Marcos seguridad-v040811
Upcoming SlideShare
Loading in...5
×

Like this? Share it with your network

Share

Marcos seguridad-v040811

  • 1,256 views
Uploaded on

 

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
1,256
On Slideshare
1,253
From Embeds
3
Number of Embeds
1

Actions

Shares
Downloads
21
Comments
0
Likes
0

Embeds 3

http://my-pinkelephant.com 3

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. La estrategia de seguridad como un habilitador para el cumplimiento de los objetivos estratégicos de las organizaciones
    Pink Elephant Iberoamérica
  • 2. "La estrategia de seguridad como un habilitador para el cumplimiento de los objetivos estratégicos de las organizaciones."
    Seguridad de la Información
  • 3. Seguridad de la Información
    La Seguridad de la información se define como la preservación de las siguientes características:
    Confidencialidad: se garantiza que la información sea accesible sólo a aquellas personas autorizadas a tener acceso a ella.
    Integridad: se salvaguarda la exactitud y totalidad de la información y los métodos de procesamiento.
    Disponibilidad: se garantiza que los usuarios autorizados tengan acceso a la información y a los recursos relacionados con ella toda vez que se requiera.
  • 4. El problema se gesta internamente
    • Empleados y socios de negocio, principal fuente
    • 5. Incremento exponencial del riesgo operativo
    El Manejo Seguro de Información es una necesidad imperativa
    76%
    de incidentes
    Protección de información y cumplimiento
    • Normatividad basada en uso y manejo de datos
    • 6. Diligencia en la protección de datos
    Complejidad de las amenazas
    • Ataques complejos, dirigidos y bien planeados
    • 7. Visibilidad limitada de información clasificadas
    81%
    de compañías afectadas no
    cumplían con estándares (PCI)
    $6.7
    costo
    de incidentes
  • 8. Anatomía de un Incidente
    Crimen organizado
    Usuarios bien intencionados
    Ataques internos
  • 9. Entorno del Manejo de Información
    EMPRESASSIN MUROS
    EXPLOSIÓN DE DATOS
    EL PAPELDE LA SEGURIDAD
    Un perímetro que se desvanece
    La oficina se encuentra “en cualquier lugar”
    Tercerización y relocalización
    Los datos se encuentran en todas partes
    Datos estructurados, contenido no estructurado
    PI, cliente y datos clasificados
    Riesgos y cumplimiento
    Presupuestolimitado
    Habilitador de negocio
  • 10. Alineación de la Seguridad al Negocio
  • 11. ObjetivosEstratégicos de la Seguridad
  • 12. Principales Desafíos
    • Diversidad de Regulaciones que agregan complejidad a las operaciones (PCI, SOX, Basil II, etc.)
    • 13. Baja tolerancia a incidentes de seguridad
    Escrutinio de entidades regulatorias
    • Alto volumen de transacciones
    • 14. Requerimientos explícitos de confidencialidad, disponibilidad y seguridad de la información
    • 15. Necesidad de continuidad operativa
    • 16. Eficiencia Operativa
    • 17. Aumento de la Rentabilidad
    Objetivos del
    negocio
    Estrategia
    de
    Seguridad
    Características de la industria
    Oportunidades
    en capacidades
    actuales
    • Necesidad de mejores implementaciones
    • 18. Madurez del Modelo de seguridad
  • Costo-Beneficio de la Seguridad
    Costo
    Total
    Nivelóptimo de seguridad
    $
    Costo de implementar seguridad
    Costo de
    pérdida de
    información
    100%
    Nivel de seguridad
  • 19. Propósito fundamental de la Seguridad.
    Alto
    Evitar
    Transferir
    El propósito fundamental de la seguridad es:
    “Administrar el riesgo al cual la organización se encuentra expuesta con respecto a la información”
    Nivel de riesgo inaceptable
    Impacto al negocio
    Nivel de riesgo aceptable
    Aceptar
    Reducir
    Alto
    Bajo
    Probabilidad de que se aprovechen
    las brechas de seguridad
  • 20. Visión de los Sistemas de Gestión de Seguridad de la Información (SGSI).
    Factor
    Humano
    Compromiso
    Directivo
    SGSI
    Riesgos
    Tecnología
    Gestión
  • 21. Modelo de Madurez
    Nivel 5
    Sistema Optimizado
    Procesos inconsistentes
