1 / 35

Seguridad Informá tica Una mirada dif erente desde el HACER y desde el ASEGURAMIENTO

Seguridad Informá tica Una mirada dif erente desde el HACER y desde el ASEGURAMIENTO. M ónica Rela Responsable de Auditoría de Sistemas Roberto Arienti Responsable de Seguridad de la Información . Banco de la Nación Argentina. ARGENTINA 2014 15 - 16 de Mayo. Mónica Rela

dorit
Download Presentation

Seguridad Informá tica Una mirada dif erente desde el HACER y desde el ASEGURAMIENTO

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Seguridad Informática Una mirada diferente desde el HACER y desde el ASEGURAMIENTO MónicaRela Responsable de Auditoría de Sistemas Roberto Arienti Responsable de Seguridad de la Información Banco de la Nación Argentina ARGENTINA 2014 15 - 16 de Mayo

  2. Mónica Rela Computadora Científica - Universidad de Buenos Aires. Se ha desempeñado como docente, instructora y consultora de TI. Trabaja en el Banco de la Nación Argentina desde el año 1982. Posee 25 años de experiencia en tareas vinculadas con las tecnologías de información y comunicación en las áreas de Tecnología y Procesamiento, Desarrollo de Sistemas y Gestión de Proyectos de TI y 6 años como responsable de auditorías vinculadas con las TIC en el BNA, sus Empresas Controladas y Sucursales del País y del Exterior. Actualmente se encuentra a cargo de la Subgerencia de Auditoria de Sistemas del Banco, coordina la Comisión de Auditoria de Sistemas de ABAPPRA (Asociación de Bancos Públicos y Privados de la República Argentina) y es representante de CLAIN ante ISACA . Banco de la Nación Argentina

  3. Roberto Arienti Computador Científico - Universidad de Buenos Aires. Trabaja en el Banco de la Nación Argentina desde el año 1982. Inicialmente se desarrolló enel área de Sistemas como líder de proyecto en el desarrollo de distintos aplicativos de Sistemas de Información. En el período 2004-2007 ocupó el cargo de responsable del área de Auditoría de Sistemas coordinando las actividades relacionadas con la evaluación del funcionamiento de los sistemas de procesamiento de datos y redes de comunicaciones.  Actualmente se encuentra a cargo de la Subgerencia de Seguridad de la Información del Banco, conduciendo las actividades relacionadas con el desarrollo de un sistema de gestión de seguridad de la información, a fin de preservar la confidencialidad, integridad, disponibilidad y auditabilidad de los activos de la información. Banco de la Nación Argentina

  4. Agenda Primer parte • Qué es Seguridad Informática? • Marco normativo • Modelo conceptual de Seguridad • Aspectos a tener en cuenta Segunda parte • Normasinternacionales y Mejoresprácticas para AI • Articulación entre el Modelo conceptual de Seguridad y Auditoría de Sistemas • Modelo 3LoD para Gestión de Riesgos / Seguridad de la Información • Roles Gestión de Riesgos / Seguridad de la Información / Auditoría Interna Conclusiones

  5. Seguridad Informática No es solamente implementar usuarios y contraseñas La seguridad es… Servicio Control de Accesos Plan de Continuidad de Negocio Gestión de Incidentes Análisis de Vulnerabilidades Concientización de usuarios Encripción Análisis de Eventos Evaluación de Software Análisis de Riesgo ABM de Usuarios Análisis Forense Desarrollo de Políticas Normas y Estándares Debe implementarse utilizando… Test de Penetración Criterio de Negocio AntiSpam Firewalls AntiVirus Doble Factor de Autenticación PKI Controles AntiPhishing Sistemas de detección de Intrusos Marcos Normativos Herramientas Forenses Correlación de eventos Permisos mínimos necesarios

  6. Banco de la Nación Argentina Líder, Regulador y Testigo del Sistema Financiero Argentino 627 Sucursales 14 Sucursales en el Exterior 57 Anexos Operativos 4 Agencias Móviles +17.000 Empleados

