Servicios de Consultoría en Sistemas de Gestión de la Seguridad de la Información ISO/IEC 27001

Page 2

Antecedentes y Necesidades

►Las Compañías conocen la importancia que tiene la información en el desarrollo de las operaciones del negocio, y están trabajando arduamente en la identificación de los riesgos de seguridad de la información a los cuales se encuentra expuesta, para definir esquemas de protección que la resguarden de situaciones que puedan comprometer su confidencialidad, integridad y disponibilidad.

►El sector de servicios financieros está sujeto a exigentes regulaciones en materia de seguridad informática, riesgo operativo, continuidad del negocio y de control interno, que requieren de una respuesta optimizada para su cumplimiento en condiciones de eficacia y costo efectividad.

►Establecer el contexto, alcance y objetivos del Sistema de Gestión de la Seguridad de la Información –SGSI- y los requisitos de sus grupos de interés.

►Realizar un diagnóstico de la situación actual e identificar las brechas frente al objetivo de establecer su SGSI de acuerdo con las prácticas líderes.

►Establecer programas de seguridad para proteger la información y apoyar el desempeño del negocio.

►Desarrollar una hoja de ruta para la optimización de controles para gestionar las vulnerabilidades, administrar las identidades y mitigar las amenazas.

►Implementar el SGSI que permita dirigir y controlar la seguridad de la información en la organización integrado con el enfoque de riesgos de TI mediante procesos eficientes, sostenibles y controlados.

Antecedentes

Necesidades

Page 3

¿Por qué ISO/IEC 27001?

► Enfoque holístico y basado en riesgos para el cumplimiento

► Demuestra el estado de la seguridad de acuerdo con criterios aceptados globalmente

► Prestigio e imagen que marcan diferencias en el mercado

► Credibilidad y confianza en la satisfacción de las necesidades de los grupos de interés

► Real integración y articulación de los sistemas de gestión

Page 4

¿Es útil la certificación ISO/IEC 27001?

Cumplimiento regulatorio

Requisitos contractuales

Reducir impacto de múltiples auditorías

Acceder a nuevos mercados

Credibilidad y confianza

Mejoramiento Continuo

Las organizaciones líderes buscan la certificación como un diferenciador. La utilizan como una herramienta formal para garantizar que su Sistema de Gestión se mantiene vigente, es relevante, y que satisface las cambiantes necesidades y para que la estrategia corporativa cubra adecuadamente los riesgos y oportunidades del negocio.

Page 5

¿Por qué EY?

• Profesionales certificados en las normas y prácticas líderes en seguridad de la información (v.gr. ISO IEC 27001, CISM, CISSP, CEH, CISA, CRISC, CIA, ITIL, entre otras)

• Gestión de Conocimiento: metodologías, herramientas y lineamientos estandarizados que nos permite prestar un servicio consistente en cada una de nuestros proyectos EY en el mundo.

• Práctica líder de servicios de consultoría especializada en el sector financiero y asegurador a nivel global

• Múltiples proyectos de diagnóstico, implementación,

evaluación y fortalecimiento de Sistemas de Gestión

• Servicios de seguridad de información a organizaciones de todos los tamaños y estadios de madurez

• Solución end-to-end desde la conceptualización hasta la realización de los beneficios

• Enfoque con la mezcla óptima de tecnología y procesos

• Total neutralidad en relación con proveedores y soluciones

Factores Críticos de

Éxito

Experiencia

Enfoque

Gente

Capacidades adecuadas

• Comprensión de las necesidades e implicaciones estratégicas y operacionales de la gestión integral

• Profundo entendimiento del negocio financiero en el contexto global y local

• Advanced Security Centers: Centros altamente especializados en seguridad ubicados alrededor del mundo

• EY Certify Point: Organismo de certificación acreditado internacionalmente elegido por los líderes de las industrias financiera y de TI

Page 6

Solución

Programa de Seguridad para el Cumplimiento, Seguimiento y Generación de Reportes

Especificaciones Técnicas

Business Drivers

Procesos & Prácticas

Operacionales

Personal & Organización

Estrategia Seguridad

Administración del Riesgo

Gobernabilidad, Políticas y Estándares

Arquitectura Técnica de Seguridad

Proc

eso

de C

onci

entiz

ació

n en

Se

guri

dad

Ci

clo

de V

ida

de la

Seg

urid

ad d

el

Sist

ema

Proc

eso

de C

ontin

uida

d de

l Neg

ocio

Pr

oces

o de

Des

empe

ño y

Ase

gura

mie

nto

de la

Se

guri

dad

Nuestros servicios de Consultoría en Seguridad de la Información para las compañías del sector financiero se encuentran estrechamente relacionados con las siguientes áreas:

Page 7

Solución

Asistiencia en el diseño, validación, desarrollo y documentación de los elementos de control requeridos para contar con un Sistema de Gestión de Seguridad de la Información que responda a las necesidades de negocio.

