002 en Abril 2007
BS7799BS7799-- Parte 2Parte 2 ISO 27001ISO 27001
–
– Se transformSe transformóó en ISO27001 en Octubre 2005en ISO27001 en Octubre 2005 –
– BS7799 Parte 2 es retirada.BS7799 Parte 2 es retirada.
Modelo de un GSI. Evoluci
Organizational Structure
Security Policy
Organization of Information Security Asset Management
Human Resources Security
Physical & Environmental Security Communications & Operations Access Control
Information Systems Acquisition,
Development & Maintenance
Information Security Incident Business Continuity Compliance Systems Development and Maintenance Communications and Operations Management Business Continuity Management Human Resource Security Compliance Asset Management Organizational Of Info Sec Access Control Security Policy Operations Management
Security Incident Management
Physical & Environ. Security
Modelo de un GSI. 11 Dominios ISO27001
Risk Management (BS 7799
Risk Management (BS 7799--3)3) 27005
27005
Metrics and Measurement
Metrics and Measurement
27004 27004 Implementation Guidance Implementation Guidance 27003 27003
Code of Practice (ISO17799:2005)
Code of Practice (ISO17799:2005)
27002 27002 Specification (BS7799 Specification (BS7799--2) OK2) OK 27001 27001
Vocabulary and definitions
Vocabulary and definitions
27000 27000
Description
Description
ISO/IEC
ISO/IEC
Standard
Standard
Estándares en Proceso
Modelo de un GSI.
Modelo de un GSI.
Modelo de un GSI.
Modelo de un GSI.
Punto Sección
---
---4
Information security management system
4.1
General requirements
4.2
Establishing and managing the ISMS
4.2.1 Establish the ISMS
4.2.2 Implement and operate the ISMS
4.2.3 Monitor and review the ISMS
4.2.4 Maintain and improve the ISMS
Construyendo un GSI (basado en ISO27001)
Construyendo un GSI (basado en ISO27001)
11--DefiniciDefinicióón y Establecimiento de:n y Establecimiento de: –
– Alcance y limites del SASI.Alcance y limites del SASI. –
– PolPolíítica de seguridad de informacitica de seguridad de informacióón.n.
–
– MetodologMetodologíía de Administracia de Administracióón de Riesgos.n de Riesgos. •
• Que identifique riesgos asociados a los activos de informaciQue identifique riesgos asociados a los activos de informacióón definidos.n definidos. •
• AnAnáálisis y evallisis y evalúúan los riesgos identificados.an los riesgos identificados.
•
• EvalEvalúúan las opciones para el tratamiento de los riesgos identificadosan las opciones para el tratamiento de los riesgos identificados..
22--Nivel de riesgo aceptableNivel de riesgo aceptable..
33--ReducciReduccióón de Riesgo mediante n de Riesgo mediante seleccionan de controles Anexo Aseleccionan de controles Anexo A de la norma ISO 27001:2005
de la norma ISO 27001:2005
44--AprobaciAprobacióón de Riesgo Residual por Direccin de Riesgo Residual por Direccióón general.n general.
55--AutorizaciAutorizacióón de Implementacin de Implementacióón del SASI por Direccin del SASI por Direccióón General.n General.
66--RelaciRelacióón de controles aplicables para lograr el nivel de riesgo residuan de controles aplicables para lograr el nivel de riesgo residual aprobado l aprobado por la Direcci
por la Direccióón General documentados en un n General documentados en un ““DeclaraciDeclaracióón de Aplicabilidad, n de Aplicabilidad, SoASoA””..
Modelo de un GSI.
Plan de Trabajo
Plan de Trabajo
–
–
Hacia una Certificaci
Hacia una Certificaci
ó
ó
n ISO27001
n ISO27001
(ejemplo)
(ejemplo)
Alcances y metodología 1Q 2Q 3Q 4Q Tratamiento de Riesgos e Impactos SoA Análisis Gap / implementación del SASI Generación de Evidencia Tech. Compliance y Auditoria Cierre AC Listo para certificación •Creación de Comité Auditoria Externa Análisis de Riesgos e Impactos •Alcance SASI •Política SASI •Objetivos •Niveles de Riesgos Plan Do Check Act P D C AModelo de un GSI.
