View
32
Download
1
Category
Preview:
DESCRIPTION
Seguridad integrada como respuesta al Negocio - Participación como conferencista en la 3a. Edición del “Congreso Internacional sobre Gobierno, Riesgos, Auditoría y Seguridad” de Tecnología de Información – CIGRAS - que se realizó en Montevideo los días 2 y 3 de agosto de 2012.
Citation preview
29/07/2012
1
www.isaca.org.uy
Seguridad integrada como Seguridad integrada como respuesta al Negociorespuesta al Negocio
Fabián Descalzo, CISO
Uruguay Uruguay -- ArgentinaArgentina
www.isaca.org.uy
AgendaAgendaRequerimientos del Negocio¿Donde encontrar las respuestas?Conociendo el interiorLa seguridad del lado del NegocioSeguridad integrada como respuesta al Negocio
29/07/2012
2
www.isaca.org.uy
Requerimientos del NegocioRequerimientos del Negocio
www.isaca.org.uy
Requerimientos del NegocioRequerimientos del Negocio
Establecer objetivos es Establecer objetivos es esencial para el éxito esencial para el éxito de una empresade una empresa
• Permiten enfocar esfuerzos hacia una
misma dirección.
• Sirven de guía para la formulación de
estrategias.
• Sirven de guía para la asignación de
recursos.
• Sirven de base para la realización de
tareas o actividades.
• Generan coordinación, organización y
control.
• Generan participación, compromiso y
motivación; y, al alcanzarlos, generan
un grado de satisfacción.
• Revelan prioridades.
• Producen sinergia.
• Disminuyen la incertidumbre.
Establece un único
resultado a lograr y es
coherente con la misión
de la empresa
29/07/2012
3
www.isaca.org.uy
Cambios en el Cambios en el entorno de nuestro entorno de nuestro
NegocioNegocio
Cambio de valor de lo
físico al valor valor de la de la
información información (intangibles)
Nuevos regímenes regulatorios
Cambios del Mercado
Nuevas tecnologías aplicadas al resultado del
Negocio
Interacción más dinámica
entre los diferentes
procesos de negocios
Requerimientos del NegocioRequerimientos del Negocio
www.isaca.org.uy
Disponer de una gestión que asegure los
procesos de negocio y el tratamiento de los datos propios o de
terceros alineados a:
Frameworks que Frameworks que aportan valor aportan valor
agregadoagregado
Requerimientos Requerimientos legales y legales y
reglamentariosreglamentarios
Requerimientos del NegocioRequerimientos del Negocio
29/07/2012
4
www.isaca.org.uy
SEGURIDADSEGURIDADOBJETOS DEOBJETOS DEINFORMACIÓNINFORMACIÓN
Requerimientos del NegocioRequerimientos del Negocio
www.isaca.org.uy
Identificar funciones, obligaciones del personal y establecer un marco operativo acorde a las Requerimientos del Negocio.
Conformar grupos interdisciplinarios (Legales / Desarrollo / Seguridad Informática, y representante del área involucrada) con el fin de analizar los requerimientos del Negocio.
8
Requerimientos del NegocioRequerimientos del Negocio
29/07/2012
5
www.isaca.org.uy
¿Dónde encontrar las respuestas?¿Dónde encontrar las respuestas?
www.isaca.org.uy
Aporte de soluciones de y a cada SectorAporte de soluciones de y a cada Sector
Seguridad en el NegocioSeguridad en el Negocio
¿Dónde encontrar las respuestas?¿Dónde encontrar las respuestas?
Calidad de ServicioCalidad de Servicio
29/07/2012
6
www.isaca.org.uy
DirecciónDirección
GerenciaGerenciaUsuariosUsuarios
Cada nivel de la Organización hace a la seguridad y calidad en el Negocio
¿Dónde encontrar las respuestas?¿Dónde encontrar las respuestas?
www.isaca.org.uy
Desarrollar y fomentar una cultura de la organización y el comportamiento que debe aplicarse en todas las actividades
empresariales
VISION
¿Dónde encontrar las respuestas?¿Dónde encontrar las respuestas?
29/07/2012
7
www.isaca.org.uy
Conociendo el interiorConociendo el interior
www.isaca.org.uy
Cultura de los
Recursos Humanos
Cultura Operativa y Funcional
Leyes y Regulaciones
Conociendo el interiorConociendo el interior
29/07/2012
8
www.isaca.org.uy
Hacen que una función cumpla con todos sus procesos de
negocio
Objetivos funcionales y
resultados operativos
Objetivos e imagen de la
empresaDirecciónDirección
GerenciaGerencia
UsuariosUsuarios
Conociendo el interiorConociendo el interior
www.isaca.org.uy
Conociendo el interiorConociendo el interior
Trato sobre los activos de la empresa, valor de
su información, funciones y cada uno de los procesos en los
que participa.
