FABIÁN DESCALZO
Gerente de Governance, Risk & Compliance
CYBSEC S.A.
fdescalzo@cybsec.com
Cuando los Datos y el Conocimiento se
convierten en Información… y
necesitamos la Sabiduría para cuidarla
CONFIDENCIALIDAD
INTEGRIDAD
DISPONIBILIDAD
“Estas tres palabras
pueden transformarse en
Tranquilidad respecto del
tratamie...
Nuestra información se relaciona en gran medida con nuestras operaciones ejecutivas,
interacciones con los clientes y con ...
Los distintos tipos de información cubren un amplio rango de procesos de
negocio y según su tratamiento, por lo que su sen...
Entorno estratégico de gestión
Relación con la
Información
estratégica de la
Organización
Gestión
de 3ras.
Partes
Gestión ...
Entorno estratégico de gestión
Recursos Asignación y administración de recursos técnicos, económicos y
humanos acordes al ...
Entorno estratégico de gestión
Procesos de la
Organización y
su interacción
con 3ras partes
PARA GOBERNAR
HAY QUE CONOCER
...
Entorno estratégico de gestión
Proveedores – Contratistas
Socios Comerciales
Responsables solidarios de
la información pro...
Entorno estratégico de gestión
DATOINFORMACIÓNCONOCIMIENTO
Clasificación Tratamiento Destrucción
PROCESOS ADMINISTRATIVOS ...
Definiciones para la clasificación
1. La información se clasifica en base a su valor para la Organización
y para quienes s...
Desarrollar y fomentar una cultura de la orden y
comportamiento adecuado que debe aplicarse en
la protección de la informa...
Gerencia de
Seguridad de la
Información
Dueño de
Datos
Autores /
Responsable
de los datos
Roles y Funciones
• Coordina las...
Roles y Funciones
Dueño de Datos
Garantizar
correcta
clasificación Determinan la categoría
apropiada de la informaciónUsua...
Protección y tratamiento
CICLO
DE
TRATAMIENTO
Creación
Clasificación
Uso
Procesamiento
Combinación
Almacenamiento
Disposic...
Protección y tratamiento
Dueño de
Datos
Áreas
Tecnológicas
y de
Seguridad
Responsables de implementar
procedimientos de re...
Protección y tratamiento
• Elementos en contingencia
• Elementos para confidencialidad
• Elementos de seguridad física de
...
Componentes y herramientas del proceso
Documentación normativa y regulatoria
• Norma de clasificación y protección de info...
Ventajas de gobernar la información
Optimización en la estrategia de
backups
(p.e. ventana horaria)
Ahorro en el uso de in...
GOBERNABILIDAD
ASEGURAMIENTO
CALIDAD
“Establecer un Gobierno
ordenado y metodológico de
la Información nos permitirá
admin...
Muchas gracias
por su atención
FABIÁN DESCALZO
Gerente de Governance, Risk & Compliance
CYBSEC S.A. - www.cybsec.com
(5411...
Gobierno de la Información - E-GISART, ISACA Buenos Aires Chapter
Upcoming SlideShare
Loading in …5
×

Gobierno de la Información - E-GISART, ISACA Buenos Aires Chapter

620 views

Published on

Gobierno de la Información implica conocer cuáles son los datos que poseemos y como se convierten en información a través de cada uno de los Procesos de Negocio, que al interactuar con quienes la tratan corre el riesgo de perder fiabilidad y de no estar disponible en el momento que sea necesario utilizarla.

La forma de gobernar esta información es el de reconocer que la información confiada a nosotros requiere de un entorno estratégico de gestión relacionado con los Usuarios de la Organización y sus Terceras Partes, socios “solidarios” que interactúan con la información que nos han confiado y por quienes tenemos que responder

Objetivo y puntos clave de la presentación:

Dejar las pautas más relevantes para establecer un marco estratégico que posibilite el Gobierno de la Información:

Puntos clave:
1. Identificación del entorno estratégico
2. Definiciones y pautas para la gestión y protección de la información
3. Ventajas que otorga el Gobierno de la Información

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
620
On SlideShare
0
From Embeds
0
Number of Embeds
7
Actions
Shares
0
Downloads
12
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Gobierno de la Información - E-GISART, ISACA Buenos Aires Chapter