    Nivel 4
    Sistema Administrado
    Procesos desorganizados
    Nivel 3
    Sistema Definido
    Mejores prácticas
    Procesos inexistentes
    Nivel 2
    Sistema Intuitivo
    Procesos medidos y monitoreados
    Nivel 1
    Sistema Intermitente
    Procesos documentados y comunicados
    Nivel 0
    Sistema Inexistente
  • 22. Cuestiones a responder con el Plan de Seguridad
    • ¿Cómo se estructura la relación entre la estrategia de negocio y la seguridad de información?
    • 23. ¿Cuál es el valor real de mis activos de información?
    • 24. ¿Qué tipo de amenazas se encuentran presentes al día de hoy en nuestra organización?
    • 25. ¿Qué nivel de riesgo se presenta actualmente en la organización?
    • 26. Nuestro personal, ¿se encuentra consciente del valor de nuestra información?
    Características de la gestión de información
    Impactos económicos y financieros
    SESI
    • ¿Cuanto podemos ahorrar al implementar un SESI?
    • 27. ¿Cuáles son los costos y gastos asociados a la falta de gestión de la seguridad de información?
    • 28. ¿Cómo estructuramos el liderazgo de seguridad de información a manera de garantizar la aceptación de nuevos controles y prácticas?
    • 29. De acuerdo al nivel de seguridad y riesgo, ¿Cuáles deben ser nuestras prioridades de implementación de controles?
    Mecanismos de implementación
  • 30. "La estrategia de seguridad como un habilitador para el cumplimiento de los objetivos estratégicos de las organizaciones."
    3.- Marcos de Referencia, Requerimientos y Regulaciones
  • 31. Definiciones Básicas
    Define una estructura básica de controles utilizados para resolver cuestiones complejas como el lograr el cumplimiento de ciertas regulaciones u objetivos o realizar auditorías sobre procesos específicos.
    Se basa en técnicas, métodos, controles, etc., probadas en la industria que provocan esperados resultados y medibles al implementar controles y procesos.
    Estándar/
    Norma
    Marcos de Referencia
    Regulaciones
    Mejores Prácticas
    Consiste en una serie de requerimientos y reglas impuestos ya sea por el gobierno o la industria para la utilización de ciertos mecanismos y que en caso de no cumplirse pueden ocasionar multas o la prohibición de realizar ciertas actividades.
    Las regulaciones pretenden controlar salidas y/o entradas.
    Establece una serie de especificaciones y controles independientes de fabricantes. Además cuenta con reconocimiento internacional mediante procesos
    certificados.
  • 32. Esquemas referenciables
    Especifico
    Tecnología
    / Reqs.
    adicionales
    Sistemas de
    reporte
    financiero
    Desarrollo
    de sistemas
    Entrega de serv.
    TI / Operaciones
    Seguridad de
    la Información
    Controles a
    nivel compañía
    COSO/COSO 2/COBIT
    Guías de
    Mejores
    prácticas
    ITIL
    ISO 20000-2
    CMM
    ISO21827
    RUP, ASL
    ITGI SOX
    *COBIT, COSO
    SOX 404
    COSO
    COSO 2 (ERM)
    ISO27002
    ISO27005
    X ISO
    X ANSI
    Normas o
    estándares
    certificables
    ISO 20000-1
    ISO 27001
    CNBV, SHCP
    PCI, FFIEC
    HIPAA, CNBV
    HL7, SHCP
    PCI, FFIEC
    HIPAA, CNBV
    HL7, SHCP
    PCI, FFIEC
    HIPAA, CNBV
    HL7, SHCP
    Regulatorio,
    Requerimientos
    de Industria
    PCAOB
    SOX
    SAS 70
    TRUST SERVICES
    Webtrust
    For CAs
    Marcos de
    referencia
    PCAOB
  • 33. Mapa de relación de marcos
    Desempeño
    Metas de negocio
    Cumplimiento
    SOX, BASILEA II, PCI, ETC
    Motivadores
    BSC
    Val IT
    COSO
    PRINCE 2 / PMBOK
    GobiernoCorporativo
    COBIT
    Gobierno de TI
    ISO 9001
    ISO 20000
    ISO 27005
    CMMI
    Estándares y normas
    SSE - CMM
    ISO 27001
    BS 25999
    Procedimientos de desarrollo y mantenimiento
    Procedimientos de seguridad
    ITIL
    Principios de Seguridad (OECD)
    DRII
    Procesos y procedimientos
  • 34. Elementos de COSO
  • 35. Composición de Cobit
    4 Dominios
    34 Procesos
    Controles
    215 Actividades
    Objetivos de Control
  • 36. Basilea II (Generalidades)