Asegurar objetivos funcionales y resguardo
de los activos de la Organización
Asegurar objetivos corporativos, ya sea tangible (económico)
como intangible (imagen en el mercado)
DirecciónDirección
GerenciaGerencia
UsuariosUsuarios
29/07/2012
9
www.isaca.org.uy
Físico: Documentos en papel, incluyendo faxes y copias fotostáticas. Puede ser almacenada en archivos físicos, carpetas o gabinetes.
Electrónico: Documentos electrónicos en procesador de texto, hojas de cálculo, etc. Puede ser almacenada en varios medios electrónicos, incluyendo CD ROM cintas de audio, memorias USB, discos duros, Asistentes Digitales Personales (p.e. Blackberries) y otros dispositivos similares
Interpersonal: La información es comunicada de una persona a otra utilizando diferentes métodos o medios de transmisión, por ejemplo: oralmente por teléfono o en persona, o por escrito vía fax, correo postal o correo electrónico.
Conociendo el interiorConociendo el interior
www.isaca.org.uy
Conociendo el interiorConociendo el interior
Marco Marco NormativoNormativo
Recursos Recursos HumanosHumanos
Recursos Recursos de de
HardwareHardware
Recursos Recursos de de
SoftwareSoftware
29/07/2012
10
www.isaca.org.uy
La seguridad del lado del NegocioLa seguridad del lado del Negocio
www.isaca.org.uy20
Principales objetivos de controlPrincipales objetivos de controlControlControl AlcanceAlcance
1,00 Auditoría, evidencias y monitoreo
2,00 Autenticación y control de acceso
3,00 Confidencialidad y No-Repudiación
4,00 Personal externo y contratistas
5,00 Tolerancia a fallas, backup y recuperación
6,00 Respuesta y reporte de incidentes
7,00 Mantenimiento y operaciones
8,00 Red de datos
9,00 Acceso físico
10,00 Documentación electrónica y en papel
11,00 Accesos remotos
12,00 Concientización y entrenamiento en Seguridad
13,00 Política de administración de la seguridad
14,00 Configuración del sistema
15,00 Desarrollo de sistemas y control de cambios
16,00 Proveedores, profesionales y prestadores
InterpretaciónTecnología
InterpretaciónUnidades
Administrativas
InterpretaciónUnidades de
Servicio
La seguridad del lado del NegocioLa seguridad del lado del Negocio
29/07/2012
11
www.isaca.org.uy21
Función tradicionalFunción tradicional Agregar valor al servicioAgregar valor al servicio
Visión basada en Visión basada en activosactivos
Visión basada en riesgos asociados Visión basada en riesgos asociados al servicioal servicio
Dirección y controlDirección y control Liderazgo y poder de delegaciónLiderazgo y poder de delegación
Nuevo Modelo de SeguridadNuevo Modelo de Seguridad
Nuevas tecnologías + Nuevas regulacionesNuevas tecnologías + Nuevas regulaciones+ Cambio en el valor + Pautas del Mercado+ Cambio en el valor + Pautas del Mercado
La seguridad del lado del NegocioLa seguridad del lado del Negocio
www.isaca.org.uy
27000
22
Calidad + Seguridad + GobernabilidadCalidad + Seguridad + Gobernabilidad
La seguridad del lado del NegocioLa seguridad del lado del Negocio
29/07/2012
12
www.isaca.org.uy
La seguridad del lado del NegocioLa seguridad del lado del Negocio
www.isaca.org.uy
Política de SeguridadPolítica de Seguridad
Aspectos organizativos de la seguridadAspectos organizativos de la seguridad
Clasificación y control de activosClasificación y control de activos Control de accesosControl de accesos
ConformidadConformidad
Seguridad del personalSeguridad del personal Seguridad del entorno físicoSeguridad del entorno físicoSeguridad del entorno Seguridad del entorno
tecnológicotecnológico
Desarrollo y mantenimiento Desarrollo y mantenimiento de sistemasde sistemas
Gestión de comunicaciones y Gestión de comunicaciones y operacionesoperaciones
Gestión de continuidad Gestión de continuidad de negociode negocio
Seguridad OrganizativaSeguridad Organizativa
Seguridad lógicaSeguridad lógica
Seguridad físicaSeguridad física
Seguridad legalSeguridad legal
Táctico
Táctico
Op
erativo
Op
erativo
Estratég
icoE
stratégico
La seguridad del lado del NegocioLa seguridad del lado del Negocio
29/07/2012
13
www.isaca.org.uy25
Calidad +Calidad +Seguridad +Seguridad +GobernabilidadGobernabilidad
La seguridad del lado del NegocioLa seguridad del lado del Negocio
www.isaca.org.uy
• Implementación de frameworks integrados para facilitar el cumplimiento de leyes y regulaciones, asociados a los estándares y las políticas corporativas
• El enfoque integradorenfoque integrador, todos los participantes son involucrados en los logros del proyecto
