#113 Gobierno de Seguridad de Información

(1)

Conferencia Latin America CACS 2006

#113

Gobierno de Seguridad de Informació

Gobierno de Seguridad de Informaci

ón

n

Preparada por

Ricardo Morales, CISA, CISM, ISO27001 LA, ITIL

Alestra AT&T Information Security and Service Planning Manager

(2)

Alestra compañía mexicana que ocupa una posición de liderazgo en el mercado nacional de telecomunicaciones, es propiedad de Alfa (51%) y de AT&T (49%). Ofrece servicios de banda ancha y valor agregado bajo la marca AT&T, de conformidad con los rigurosos estándares dictados por AT&T Inc.

La Red ALESTRA comprende actualmente más de 5,900 Km. de fibra óptica,

cobertura de servicio local en 16 ciudades y de VPN en 50, además de contar con la más avanzada tecnología en infraestructura de redes convergentes, como

softswitches y plataformas de servicios convergentes avanzados.

A través de ALESTRA la red Mundial de AT&T (AGN-AT&T Global Network) se expande a 28 de las más importantes ciudades de México.

ALESTRA tiene un área especializada en Seguridad de Información, ya que la salvaguarda de la información de sus clientes es una de sus más altas prioridades. Los controles de seguridad de la información se instrumentan en los servicios que provee a millares de usuarios.

(3)

1- Introducción

2- Situación actual en la Función de Seguridad

3- Objetivos de un Gobierno de Seguridad

4- Roles y Responsabilidades en un Gobierno de Seguridad

5- Modelo de un Gobierno de Seguridad

6- Diseño de un Plan Estratégico de Seguridad

7- La Administración de Riesgos en un Gobierno de Seguridad

8- Consideraciones de mejores prácticas en un Gobierno de Seguridad

9- Factores Críticos del éxito de un Gobierno de Seguridad

A

g

e

n

d

a

(4)

HIPAA Gobiernos,

Tratados Internacionales

Leyes/ Regulaciones/ Contratos

SOX Ley federal 999 Privacidad de Datos Visión Misión

Introducci

ó

n. Alineaci

ó

n al negocio de la funci

ó

n de SI

Impactos en CIA Interrupción Metas no logradas Impactos Tiempo, $ Impactos Imagen, Confianza Impactos Legales

-+

Amenazas Impacto al negocio Controles de Seguridad de Información Administrativos/ Procedurales / Técnicos/ Físicos Sistemas de Información Dueños/ Custodios Procesos de Negocio

Determinar sus Riesgos

Objetivos de Negocio

Alineados a la Estrategia

Estrategias Corto/ mediano/ Largo

(5)

Entradas:

Medición Cambio ? Recursos: • System X • Arbor 2 • Billing 66 • Redes de datos • Staff • Impresión •Distribución Criterio: •Reglas de negocio. •Ofertas/tarifas •Reqistros Hacendarios Registros: •Archivos para impresión Dueño: Ricardo Morales Registros de Facturación Información

Salidas:

Facturas entregadas a clientes a tiempo

Evento:

Incendio Probabilidad de ocurrencia: 0.10 Anual

Facturación de Servicio de Voz

Impactos:

• $ 12,000,000/semanal • 2 hospitalizados •Incumplimiento de pagos •Daño a imagen UNBILLED Exclusiones en base a variables Exclusion cero duración RECICLE BILLDATS BILLMON ARBOR BILLED 5ESS VCDX ODC SONUS A investigar Pactolus UNBILLED Exclusiones en base a variables Exclusion cero duración RECICLE BILLDATS BILLMON ARBOR BILLED 5ESS VCDX ODC SONUS A investigar Pactolus

Introducci

ó

n. An

á

lisis de procesos de negocio

(6)

1- Introducción

2- Situación actual en la Función de Seguridad

3- Objetivos de un Gobierno de Seguridad

4- Roles y Responsabilidades en un Gobierno de Seguridad

5- Modelo de un Gobierno de Seguridad

6- Diseño de un Plan Estratégico de Seguridad

7- La Administración de Riesgos en un Gobierno de Seguridad

8- Consideraciones de mejores prácticas en un Gobierno de Seguridad

9- Factores Críticos del éxito de un Gobierno de Seguridad

A

g

e

n

d

a

(7)

Situaci

ó

n Actual

-Pobre alineación de Seguridad de

Información (SI) con los objetivos de negocio

-Roles de responsabilidad sobre la Información

no definidos:

-Dueño de la información -Dueño de los Sistemas

-Administrador de Seguridad -Dueño de procesos

-Custodio de la Información/ sistemas -Etc.