  7. Banco de la Nación Argentina Equipamiento Informático Equipamiento Central Mainframe Equipamiento Distribuido + 16.000 Estaciones de Trabajo + 2.000 Servidores +900 Switches +700 Routers Centro de Procesamiento Paralelo Activo-Activo

  8. Banco de la Nación Argentina Usuarios de los distintos Sistemas: 14.000 usuarios en el Computador Central 16.000 usuarios en Redes de PC’s 11.500 usuarios en Correo 23.000 usuarios en Aplicativos externos 10.000 usuarios de Aplicativos internos TOTAL: 74.500 De los cuales 4.700 corresponden a usuarios críticos, resguardados para ser utilizados en caso de emergencia..

  9. 1. Política de Seguridad 2. Organización de Seguridad 3. Clasificación y Control de Activos 4. Aspectos humanos de la seguridad 5. Seguridad Física y Ambiental 6. Gestión de Comunicaciones y Operaciones 7. Sistema de Control de Accesos 8. Desarrollo y Mantenimiento de Sistemas 9. Gestión de Incidentes de Seguridad • Plan de Continuidad del Negocio • Cumplimiento Marco NormativoISO 27001 / 27002

  10. Normativa Políticas Normas Procedimientos EstándaresTécnicos

  11. Modelo Conceptual Controles Continuidad de Negocio Usuarios Canales Hardware Software y Aplicaciones Información Negocio

  12. Como concientizar ? • Cursos presenciales de concientización a usuarios finales • Inducción / Mandos Medios / Gerencia • Cursos a distancia (elearning) • Circulares • Publicaciones en revista corporativa Algunos temas tratados: • Navegar Protegido • Prevención contra Virus • Consejos sobre Redes Sociales • Buenas Prácticas de Contraseñas • Uso de Medios extraíbles • Consejos sobre Home Banking • Resguardo de Archivos Personales • La importancia de Reporte de Incidentes

  13. Aspectos a Tener en Cuenta • Apoyo de la Alta Gerencia • Independencia del Área de Sistemas • Implementación de un Sistema de Gestión de Seguridad (SGSI) • Presupuesto Propio para adquirir herramientas • Cumplimiento Legal y Normativo • Planificación estratégica orientada a segurizar el negocio • Plan de Concientización de usuarios • Monitoreo y Controles basados en • métricas preestablecidas (Tablero de Control)

  14. A I Seguridad InformáticaAspectos a tener en cuenta • ”Los gerentes de seguridad de la información eficientes entienden que las auditorías constituyen tanto un proceso esencial de aseguramiento como un aliado crítico e influyente para alcanzar un nivel adecuado de gobierno y cumplimiento de la seguridad” • Los auditores “pueden ser un factor clave en la implementación de los estándares de seguridad al comunicar información de retroalimentación basada en los resultados de las auditorías a la alta dirección para influir en la posición de los ejecutivos y conseguir su apoyo para actividades relacionadas con la seguridad” • “Incluir auditores en la gestión general de la seguridad puede ser una herramienta poderosa para mejorar la cultura de seguridad de una organización” Fuente: ISACA – Manual CISM – (CertifiedInformation Security Manager)

  15. A I Auditoría Interna Normas Internacionales para el ejercicio profesional(sobre Atributos – sobre Desempeño) • La actividad de auditoría interna debe proporcionar servicios independientes y objetivos de aseguramiento y consulta, concebidos para agregar valor y mejorar las operaciones de la organización(Atributos: 1100 – Independencia y objetividad) • Estatuto– Código de Ética – Comité de Auditoría (Atributos: 1000 – Propósito, Autoridad y Responsabilidad) • Capacitación continua (Atributos: 1200 – Aptitud y cuidado profesional) • Debe evaluar y contribuir a la mejora de los procesos de gobierno, gestión de riesgos y control, utilizando un enfoque sistemático y disciplinado (Desempeño: 2000, 2100, 2200, 2300, 2400, 2500, 2600) • Planes – Procedimientos– Matriz de Riesgo – Herramientas(Desempeño: 2000, 2100, 2200, 2300, 2400, 2500, 2600) • Aseguramiento y mejora de la calidad (Atributos: 1300 –Programa de aseguramiento y mejora de la calidad)

