slide1
Download
Skip this Video
Download Presentation
Estrategia, regulación o cumplimiento: Integración SGSI, Governance , Risk and Compliance

Loading in 2 Seconds...

play fullscreen
1 / 44

Estrategia, regulación o cumplimiento: Integración SGSI, Governance , Risk and Compliance - PowerPoint PPT Presentation


  • 123 Views
  • Uploaded on

Estrategia, regulación o cumplimiento: Integración SGSI, Governance , Risk and Compliance Junio 13 de 2013. Armando Carvajal Arquitecto de soluciones - globalteksecurity Msc en seguridad inform á tica Universidad Oberta de Catalunya

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'Estrategia, regulación o cumplimiento: Integración SGSI, Governance , Risk and Compliance' - ayala


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
slide1
Estrategia, regulación o cumplimiento: Integración SGSI, Governance, Risk and Compliance

Junio 13 de 2013

Armando Carvajal

Arquitecto de soluciones - globalteksecurity

Mscen seguridad informática Universidad Oberta de Catalunya

Especialista en construcción de software para redes - Uniandes

Ing. Sistemas – Universidad Incca de Colombia

globaltek security s a tecnolog as globales para la seguridad de la informaci n
GLOBALTEK SECURITY S.A.Tecnologías globales para la Seguridad de la Información
  • La misión de GLOBALTEK SECURITY S.A. es ayudar a nuestros clientes a proteger los datos y la información sensitivay como consecuencia, mejorar la productividad de los empleados y la efectividad de la compañía en sus procesos de negocios
definici n de resiliencia en seguridad de la informaci n
Definición de Resiliencia en seguridad de la información
  • Es la medida o grado de superación de la organización frente a la adversidad de pérdida de datos sensibles que tienden a impactar el patrimonio de los socios con alta probabilidad de cerrar la organización

Armando Carvajal, Msc Seguridad Informatica

slide6
INFORMACION

La información es un activo y como cualquier otro activo que genera valor al patrimonio, éste es importante para la organización y por consiguiente debe ser adecuadamente protegido

Los riesgos son inherentes a los activos de la organización y la única forma de administrarlos es gestionándolos

problem tica
Problemática

ElCrecimiento de la organización, el Cambio permanente, los nuevos proyectos y los requerimientos de entes de control no dan tiempo para concentrarse en la seguridad de La información

No se ha hecho un Análisis de Riesgos que permita determinar los riesgos, amenazas y vulnerabilidades que puedan afectar la continuidad del negocio

Nohay políticas de seguridad de la información dentro de la organización

problem tica1
Problemática

Al no conocer los riesgos y amenazas mas relevantes, entonces noexiste un plan de inversión en seguridad de la información que responda a esos riesgos

No hay suficientes controles concretos para disminuir los riesgos y amenazas contra la seguridad de la información y contra la productividad, los que existen son componentes básicos de la infraestructura de computación

Ya existen incidentes de seguridad de la información y no sabemos el impacto en el patrimonio

problem tica2
Problemática

No hay análisis de impacto del negocio (BIA) ni planes de contingencia que garanticen la continuidad de las operaciones en caso de desastre

La seguridad física del centro de cómputo de la oficina principal, ha presentado deficiencias y problemas que no han sido evaluados y corregidos apropiadamente

Dado que no existe el análisis de riesgos, no hay forma sistemática de gestionarlos para disminuirlos hasta un nivel razonable

propuesta concreta
Propuesta concreta
  • Se recomienda iniciar por el proceso o por los servicios que le producen los mayores ingresos a la organización (Proceso misional)
  • Una vez implantado se verifica y asegura su correcto funcionamiento
  • Se plantea ampliar su alcance e involucrar nuevos procesos al SGSI – Nivel de Madurez
  • Generar un ambiente de Cultura en Seguridad de la información a nivel corporativo
slide12
Entendimiento de los Requerimientos

GAP

Revisión del Análisis del Riesgos frente al SGSI y BCP

  • Evaluación del Riesgo
  • Probar BCP
  • Elaboración Planes de Tratamiento
  • Completar BCP
  • Documentación e implantación SGSI
  • Documentar BCP

Campaña Divulgación SGSI - BCP

Acompañamiento en la creación de plantillas en un portal web de gestion

  • Ciclo Metodológico propuesto

Debe ser un ciclo metodológico estructurado y articulado:

slide13
Análisis de Situación Actual (GAP)

Activos de Información, documentación y Controles Existentes

Análisis GAP (Brecha)

Alistamiento para el Análisis de Riesgos

Requerimientos de Certificación

Activos Valorados

Requerimientos de Seguridad

Estado de Implantación

Estado Deseable = ? Una ilusión ?