Modelo de un GSI.
1- Introducción
2- Situación actual en la Función de Seguridad
3- Objetivos de un Gobierno de Seguridad
4- Roles y Responsabilidades en un Gobierno de Seguridad
5- Modelo de un Gobierno de Seguridad
6- Diseño de un Plan Estratégico de Seguridad
7- La Administración de Riesgos en un Gobierno de Seguridad
8- Consideraciones de mejores prácticas en un Gobierno de Seguridad
9- Factores Críticos del éxito de un Gobierno de Seguridad
A
A
g
g
e
e
n
n
d
d
a
a
Modelo de Procesos de Seguridad de Informaci
Modelo de Procesos de Seguridad de Informaci
ó
ó
n (ejemplo)
n (ejemplo)
Desarrollo de Normas y Políticas
Concientización
Administración
de Riesgos
Monitoreo
Continuidad
de negocio
Respuesta
a Incidentes
Control de
Accesos
Dise
Incidentes Evaluaciones Organización Política Nivel de Madurez Inicial Estrategia Primera Evaluación ISO7799 Certificado IS027001
Normas Control de Acceso Adm. Riesgos Concientización Monitoreo Procesos Críticos de Seguridad de información
Desarrollo del programa de Seguridad de Informaci
Desarrollo del programa de Seguridad de Informacióónn Despliegue de estrategia (ejemplo)
Despliegue de estrategia (ejemplo)
++++ +++ ++ Respuesta Incidentes Business Continuity tiempo Creación de GSI
Dise
Desarrollo
de Política
Política Corporativa Directriz Políticas Específicas Estándares Internos Guías Base-lines Mec.Tec Estándares Externos (Tecnologías, RFC IEEE) Recomendaciones Best Practices SANS, CERT, AT&T Amenazas EspecíficasProcedimientos Procedimientos Procedimientos Procedimientos
Políticas
Normatividad
Procedi mientos
Email, Internet, Redes, Intranet, ..
Dise
Concientización
Emails
Posters
Campañas
Medición (exámenes)
Firmas de políticas
Inducción
Premios a los que reporten incidentes
Dise
Administración
de Riesgos
Determinar probabilidad del escenario de riesgo Identificar impacto al negocio Identificar afectación en CID Validar estatus de amenazas Activos Vulnerabilidades Amenazas Riesgos (consecuancias) Riesgos residuales Riesgos iniciales Riesgos residuales Análisis, Evaluación y Tratamiento de Riesgos Calcular riesgos inciales y residuales Tratamiento de riesgosEntradas Subprocesos Salidas
Plan de tratamiento de riesgos Carta de aceptación de riesgos
Dise
Equipo de
Respuesta
a Incidentes
Dise
Control de
Accesos
•Modelos •Técnicas •Administración •MétodosControl de Acceso
Información
(Activos)
Confidencialidad Integridad Disponibilidadidentificación Autenticación Autorización (AccountabilityResponsabilidad)
Amenazas
Vulnerabilidades
Administrativos Técnicos o Lógicos Físicos
Preventivos Detectivos Correctivos
Disuasivos
(Deterrent) Reecuperación Compensatorios
Incidente
Dise
Dise
ñ
ñ
o de un plan estrat
o de un plan estrat
é
é
gico de SI.
gico de SI.
Plan de
Continuidad
DRP
(Disaster Recovery Plan)
BCM
(Business Continuity Management)
BCP
(Business Continuity Plan)
Dise
Dise
ñ
ñ
o de un plan estrat
o de un plan estrat
é
é
gico de SI.
gico de SI.
