Marcos seguridad-v040811

Pink Elephant Inc. 2011. Los contenidos de este documento están protegidos por derechos de autor y de ninguna manera podrán ser reproducidos sin el consentimiento de Pink Elephant Inc. ITIL es una Marca Registrada de la Office of Government Commerce y está registrada ante la Oficina de Patentes y Marcas de los Estados Unidos de Norteamérica.

Knowledge translated into results

La estrategia de seguridad como un habilitador para el cumplimiento de los

objetivos estratégicos de las organizaciones

Pink Elephant Iberoamérica



"La estrategia de seguridad como un habilitador para el cumplimiento de los objetivos estratégicos

de las organizaciones."

Seguridad de la Información



Seguridad de la Información• La Seguridad de la información se define como la preservación de las

siguientes características:– Confidencialidad: se garantiza que la información sea accesible sólo a aquellas

personas autorizadas a tener acceso a ella.– Integridad: se salvaguarda la exactitud y totalidad de la información y los métodos de

procesamiento.– Disponibilidad: se garantiza que los usuarios autorizados tengan acceso a la

información y a los recursos relacionados con ella toda vez que se requiera.



El Manejo Seguro de Información es una necesidad imperativa

El problema se gesta internamente• Empleados y socios de negocio, principal fuente• Incremento exponencial del riesgo operativo

Protección de información y cumplimiento• Normatividad basada en uso y manejo de datos• Diligencia en la protección de datos

Complejidad de las amenazas• Ataques complejos, dirigidos y bien planeados• Visibilidad limitada de información clasificadas

76%de incidentes

81%de compañías afectadas no

cumplían con estándares (PCI)

$6.7costo

de incidentes



Crimen organizado Usuarios bien intencionados

Ataques internos

Anatomía de un Incidente



Entorno del Manejo de Información

EXPL

OSIÓ

N DE

DA

TOS

EL PAPELDE LA SEGURIDAD

EMPRESAS

SIN MUROS

Un perímetro

que se

desvanece

La oficina se encuentra “en

cualquier lugar”

Tercerización y

relocalización

Riesgos y cumplimientoPresupuesto limitado

Habilitador de negocio

Los datos se encuentran en

todas partesDatos estructurados,

contenido no estructurado

PI, cliente y datos clasificados



23

Alineación de la seguridad informática al negocio

COSO COBIT ITIL ISO27001 CMM / RUP / ASL

Control y Auditoría Procesos y Calidad

ISO 9001

Alineación de la Seguridad al Negocio



Objetivos Estratégicos de la Seguridad



Principales Desafíos

• Eficiencia Operativa

• Aumento de la Rentabilidad

• Necesidad de mejores implementaciones• Madurez del Modelo de seguridad

• Alto volumen de transacciones

• Requerimientos explícitos de confidencialidad, disponibilidad y seguridad de la información

• Necesidad de continuidad operativa

• Diversidad de Regulaciones que agregan complejidad a las operaciones (PCI, SOX, Basil II, etc.)

• Baja tolerancia a incidentes de seguridad

Oportunidades en capacidades

actuales

Objetivos del

negocioCaracterísticas de la industria

Escrutinio de entidades

regulatorias

Estrategiade

Seguridad



$

Nivel de seguridad100%

Costo de pérdida de información

Costo de implementar seguridad

CostoTotal

Nivel óptimo de seguridad

Costo-Beneficio de la Seguridad



Propósito fundamental de la Seguridad.

Alto

Probabilidad de que se aprovechen las brechas de seguridad

AltoBajo

Nivel de riesgo inaceptable

Nivel de riesgo aceptable

Impa

cto

al n

egoc

io

El propósito fundamental de la seguridad es:

“Administrar el riesgo al cual la organización se encuentra expuesta con respecto a la información”

EvitarTransferir

Aceptar Reducir



Visión de los Sistemas de Gestión de Seguridad de la Información (SGSI).