-No hay un presupuesto asignado a la función

de SI

(8)

-Orientación de SI a la tecnología y no a los

procesos

Situaci

ó

n Actual

-Función de SI embebida en el área de TI

-Seguridad es todavía un gran esfuerzo, no se ve

como un requerimiento del negocio

(9)

-No se cuenta con un proceso de administración

de riesgos para la determinación de controles

de SI

Situaci

ó

n Actual

-No se cuenta con comités de SI para tomar decisiones

colegiadas y que consideren a las áreas críticas de la

empresa

-No se diseñan controles en base a políticas, normas,

ni estándares

(10)

1- Introducción

2- Situación actual en la Función de Seguridad

3- Objetivos de un Gobierno de Seguridad

4- Roles y Responsabilidades en un Gobierno de Seguridad

5- Modelo de un Gobierno de Seguridad

6- Diseño de un Plan Estratégico de Seguridad

7- La Administración de Riesgos en un Gobierno de Seguridad

8- Consideraciones de mejores prácticas en un Gobierno de Seguridad

9- Factores Críticos del éxito de un Gobierno de Seguridad

A

g

e

n

d

a

(11)

Reducir impactos adversos sobre la organización a

un nivel aceptable de riesgos

IT Governance Institute

Objetivos de un Gobierno de Seguridad de

Informaci

(12)

Gobierno de Seguridad de Información (GSI):

“Es el conjunto de responsabilidades y prácticas ejercidas por el

grupo directivo con el objetivo de proveer dirección estratégica,

asegurar que los objetivos sean alcanzados, validar que los

riesgos de la información sean apropiadamente administrados y

verificar que los recursos de la empresa sean usados

responsablemente.”

IT Governance Institute

Objetivos de un GSI

(13)

-La información está disponible y utilizable cuando sea requerida, los sistemas que proporcionan esta información pueden resistir o recuperarse apropiadamente de ataques (Disponibilidad)

-La información es observada o revelada sólo a entidades que tienen una necesidad de conocerla (Confidencialidad)

-La información es protegida contra modificaciones no autorizadas (Integridad)

-Las transacciones del negocio así como intercambios de la información entre diversas áreas de la organización o con entidades externas que tengan relaciones de negocio deben ser confiables (Autenticidad y no-repudiación)

IT Governance Institute

Objetivos de un GSI. Objetivos de Seguridad

(14)

Optimización en inversiones relacionadas Mediciones para asegurar el logro de objetivos Uso efectivo y eficiente de recursos Reducción de Riesgos de SI a nivel aceptable Alineación Estratégica al negocio

Objetivos de un GSI. Beneficios de un GSI

(15)

1- Introducción

2- Situación actual en la Función de Seguridad

3- Objetivos de un Gobierno de Seguridad

4- Roles y Responsabilidades en un Gobierno de Seguridad

5- Modelo de un Gobierno de Seguridad

6- Diseño de un Plan Estratégico de Seguridad

7- La Administración de Riesgos en un Gobierno de Seguridad

8- Consideraciones de mejores prácticas en un Gobierno de Seguridad

9- Factores Críticos del éxito de un Gobierno de Seguridad

A

g

e

n

d

a

(16)

Director General

Presidente del Comité

Comité de SI ---TI Operaciones TI Desarrollo *RRHH *LEGAL *Finanzas *Dueños de Procesos Seguridad de Información --- _---Auditor de SI Áreas Operativas

Ingeniería,, Unidades de Negocio, Procesos, Tesorería, etc.

