El papel de los estándares como referencia: Del IT Governance al IT Security Governance

1. El papel de los estándares como referencia: Del IT Governance al IT Security Governance

2. Definiciones • Gobierno IT: • Parte integral del gobierno de la empresa. • Consiste en el liderazgo, las estructuras organizacionales y los procesos que aseguran que la organización de IT y las estrategias y objetivos de la organización se encuentran alineados • Gobierno de la Seguridad de la Información: • Proceso de establecer y mantener un marco y una estructura de gestión y procesos que provean aseguramiento de que las estrategias de seguridad de la información están alineados con los objetivos de negocio, siendo conformes con la legislación vigente por medio de políticas y controles internos y asignando responsabilidades suficientes para gestionar adecuadamente el riesgo.

3. ¿Qué es un SGSI? • El SGSI (Sistema de Gestión de Seguridad de la Información) es el resultado de que la gestión de la seguridad de la información se realice mediante un proceso sistemático, documentado y conocido por toda la organización. (Information Security Management System) • Por analogía, se considera el sistema de calidad para la seguridad de la información. • No trata de garantizar un nivel de protección total ni la seguridad perfecta, sino que los riesgos de la seguridad de la información son • Conocidos • Asumidos • Gestionarlos y minimizados • De una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías • Pretende “organizar la seguridad de la información en función de los riesgos de la compañía”

4. ¿Por qué se implantan los SGSI’s? • Requerimientos de los clientes (típicamente en empresas de servicios) • Principios corporativos • Imagen, reputación, ventaja competitiva en el sector • Necesidades en entornos interrelacionados (por ejemplo, cadenas de valor integradas) • Cumplimiento normativo de diferentes ámbitos: • Sarbanes – Oxley • Basilea II • GLBA • HIPAA • Ley de Transparencia de las Sociedades Anónimas Cotizadas • Gobierno Corporativo • Sistemas de control del riesgo

5. Marco de referencia ISO • ISO/IEC 27000 Fundamentals and vocabulary (en desarrollo - distribución gratuita) • ISO/IEC 27001 ISMS - Requirements (revised BS 7799 Part 2:2005) – Publicado el 15 de octubre del 2005 • ISO/IEC 27002 Code of practice for information security management - Actualmente ISO/IEC 17799:2005, publicado el 15 de junio del 2005 • ISO/IEC 27003 ISMS Implementation guidance (bajo desarrollo) • ISO/IEC 27004 Information security management measurement (bajo desarrollo) • ISO/IEC 27005 Information security risk management (basado e incorporado a ISO/IEC 13335 MICTS Part 2) (bajo desarrollo) • ISO/IEC 27006 Requerimientos para organismos de acreditación (publicada en Febrero 2007)

6. Niveles de madurez

7. El eje de la calidad De la secuencia de implantación de controles…. ….al análisis de la calidad de su implantación

8. Nuevos perfiles profesionales • Definición y desarrollo de nuevos perfiles profesionales que ligan tecnología y negocio (la llamada C-Suite) • CEO (Chief Executive Officer) • CFO (Chief Financial Officer) • COO (Chief Operations Officer) ……………… • Chief Information Officer (CIO) • Chief Information Security Officer (CISO) • Chief Risk Officer (CRO) • Chief Privacy Officer (CPO) • Chief Technical Officer (CTO)

9. Nuevas tendencias • VAL IT (www.itgi.org) • Amplía y complementa COBIT • El objetivo de esta iniciativa es ayudar a la dirección general a asegurar que las organizaciones obtienen el mejor valor posible de sus inversiones relacionadas con IT, a un coste razonable y con un aceptable nivel de riesgo • VAL IT provee guías, procesos y prácticas de soporte para ayudar a la Dirección de las Organizaciones a comprender y a llevar a buen término los términos y resultados de sus inversiones en IT. • Diferencia con COBIT • Val IT se enfoca en las deciones de inversión y en la obtención de beneficios • ¿Estamos haciendo lo correcto? • ¿Estamos obteniendo beneficios? • COBIT se enfoca en la ejecución • ¿Estamos haciendo las cosas bien?

10. Nuevas tendencias Ejemplo

11. Nuevas tendencias VAL IT COBIT

12. Cuestionario Cátedra de Riesgos • ¿Cual es el grado de implicación de la Dirección General en la gestión de la seguridad de su información de su compañía? • ¿Qué grado de criticidad le otorga la Dirección General de la compañía a la protección de sus activos de información? • Razones para gestionar la privacidad y la seguridad de la información • ¿Qué porcentaje de su presupuesto en IT está dedicado a la gestión de la seguridad de la información? • ¿A qué áreas de la seguridad de la información se dedica el presupuesto asignado? Indique qué porcentaje se dedica aproximadamente a cada área • Indicar en qué áreas se crecerá más, presupuestariamente hablando. • ¿Maneja su organización estándares de referencia? • ¿Dispone de un Plan Director de Seguridad? • ¿Dispone de un SGSI? • ¿Exige a sus proveedores la certificación en SGSI? • ¿Dispone de un sistema de métricas e indicadores (KPI, KGI, etc) para evaluar la evaluación de su seguridad? • ¿Dispone de algún método de evaluación del ROSI?

13. Próxima Jornada • Análisis y Gestión de Riesgos • Criterios de valoración y aceptación del riesgo • Descripción de las diversas metodologías • Enfoques del análisis de riesgos • Fases del Análisis de Riesgos • El proceso de Gestión de Riesgos • Asunción • Mitigación • Transferencia del Riesgo • Aproximación al valor (ROI) de la inversión en seguridad de la información. • Ejemplos prácticos basados en experiencias reales

14. 4 Contacto Fernando Aparicio faparicio@profesor.ie.edu catedra.riesgos@ie.edu http://crsi.ie.edu