Recreación de Transacciones Transacciones
No Capturadas DeclaraciónDe Desastre Recuperación deRegistros Vitales Traslado
Restauración Del Sistema
IPL &
Activa-ción de la Red Restauraciónde BD´s
Recuperación Tradicional
• Recuperación a partir de Registros Vitales (Sist. Operativo, DBMS, Aplicaciones y
Datos)
Data Shadowing
*Elimina los Riesgos de la Recuperación de Datos(incluye Protección de Transacciones)
Hot Standby
*Restauración Inmediata (incluye Data Shadowing)
-24 -12 0 12 24 36 48 60 72 84
Tiempo (Hrs)
Monitoreo
Dise
Dise
ñ
ñ
o de un plan estrat
o de un plan estrat
é
é
gico de SI.
gico de SI.
Orientación de Procesos:
•Desarrollo de Política •Concientización •Administración de Riesgos •Respuesta a Incidentes •Control de Accesos •BCPPorcentaje de BCP de procesos de negocios que son auditados Fórmula = X´bcp9*100/X´bcp7 BCP6 IRM2 ERI7 CA6 IRM1
Orientación Técnica:
Porcentaje de riesgos que son aceptados y que no les ha expirado la fecha de aceptación
Fórmula = (X´irm3*100/X´irm1
Porcentaje de incidentes de Severidad 4 que ocurren en un tiempo determinado.
Fórmula = (X´eri10*100)/X´eri5
Porcentaje de sistemas con restricciones al personal de acceso
Fórmula = X´ca12*100/X´ca1
Porcentaje de activos que se les aplicó un análisis de riesgos en un período de 1 año
1- Introducción
2- Situación actual en la Función de Seguridad
3- Objetivos de un Gobierno de Seguridad
4- Roles y Responsabilidades en un Gobierno de Seguridad
5- Modelo de un Gobierno de Seguridad
6- Diseño de un Plan Estratégico de Seguridad
7- La Administración de Riesgos en un Gobierno de Seguridad
8- Consideraciones de mejores prácticas en un Gobierno de Seguridad
9- Factores Críticos del éxito de un Gobierno de Seguridad
A
A
g
g
e
e
n
n
d
d
a
a
Objetivo:
Administrar los riesgos de negocio en materia de SI en forma de costo-beneficio para la organización a través de:– Identificación de activos críticos, sus vulnerabilidades y amenazas.
– Cuantificar los impactos al negocio debido a las amenazas.
– Calcular los riesgos.
– Aceptar, reducir, transferencia o evitar los riesgos tomando en cuenta los impactos en el negocio ($$).
– Implementación de controles que ayuden a mitigar los riesgos.
– Monitoreo de la efectividad de los controles y su impacto en los riesgos
La Administraci
La Administraci
ó
ó
n de Riesgos en un GSI.
n de Riesgos en un GSI.
Tratamiento de Riesgos
Objetivo:
Objetivo:
– Identificar controles de seguridad que mitigan riesgos – Calcular los riesgos residuales
– Seleccionar opciones de tratamiento de riesgos • Aceptar, mitigar, transferir, evitar
– Desarrollar un plan de tratamiento de riesgos
La Administraci
- Acceso no autorizado
- Consulta de facturación del cliente
- Cambios no autorizados -Modificación de cuentas y contraseñas - Código malicioso - Perdida de integridad de archivos Escenario AAR Escenario AAR (Activo, Amenaza, Riesgo)
Escenario AAR Riesgo
Bajo RiesgoMedio
Riesgo Alto
Riesgo Muy Alto
La Administraci
Efectividad de Controles
Fuente: Libro CISSP
La Administraci
1- Introducción
2- Situación actual en la Función de Seguridad
3- Objetivos de un Gobierno de Seguridad
4- Roles y Responsabilidades en un Gobierno de Seguridad
5- Modelo de un Gobierno de Seguridad
6- Diseño de un Plan Estratégico de Seguridad
7- La Administración de Riesgos en un Gobierno de Seguridad
8- Consideraciones de mejores prácticas en un Gobierno de Seguridad
9- Factores Críticos del éxito de un Gobierno de Seguridad
A
A
g
g
e
e
n
n
d
d
a
a
Estrategia de Seguridad de Información
ligada a los objetivos del negocio y
basada en el valor de la información
protegida.