Roles y responsabilidades en un GSI

*= Áreas siempre presentes Depende del alcance

definido en el SASI

(Sistema de Administración de Seguridad de Información)

(17)

Política de Seguridad

Corporativa Aprobar Revisión final Revisar Elaborar

Objetivos SASI Aprobar Revisión final Revisar Elaborar

Alcance del SASI Aprobar Revisión final Revisar Elaborar

Metodología de Admon. De

Riesgos Aprobar Revisar Elaborar

Reporte de Admon. De

Riesgos Aprobar Revisar Elaborar

Plan de Tratamiento de

Riesgo Aprobar Revisar Elaborar

Nivel de Riesgo Aceptable Aprobar Revisión final Revisar Elaborar

Manual del Sistema de

Seguridad Información Aprobar Revisión final Revisar Elaborar Procedimientos y Controles

del SASI (en proyecto To) Aprobar Elaborar Revisar

Procedimientos y Controles del SASI (ya en operación

el SASI Tn) Aprobar Revisar Elaborar

SoA Aprobar Revisar Elaborar

Procedimiento de Auditoria

Interna del SASI Aprobar Revisar Elaborar

Procedimiento de Acciones

correctivas y Preventivas Aprobar Elaborar Revisar

Auditoría Interna de

SASI Areas Operativas Gobierno del Sistema de Administración de Seguridad de Información

Dirección General

Rolando Zubirán

Presidente Comité

Alejandro Irigoyen Comité de SI Area de SI

Roles y responsabilidades en un GSI

(18)

Responsabilidades de Direcci

ó

n General

Garantizar que se establezcan objetivos y planesGarantizar que se establezcan objetivos y planes de SI.de SI.

Establecer, comunicar y revisar la PolEstablecer, comunicar y revisar la Políítica de SItica de SI..

Proveer RecursosProveer Recursos para: Constituir, Implementar, Operar, Monitorear, Revisar, para: Constituir, Implementar, Operar, Monitorear, Revisar,

Mantener y Mejorar el SASI (Sistema de Administraci

Mantener y Mejorar el SASI (Sistema de Administracióón de Seguridad de n de Seguridad de Informaci

Informacióón)n)

Aprobar Niveles de AceptaciAprobar Niveles de Aceptacióón Riesgosn Riesgos de SI y documentacióde SI y documentación requerida por n requerida por

norma seleccionada. norma seleccionada.

Roles y responsabilidades en un GSI

(19)

Responsabilidades del Presidente

Constitución del SASI:

– Aprobar los objetivos y planes de SI.

– Establecer Roles y Responsabilidades de SI.

– Proveer Recursos Suficientes para: Constituir Implementar, Operar, Monitorear, Revisar, Mantener, Mejorar el SASI.

Administrativos:

– Aprobación de documentación del Comité de SI (CSI). – Presidir las reuniones del Comité de SI.

– Convocar reuniones extraordinarias del CSI.

– Aprobación de Cambios de Procesos de Gobierno. – Aprobación de Cambios Estructurales al SASI.

Revisiones del SASI:

– Garantizar que se conduzcan Auditorias Internas. – Conducir Revisiones de la Dirección del SASI.

– Verificar el cumplimiento de objetivos y planes de SI.

Roles y responsabilidades en un GSI

(20)

Constitución del SASI:

- Elaboración de Procedimientos y Controles del SASI.

Administrativos:

– Establecer y operar control documental del SASI.

Administración de Riesgos:

– Elaboración de modelos, análisis de brechas y tratamiento de riesgos.

Seguimiento del desempeño del SASI:

– Consolidar resultados de efectividad del SASI.

Responsabilidades de Seguridad de Informaci

ó

n (

Á

rea)

Mejora Continua:

– Identificación y Revisión de Áreas de Oportunidad y de acciones correctivas.

Roles y responsabilidades en un GSI

(21)

1- Introducción

2- Situación actual en la Función de Seguridad

3- Objetivos de un Gobierno de Seguridad

4- Roles y Responsabilidades en un Gobierno de Seguridad

5- Modelo de un Gobierno de Seguridad

6- Diseño de un Plan Estratégico de Seguridad

7- La Administración de Riesgos en un Gobierno de Seguridad

8- Consideraciones de mejores prácticas en un Gobierno de Seguridad

9- Factores Críticos del éxito de un Gobierno de Seguridad

A

g

e

n

d

a

(22)

SASI

Establecer el SASI Implementar y operar el SASI Monitoreo y revisión del SASI Mantener y mejorar el SASI

Plan

Do

Check

Act

• Alcance del SASI.