Estado Actual

Controles

propuesta con foco
Propuesta con foco
  • El foco de esta propuesta se centra en dos fases generales: identificar y gestionar el riesgo
  • Se debe hacer transferencia de conocimientos para que la organización sea autónoma en el resto de procesos
  • Generar un ambiente en seguridad de la información para visualizar el retorno de inversión tecnológico
propuesta con foco1
Propuesta con foco
  • La implementación de la norma ISO 27002:2005 como parte de la ISO27001:2005 considera 11 dominios que a su vez se reflejan en 39 objetivos de control que terminan en 133 controles
  • Se pueden visualizar los dominios como grupos o etapas que idealmente se deben seguir en forma secuencial pero no es mandatorio
fases del proyecto
Fases del proyecto
  • Fase I – Identificación de la situación actual de seguridad de la organización (Análisis GAP)
  • Fase II – Evaluación del riesgo asociado teniendo en cuenta los factores identificados en la Fase I, el análisis de riesgos y las pruebas de penetración
fases del proyecto1
Fases del proyecto
  • Fase III – Definición de los planes de acción necesarios con métricas para cubrir las brechas existentes tanto en el SGSI como en los riesgos identificados
  • Fase IV – Revisión de los planes de continuidad del negocio: BIA, DRP, CP = BCP
  • Fase V – Divulgación del SGSI y del Sistema de Continuidad del Negocio
fases del proyecto2
Fases del proyecto
  • Fase VI – Creación de las plantillas y almacenamiento en un portal web de gestión que permita a otros procesos y servicios diferentes a tecnología puedan más fácilmente implementar su SGSI para el resto de procesos del negocio basados en la experiencia aprendida del proceso de tecnología
  • Estas fases son opcionales y dependen de las expectativas de cada organización
an lisis de riesgos la base de todo el sistema de gestion
Análisis de riesgos: la base de todo el sistema de gestion
  • Todos los controles deberán justificarse sobre la base del análisis de riesgos
  • Análisis de vulnerabilidades
  • Hacking ético
  • Entregable: Inventario de activosvaluado con amenazas, fallas, controles y responsable en el portal

De forma paralela se desarrollara el BIA (Análisis de Impacto) como fuente para la definición del BCP

slide23
Comunicación

Definir el Contexto

Seguimiento y Monitoreo

Identificar Riesgos

Analizar Riesgos

Evaluar Riesgos

Tratar Riesgos

  • Análisis de Riesgos

Retomando toda la información obtenida, se llevará a cabo el análisis de riesgos utilizando alguna metodología: Ejemplo Magerit, AS NZS4360, NTC5254 o ISO31000:

Análisis GAP

Análisis Riesgos

Tratamiento

sgsi 1 politica
SGSI: 1-Politica
  • La política de seguridad tiene por objetivo aportar las directrices de la seguridad de la información de acuerdo con los requerimientos y legislación vigente; fundamental para la implantación del resto de los controles

Entregable: Politica de seguridadpublicada y firmadapor

representante legal documentada en portal

sgsi 2 organizaci n
SGSI: 2-Organización
  • Implica la creación de un comité que supervisará los diferentes aspectos de la seguridad de la información; será el grupo que tendrá el apoyo directo de la alta gerencia y podrá conceptuar y decidir sobre los cambios del SGSI

Entregable: Documento de creacion del comite, susmiembros y funcionesgestionado en el portal web

sgsi 3 gestion de activos
SGSI: 3-Gestion de activos
  • Este dominio promueve la protección y tratamiento de los activos de información importantes para la organización; establece responsabilidades sobre ellos y clasifica la información basada en su confidencialidad

Entregable: Documento con la clasificación de los activos

de informacióngestionado en el portal web

sgsi 4 personal
SGSI: 4-Personal
  • La seguridad de la información depende del recurso humano (ing.social), deberían implantarse controles de seguridad que abarquen el ciclo de vida de los funcionarios, desde su selección hasta el momento en que dejen la organización

Entregable: Documento con plan de capacitaciónsobrepoliticas de seguridad de la informacióndocumentado en el portal web

sgsi 5 seguridad f sica
SGSI: 5-Seguridad Física
  • Cubre los aspectos relativos a la seguridad física de la organización, especialmente los destinados a reducir los riesgos de que se produzcan accesos no autorizados o Interrupciones en las actividades; incluye desde los edificios hasta la seguridad física de los equipos