Consideraciones de mejores pr
Políticas de Seguridad de Información
que incluyan aspectos de la estrategia, el
control y las regulaciones, que además
estén basadas en las mejores prácticas
internacionales relacionadas a Seguridad
de Información.
Consideraciones de mejores pr
Una estructura organizacional efectiva
que permita la implementación de la
Estrategia de Seguridad de Información
.
Consideraciones de mejores pr
Metodología de Administración de
Riesgos de Seguridad de Información
que facilite la toma de decisiones basadas
en riesgos de negocio.
Consideraciones de mejores pr
Un proceso de mejora continua y de
monitoreo de políticas, procesos y
controles de Seguridad de Información
para asegurar su cumplimiento.
Consideraciones de mejores pr
1- Introducción
2- Situación actual en la Función de Seguridad
3- Objetivos de un Gobierno de Seguridad
4- Roles y Responsabilidades en un Gobierno de Seguridad
5- Modelo de un Gobierno de Seguridad
6- Diseño de un Plan Estratégico de Seguridad
7- La Administración de Riesgos en un Gobierno de Seguridad
8- Consideraciones de mejores prácticas en un Gobierno de Seguridad
9- Factores Críticos del éxito de un Gobierno de Seguridad
A
A
g
g
e
e
n
n
d
d
a
a
Factores Cr
Factores Cr
í
í
ticos del
ticos del
é
é
xito de un GSI.
xito de un GSI.
1- La Política de Seguridad de SI deberá estar firmada por el
director general, debe responder a un análisis de riesgos previo y responder a requerimientos legales y regulatorios de la organización. La misma deberá aplicarse a los terceros con actividades relacionadas a la organización.
2- Debe de diseñarse una Estrategia de SI que considere metas a corto, mediano y largo plazo que se oriente a implementar lo establecido en la Política de SI.
3- Debe desarrollarse e implementar un Modelo de Administración
de Riesgos en base a las necesidades de la empresa y que
considere riesgos residuales y bandas de riesgos aprobadas por la Dirección General.
Factores Cr
Factores Cr
í
í
ticos del
ticos del
é
é
xito de un GSI.
xito de un GSI.
5- Se debe Concientizar sobre la relevancia de SI al grupo de directores así como a las diferentes audiencias pensando en la especialización, esto debe de enfocarse a explicar a como transformar el costo de cumplimiento de la Política de SI a beneficios tangibles a la Organización.
6- Se debe de establecer un Comité de SI que sea representativo de la organización de acuerdo al alcance del GSI, es mandatario involucrar a Recursos Humanos y a Legal.
7- Deben establecerse los diversos Dueños y Custodios de los Activos de Información y su adecuado “Accountability”.
4- Se debe de considerar establecer un Plan de Continuidad de
Negocios que responda a eventos que puedan interrumpir procesos
Factores Cr
Factores Cr
í
í
ticos del
ticos del
é
é
xito de un GSI.
xito de un GSI.
9- Se debe establecer una Medición del Cumplimiento de la Política de SI basado en un adecuado monitoreo del GSI.
10- La función de SI deberá contar con un Presupuesto Independiente de cualquier área funcional.
8- La dirección general debe Aprobar Objetivos Anuales de SI clasificados en estratégicos, relacionados a mejoras en procesos básicos de SI y objetivos operativos.
11- Se debe de establecer la Normatividad basada en las mejores prácticas internacionales de SI y disciplinas relacionadas necesarias para que sean la base estructural de los controles de SI administrativos, tecnológicos y procedurales.