Análisis para establecer las brechas (GAP) del modelo y la función de seguridad de la información frente a la práctica líder aceptada globalmente por la industria ISO/IEC 27001:2013.

Asesoría para la evaluación del diseño, eficacia y eficiencia de los procesos, controles y recursos para identificar las áreas de mejora y el fortalecimiento de sus competencias organizacionales para la gestión de la seguridad de la información.

Page 8

Beneficios Desarrollar una iniciativa SGSI con el acompañamiento de EY le permitirá a su compañía:

Los resultados del proyecto generarán información que permita fortalecer las

medidas de seguridad definidas e implementadas

Generar información que permita atender los requerimientos de control y seguridad

regulatorios de la Superintendencia Financiera de Colombia, y la norma ISO/IEC

27001

SGSI ISO/IEC

27001:2013

Confirmar las fortalezas de seguridad de la información en cuanto a las medidas de

protección implantadas en sus recursos de información Identificar las posibles deficiencias de

seguridad de la información que puedan ser aprovechadas por personal no autorizado

para poner en riesgo la integridad, confidencialidad o disponibilidad de la

información

Priorizar los esfuerzos dirigidos a fortalecer la seguridad de la información

Actualizar los mapas de riesgo operativo, considerando el nivel de madurez del modelo y la función de

seguridad de la información

Ejecutar un análisis comparativo del modelo y la función de seguridad de la

información

Transferencia de conocimiento hacia el personal, que participará

en el proyecto, a través de un enfoque participativo

Page 9

Enfoque de trabajo

Identificación y análisis de las brechas contra los requisitos de implementación de la norma

Establecer el plan de implementación para el cierre de las brechas

Plan de implementación GAP

Entendimiento del Sistema de Gestión de Seguridad de la Información y de los procesos de negocio objetivo

Estructura organizacional

Políticas, Procesos y procedimientos

Plataforma de TI / Seguridad

Ejecución de listas de chequeo de indagación y observación de los requisitos de seguridad

Recomendaciones de control

Esquema de Gobierno

Listas de chequeo

Observación controles

Acompañamiento en el aseguramiento de calidad de los planes de acción implementados y el enfoque metodológico del sistema de gestión de seguridad

Políticas, normas y guías Modelo de Gobierno / Estructura

Organizacional del SGSI

Control & Seguridad Desempeño

Operación

Entr

ada

Procesamiento

Salid

a

Actividades

Procesos y procedimientos asociados al SGSI

Lineamientos sobre la Arquitectura de seguridad de TI

Proceso XXX -

Soportes

Actividades

Naturaleza

Frecuencia

Soportes GAP Análisis

norma ISO27001

Implementación para cierre de brechas y fortalecimiento del

SGSI

Diagnóstico para identificar las brechas

y definir el plan de acción

Entendimiento del sistema de seguridad

de la información

Page 10

Metodología La metodología desarrollada por EY para los trabajos relacionados con la implementación y el mejoramiento de sistemas de Gestión de la Seguridad de la Información se basa en el entendimiento del negocio de nuestros clientes, alinear las expectativas del cliente con los objetivos de la Gestión de la Seguridad, analizar y gestionar los riesgos existentes y emergentes que puedan ser considerados como clave o de valor para la alta dirección.

Con

firm

ar la

s ex

pect

ativ

as Planear y administrar el proyecto

Establecer el contexto, alcance, política y objetivos de la Gestión de la Seguridad de la Información

Identificar las brechas frente a los requisitos de la norma técnica internacional ISO/IEC 27001:2013

Transferencia de conocimiento

Diseñar los procesos y los controles del SGSI para atender los requisitos de los grupos de interés

Formular y acompañar la ejecución del plan de trabajo para la implementación, seguimiento y mejora continua del SGSI

Page 11

EY en la Industria Bancaria

Fortalecimiento del ambiente de control y gestión organizacional (v.gr. modelo de control, modelo de medición, etc.)

Análisis de riesgo y efectividad en los procesos

Planeación estratégica (Negocio, administración de riesgos, Tecnología de Información, seguridad, y mercado, entre otras.).

1

2

6

5

3 4

Diseño e implementación de sistemas de administración de riesgos de acuerdo con prácticas líderes y estándares internacionales aceptados por la industria.

Gobierno de la organización, sistema de control interno y la gestión de tecnología de información (TI)

Evaluación, diseño e implementación de componentes para la gestión de la seguridad de la información, de acuerdo con prácticas líderes y estándares internacionales aceptados por la industria.

EY para atender el sector financiero en Latinoamérica ha conformado un grupo de profesionales, y esta región ha sido denominada FSO Región Norte (Financial Services Organization). Las experiencias de este grupo están relacionadas principalmente con:

Presentation title

Claudia Marcela Gómez Socia E-mail: claudia.gomez@co.ey.com

Gustavo Díaz Rojas Socio E-mail: gustavo.diaz@co.ey.com

5