El Information Security Forum

1,031 views

Published on

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,031
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
14
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

El Information Security Forum

  1. 1. Conferencia FIST Enero/Madrid 2008 @ Sponsored by: El Information Security Forum y el Estándar de Buenas Prácticas Rafael Rodríguez de Cora
  2. 2. Rafael Rodríguez de CoraLicenciado en Informática por la Universidad deChile.Varios años de experiencia con ArthurAndersen, CORITEL, PWC, etc.Director General deProfesor en Master ALI / UPM de Auditoria ySeguridad Informática 2
  3. 3. Computer Aided LogisticsCALS es es una empresa nacida en mayo de 1997 paraofrecer soluciones tecnológicas para la logística, eltransporte y la seguridad informática.Es Agente para España, Portugal y América Latina delInformation Security Forum (ISF)Tiene la representación en España y Portugal de losproductos de Methodware para la Gestión de Riesgos yAuditoría de Sistemas de Información, tales como elproducto software Enterprise Risk Assessor (ERA). 3
  4. 4. Horizonte de las AmenazasModelo de Riesgo según el ISF 4
  5. 5. Horizonte de las Amenazas Un mundo cambiante – Tipos de AmenazasPolíticas (Aumento de inestabilidades regionales, terrorismo,problemas energéticos)Legales (Aumento del cumplimiento, litigios por problemas conmanejo y gestión inadecuada de transacciones, etc.)Económicas (e-economía, crimen organizado, continuidad delnegocio, cambio climático) Socio-culturales (tecno-generación, trabajo remoto, ocio vstrabajo)Tecnológicas (Convergencia digital de medios, convergencia dedispositivos, nuevos productos y arquitecturas) 5
  6. 6. Gestión de Riesgos Un mundo cambiante – Tipos de RiesgosLa Gestión de Riesgos Operacionales y la gestión de RiesgosEmpresariales está en un proceso de redefinición y existencambios y orientaciones importantes en el concepto de la Gestiónde Riesgos en las Organizaciones.El concepto del Riesgo se vincula ahora, cada vez más, al conceptode valor añadido y objetivos de negocio de la OrganizaciónLa Gestión de Riesgos de la Información debe considerarse comoparte de la solución, o se convertirá como parte del problema.En el fondo se trata de definir claramente y gestionar bien losiguiente, en ambos casos: Impacto de los Riesgos sobre el Negocio Amenazas y Vulnerabilidades Controles 6
  7. 7. El Information Security Forum Preguntas:¿Qué aporta el Foro en el contexto anterior?¿Cuál es su rentabilidad?¿Cómo convencer a la Dirección General? 7
  8. 8. El Information Security Forum Respuestas:Aspectos Clave del ISFProductos y Servicios. ProyectosEncuestas de SituaciónGestión y Control de RiesgosProgramas de Sensibilización 8
  9. 9. ¿Qué es el ISF?Una asociación internacional de más de 300 organizaciones de primer orden, que... Se dedica a clarificar y resolver temas fundamentalesacerca de la seguridad de la información Es independiente y sin fines de lucro Financia y gestiona el desarrollo de solucionesprácticas orientadas al negocio (herramientas y servicios) Está conducida y gobernada por sus Miembros Está gestionada por una organización gerencialprofesional 9
  10. 10. Aspectos Clave del ForoAcceso independiente al “estado del arte”Prestigio y reconocimiento internacionalFinanciación de Proyectos (estudiosespecíficos)No “re-inventar” la rueda (por tiempo ycoste)Las “Mejores Prácticas” (por sectores)Plataforma de intercambio de experiencias Soluciones Prácticas y de Calidad 10
  11. 11. Aspectos Clave del Foro Misión del Foro – Mission Statement:‘ The Information Security Forum will strive to sustain its position as the world’s leading independent authority on information risk management . ’ 11
  12. 12. Miembros actuales en:Australia Italia • SueciaBélgica Latvia • SuizaCanadá Luxemburgo • HolandaDinamarca Noruega • Emiratos Árabes UnidosFinlandia Serbia • Reino UnidoFrancia Singapur • Estados UnidosAlemania Sur ÁfricaIrlanda España 12