  1. 1. FABIÁN DESCALZO Gerente de Governance, Risk & Compliance CYBSEC S.A. fdescalzo@cybsec.com
  2. 2. Cuando los Datos y el Conocimiento se convierten en Información… y necesitamos la Sabiduría para cuidarla
  3. 3. CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD “Estas tres palabras pueden transformarse en Tranquilidad respecto del tratamiento de la información que poseemos y nos confían. Descubrir el centro de cómo implementarlas hace a la diferencia”
  4. 4. Nuestra información se relaciona en gran medida con nuestras operaciones ejecutivas, interacciones con los clientes y con terceros. Esta información se encuentra en distintas formas y en numerosas aplicaciones. La mayor parte de nuestra información no está disponible al público en general Conociendo la información
  5. 5. Los distintos tipos de información cubren un amplio rango de procesos de negocio y según su tratamiento, por lo que su sensibilidad puede variar significativamente e impactar negativamente en el negocio. Entorno estratégico de gestión Todos los empleados de una Organización que generan, recopilan, procesan, almacenan o transfieren información de la Organización, son responsables de su tratamiento y deben hacerlo de acuerdo a reglas establecidas. Los ‘TERCEROS’, que pueden ser contratistas autorizados, socios comerciales y otros proveedores de servicios responsables del manejo de información sensible de la Organización también deben cumplir con las Normativas de Seguridad de la Información de la Organización.
  6. 6. Entorno estratégico de gestión Relación con la Información estratégica de la Organización Gestión de 3ras. Partes Gestión de Usuarios Gestión de Recursos
  7. 7. Entorno estratégico de gestión Recursos Asignación y administración de recursos técnicos, económicos y humanos acordes al tipo de información tratada Previsión de la demanda Previsibilidad relacionada con las diferentes áreas de la Organización y la necesidad de cumplimiento del marco regulatorio y las necesidades del negocio Cobertura contractual Relacionada con la información, tales como guarda externa de documentación, confidencialidad, propiedad intelectual, responsabilidad compartida, etc. Gestión de tratamiento Para cumplimentar técnicamente todo su ciclo Gestión de funcionalidad Basado en el conocimiento y aplicado a cómo utilizarla para obtener mejores resultados a nivel de calidad e aseguramiento de integridad
  8. 8. Entorno estratégico de gestión Procesos de la Organización y su interacción con 3ras partes PARA GOBERNAR HAY QUE CONOCER Cadena de tratamiento de la Información Procesamiento Tratamiento
  9. 9. Entorno estratégico de gestión Proveedores – Contratistas Socios Comerciales Responsables solidarios de la información propia de la Organización y sus Clientes Conocer cuáles son los procesos de Negocio de nuestra Organización Cuáles son los alcances respecto del “Ciclo de Vida” de la Información Que actividades establecer para la Gestión el tratamiento de Información Establecer los medios tecnológicos para tratar la Información en cada uno de sus estados en el paso de cada uno de los diferentes procesos
  10. 10. Entorno estratégico de gestión DATOINFORMACIÓNCONOCIMIENTO Clasificación Tratamiento Destrucción PROCESOS ADMINISTRATIVOS Y TECNOLÓGICOS PUNTOS DE CONTROL PUNTOS DE REGISTRACIÓN
  11. 11. Definiciones para la clasificación 1. La información se clasifica en base a su valor para la Organización y para quienes se relacionan con ella, considerando el daño que podría causarse si se divulga sin autorización. 2. La información personal y/o la información relacionada con los datos sensibles (de tarjeta o de salud, por ejemplo) pueden incluirse tanto en nivel Interno como Confidencial dependiendo de su disociación. 3. Los tres niveles de clasificación recomendados en orden ascendente de sensibilidad son: • Información Pública • Información Interna • Información Confidencial
  12. 12. Desarrollar y fomentar una cultura de la orden y comportamiento adecuado que debe aplicarse en la protección de la información de la Organización en todas las actividades empresariales NUEVA VISIÓN Y ALCANCES Seguridad Física Comportamiento en el lugar de trabajo Comportamiento fuera de la Organización Seguridad Lógica Definiciones para la clasificación
