Remediacion parche o upgrade (INFORIESGO 2014)

Copyright FABIÁN DESCALZO © – 2014 – Todos los derech os reservados

INFO-RIESGO 2014 JORNADAS CPCI-UP DE SEGURIDAD EN TICs

1

a.c.

Fabián Descalzo, Gerente de Governance, Risk & Compliance (GRC)

Certificado en Dirección de Seguridad de la Información (Universidad CAECE)

Instructor Certificado ITIL® version 3:2011, Certification for Information Management

Certificado ISO/IEC 20000-1:2011, Implementación de Sistemas de Gestión IT

Internal Audit ISO/IEC 20000:2011, Auditor Interno en Sistemas de Gestión IT

Proceso de Remediación,¿Parche o Upgrade?



2

a.c.

Nuevas Regulaciones, Requerimientos por Certificaci ón, Planes de Trabajo por Auditorías, Actualización Tec nológica

Impactan en

Lo regula Lo eligeNEGOCIO

Deben acompañar

Procesos de Negocio

El principio



3

a.c.

Áreas deNegocio

AplicacionesSoftware de BaseHardware

Tecnología ySeguridad

Situaciones de CrisisIDENTIFICARLA BRECHA

¿Y DESPUÉS?



4

a.c.

¿Parche o Upgrade?

¿Cuál es la mejor versión que quiero de mis sistemas y

procesos?

Que el “remedio” cure la “enfermedad”

Situaciones de Crisis



5

a.c.

Decidiendo el “remedio”

Tiempo + Recursos + Conocimiento



6

a.c.

Necesidades del Negocio

Necesidades de los Procesos Tecnológicos

Asociándose con el Negocio



7

a.c.

Nivel de Cumplimiento

Áreas de NegocioProcesos de

Negocio soportados por la tecnología

Sistemas de Procesamiento

Tecnología de la Información

Operaciones

Arquitectura

Desarrollo

Seguridad de la Información

Seguridad Organizacional

Seguridad Informática

Seguridad Física

Seguridad Legal

Asociándose con el Negocio



8

a.c.

Como llegar a la mejor versión

• Definición de estrategias en función de observaciones, alcances y experiencia

• Identificación de recursos técnicos y humanos• Definición de roles y funciones bien definidos• Conformación de equipos de trabajo• Capacitación a los diferentes equipos de acuerdo a su visión de objetivo

y a su participación en la remediación• Definición de las evidencias a obtener y su formato• Seleccionar la documentación que nos sirva para operar, seguir y

controlar la remediación

Principales actividades para una remediación efectiva



9

a.c.

Alcance de Observaciones

Cantidad de Plataformas

Aplicaciones alcanzadas

Magnitud de No-Conformidades

Configuraciones técnicas

Cuentas de usuario

Accesos, permisos y privilegios

Documentación de Soporte

Conformación de los Equipos de Trabajo

Aporta a

Resultado del análisis de brecha



10

a.c.

• Parámetros• Carpetas

compartidas• Cuentas de

Usuario• Permisos• Servicios

1Sistema

Operativo

• Parámetros• Cuentas de

Usuario• Permisos

2Base de Datos

• Parámetros• Cuentas de

usuario• Funciones

3Aplicación

Orden lógico de ejecución

Inconsistencia en el software de base que generan demoras y retrabajo sobre la aplicación (Interfaces,

Tareas Programadas, Cuentas Especiales, Servicios, etc.)



11

a.c.

Equipos de Trabajo

Seguridad de la Información

Tecnología

Jefes de Aplicación o Líderes Funcionales de Sistemas

Líderes de Proyecto

Adm SO Adm BBDD Operación

Compliance

Conocedores del funcionamiento aplicativo para responder a los requerimientos del Negocio

Servicio consultivo y de soporte técnico

Acompañamiento y operación de relevamiento y remediación

Capacitación y definiciones de cumplimiento



12

a.c.

Identificación de argumentos de remediación

Normas Estándares

Aplicaciones Plataformas

Matriz de Revisión

• Remediación posible y cumpliendo los plazos

• Remediación posible pero fuera de plazo con Plan de Trabajo

• No se puede remediar y debe exceptuarse

Definición de Registrosy Documentos paraControl y Seguimiento



13

a.c.

Definición de registros para evidencias

Tipo y formato de evidencia

Completitud de datos a

obtener por evidencia

Estrategia de generación y

administración de evidencias

Certifica que la remediación ha sido efectiva y evidencia aceptada por una

probable Auditoría

Optimiza la operación de obtención y el volumen de archivos de datos a

tratar y almacenar



14

a.c.

Gestión de Excepciones

Limitaciones Funcionales

Obsolescencia Tecnológica

Análisis de

mitigantesRespaldar Registrar

CIA



15

a.c.

Entendimiento del Proyecto y motivos de

los cambios

Roles y funciones

Componentes del Marco Normativo

Contexto Aplicativo (Procesos de Negocio,

Manuales)

Estrategias asumidas

Excepciones

Diseñar la Capacitación(Ampliar la Visión)

Equipo Técnico Equipo Funcional



16

a.c.

Ejecución ordenada en el tiempo especificado, orientada al resultado y de

bajo impacto en el Negocio

Plan definido para la mejora

Análisis de brecha

Orden de Ejecución

Armado de Equipos de

trabajo

Argumentos de Remediación

Definición de Registros

Gestión de Excepciones

Diseño de Capacitación



17

a.c.

Valoremos cada participación que tengamos en los diferentes frentes de trabajo y aprendamos que la tarea en equipo nutre de conocimiento y



17

Recordemos que todos somos el Negocio



18

a.c.

Muchas gracias por su atención

FABIÁN DESCALZOGerente de Governance, Risk & Compliance

CYBSEC S.A. - www.cybsec.com� (5411) 4371-4444� [email protected]

Presentations & Public Speaking

Remediacion parche o upgrade (INFORIESGO 2014)