Factores Cr
Factores Cr
í
í
ticos del
ticos del
é
é
xito de un GSI.
xito de un GSI.
12- La función de SI debe de Cubrir a los procesos más Críticos
de la Organización.
13- Se debe de considerar establecer un Equipo de Respuesta a Incidentes
que considere un adecuado proceso de comunicación y procedimientos de respuesta a incidentes.
14- Se debe de considerar establecer un Proceso de Control de Accesos
que brinde Seguridad efectiva y optimice los recursos dedicados a TI. 15- La Selección de controles de SI deberá contar con el nivel de efectividad solicitada por el Análisis de Riesgos de forma que
Factores Cr
Factores Cr
í
í
ticos del
ticos del
é
é
xito de un GSI.
xito de un GSI.
16- Todos los Contratos de la Organización deberán considerar siempre aspectos de SI como acuerdos de confidencialidad, propiedad intelectual, etc.
17- Debe de establecerse la función de Auditoria de TI/SI para contar
con un adecuado balance entre las normas y las operaciones relacionadas a SI.
18- Debe de mantenerse un Inventario de Activos de Información que considere procesos de negocio, personas e infraestructura en general.
19- Debe de establecerse una Organización de SI que administre la función de SI y encuentre el adecuado balance con el Comité de SI.
Factores Cr
Factores Cr
í
í
ticos del
ticos del
é
é
xito de un GSI.
xito de un GSI.
Esfuerzo
Aportar
Valor
-
+
+
--Política -Estrategia - Normatividad - Concientizar -Comité -Dueños y Custodios -Administración de Riesgos -Medición del Cumplimiento -Presupuesto independiente -Aprobar objetivos anuales -Selección de Controles - Contratos -Auditorias -Procesos más Críticos -Plan de continuidad -Equipo de respuesta -Control de acceso -Inventario de activosValor vs Esfuerzo
No se Justifica Debe de ser primero Difícil de justificarZona de no valor
-Organización de SI
Factores Cr
Factores Cr
í
í
ticos del
ticos del
é
é
xito de un GSI.
xito de un GSI.
Esfuerzo
Aportar
Valor
-
+
+
--Política -Estrategia - Normatividad - Concientizar -Comité -Dueños y Custodios -Administración de Riesgos -Medición del Cumplimiento -Presupuesto independiente -Aprobar objetivos anuales -Selección de Controles - Contratos -Auditorias -Procesos más Críticos -Plan de continuidad -Equipo de respuesta -Control de acceso -Inventario de activosValor vs Esfuerzo
No se Justifica Debe de ser primero Difícil de justificarZona de no valor
-Organización de SI
Factores Cr
Factores Cr
í
í
ticos del
ticos del
é
é
xito de un GSI.
xito de un GSI.
Esfuerzo
Aportar
Valor
-
+
+
--Política -Estrategia - Normatividad - Concientizar -Comité -Dueños y Custodios -Administración de Riesgos -Medición del Cumplimiento -Presupuesto independiente -Aprobar objetivos anuales -Selección de Controles - Contratos -Auditorias -Procesos más Críticos -Plan de continuidad -Equipo de respuesta -Control de acceso -Inventario de activosValor vs Esfuerzo
No se Justifica Debe de ser primero Difícil de justificarZona de no valor
-Organización de SI
Factores Cr
Factores Cr
í
í
ticos del
ticos del
é
é
xito de un GSI.
xito de un GSI.
Esfuerzo
Aportar
Valor
-
+
+
--Política -Estrategia - Normatividad - Concientizar -Comité -Dueños y Custodios -Administración de Riesgos -Medición del Cumplimiento -Presupuesto independiente -Aprobar objetivos anuales -Selección de Controles - Contratos -Auditorias -Procesos más Críticos -Plan de continuidad -Equipo de respuesta -Control de acceso -Inventario de activosValor vs Esfuerzo
No se Justifica Debe de ser primero Difícil de justificarZona de no valor
-Organización de SI
Gran Valor