  13. 13. Gerencia de Seguridad de la Información Dueño de Datos Autores / Responsable de los datos Roles y Funciones • Coordina las actividades de implementación de la seguridad o respuesta ante incidentes • Controla que se cumplan los requerimientos de seguridad • Recomienda sobre las medidas de seguridad a implementar Responsable de clasificarla y establecer su nivel de criticidad y disposición final, establece su periodicidad de resguardo, informa a la Gerencia de Gestión de Riesgos Informáticos Todos los usuarios generan información y son responsables en el tratamiento de la información confiada, utilizando las medidas de seguridad necesarias acorde a la clasificación de la información establecida por ellos
  14. 14. Roles y Funciones Dueño de Datos Garantizar correcta clasificación Determinan la categoría apropiada de la informaciónUsuarios Clave Seguridad de la Información Brinda soporte a Áreas de Negocio y IT Considerar el nivel de impacto sobre la información Evaluar la probabilidad de ocurrencia Dueño de Datos Aprueba la clasificación y definiciones tomadas Áreas de IT Implementan las soluciones indicadas por los Usuarios y recomendaciones de SI Análisis y Gestión de Riesgos
  15. 15. Protección y tratamiento CICLO DE TRATAMIENTO Creación Clasificación Uso Procesamiento Combinación Almacenamiento Disposición Final
  16. 16. Protección y tratamiento Dueño de Datos Áreas Tecnológicas y de Seguridad Responsables de implementar procedimientos de resguardo y tratamiento de información Responsables de clasificar y determinar el nivel de resguardo y tratamiento de información • Seguridad Física y Electrónica • Seguridad Lógica • Asegurar integridad, disponibilidad y confidencialidad • Distribución física de sectores • Medios de almacenamiento • Resguardo externo • Protección de equipos móviles • Medios y métodos de destrucción • Disponibilidad y Confidencialidad • Estimación de impacto en el Negocio • Certificación de usuarios • Validación de accesos • Validación de permisos sobre accesos • Asignación de responsables • Tiempos de retención y destrucción
  17. 17. Protección y tratamiento • Elementos en contingencia • Elementos para confidencialidad • Elementos de seguridad física de componentes Ayuda a identificar riesgos a la información por su ubicación física o por su entorno de cercanía: • Laptop cerca de ventanas • Sectores con información sensible • Necesidad de impresoras locales Laptop Destructura Imp de Red Imp de Local Fax
  18. 18. Componentes y herramientas del proceso Documentación normativa y regulatoria • Norma de clasificación y protección de información • Norma de funciones de propietarios de la información Registros y soporte al proceso • Nómina de dueños de datos y usuarios clave • Procedimiento de clasificación y protección de información • Matriz de análisis de riesgo de activos de información • Matriz de control de activos de información • Procedimiento de retención y disposición final de activos de información • Cronograma de ejecución y mantenimiento de un Plan de Protección de Información
  19. 19. Ventajas de gobernar la información Optimización en la estrategia de backups (p.e. ventana horaria) Ahorro en el uso de insumos para resguardo y horas de operación Optimización de espacio físico en la guarda externa Optimización en el almacenamiento magnético de datos Orden en la gestión de recursos de hardware y software que soportan los procesos clave del negocio Estrategias de recuperación de datos gestionada acorde a criticidad de procesos de Negocios Mejora en las decisiones del CIA para el tratamiento de datos Optimización de esfuerzos en el monitoreo y disposición final de la información Prevenir potenciales cuestiones legales o regulatorios al Negocio
  20. 20. GOBERNABILIDAD ASEGURAMIENTO CALIDAD “Establecer un Gobierno ordenado y metodológico de la Información nos permitirá administrarla de forma segura y bajo un criterio único de asignación de responsabilidades y recursos, brindando un entorno fiable de trabajo para cada uno de sus Empleados asegurando calidad a los objetivos del Negocio”
  21. 21. Muchas gracias por su atención FABIÁN DESCALZO Gerente de Governance, Risk & Compliance CYBSEC S.A. - www.cybsec.com (5411) 4371-4444 fdescalzo@cybsec.com

×