• Análisis & Evaluación de riesgos. • Definir la política del SASI.

• Controles objetivo y

controles para tratamiento de riesgos.

• Declaración de Aplicabilidad.

• Implementación del plan de tratamiento de riesgos. • Protección de registros. • Trazabilidad. • Revisión de la dirección. • Monitoreo de desempeño del SASI. • Revisiones al SASI.

• Revisión de riesgo residual. • Auditorias internas bajo un

programa de trabajo. • Documentar acciones correctivas

•Comunicar los resultados y acciones y tomar acuerdos con las partes involucradas.

• Monitoreo y seguimiento.

Modelo ISO 27001

Modelo de un GSI.

Edwards Deming,

(23)

Modelo de un GSI. Est

á

ndares a considerar.

BS 15000 PLAN CHEC K ACT COSO

COSO --SOXSOX

BSC BSC COBIT 3,4 DO ISO 27001 ISO 20000 CMM ó ó Estrategia del Negocio Regulaciones Control y Auditoria Seguridad Nivel de Madurez IT Management Fuente: Latincacs 2005 Panamá

(24)

A ce pt aci ón t 19 80 19 85 19 90 19 95 20 00 20 05 Jun 2005 ISO/IEC 17799:2005 Estándar de Shell 1995 BS7799 Parte 1 1998 BS7799 Parte 2 1999 BS7799 Parte 1 y 2 Dic 2000 ISO 17799 2001Revisión de BS 7799-2 El código de práctica (PD0003)

1993 Grupo industrial de trabajo

1993 Código de práctica

Oct 2005 ISO/IEC FDIS 27001:2005

Práctica interna de una organización Acuerdo entre organizaciones:

Departamento de Comercio e Industria

Std. Internacional

Std. Regional

Std. Nacional

Documento de Consorcio

Modelo de un GSI. Evoluci

ó

n ISO27001.

Sep 2002

BS7799

(25)

Pareja de Documentos

ISO 17799:2005 GuISO 17799:2005 Guíía de Implementacia de Implementacióón de controlesn de controles

C

Cóódigo de prdigo de prááctica para un ISMSctica para un ISMS

BS 7799BS 7799--2:2002 2:2002 Evoluciona en ISO27001Evoluciona en ISO27001

Especificaciones para un ISMS

Resumen de cambios

RevisiRevisióón n ISO17799:2005 ISO17799:2005

–

– ISO17799:2000 es retiradaISO17799:2000 es retirada –

– Se publicóSe publicó en Julio 2005en Julio 2005 –

– 17 nuevos controles –17 nuevos controles – ahora hay 134 en lugar de 127ahora hay 134 en lugar de 127 –

– 11 Capí11 Capítulos antes 10, se agrega manejo de incidentestulos antes 10, se agrega manejo de incidentes –

– EvolucionaráEvolucionará en ISO 27002 en Abril 2007en ISO 27002 en Abril 2007

BS7799BS7799-- Parte 2Parte 2 ISO 27001ISO 27001

–

– Se transformSe transformóó en ISO27001 en Octubre 2005en ISO27001 en Octubre 2005 –

– BS7799 Parte 2 es retirada.BS7799 Parte 2 es retirada.

Modelo de un GSI. Evoluci

(26)

Organizational Structure

Security Policy

Organization of Information Security Asset Management

Human Resources Security

Physical & Environmental Security Communications & Operations Access Control

Information Systems Acquisition,

Development & Maintenance

Information Security Incident Business Continuity Compliance Systems Development and Maintenance Communications and Operations Management Business Continuity Management Human Resource Security Compliance Asset Management Organizational Of Info Sec Access Control Security Policy Operations Management

Security Incident Management

Physical & Environ. Security

Modelo de un GSI. 11 Dominios ISO27001

(27)

Risk Management (BS 7799

Risk Management (BS 7799--3)3) 27005

27005

Metrics and Measurement

27004 27004 Implementation Guidance Implementation Guidance 27003 27003

Code of Practice (ISO17799:2005)

27002 27002 Specification (BS7799 Specification (BS7799--2) OK2) OK 27001 27001

Vocabulary and definitions

27000 27000

Description

ISO/IEC

Standard

Estándares en Proceso

Modelo de un GSI.