  13. 13. Miembros por sectores (1 de 5):Banca, Finanzas y Seguros (1) Dresdner Kleinwort Wasserstein Metavante Corporation Euroclear MetLifeABN-AMRO European Central Bank Metropolitan Holdings LimitedABSA Bank European Investment Bank Mizuho Corporate Bank, LtdAegon NV Fidelity Investments Munich Re GroupAlliance & Leicester First Rand Bank National Australia Bank GroupAllianz SE Fortis National Bank of CanadaANZ Bank Friends Provident Nationwide Building SocietyAXA Gjensidige Nordea BankAssurant GMAC-RFC Norges BankBank for International Settlements Goldman Sachs & Co Nykredit A/SBank of America Great-West Life Assurance Company OP Bank GroupBank of Ireland Group Guardian Life Insurance Company of Pemco Corporation + Pemco Mutual InsuranceBank of Latvia America Prudential PlcBank of Tokyo-Mitsubishi UFJ Ltd. HBOS Group plc Rabobank NederlandBarclays Bank HDFC Bank Reuters Ltd.BBVA Bank HSBC Royal Bank of CanadaBEC ING Royal Bank of Scotland GroupBMO Financial Group Isabel NV/SA S.W.I.F.TBNP Paribas JP Morgan Chase & Co Samlink KBC Group SanlamCaja Madrid La Caixa Schroders Investment Management Ltd.Canadian Imperial Bank of Commerce Scotiabank (Canada)Capital One LCH. Clearnet Secure Trading GroupCitigroup Legal and General PLC Skandinaviska Enskilda Banken (SEB)CLS Services Lehman Brothers Societe Generale GroupCommerzbank AG Lloyds TSB South African Reserve BankCrédit Agricole SA Man Group Plc Standard Bank of South AfricaCredit Suisse Marsh & McLennan Companies Inc. Standard Chartered BankDanske Bank A/S Mashreq Bank Standard Life AssuranceDelta Lloyd Group (AVIVA) Merrill Lynch State Farm Mutual Automobile Insurance CompanyDeutsche BankDnB NOR 13
  14. 14. Miembros por sectores (2 de 5): Ind. Química, Centrales, EnergíaBanca, Finanzas y Seguros (2) Sanidad y y Farmacéuticas Recursos Minerales Sun Life Financial Akzo Nobel Air Liquide SA Svenska Handelsbanken AstraZeneca Anglo American plc The Co-operative Group BASF Aktiengesellschaft British Energy The London Stock Exchange Baxter Healthcare Corporation British Nuclear Group Toronto Dominion Bank Financial Bayer AG Centrica plc Group Borealis Chevron UBS AG Brenntag Holding GmbH & Co KG ConocoPhillips USAA Bristol-Myers Squibb Dolphin Energy Limited Vanguard Clariant International Ltd. DONG Energy VP Securities Services DSM E.ON UK Wachovia Corporation F Hoffmann La Roche AG EDF Energy plc Wells Fargo Bank Henkel KGaA Eskom WestLB AG ICI plc Fortum Oyj Yorkshire Building Society Kaiser Permanente Neste Oil Oyj Zurich Financial Services L’Oreal Nuon Norsk Hydro ASA Repsol YPF SA Novartis International AG RWE Npower pic Novo Nordisk A/S Sasol Shared Services Pfizer Saudi Aramco Shire Pharmaceuticals Sellafield Ltd. Smart Systems for Health Agency (SSHA) Severn Trent plc StatoilHydro ASA Shell International Syngenta International AG SUEZ United Healthcare Services Inc. Syncrude Canada Ltd. Thames Water TransCanada 14
  15. 15. Miembros por sectores (3 de 5):Electrónica, Ingeniería y Fabricación Agencias GubernamentalesABB Information System Ltd. SAB Miller ACA (AAA Affiliate) Parliamentary InformationAker Kvaerner ASA Sandvik AB Arbeids – og velferdsetaten CommunicationsAlcatel - Lucent SCA arivia.kom TechnologyArla Foods AMBA Scania ATP Region HovedstadenAshok Leyland Ltd. Siemens AG Bundesamt für Sicherheit in der I. Royal Canadian Mounted Police (RCMP)Bechtel Corporation SKF Centre for the Protection of National South African Revenue ServiceBoeing ST Microelectronics Infrastructure (CPNI) State Information Technology AgencyBritish American Tobacco plc Stora Enso Oy Centrlink The Department for Works and PensionsCadbury Schweppes Tata Steel Corus Danish Tax and Custom Administration The Government of British ColumbiaCanon Europa NV Tetra Pak Dept of Health & NHS The Government of Newfoundland &Chrysler LLC Toyota Motor Sales Dept of Social & Family AffairsDaimler AG USA Finnish Communications Regulatory LabradorEssilor International SA Unilever AuthorityGrampian Country Food Group Volvo AB Foreign & Commonwealth OfficeGrundfos GOVCERT.NLHoneywell International Government of AlbertaInfineon Technolgies AG Government of OntarioKimberly-Clark Corporation Government of VictoriaKraft Foods HM Revenue & CustomsMichelin Group ICPO - InterpolMotorola Informatikstrategieorgan Bund ISBNestlé KELANokia Group Manitoba Provincial GovernmentOrkla ASA Maritime ProvincesPitney Bowes MISA OntarioProcter & Gamble Services Company National Board of Taxes (Finland)Reliance Industries Limited National Institute of Standards & Technology National Policing Improvement Agency (NPIA) 15