  16. A I Auditoría Interna Normas Internacionales para el ejercicio profesional de la AI(de implementación) • AUDITORIA DE SISTEMAS • Incorpora / Utiliza • Herramientas y Soporte en TI • Herramientas adquiridas • Desarrollos propios • Mejores Prácticas • COBIT • ITIL / CMMI / PMBoK • ISO 20000/21500/27000/31000 • NIST 800 • Certificaciones • (22 auditores / 35 certificaciones • 11 CISA / 2 CISM / 9 CRISC / 3 CGEIT • 2 ISO 27001 • 2 CISSP • 1 CPP • 5 QAR • Norma (D) 2100 - Naturaleza del Trabajo • 2110.A2: evaluar si el gobierno de TI apoya las estrategias y objetivos de la organización. • 2120.A1: evaluar las exposiciones al riesgo referidas a gobierno, operaciones y sistemas de información de la organización, con relación a lo siguiente: • Logro de los objetivos estratégicos de la organización, • Fiabilidad de integridad de la información financiera y operativa, • Eficacia y eficiencia de las operaciones y programas, • Protección de activos, y • Cumplimiento de leyes, regulaciones, políticas, procedimientos y contratos

  17. A I Normativa de SI • AUDITORIA DE SISTEMAS • Verifica / Evalúa • Existencia, adecuación y cumplimiento de las Políticas, Normas, Procedimientos y Estándares Técnicos • Monitoreo ejercido por SI • Contribuye • al conocimiento de la normativa por parte de áreas auditadas, Alta Dirección y Comité de Auditoría, a través de sus informes de auditoría, donde expone debilidades, riesgo asociado y recomendaciones.

  18. A I Modelo Conceptual SI Controles y Continuidad de Negocio • AUDITORIA DE SISTEMAS • Participa • Comité de TI y SI (proyectos estratégicos, tácticos, presupuesto, informes de gestión) • Proyectos de TI y SI • Proceso de Gestión de Riesgo de TI • Pruebas de Continuidad y Recuperación • Evalúa • Comunicación de las Aspiraciones y la Dirección de las Gerencias • Procesos, Organización y Relaciones de TI • Responsabilidad sobre el Riesgo, la Seguridad y el Cumplimiento • Gestión de Riesgo de TI • Planeación de Proyectos y Métodos de Aseguramiento • Controles de TI (Generales/de Aplicación) • Plan y Pruebas de Continuidad Normas Internacionales para el ejercicio profesional - Glosario: Controles de TI: “Soportan la gestión y el gobierno del negocio, y proporcionan controles generales y técnicos sobre las infraestructuras de tecnología de la información tales como aplicaciones, información, infraestructura y personas.” Gobierno de TI: “Consiste en el liderazgo, las estructuras de la organización y los procesos que aseguran que la tecnología de la información de la empresa soporta las estrategias y objetivos de la organización.”