(28)

Modelo de un GSI.

Punto Sección

---

---4

Information security management system

4.1 General requirements

4.2 Establishing and managing the ISMS

4.2.1 Establish the ISMS

4.2.2 Implement and operate the ISMS

4.2.3 Monitor and review the ISMS

4.2.4 Maintain and improve the ISMS

(29)

Construyendo un GSI (basado en ISO27001)

11--DefiniciDefinicióón y Establecimiento de:n y Establecimiento de: –

– Alcance y limites del SASI.Alcance y limites del SASI. –

– PolPolíítica de seguridad de informacitica de seguridad de informacióón.n.

–

– MetodologMetodologíía de Administracia de Administracióón de Riesgos.n de Riesgos. •

• Que identifique riesgos asociados a los activos de informaciQue identifique riesgos asociados a los activos de informacióón definidos.n definidos. •

• AnAnáálisis y evallisis y evalúúan los riesgos identificados.an los riesgos identificados.

•

• EvalEvalúúan las opciones para el tratamiento de los riesgos identificadosan las opciones para el tratamiento de los riesgos identificados..

22--Nivel de riesgo aceptableNivel de riesgo aceptable..

33--ReducciReduccióón de Riesgo mediante n de Riesgo mediante seleccionan de controles Anexo Aseleccionan de controles Anexo A de la norma ISO 27001:2005

de la norma ISO 27001:2005

44--AprobaciAprobacióón de Riesgo Residual por Direccin de Riesgo Residual por Direccióón general.n general.

55--AutorizaciAutorizacióón de Implementacin de Implementacióón del SASI por Direccin del SASI por Direccióón General.n General.

66--RelaciRelacióón de controles aplicables para lograr el nivel de riesgo residuan de controles aplicables para lograr el nivel de riesgo residual aprobado l aprobado por la Direcci

por la Direccióón General documentados en un n General documentados en un ““DeclaraciDeclaracióón de Aplicabilidad, n de Aplicabilidad, SoASoA””..

Modelo de un GSI.

(30)

Plan de Trabajo

–

Hacia una Certificaci

ó

n ISO27001

(ejemplo)

Alcances y metodología 1Q 2Q 3Q 4Q Tratamiento de Riesgos e Impactos SoA Análisis Gap / implementación del SASI Generación de Evidencia Tech. Compliance y Auditoria Cierre AC Listo para certificación •Creación de Comité Auditoria Externa Análisis de Riesgos e Impactos •Alcance SASI •Política SASI •Objetivos •Niveles de Riesgos Plan Do Check Act P D C A

Modelo de un GSI.

(31)

1- Introducción

2- Situación actual en la Función de Seguridad

3- Objetivos de un Gobierno de Seguridad

4- Roles y Responsabilidades en un Gobierno de Seguridad

5- Modelo de un Gobierno de Seguridad

6- Diseño de un Plan Estratégico de Seguridad

7- La Administración de Riesgos en un Gobierno de Seguridad

8- Consideraciones de mejores prácticas en un Gobierno de Seguridad

9- Factores Críticos del éxito de un Gobierno de Seguridad

A

g

e

n

d

a

(32)

Modelo de Procesos de Seguridad de Informaci

ó

n (ejemplo)

Desarrollo de Normas y Políticas

Concientización

Administración

de Riesgos

Monitoreo

Continuidad

de negocio

_Respuesta

a Incidentes

Control de

Accesos

Dise

(33)

Incidentes Evaluaciones Organización Política Nivel de Madurez Inicial Estrategia Primera Evaluación ISO7799 Certificado IS027001