  16. 16. Miembros por sectores (4 de 5):Medios, Correos, Telecom. Consultoras, IT y Serviciosy Educación Adobe Systems, Inc (ISC)2 Arabella (Arab Bank Group) Bell Canada BDO Stoy Hayward LLP British Broadcasting Corporation Brabeion Software British Telecommunications plc Business Connexion (Pty) Ltd Cable & Wireless Clifford Chance LLP Canada Post Corporation Deloitte & Touche COLT Telecommunications Det Norske Veritas Danish Broadcasting Corporation EDB Business Partner ASA De Post – N.V. Electronic Data Systems Deutsche Telekom Elektron (P/F) Itella Corporation Ernst & Young KPN Royal Dutch Telecom Freshfields Bruckhaus Deringer Mobile Telephone Networks Fujitsu Services O2 IBM Global Services Orange plc InfoSecure Post Danmark KPMG Posten Norge BA LogicaCMG Royal Mail Group plc Microsoft Corporation Swisscom IT Services AG PricewaterhouseCoopers TDC Qualys Telecom New Zealand Ltd SecureOps Inc. SIA s.p.a Telefónica España Sun Microsystems Inc. Telekom Srbija Telenor AS Symantec Corporation Telephone & Data Systems Inc. TietoEnator Corporation TeliaSonera TNO ICT Telkom SA Limited Towers Perrin TNT Express Worldwide UK Ltd Unisys Verizon VeriSign, Inc Vodafone Ltd Vertex Data Science Limited Yell Ltd 16
  17. 17. Miembros por sectores (5 de 5):Líneas Aéreas y Loterías y Comercio MinoristaServicios de TransporteA P Møller - Maersk Kesko CorporationBritish Airways Marks & Spencer plcCopenhagen Airports A/S Sainsbury’s Supermarkets LtdCóras Iompair Éireann Starwood Hotels & ResortsDHL Exel Supplay Chain & DHL Target Corporation Global Forwarding Tesco Stores LtdEADSEUROCONTROLKLM Royal Dutch AirlinesNetwork Rail Infrastructure Ltd.SASSingapore Airlines Ltd.The Emirates GroupTransnet Freight RailVR-Group Ltd. 17
  18. 18. ISF: Productos y Servicios Red de Contactos / Intercambios de Información Programas de Trabajo AmpliosServicios Encuestas de Situación sobre las condiciones de seguridad Estándar del Foro sobre Mejores Prácticas Extranet segura 18
  19. 19. ISF: Red de ContactosReuniones Regionales del Capítulo (Tresanuales)Participación en Proyectos (Intercambios deexperiencias, diseño y alcance del proyecto,formación)Congreso Anual(En Barcelona del 16 al 18 de Noviembre 2008) 19
  20. 20. ISF: Programas de TrabajoEl Foro lleva a cabo un amplio programa anual.Cada proyecto... Obtiene documentos y herramientas de alta calidad y fáciles de usar: Se basa en las necesidades de negocio de los Miembros • Informes a Dirección. • Documentos de Consulta • Guías prácticas de implantación y metodologías Incorpora experiencias de las organizaciones miembro Representa la mejor práctica entre los miembros 20
  21. 21. ISF: Encuestas de SituaciónBenchmarks: Encuestas de Situación del Foro – Evaluacióndetallada sobre el estado de la seguridad La participación en la Encuesta permite… Ver la situación general del estado de la seguridad de información a través de la organización Comparar nuestro nivel con otros usuarios de IT en el sector Identificar áreas susceptibles de mejora para un mayor análisis Asignar presupuestos de seguridad donde sea más Elemento rentable fundamental para elprograma corporativo Documentar necesidades de mejoras sobre seguridad de seguridad del ISF Aumentar la sensibilización sobre la seguridad entre los empleados 21
  22. 22. ISF: Extranet Segura ‘MX2’ – La extranet segura del ForoEl sistema MX2 permite participar a los Miembros, por medioselectrónicos, en las actividades del Foro. Posibilita ... Acceder al conjunto completo de los productos del Foro en formato electrónico Registrarse para atender a las reuniones del Foro Acceder a la información de los proyectos, del Congreso y de las reuniones regionales Participar en reuniones on-line, con otros Miembros y con el Equipo de Gestión del Foro 22