SGSI

Compromiso

Directivo

FactorHumano

TecnologíaGestión

Ries

gos



Modelo de Madurez

Nivel 0Sistema

Inexistente

Nivel 1Sistema

Intermitente

Nivel 2Sistema Intuitivo

Nivel 3Sistema Definido

Nivel 4Sistema

Administrado

Nivel 5Sistema

Optimizado

Procesos inexistentes

Procesos desorganizados

Procesos inconsistentes

Procesos documentados y

comunicados

Procesos medidos y

monitoreados

Mejores prácticas



Cuestiones a responder con el Plan de Seguridad

Impactos económicos y

financieros

Características de la gestión de

información

Mecanismos de implementación

SESI

• ¿Cómo se estructura la relación entre la estrategia de negocio y la seguridad de información?

• ¿Cuál es el valor real de mis activos de información?• ¿Qué tipo de amenazas se encuentran presentes al día de hoy en

nuestra organización?• ¿Qué nivel de riesgo se presenta actualmente en la organización?• Nuestro personal, ¿se encuentra consciente del valor de nuestra

información?

• ¿Cuanto podemos ahorrar al implementar un SESI?• ¿Cuáles son los costos y gastos asociados a la falta de gestión de la

seguridad de información?

• ¿Cómo estructuramos el liderazgo de seguridad de información a manera de garantizar la aceptación de nuevos controles y prácticas?

• De acuerdo al nivel de seguridad y riesgo, ¿Cuáles deben ser nuestras prioridades de implementación de controles?





3.- Marcos de Referencia, Requerimientos y Regulaciones



Definiciones Básicas

Estándar/Norma

Marcos de Referencia Regulaciones Mejores

Prácticas

Establece una serie de especificaciones y controles independientes de fabricantes. Además cuenta con reconocimiento internacional mediante procesos certificados.

Define una estructura básica de controles utilizados para resolver cuestiones complejas como el lograr el cumplimiento de ciertas regulaciones u objetivos o realizar auditorías sobre procesos específicos.

Consiste en una serie de requerimientos y reglas impuestos ya sea por el gobierno o la industria para la utilización de ciertos mecanismos y que en caso de no cumplirse pueden ocasionar multas o la prohibición de realizar ciertas actividades.Las regulaciones pretenden controlar salidas y/o entradas.

Se basa en técnicas, métodos, controles, etc., probadas en la industria que provocan esperados resultados y medibles al implementar controles y procesos.



Esquemas referenciables

Guías deMejores prácticas

Normas o estándarescertificables

Regulatorio,Requerimientosde Industria

Marcos de referencia

Controles anivel compañía

Seguridad dela Información

Entrega de serv. TI / Operaciones

Desarrollode sistemas

Sistemas de reporte financiero

EspecificoTecnología/ Reqs. adicionales

COSO/COSO 2/COBIT

COSOCOSO 2 (ERM)

ISO27002ISO27005

ITILISO 20000-2

CMMISO21827RUP, ASL

ITGI SOX*COBIT, COSOSOX 404

X ISOX ANSI

ISO 27001 ISO 20000-1

PCAOB SOX

PCI, FFIECHIPAA, CNBVHL7, SHCP

SAS 70 TRUST SERVICES PCAOB

WebtrustFor CAs

CNBV, SHCPPCI, FFIECHIPAA, CNBVHL7, SHCP

PCI, FFIECHIPAA, CNBVHL7, SHCP



Mapa de relación de marcos

Procedimientos de desarrollo y mantenimiento

Procedimientos de seguridad ITIL

Principios de Seguridad

(OECD)DRII

SSE - CMM

ISO 9001 ISO 20000

ISO 27001 BS 25999

COBIT

BSC Val IT COSO

DesempeñoMetas de negocio

Cumplimiento

SOX, BASILEA II, PCI, ETC

Procesos y procedimientos

PRINCE 2 / PM

BOK

ISO 27005CMMI

Estándares y normas

Gobierno de TI

Gobierno Corporativo

Motivadores



Elementos de COSO



4 Dominios

34 ProcesosControles

215 ActividadesObjetivos de Control

Composición de Cobit



Basilea II (Generalidades)• El comité de Basilea es un grupo compuesto por representantes de los

principales actores financieros del mundo, que se reunen de manera periódica para generar normativas internacionales.