Normas Control de Acceso Adm. Riesgos Concientización Monitoreo Procesos Críticos de Seguridad de información

Desarrollo del programa de Seguridad de Informaci

Desarrollo del programa de Seguridad de Informacióónn Despliegue de estrategia (ejemplo)

Despliegue de estrategia (ejemplo)

++++ +++ ++ Respuesta Incidentes Business Continuity tiempo Creación de GSI

Dise

(34)

Desarrollo

de Política

Política Corporativa Directriz Políticas Específicas Estándares Internos Guías Base-lines Mec.Tec Estándares Externos (Tecnologías, RFC IEEE) Recomendaciones Best Practices SANS, CERT, AT&T Amenazas Específicas

Procedimientos Procedimientos Procedimientos Procedimientos

Políticas

Normatividad

Procedi mientos

Email, Internet, Redes, Intranet, ..

Dise

(35)

Concientización

Emails

Posters

Campañas

Medición (exámenes)

Firmas de políticas

Inducción

Premios a los que reporten incidentes

Dise

(36)

Administración

de Riesgos

Determinar probabilidad del escenario de riesgo Identificar impacto al negocio Identificar afectación en CID Validar estatus de amenazas Activos Vulnerabilidades Amenazas Riesgos (consecuancias) Riesgos residuales Riesgos iniciales Riesgos residuales Análisis, Evaluación y Tratamiento de Riesgos Calcular riesgos inciales y residuales Tratamiento de riesgos

Entradas _Subprocesos _Salidas

Plan de tratamiento de riesgos Carta de aceptación de riesgos

Dise

(37)

(38)

Equipo de

Respuesta

a Incidentes

Dise

(39)

Control de

Accesos

•Modelos •Técnicas •Administración •Métodos

Control de Acceso

Información

(Activos)

Confidencialidad Integridad Disponibilidad

identificación Autenticación Autorización ₍_{Accountability}Responsabilidad₎

Amenazas

Vulnerabilidades

Administrativos Técnicos o Lógicos Físicos

Preventivos Detectivos Correctivos

Disuasivos

(Deterrent) Reecuperación Compensatorios

Incidente

Dise

ñ

o de un plan estrat

é

gico de SI.

(40)

Plan de

Continuidad

DRP

(Disaster Recovery Plan)

BCM

(Business Continuity Management)

BCP

(Business Continuity Plan)

Dise

ñ

o de un plan estrat

é

gico de SI.

Recreación de Transacciones Transacciones

No Capturadas DeclaraciónDe Desastre Recuperación deRegistros Vitales Traslado

Restauración Del Sistema

IPL &

Activa-ción de la Red Restauraciónde BD´s

Recuperación Tradicional

• Recuperación a partir de Registros Vitales (Sist. Operativo, DBMS, Aplicaciones y

Datos)

Data Shadowing

*Elimina los Riesgos de la Recuperación de Datos(incluye Protección de Transacciones)

Hot Standby

*Restauración Inmediata (incluye Data Shadowing)

-24 -12 0 12 24 36 48 60 72 84

Tiempo (Hrs)

(41)

Monitoreo

Dise

ñ

o de un plan estrat

é

gico de SI.

Orientación de Procesos:

•Desarrollo de Política •Concientización •Administración de Riesgos •Respuesta a Incidentes •Control de Accesos •BCP

Porcentaje de BCP de procesos de negocios que son auditados Fórmula = X´bcp9*100/X´bcp7 BCP6 IRM2 ERI7 CA6 IRM1

Orientación Técnica:

Porcentaje de riesgos que son aceptados y que no les ha expirado la fecha de aceptación

Fórmula = (X´irm3*100/X´irm1

Porcentaje de incidentes de Severidad 4 que ocurren en un tiempo determinado.