    El comité de Basilea es un grupo compuesto por representantes de los principales actores financieros del mundo, que se reunen de manera periódica para generar normativas internacionales.
    Entre estas se encuentra la normativa conocida como Basilea II, la cual define el riesgo operativo y la forma en que el mismo deberá de ser medido y tratado.
    Basilea II define el riesgo operativo como “el riesgo de la pérdida resultante de procesos internos inadecuados o fallidos, personas o sistemas vulnerables o por eventos externos. Esta definición incluye el riesgo legal y tecnológico pero excluye el riesgo estratégico y reputacional.
    Así mismo, define 8 líneas de negocio básicas y 7 tipos de riesgo operativo.
  • 37. Sarbanes Oxley (Sección 404)
    La sección 404 requiereque la administración y auditoríasexternasreporten la efectividad y lo adecuadoque son los controlesinternos de la organizaciónacerca de los reportesfinancieros.
    Es de sobraconocidoque en la mayoría de lasorganizaciones los procesos de reporteofinanciero se encuentranhabilitadospor TI, por lo queestaseccióntiene un impactodirecto en TI.
    COSO define cincoáreasprincipales de atenciónparaestasección:
    • Análisis de riesgo.
    • 38. Control de ambiente.
    • 39. Control de actividades.
    • 40. Monitoreo.
    • 41. Información y comunicación.
  • Requerimientos PCI
  • 42. Estructura ISO/IEC 27001:2005
    • 0. Introducción
    • 43. 1. Alcance
    • 44. 2. Referencias Normativas
    • 45. 3. Definiciones y Terminología
    • 46. 4. Sistema de Gestión para la Seguridad de la Información
    • 47. 5. Responsabilidad de la gerencia..
    • 48. 6. Auditorias Internas para el SGSI
    • 49. 7. Revisión Gerencial del SGSI
    • 50. 8. Mejora del SGSI
    • 51. Anexo A: Objetivos y controles
  • "La estrategia de seguridad como un habilitador para el cumplimiento de los objetivos estratégicos de las organizaciones."
    Sistema Estratégico de Seguridad de la Información
  • 52. Existen 3 problemas típicos que incrementan complejidad en las implementaciones y crean barreras para el logro de los beneficios esperados
    Falta de objetivos claros de negocio
    Dificultades primarias experimentadas por los líderes de los esfuerzos de implementación
    “Exhaustividad” en el enfoque de implementación
    Minimización del factor humano (cultural)
    Dificultad experimentada por toda la organización
    Fuente: Análisis Dicta
  • 53. Factor humano
    • La mayoría de los esfuerzos de mejora se ven frustrados en la etapa de realización por enfocarse en la parte “visible” de la complejidad del proceso o por la falta de experiencia de los líderes del esfuerzo
    Área visible, (formal, medible)
    Procesos
    Tecnología
    Estructura organizacional
    Indicadores de desempeño
    Intereses
    Motivación
    Disposición
    Capacidades
    Área situacional y psicológica (no visible)
    Valores
    Miedos
    Comportamientos no deseados
    Resistencia a cambios
    Etapa de planeación
    Etapa realización de resultados
    Etapa de ejecución
  • 54. Sistema Estratégico de Seguridad de la Información (SESI)
    Un Plan Estratégico de Seguridad permite definir la estrategia y el plan para la implantación de un buen Gobierno de Seguridad alineado con los objetivos estratégicos de la organización basado en el valor y el riesgo presente de la información protegida.
    Proporciona además un modelo de procesos para enmarcar las necesidades de Gobierno de Seguridad y sobre el cual se definan los componentes tácticos y operativos, así como las políticas, metodologías, estándares, procedimientos y controles asociados a cada componente.
  • 55. Modelo Integral de la Seguridad de la Información
  • 56. ComponentesMínimos de la Estrategia de Seguridad
  • 57. Integración Negocio-Tecnología
    Identificación de procesos de negocio
    Definición de Criticidad de Procesos
    Plataforma Habilitadora de los Procesos
    Identificación de información por procesos
    Análisis de Riesgo Procesos-Personas-Tecnología
    Definición y Desarrollo de Estrategia
    Controles y Gestión Procesos-Personas-Tecnología
  • 58. Ciclo del SESI
    Estrategia
    Cumplimiento