  19. Controles y Continuidad de Negocio A I Negocio • AUDITORIA DE SISTEMAS • Elabora • Plan Anual de Auditoría basado en riesgo (considerando el BIA) • Efectúa • Auditorías por Procesos • Auditorías Específicas • Verifica / Evalúa • que las actividades de TI y SI se encuentren alineadas al Negocio. • la efectividad del Plan de Continuidad de Procesamiento y sus pruebas • cumplimiento regulatorio • Contribuye • a través de sus informes, a la asignación de recursos de TI y SI

  20. Controles y Continuidad de Negocio A I Información • AUDITORIA DE SISTEMAS • Verifica / Evalúa • Esquema de Clasificación de Datos • Controles de Acceso según“necesidad de conocer” / “mínimo privilegio” • Procesamiento, Resguardo y Recuperación de Datos • Administración de Contratos y Riesgos con Proveedores • Gestión de Incidentes y problemas de seguridad • Gestión de Usuarios sensitivos • Monitoreo ejercido por SI

  21. Controles y Continuidad de Negocio A I Software y Aplicaciones • AUDITORIA DE SISTEMAS • Verifica / Evalúa • Seguridad y Disponibilidad de las Aplicaciones y SW de base (SOs, BDs) • Monitoreo ejercido por TI • Ciclo de Vida (Adquisición / Desarrollo, Pruebas, Instalación, Configuración, Cambios) • Administración de Contratos y Riesgos con Proveedores • Gestión de Incidentes y Problemas • Gestión de Usuarios sensitivos • Monitoreo ejercido por SI

  22. Controles y Continuidad de Negocio A I Hardware • AUDITORIA DE SISTEMAS • Verifica / Evalúa • Seguridad y Disponibilidad de la Infraestructura tecnológica • Monitoreo ejercido por TI • Ciclo de Vida (Adquisición, Instalación, Mantenimiento, Configuración, Cambios) • Gestión de la Capacidad • Continuidad de Servicio • Administración de Contratos y Riesgos con Proveedores • Gestión de Incidentes y Problemas • Gestión de Usuarios sensitivos • Monitoreo ejercido por SI

  23. Controles y Continuidad de Negocio A I Canales • AUDITORIA DE SISTEMAS • Verifica / Evalúa • Seguridad y Disponibilidad de Canales (ATM/TAS/BI/BT/BM) • Protocolos / Encripción • Monitoreo ejercido por TI • Ciclo de Vida (Adquisición, Instalación, Mantenimiento, Configuración, Cambios) • Gestión de la Capacidad • Continuidad del servicio • Administración de Contratos y Riesgos con Proveedores • Gestión de Incidentes y Problemas • Gestión de Usuarios sensitivos • Monitoreo ejercido por SI

  24. A I Usuarios • AUDITORIA DE SISTEMAS • Verifica / Evalúa • Concientización sobre temas de seguridad / Compromiso de confidencialidad • Roles sobre activos de información • Asignación de perfiles por función según “necesidad de conocer” / “mínimo privilegio” • Generación, Distribución y Revocación de Usuarios • Monitoreo ejercido por SI • Monitorea • Usuarios sensitivos de SI • Contribuye • a generar conciencia en temas de seguridad a través de sus informes de auditoría Controles y Continuidad de Negocio

  25. A I 3LoD para Gestión de Riesgos Modelo de las tres líneas de defensa (3LoD, en inglés) ¿aplicable a Seguridad Informática? Fuente: IAIA (Plataforma Global de Defensa y Promoción)

  26. A I 3LoD para Gestión de Riesgos y Seguridad Informática • Primera línea de defensa (Gerencia operativa) GR Tiene la propiedad, responsabilidad y obligación de evaluar, controlar y mitigar los riesgos, a la vez que mantiene controles internos eficaces. SI Tiene la propiedad, responsabilidad y obligación de definir la adecuada segregación de funciones, otorgar acceso a la información con los principios de “necesidad de conocer y mínimo privilegio”, cumplimiento de Políticas, Normas y Procedimientos de Seguridad. • Segunda línea de defensa (Contralor, Gestión de riesgos, Seguridad Informática, otras funciones de cumplimiento) GR Facilitan y supervisan la implementación de prácticas de gestión de riesgos eficaces por parte de la gerencia operativa y ayudan a los responsables de riesgos a distribuir la información adecuada sobre riesgos hacia arriba y hacia abajo en la organización SI Facilitan y supervisan la implementación de las Políticas de Seguridad por parte de la gerencia operativa, ayudan a difundir la cultura de seguridad de la información. Administra el SGSI, informa a la Alta Dirección el estado de la Seguridad. Fuente: IAIA (Plataforma Global de Defensa y Promoción)