Fórmula = (X´eri10*100)/X´eri5

Porcentaje de sistemas con restricciones al personal de acceso

Fórmula = X´ca12*100/X´ca1

Porcentaje de activos que se les aplicó un análisis de riesgos en un período de 1 año

(42)

1- Introducción

2- Situación actual en la Función de Seguridad

3- Objetivos de un Gobierno de Seguridad

4- Roles y Responsabilidades en un Gobierno de Seguridad

5- Modelo de un Gobierno de Seguridad

6- Diseño de un Plan Estratégico de Seguridad

7- La Administración de Riesgos en un Gobierno de Seguridad

8- Consideraciones de mejores prácticas en un Gobierno de Seguridad

9- Factores Críticos del éxito de un Gobierno de Seguridad

A

g

e

n

d

a

(43)

Objetivo:

Administrar los riesgos de negocio en materia de SI en forma de costo-beneficio para la organización a través de:

– Identificación de activos críticos, sus vulnerabilidades y amenazas.

– Cuantificar los impactos al negocio debido a las amenazas.

– Calcular los riesgos.

– Aceptar, reducir, transferencia o evitar los riesgos tomando en cuenta los impactos en el negocio ($$).

– Implementación de controles que ayuden a mitigar los riesgos.

– Monitoreo de la efectividad de los controles y su impacto en los riesgos

La Administraci

ó

n de Riesgos en un GSI.

(44)

Tratamiento de Riesgos

Objetivo:

– Identificar controles de seguridad que mitigan riesgos – Calcular los riesgos residuales

– Seleccionar opciones de tratamiento de riesgos • Aceptar, mitigar, transferir, evitar

– Desarrollar un plan de tratamiento de riesgos

La Administraci

(45)

- Acceso no autorizado

- Consulta de facturación del cliente

- Cambios no autorizados -Modificación de cuentas y contraseñas - Código malicioso - Perdida de integridad de archivos Escenario AAR Escenario AAR (Activo, Amenaza, Riesgo)

Escenario AAR Riesgo

Bajo RiesgoMedio

Riesgo Alto

Riesgo Muy Alto

La Administraci

(46)

Efectividad de Controles

Fuente: Libro CISSP

La Administraci

(47)

1- Introducción

2- Situación actual en la Función de Seguridad

3- Objetivos de un Gobierno de Seguridad

4- Roles y Responsabilidades en un Gobierno de Seguridad

5- Modelo de un Gobierno de Seguridad

6- Diseño de un Plan Estratégico de Seguridad

7- La Administración de Riesgos en un Gobierno de Seguridad

8- Consideraciones de mejores prácticas en un Gobierno de Seguridad

9- Factores Críticos del éxito de un Gobierno de Seguridad

A

g

e

n

d

a

(48)

Estrategia de Seguridad de Información

ligada a los objetivos del negocio y

basada en el valor de la información

protegida.

Consideraciones de mejores pr

(49)

Políticas de Seguridad de Información

que incluyan aspectos de la estrategia, el

control y las regulaciones, que además

estén basadas en las mejores prácticas

internacionales relacionadas a Seguridad

de Información.

Consideraciones de mejores pr

(50)

Una estructura organizacional efectiva

que permita la implementación de la

Estrategia de Seguridad de Información

.

Consideraciones de mejores pr

(51)

Metodología de Administración de

Riesgos de Seguridad de Información

que facilite la toma de decisiones basadas

en riesgos de negocio.

Consideraciones de mejores pr

(52)

Un proceso de mejora continua y de

monitoreo de políticas, procesos y

controles de Seguridad de Información

para asegurar su cumplimiento.

Consideraciones de mejores pr

(53)

1- Introducción

2- Situación actual en la Función de Seguridad

3- Objetivos de un Gobierno de Seguridad

4- Roles y Responsabilidades en un Gobierno de Seguridad

5- Modelo de un Gobierno de Seguridad

6- Diseño de un Plan Estratégico de Seguridad

7- La Administración de Riesgos en un Gobierno de Seguridad

8- Consideraciones de mejores prácticas en un Gobierno de Seguridad

9- Factores Críticos del éxito de un Gobierno de Seguridad

A

g

e

n

d

a

(54)

Factores Cr

í

ticos del

é

xito de un GSI.

1- La Política de Seguridad de SI deberá estar firmada por el

director general, debe responder a un análisis de riesgos previo y responder a requerimientos legales y regulatorios de la organización. La misma deberá aplicarse a los terceros con actividades relacionadas a la organización.