  23. 23. ISF: Estándar sobre Mejores PrácticasEl Estándar del Foro sobre las Mejores PrácticasImplantado en algunas de las organizaciones másimportantes del mudo, el Estándar está... Diseñado para los requerimientos del negocio Basado en experiencias prácticas Orientado hacia los temas que pueden causar el mayor daño Posibilitado para llevarse a cabo en la práctica Definido con un amplio alcance Realizado con un enfoque independiente Descrito usando un lenguaje familiar de buenas prácticas 23
  24. 24. ISF: Estándar sobre Mejores PrácticasCubre seis aspectos de la Seguridad de la Información: Security Management (SM) Critical Business Applications (CB) Computer Installations (CI) Networks (NW) Systems Development (SD) End User Environment (UE) 2007 24
  25. 25. ISF: Estándar sobre Mejores Prácticas Security Management (SM) Temas relativos a la gestión de la seguridad de la información de alto nivel, a la disposición de la seguridad de la información a través de la organización, y al establecimiento de un entorno seguro2007 25
  26. 26. ISF: Estándar sobre Mejores Prácticas Critical Business Applications (CB) Temas relativos a los requerimientos para mantener aplicaciones de negocios seguras, para identificar los riesgos de la información y para determinar el nivel de protección requerido con el objeto de mantener los riesgos de la información dentro de límites aceptables.2007 26
  27. 27. ISF: Estándar sobre Mejores Prácticas Computer Installations (CI) Temas relativos al diseño y configuración de los sistemas informáticos, a la gestión de actividades requeridas para establecer unas instalaciones seguras y al mantenimiento y continuidad del servicio.2007 27
  28. 28. ISF: Estándar sobre Mejores Prácticas Networks (NW) Temas relativos al diseño e implantación de la red, a la gestión de actividades requeridas para el funcionamiento y gestión de redes seguras, incluyendo redes locales y corporativas, y redes de comunicación de voz2007 28
  29. 29. ISF: Estándar sobre Mejores Prácticas Systems Development (SD) Temas relativos a la aplicación de seguridad de la información en todas las etapas de desarrollo de sistemas, incluyendo el diseño, desarrollo, pruebas e implantación.2007 29
  30. 30. ISF: Estándar sobre Mejores Prácticas End User Environment (UE) Temas relativos a la gestión de la seguridad local, a la protección de las aplicaciones corporativas y en desktops, y a la seguridad de dispositivos portátiles.2007 30
  31. 31. ISF: En resumen …. Beneficios:Acceso a las experiencias y conocimientos de organizacionesmundiales destacadasObtención de soluciones útiles para problemas de seguridad de altaprioridadObtención de estudios comparativos para analizar los niveles deseguridad propiosEntendimiento de las mejores prácticas globales sobre seguridad dela informaciónEstablecimiento de una red de contactos para temas de seguridadRentabilidad: obtención de resultados por una fracción de los costesreales 31
  32. 32. ISF: Contacto Velázquez 86- B 28006 - MADRID Tel: +34 91 432 14 15 Fax: +34 91 578 27 97 Rafael Rodríguez de CoraE-mail: rrcora@calogistics.com 32
  33. 33. Creative Commons Attribution-NoDerivs 2.0You are free:•to copy, distribute, display, and perform this work•to make commercial use of this workUnder the following conditions: Attribution. You must give the original author credit. No Derivative Works. You may not alter, transform, or build upon this work.For any reuse or distribution, you must make clear to others the license terms ofthis work.Any of these conditions can be waived if you get permission from the author.Your fair use and other rights are in no way affected by the above.This work is licensed under the Creative Commons Attribution-NoDerivsLicense. To view a copy of this license, visithttp://creativecommons.org/licenses/by-nd/2.0/ or send a letter to CreativeCommons, 559 Nathan Abbott Way, Stanford, California 94305, USA. 33
  34. 34. @ with the sponsorship of: Rafael Rodríguez de Cora Madrid, Enero 2008www.fistconference.org

×