  27. A I 3LoD paraGestión de Riesgos ySeguridad Informática • Tercera línea de defensa (Auditoría interna) GR A través de enfoque basado en el riesgo, proporcionará aseguramiento sobre la eficacia de gobierno, gestión de riesgos y control interno en el organismo de gobierno y la alta dirección de la organización, incluidas las maneras en que funcionan la primera y segunda línea de defensa. Esta responsabilidad cubre todos los elementos del enfoque de gestión de riesgos de la institución: identificación de riesgo, evaluación de riesgo y respuesta a comunicaciones de información relativa a riesgos (de toda la organización y hacia la alta dirección y el organismo de gobierno). SI • Auditoría externa y Organismos reglamentarios externos Se ubican fuera de la estructura de la organización. Cumplen un rol en la estructura de gobierno general y de control de la organización (este es específicamente el caso en los sectores regulados como el sector de bancos). Se pueden considerar como una línea de defensa adicional que proporciona aseguramiento a los accionistas, al consejo y a la alta dirección. GR SI Fuente: IAIA (Plataforma Global de Defensa y Promoción)

  28. A I Gestión de Riesgos de TI Proporciona una visión singular de cómo es cada sistema, qué valor posee, a qué amenazas está expuesto y de qué salvaguardas se ha dotado GR • Activos • Amenazas • Salvaguardas SI AS • AUDITORIA DE SISTEMAS • Verifica / Evalúa / Utiliza • la Gestión de Riesgos de TI Mejores prácticas / Regulaciones ISO 27005 framework Risk Analysis and Evaluation ISO 31000 Risk Management Risk IT Framework (ISACA) NIST SP 800 30 framework for Mitigation Magerit Methodology for IT Risk Analysis BCRA 4609 / 4793 / 5374

  29. Riesgos de TI Seguridad Informática Auditoría de Sistemas Negocio Información Usuarios Seguridad Informática Aplicación Auditoría por proceso Modelo conceptual Aplicación Aplicación Clasificación de Activos, Análisis y Gestión de Riesgos Aplicación Software de Base Software de Base Servidor Servidor Usuarios Hardware Canales Auditoría específica por aplicativo / plataforma / canal / UF (Aspecto Seguridad)

  30. Resumen / Conclusiones • Apoyo de la Alta Gerencia, Presupuesto Propio, Independencia del Área de TI • Cumplimiento Legal y Normativo • Planificación estratégica orientada al negocio • Sistema de Gestión de Seguridad de la Información (SGSI) • Concientización a Usuarios • Monitoreo y control con métricas pre-establecidas • Apoyo de Auditoría • proceso de aseguramiento de la seguridad • factor clave en la implementación de los estándares de seguridad • herramienta poderosa para mejorar la cultura de seguridad de una organización • aliado crítico e influyente para alcanzar un nivel adecuado de gobierno y cumplimiento de la seguridad MIRADA HOLISTICA SINERGIA

  31. La Seguridad: Otra mirada “La Buenaventura” - Michelangelo Caravaggio Al observar ésta obra, la atención del espectador se centra en las intensas miradas de los personajes, ubicadas en el área más iluminada del cuadro….

  32. La Seguridad: Otra mirada “La Buenaventura” - Michelangelo Caravaggio …Pero sin advertir lo que sucede en sus manos…

  33. Información de Contacto Mónica Rela mrela@bna.com.ar 54 11 4347 7008 Roberto Arienti rarienti@bna.com.ar 54 11 4347 6806 Banco de la Nación Argentina www.bna.com.ar

  34. Preguntas y Respuestas

  35. ¡Muchas Gracias por su atención!

More Related