• Resultados concretos en cortos plazos, con avances graduales hacia el cumplimiento de los objetivos
Requerimientos del ServicioRequerimientos del Servicio
TecnologíaTecnología ProcesosProcesos PersonasPersonas
Assessment(GAP, Plan Preliminar)
• Herramientas
• Interfaces
• Documentación
• Nivel de Madurez• GAP
• Estructura
• Instituciones • Nivel de destrezas
• Capacitación
Implementación(Procesos implantados)
• Herramientas
• Migraciones• Interfaces
• Diseño lógico
• Diseño Físico • Vinculaciones
• Documentación • Validación de
Funcionamiento
• Roles y
responsabilidades • Entrenamiento
• Cambio Cultural • Herramientas de
capacitación
Mejoramiento continuo• Herramientas
• Interfaces
• Seguimiento
• Ajustes • Refinamientos
• Nuevos Procesos
• Entrenamiento
• Capacitación
26
La seguridad del lado del NegocioLa seguridad del lado del Negocio
29/07/2012
14
www.isaca.org.uy
Seguridad y Gobernabilidad AsociadasSeguridad y Gobernabilidad Asociadas
Política General y Normas de Seguridad
Familia ISO 27000
Normas, procedimientos
Estándares Registros
Procesos de NegocioNorma ISO 9001 / Norma ISO 20000
Documentación asociada a las áreas
administrativas
Procedimientos Formularios
Documentación de los sistemas y operaciones
Manuales Instructivos
27
La seguridad del lado del NegocioLa seguridad del lado del Negocio
www.isaca.org.uy
Seguridad integrada como Seguridad integrada como respuesta al Negociorespuesta al Negocio
29/07/2012
15
www.isaca.org.uy
• El Negocio debe comunicar cuáles son sus
futuros objetivos, para conseguir el soporte conseguir el soporte necesario por parte de la Organizaciónnecesario por parte de la Organización, ya
sea desde sus áreas administrativas como de
sus áreas tecnológicas.
• La organización, desde las diferentes áreas
brindará el soporte necesario acorde a los brindará el soporte necesario acorde a los requerimientos del Negociorequerimientos del Negocio
Seguridad Integrada al NegocioSeguridad Integrada al Negocio
www.isaca.org.uy
Sistemas de Gestión de Seguridad de la InformaciónSistemas de Gestión de Seguridad de la Información
Planes Directores de SeguridadPlanes Directores de Seguridad
Evaluación y diagnóstico de la Seguridad de la InformaciónEvaluación y diagnóstico de la Seguridad de la Información
Planes de continuidad de negociosPlanes de continuidad de negocios
Adecuación a buenas prácticas (ITIL / ISO 20000)Adecuación a buenas prácticas (ITIL / ISO 20000)
Certificaciones de SGC y SGS (ISO 9001 / ISO 27000)Certificaciones de SGC y SGS (ISO 9001 / ISO 27000)
Planes de formación y concientizaciónPlanes de formación y concientización
Governance, Risk & ComplianceGovernance, Risk & Compliance
Auditorias y revisiones periódicasAuditorias y revisiones periódicas
30
Seguridad Integrada al NegocioSeguridad Integrada al Negocio
29/07/2012
16
www.isaca.org.uy
Seguridad Seguridad OrganizativaOrganizativa
SeguridadSeguridadLógicaLógica
SeguridadSeguridadLógicaLógica
SeguridadSeguridadFísicaFísica
SeguridadSeguridadLegalLegal
SeguridadSeguridadLegalLegal
Mejor calidad deMejor calidad deServicios y Servicios y ProductosProductos
Aseguramiento Aseguramiento de activos del de activos del negocionegocio
Asegurar la Asegurar la continuidad en continuidad en el tiempoel tiempo
Seguridad Integrada al NegocioSeguridad Integrada al Negocio
www.isaca.org.uy
Métricas d
e Seg
urid
adM
étricas de S
egu
ridad
Pro
gram
a de P
rotecció
nP
rog
rama d
e Pro
tección
Ges
tió
n d
e R
iesg
os
Ges
tió
n d
e R
iesg
os
32
Políticas de Políticas de SeguridadSeguridadProcedimientos de Procedimientos de
SeguridadSeguridad
ProcesosProcesos
PlanesPlanes
ProyectosProyectos
SeguridadSeguridad es parte del Plan de Negocios en el marco es parte del Plan de Negocios en el marco empresario actual, brindando a través de ella empresario actual, brindando a través de ella Calidad y Calidad y Gobernabilidad Gobernabilidad sobre todos los servicios de ITsobre todos los servicios de IT
Objetivos de la Objetivos de la EmpresaEmpresa
Leyes y RegulaciónLeyes y Regulación
29/07/2012
17
www.isaca.org.uy
Plan Plan Estratégico de Estratégico de
la Empresala EmpresaMarcaMarca
ReputaciónReputaciónPlan Plan
Estratégico de Estratégico de SeguridadSeguridad
PLAN DE NEGOCIOPLAN DE NEGOCIO
Seguridad Integrada al NegocioSeguridad Integrada al Negocio
www.isaca.org.uy
PreguntasPreguntas??MuchasMuchas Gracias Gracias Fabián Descalzo, CISO
fdescalzo@cidi.com.ar
Uruguay Uruguay -- ArgentinaArgentina
Recommended