• Entre estas se encuentra la normativa conocida como Basilea II, la cual define el riesgo operativo y la forma en que el mismo deberá de ser medido y tratado.

• Basilea II define el riesgo operativo como “el riesgo de la pérdida resultante de procesos internos inadecuados o fallidos, personas o sistemas vulnerables o por eventos externos. Esta definición incluye el riesgo legal y tecnológico pero excluye el riesgo estratégico y reputacional.

• Así mismo, define 8 líneas de negocio básicas y 7 tipos de riesgo operativo.



Sarbanes Oxley (Sección 404)• La sección 404 requiere que la administración y auditorías externas

reporten la efectividad y lo adecuado que son los controles internos de la organización acerca de los reportes financieros.

• Es de sobra conocido que en la mayoría de las organizaciones los procesos de reporteo financiero se encuentran habilitados por TI, por lo que esta sección tiene un impacto directo en TI.

• COSO define cinco áreas principales de atención para esta sección:• Análisis de riesgo.• Control de ambiente.• Control de actividades.• Monitoreo.• Información y comunicación.



Requerimientos PCI



Estructura ISO/IEC 27001:2005

• 0. Introducción• 1. Alcance• 2. Referencias Normativas• 3. Definiciones y Terminología• 4. Sistema de Gestión para la Seguridad

de la Información• 5. Responsabilidad de la gerencia..• 6. Auditorias Internas para el SGSI• 7. Revisión Gerencial del SGSI• 8. Mejora del SGSI• Anexo A: Objetivos y controles

Dominio

A.5 Política de Seguridad

A.6 Organización de la SI

A.7 Gestión de activos

A.8 Seguridad de los recursos humanos

A.9 Seguridad física y ambiental

A.10 Gestión de comunicaciones y operaciones

A.11 Control de accesos

A.12 Adquisición, desarrollo y mantenimiento de sistemas de información

A.13 Gestión de incidentes de SI

A.14 Gestión de la continuidad

A.15 Cumplimiento





Sistema Estratégico de Seguridad de la Información



Existen 3 problemas típicos que incrementan complejidad en las implementaciones y crean barreras para el logro de los beneficios esperados

Fuente: Análisis Dicta

Falta de objetivos claros de negocioFalta de objetivos claros de negocio

“Exhaustividad” en el enfoque de implementación

“Exhaustividad” en el enfoque de implementación

Minimización del factor humano (cultural)

Minimización del factor humano (cultural)

Dificultades primarias experimentadas por los líderes de los esfuerzos de implementación

Dificultades primarias experimentadas por los líderes de los esfuerzos de implementación

Dificultad experimentada por toda la organización

Dificultad experimentada por toda la organización



Factor humano La mayoría de los esfuerzos de mejora se ven frustrados en la etapa de realización por

enfocarse en la parte “visible” de la complejidad del proceso o por la falta de experiencia de los líderes del esfuerzo

Etapa de planeación Etapa de

ejecución

Etapa realización de resultados

Área visible, (formal, medible)

Área situacional y psicológica (no visible)

ProcesosTecnología

Estructura organizacional

Indicadores de desempeño

InteresesMotivación

DisposiciónCapacidades

Valores Miedos

Comportamientos no deseados Resistencia a

cambios



Sistema Estratégico de Seguridad de la Información (SESI)

• Un Plan Estratégico de Seguridad permite definir la estrategia y el plan para la implantación de un buen Gobierno de Seguridad alineado con los objetivos estratégicos de la organización basado en el valor y el riesgo presente de la información protegida.

• Proporciona además un modelo de procesos para enmarcar las necesidades de Gobierno de Seguridad y sobre el cual se definan los componentes tácticos y operativos, así como las políticas, metodologías, estándares, procedimientos y controles asociados a cada componente.



