Una perspectiva desde el Gobierno de TI
Encuentro Nacional de Seguridad 2012 (MAAGTICs)
de la Información
MSC Carlos Zamora Sotelo Director General de CONSETI
El verdadero objetivo de la seguridad no
es eliminar la inseguridad, es enseñarnos
a convivir con ella.
Richard D. García Rondón,
Encuentro Nacional de Seguridad 2012 (MAAGTICs)
MSC Carlos Zamora Sotelo
Director General de CONSETI
Seguridad de la Información,
un tema crítico para las
Intentos no consumados de fraude (%) 2010
A través de Internet
Recepción de e-mail solicitando claves de usuario 19,9 % Recepción de una oferta de trabajo sospechosa 21,1 % Invitación a visitar un sitio web sospechoso 34,4 % Recepción de e-mail ofertando un servicio no solicitado 25,9 %
A través de correo electrónico
Recepción de SMS solicitando claves de usuario 2,2 % Recepción de una llamada telefónica solicitando claves
de usuario
2,7 % Recepción de un SMS ofertando un servicio no solicitado 11,1 %
Fuente: www.inteco.es
Encuentro Nacional de Seguridad 2012 (MAAGTICs)
¿Qué impacto puede tener en la
Organización el no considerar una
prioridad
la
seguridad
de
la
información?
MSC Carlos Zamora Sotelo
Según la encuesta 2009 “Seguridad y
almacenamiento en las Pyme”,
aproximadamente el 33% de empresas en América Latina ha enfrentado una brecha de seguridad, lo que significa que información importante o confidencial de la compañía se perdió, fue robada o consultada sin autorización. Dependiendo del tipo de información, el impacto puede costar desde miles hasta millones de pesos.
Fuente en Internet:
Encuentro Nacional de Seguridad 2012 (MAAGTICs)
Entre los organismos internacionales más reconocidos en temas de Seguridad de la Información, podemos encontrar los siguientes:
• ISACA: COBIT
• British Standards Institute: BSI
• International Standards Organization: Normas ISO • Departamento de Defensa de USA: Orange Book
• ITSEC – Information Technology Security Evaluation Criteria • Sarbanes Oxley Act, HIPAA
MSC Carlos Zamora Sotelo
La Certificación ISO/IEC 27001:2005, es la práctica Internacional por excelencia en materia de Seguridad de Información que buscan las Organizaciones. Dicha práctica brinda la oportunidad a la organizaciones de contar con una ventaja competitiva y que da certeza y confianza a sus clientes, accionistas, proveedores y
gobiernos.
Encuentro Nacional de Seguridad 2012 (MAAGTICs)
Desde la perspectiva del Gobierno de
TI debemos implementar un Sistema
de Gestión de Seguridad de la
Información…
MSC Carlos Zamora Sotelo
Para implantar el estándar ISO/IEC 27001:2005, se requiere desarrollar un:
Sistema de Gestión de Seguridad de la Información (SGSI) Procedimientos Políticas Análisis y Tratamiento de Riesgos Procesos Controles de seguridad Responsabilidades Enfoque de Riesgos del Negocio
Encuentro Nacional de Seguridad 2012 (MAAGTICs)
Principales retos y desafíos al
implantar de un SGSI…
MSC Carlos Zamora Sotelo
Retos y desafíos al implementar un SGSI:
Es fundamental medir de la
eficiencia de las acciones
implementadas para garantizar verdaderas mejoras, y una gestión que no se quede sólo en el papel.
El cambio cultural en la organización es lo más complejo y lo que
demanda más tiempo a los
responsables de seguridad de información.
Encuentro Nacional de Seguridad 2012 (MAAGTICs)
MSC Carlos Zamora Sotelo
Director General de CONSETI Que la Alta Gerencia tome conciencia
de que la certificación de un SGSI es un factor vital para el éxito de la organización.
Encontrar personal con experiencia en temas de seguridad es complicado.
Impulsar la creación de un
Departamento de Seguridad la