2- Debe de diseñarse una Estrategia de SI que considere metas a corto, mediano y largo plazo que se oriente a implementar lo establecido en la Política de SI.

3- Debe desarrollarse e implementar un Modelo de Administración

de Riesgos en base a las necesidades de la empresa y que

considere riesgos residuales y bandas de riesgos aprobadas por la Dirección General.

(55)

Factores Cr

í

ticos del

é

xito de un GSI.

5- Se debe Concientizar sobre la relevancia de SI al grupo de directores así como a las diferentes audiencias pensando en la especialización, esto debe de enfocarse a explicar a como transformar el costo de cumplimiento de la Política de SI a beneficios tangibles a la Organización.

6- Se debe de establecer un Comité de SI que sea representativo de la organización de acuerdo al alcance del GSI, es mandatario involucrar a Recursos Humanos y a Legal.

7- Deben establecerse los diversos Dueños y Custodios de los Activos de Información y su adecuado “Accountability”.

4- Se debe de considerar establecer un Plan de Continuidad de

Negocios que responda a eventos que puedan interrumpir procesos

(56)

Factores Cr

í

ticos del

é

xito de un GSI.

9- Se debe establecer una Medición del Cumplimiento de la Política de SI basado en un adecuado monitoreo del GSI.

10- La función de SI deberá contar con un Presupuesto Independiente de cualquier área funcional.

8- La dirección general debe Aprobar Objetivos Anuales de SI clasificados en estratégicos, relacionados a mejoras en procesos básicos de SI y objetivos operativos.

11- Se debe de establecer la Normatividad basada en las mejores prácticas internacionales de SI y disciplinas relacionadas necesarias para que sean la base estructural de los controles de SI administrativos, tecnológicos y procedurales.

(57)

Factores Cr

í

ticos del

é

xito de un GSI.

12- La función de SI debe de Cubrir a los procesos más Críticos

de la Organización.

13- Se debe de considerar establecer un Equipo de Respuesta a Incidentes

que considere un adecuado proceso de comunicación y procedimientos de respuesta a incidentes.

14- Se debe de considerar establecer un Proceso de Control de Accesos

que brinde Seguridad efectiva y optimice los recursos dedicados a TI. 15- La Selección de controles de SI deberá contar con el nivel de efectividad solicitada por el Análisis de Riesgos de forma que

(58)

Factores Cr

í

ticos del

é

xito de un GSI.

16- Todos los Contratos de la Organización deberán considerar siempre aspectos de SI como acuerdos de confidencialidad, propiedad intelectual, etc.

17- Debe de establecerse la función de Auditoria de TI/SI para contar

con un adecuado balance entre las normas y las operaciones relacionadas a SI.

18- Debe de mantenerse un Inventario de Activos de Información que considere procesos de negocio, personas e infraestructura en general.

19- Debe de establecerse una Organización de SI que administre la función de SI y encuentre el adecuado balance con el Comité de SI.

(59)

Factores Cr

í

ticos del

é

xito de un GSI.

Esfuerzo

Aportar

Valor

-

+

--Política -Estrategia - Normatividad - Concientizar -Comité -Dueños y Custodios -Administración de Riesgos -Medición del Cumplimiento -Presupuesto independiente -Aprobar objetivos anuales -Selección de Controles - Contratos -Auditorias -Procesos más Críticos -Plan de continuidad -Equipo de respuesta -Control de acceso -Inventario de activos

Valor vs Esfuerzo

No se Justifica Debe de ser primero _{Difícil de justificar}

Zona de no valor

-Organización de SI

(60)

Factores Cr

í

ticos del

é

xito de un GSI.

Esfuerzo

Aportar

Valor

-

+

Valor vs Esfuerzo

Zona de no valor

(61)

Factores Cr

í

ticos del

é

xito de un GSI.

Esfuerzo

Aportar

Valor

-

+

Valor vs Esfuerzo

Zona de no valor

(62)

Factores Cr

í

ticos del

é

xito de un GSI.

Esfuerzo

Aportar

Valor

-

+

Valor vs Esfuerzo

Zona de no valor

Gran Valor

(63)