Modelo Integral de la Seguridad de la Información



Componentes Mínimos de la Estrategia de Seguridad



Integración Negocio-Tecnología

Identificación de procesos de negocio

Definición de Criticidad de Procesos

Análisis de Riesgo Procesos-Personas-Tecnología

Plataforma Habilitadora de los Procesos

Identificación de información por procesos

Definición y Desarrollo de Estrategia

Controles y Gestión Procesos-Personas-Tecnología



Estrategia

Cumplimiento Política

Monitoreo (Nivel de Riesgo) Conciencia

Implementación

Prevención Detección

Corrección

Ciclo del SESI



Road Map Sistema Estratégico de Seguridad de la Información



Ciclo de Mejora Continua

Partes interesadas:

ClientesProveedoresUsuariosAccionistasOtros

Requerimientos y Expectativas de

Seguridad de Información

Partes interesadas:

ClientesProveedoresUsuariosAccionistasOtros

Requerimientos y Expectativas de

Seguridad de Información

Establecimiento del SGSI

PLAN

Implementación del SGSI

DO

Monitoreo y revisión del SGSI

CHECK

Mejora del SGSI

ACT



• Miedo y resistencia al cambio.• Miedo a la exposición• Falta de conocimiento de los usuarios• Falta de conciencia

• Creencia que existirá un incremento en gastos de operación• Creencia que existirá entorpecimiento de operaciones y procesos• Expectativas de generación de burocracia• Incremento inicial en cargas de trabajo

• Incremento de incidentes de atención• Posible generación inicial en exceso de falsos positivos• Falta de habilidades y conocimientos técnicos para implementar

controles

Algunas Realidades en la Implementación



Factores Críticos de Exito• COMPROMISO de la Dirección.• Participación ACTIVA.• Criterios de aceptación de riesgo basados en el negocio.• Iniciativas de mitigación y NO solo acciones de mitigación.• Métricas reales y fáciles de dar seguimiento.• Sistema de documentación simple.• Establecimiento de cultura de seguridad.• Mecanismo de Gestión que garantice la conversión del

proyecto en un PROCESO continuo.





Beneficios



• Reducción de gastos derivados de errores humanos en el manejo seguro de información

• Incremento del retorno de inversión sobre iniciativas de seguridad, derivado de la planeación adecuada del tratamiento del riesgo.

• Reducción de costos en mesa de ayuda y de servicio.

• Justificación basada en riesgos de negocio para proyectos de TI.• Reducción del riesgo tecnológico a través de metodologías de

analisis y gestión basadas e estándares. • Facilidad de integración con otros sistemas ISO.• Medición del desempeño de seguridad

• Alineación estratégica de la estrategia de seguridad con la estrategia de la organización.

• Mejora continua de procesos a través de acciones derivadas de procesos de revisión.

• Afianzar el compromiso corporativo.• Generación de cultura orientada a a la seguridad.• Análisis de riesgo orientado a impactos de negocio.

Beneficios de contar con un SESI



• Para los accionistas:– Retribución sobre la inversión en

tecnología y sobre el negocio– Ahorro en costos y gastos– Disminuir el riesgo– Robustecer el control corporativo– Menor TCO– Protección a la inversión– Cumplimiento con regulaciones aplicables– …

Operación exitosa del SESI

• Para los colaboradores:– Calidad de vida.– Satisfacción mejorada.– Lealtad y productividad– …

• Para la comunidad:– Garantía de operación continua que

genera fuentes de empleo y satisface el apoyo social.

– Responsabilidad civil.– Responsabilidad legal.– …

• Para los clientes:– Mayor nivel de confianza– Mayor nivel de servicio– …

• Para los proveedores:– Relaciones seguras, de calidad, confianza y

transparencia.– Nivel de confianza– …

Relación de valor por el logro de un Sistema de Gestión de Seguridad de la Información





6.- Preguntas



Pink Elephant - Expertos en Gestión de Servicios de TI

[email protected]

mailto:[email protected]

http://www.pinkelephant.com/

Documents

Marcos seguridad-v040811