Entregable: Documento de auditoríasobrecontrolesexistentes y mejoras a gestionar en el portal web de gestión

sgsi 6 comunicaciones y operaciones
SGSI: 6-Comunicaciones y operaciones
  • Se tratan todos los aspectos relativos a la seguridad de las operaciones
  • Considera el mayor numero de controles legales y mecanismos conocidos de protección de la información

Entregable: Documento con sugerencias y solucionesespecíficasademásde la segregacion de funcionesalmacenados en el portal web de gestión…

sgsi 7 control de acceso
SGSI: 7-Control de acceso
  • En este punto se trata de evitar que personal no autorizado pueda lograr el acceso a la información que se está protegiendo, puede considerarse que este dominio se refiere a los accesos lógicos a la información; no tienequever con lo fisico. Ej: DLP

Entregable: Documento de políticas con segregación de roles, gestióncontraseñasgestionado en el portal web…

sgsi 8 adquisicion mantenimiento y desarrollo de sist inf
SGSI: 8-Adquisicion, mantenimiento y desarrollo de Sist.Inf
  • Análisis de vulnerabilidades de la red
  • Análisis de vulnerabilidades de la aplicación (SQL injection, criptografía de claves, etc)
  • Pruebas de penetración a cada servidor crítco del negocio
  • Revisión de configuraciones de dispositivos de red

Entregable: Documento con el resultado de laspruebastécnicasgestionado en el portal web

sgsi 9 gestion de incidentes
SGSI: 9-Gestion de incidentes
  • A pesar de los anteriores controles pueden presentarse incidentes de seguridad que se deben gestionar de manera que el impacto que puedan provocar sea el mínimo posible
  • Entregable: Documentos y módulo de gestión de incidentes paraque el área de atención de incidentes pueda manejarlos oportunamente con métricas e indicadores en el cuadro de mandos
sgsi 10 gestion de la continuidad del negocio
SGSI: 10-Gestion de la continuidad del negocio
  • El objetivo de la seguridad de la información es evitar que las actividades propias de la organización se vean interrumpidas por alguna circunstancia; los planes de continuidad de negocio para cualquier organización son imprescindibles

Entregables: Documentoquemuestre el análisis del impacto del negocio o BIA para planear los casos de desastresdocumentado con el DRP en el portal web

sgsi 11 legislacion vigente
SGSI: 11-Legislacion Vigente
  • Este último dominio trata de garantizar el cumplimiento de la legislación vigente y de las regulaciones que afecten a la organización
  • Cada sector en particular además de la normatividad general tiene su propia legislación

Entregable: Documentomatriz de regulaciones contra cumplimiento: Ej Circular 052, PCI, derechos de autor, ley 1581 de oct/2012 gestionado en el portal web

conclusiones1
Conclusiones
  • El SGSI se hacen por una de tres razones: estrategia, regulación o cumplimiento
  • La norma dice el que hacer pero no dice como hacerlo
  • Se hace de forma tradicional (muchos recursos) o con herramientas automatizadas
  • El SGSI incorpora elementos de otros sistemas de gestión liderados por otros responsables que repiten el proceso (inventario de activos, riesgos, diagrama de procesos, servicios, etc)
conclusiones2
Conclusiones
  • Se debe gestionar el riesgo para conocer sus vulnerabilidades e impacto en el patrimonio de los socios
  • Hay que construir resiliencia por ejemplo con DLP para proteger los datos confidenciales
  • Hay que cifrar los datos y los correos confidenciales
  • Hay que hacer auditorias técnicas para evaluar si se están cumpliendo las normas mínimas
conclusiones3
Conclusiones
  • Hay que hacer BIA para mejores planes de contingencia, DRP y BCP
  • La seguridad de la información no es un problema de índole tecnológico
  • Se deben crear métricas que tengan en cuenta los deseos de las altas directivas
  • Se debe buscar gradualmente la certificación ISO 27001:2005 pero esto no se debe hacer en el momento del diseño del sistema de gestión
conclusiones4
Conclusiones
  • Pare de sufrir: Hay que ayudarse de herramientas tipo portales web que permitan la integración de sistemas de gestión para NO fracasar en el intento de implementar un SGSI
bibliograf a
Bibliografía
  • Gobierno en línea/Colombia
  • Icontec Norma ISO NSC 17799:2005 (Ahora 27002:2005)
  • Icontec Norma ISO NSC 27001
  • Borradores del proyectosobre SGSI de la superintendenciafinanciera
gracias por su atenci n
Gracias por su atención

Más información en www.globalteksecurity.com

Email: [email protected]

ad