    Política
    Prevención
    Detección
    Monitoreo (Nivel de Riesgo)
    Conciencia
    Corrección
    Implementación
  • 59. Road Map SistemaEstratégico de Seguridad de la Información
  • 60. Ciclo de Mejora Continua
    Partes interesadas:
    Clientes
    Proveedores
    Usuarios
    Accionistas
    Otros
    Partes interesadas:
    Clientes
    Proveedores
    Usuarios
    Accionistas
    Otros
    Establecimiento del SGSI
    PLAN
    Implementación del SGSI
    DO
    Mejora del SGSI
    ACT
    Requerimientos y Expectativas de Seguridad de Información
    Requerimientos y Expectativas de Seguridad de Información
    Monitoreo y revisión del SGSI
    CHECK
  • 61. AlgunasRealidades en la Implementación
    • Miedo y resistencia al cambio.
    • 62. Miedo a la exposición
    • 63. Falta de conocimiento de los usuarios
    • 64. Falta de conciencia
    • 65. Incremento de incidentes de atención
    • 66. Posiblegeneracióninicial en exceso de falsospositivos
    • 67. Falta de habilidades y conocimientostécnicosparaimplementarcontroles
    • 68. Creenciaqueexistirá un incremento en gastos de operación
    • 69. Creenciaqueexistiráentorpecimiento de operaciones y procesos
    • 70. Expectativas de generación de burocracia
    • 71. Incrementoinicial en cargas de trabajo
  • Factores Críticos de Exito
    COMPROMISO de la Dirección.
    Participación ACTIVA.
    Criterios de aceptación de riesgo basados en el negocio.
    Iniciativas de mitigación y NO solo acciones de mitigación.
    Métricas reales y fáciles de dar seguimiento.
    Sistema de documentación simple.
    Establecimiento de cultura de seguridad.
    Mecanismo de Gestión que garantice la conversión del proyecto en un PROCESO continuo.
  • 72. "La estrategia de seguridad como un habilitador para el cumplimiento de los objetivos estratégicos de las organizaciones."
    Beneficios
  • 73. Beneficios de contar con un SESI
    • Alineaciónestratégica de la estrategia de seguridad con la estrategia de la organización.
    • 74. Mejora continua de procesos a través de accionesderivadas de procesos de revisión.
    • 75. Afianzar el compromisocorporativo.
    • 76. Generación de culturaorientada a a la seguridad.
    • 77. Análisis de riesgoorientado a impactos de negocio.
    • 78. Reducción de gastosderivados de erroreshumanos en el manejoseguro de información
    • 79. Incremento del retorno de inversiónsobreiniciativas de seguridad, derivado de la planeaciónadecuada del tratamiento del riesgo.
    • 80. Reducción de costos en mesa de ayuda y de servicio.
    • 81. Justificaciónbasada en riesgos de negocioparaproyectos de TI.
    • 82. Reducción del riesgotecnológico a través de metodologías de analisis y gestiónbasadas e estándares.
    • 83. Facilidad de integración con otrossistemas ISO.
    • 84. Medición del desempeño de seguridad
  • Relación de valor por el logro de un Sistema de Gestión de Seguridad de la Información
    • Para los accionistas:
    • 85. Retribución sobre la inversión en tecnología y sobre el negocio
    • 86. Ahorro en costos y gastos
    • 87. Disminuir el riesgo
    • 88. Robustecer el control
    corporativo
    • Menor TCO
    • 89. Protección a la inversión
    • 90. Cumplimiento con regulaciones aplicables
    • 91.
    • 92. Para los colaboradores:
    • 93. Calidad de vida.
    • 94. Satisfacción mejorada.
    • 95. Lealtad y productividad
    • 96.
    Operación exitosa del SESI
    • Para los clientes:
    • 97. Mayor nivel de confianza
    • 98. Mayor nivel de servicio
    • 99.
    • 100. Para la comunidad:
    • 101. Garantía de operación continua que genera fuentes de empleo y satisface el apoyo social.
    • 102. Responsabilidad civil.
    • 103. Responsabilidad legal.
    • 104.
    • 105. Para los proveedores:
    • 106. Relaciones seguras, de calidad, confianza y transparencia.
    • 107. Nivel de confianza
    • 108.
  • "La estrategia de seguridad como un habilitador para el cumplimiento de los objetivos estratégicos de las organizaciones."
    6.- Preguntas
  • 109. Pink Elephant - Expertos en Gestión de Servicios de TI
    info.mx@pinkelephant.com
    www.pinkelephant.com