SlideShare una empresa de Scribd logo

Marcos seguridad-v040811

Descargar como PPTX, PDF
F
faau09
1 de 41
La estrategia de seguridad como un habilitador para el cumplimiento de los objetivos estratégicos de las organizaciones Pink Elephant Iberoamérica
"La estrategia de seguridad como un habilitador para el cumplimiento de los objetivos estratégicos de las organizaciones." Seguridad de la Información
Seguridad de la Información La Seguridad de la información se define como la preservación de las siguientes características: Confidencialidad: se garantiza que la información sea accesible sólo a aquellas personas autorizadas a tener acceso a ella. Integridad: se salvaguarda la exactitud y totalidad de la información y los métodos de procesamiento. Disponibilidad: se garantiza que los usuarios autorizados tengan acceso a la información y a los recursos relacionados con ella toda vez que se requiera.
El problema se gesta internamente ,[object Object]
Incremento exponencial del riesgo operativoEl Manejo Seguro de Información es una necesidad imperativa 76% de incidentes Protección de información y cumplimiento ,[object Object]
Diligencia en la protección de datosComplejidad de las amenazas ,[object Object]
Visibilidad limitada de información clasificadas81% de compañías afectadas no cumplían con estándares (PCI) $6.7 costo de incidentes
Anatomía de un Incidente Crimen organizado Usuarios bien intencionados Ataques internos
Entorno del Manejo de Información EMPRESASSIN MUROS EXPLOSIÓN DE DATOS EL PAPELDE LA SEGURIDAD Un perímetro que se desvanece La oficina se encuentra “en cualquier lugar” Tercerización y relocalización Los datos se encuentran en todas partes Datos estructurados, contenido no estructurado PI, cliente y datos clasificados Riesgos y cumplimiento Presupuestolimitado Habilitador de negocio
Alineación de la Seguridad al Negocio
ObjetivosEstratégicos de la Seguridad
Principales Desafíos ,[object Object]
Baja tolerancia a incidentes de seguridadEscrutinio de entidades regulatorias ,[object Object]
Requerimientos explícitos de confidencialidad, disponibilidad y seguridad de la información
Necesidad de continuidad operativa
Eficiencia Operativa
Aumento de la RentabilidadObjetivos del negocio Estrategia de Seguridad Características de la industria Oportunidades en capacidades actuales ,[object Object]
Madurez del Modelo de seguridad,[object Object]
Propósito fundamental de la Seguridad. Alto Evitar Transferir El propósito fundamental de la seguridad es: “Administrar el riesgo al cual la organización se encuentra expuesta con respecto a la información” Nivel de riesgo inaceptable Impacto al negocio Nivel de riesgo aceptable Aceptar Reducir Alto Bajo Probabilidad de que se aprovechen las brechas de seguridad
Visión de los Sistemas de Gestión de Seguridad de la Información (SGSI). Factor Humano Compromiso Directivo SGSI Riesgos Tecnología Gestión
Modelo de Madurez Nivel 5 Sistema Optimizado Procesos inconsistentes Nivel 4 Sistema Administrado Procesos desorganizados Nivel 3 Sistema Definido Mejores prácticas Procesos inexistentes Nivel 2 Sistema Intuitivo Procesos medidos y monitoreados Nivel 1 Sistema Intermitente Procesos documentados y comunicados Nivel 0 Sistema Inexistente
Cuestiones a responder con el Plan de Seguridad ,[object Object]
¿Cuál es el valor real de mis activos de información?
¿Qué tipo de amenazas se encuentran presentes al día de hoy en nuestra organización?
¿Qué nivel de riesgo se presenta actualmente en la organización?
Nuestro personal, ¿se encuentra consciente del valor de nuestra información?Características de la gestión de información Impactos económicos y financieros SESI ,[object Object]
¿Cuáles son los costos y gastos asociados a la falta de gestión de la seguridad de información?
¿Cómo estructuramos el liderazgo de seguridad de información a manera de garantizar la aceptación de nuevos controles y prácticas?
De acuerdo al nivel de seguridad y riesgo, ¿Cuáles deben ser nuestras prioridades de implementación de controles?Mecanismos de implementación
"La estrategia de seguridad como un habilitador para el cumplimiento de los objetivos estratégicos de las organizaciones." 3.- Marcos de Referencia, Requerimientos y Regulaciones
Definiciones Básicas Define una estructura básica de controles utilizados para resolver cuestiones complejas como el lograr el cumplimiento de ciertas regulaciones u objetivos o realizar auditorías sobre procesos específicos. Se basa en técnicas, métodos, controles, etc., probadas en la industria que provocan esperados resultados y medibles al implementar controles y procesos. Estándar/ Norma Marcos de Referencia Regulaciones Mejores Prácticas Consiste en una serie de requerimientos y reglas impuestos ya sea por el gobierno o la industria para la utilización de ciertos mecanismos y que en caso de no cumplirse pueden ocasionar multas o la prohibición de realizar ciertas actividades. Las regulaciones pretenden controlar salidas y/o entradas. Establece una serie de especificaciones y controles independientes de fabricantes. Además cuenta con reconocimiento internacional mediante procesos certificados.
Esquemas referenciables Especifico Tecnología / Reqs. adicionales Sistemas de reporte financiero Desarrollo de sistemas Entrega de serv. TI / Operaciones Seguridad de la Información Controles a nivel compañía COSO/COSO 2/COBIT Guías de Mejores prácticas ITIL ISO 20000-2 CMM ISO21827 RUP, ASL ITGI SOX *COBIT, COSO SOX 404 COSO COSO 2 (ERM) ISO27002 ISO27005 X ISO X ANSI Normas o estándares certificables ISO 20000-1 ISO 27001 CNBV, SHCP PCI, FFIEC HIPAA, CNBV HL7, SHCP PCI, FFIEC HIPAA, CNBV HL7, SHCP PCI, FFIEC HIPAA, CNBV HL7, SHCP Regulatorio, Requerimientos de Industria PCAOB SOX SAS 70 TRUST SERVICES Webtrust For CAs Marcos de referencia PCAOB
Mapa de relación de marcos Desempeño Metas de negocio Cumplimiento SOX, BASILEA II, PCI, ETC Motivadores BSC Val IT COSO PRINCE 2 / PMBOK GobiernoCorporativo COBIT Gobierno de TI ISO 9001 ISO 20000 ISO 27005 CMMI Estándares y normas SSE - CMM ISO 27001 BS 25999 Procedimientos de desarrollo y mantenimiento Procedimientos de seguridad ITIL Principios de Seguridad (OECD) DRII Procesos y procedimientos
Elementos de COSO
Composición de Cobit 4 Dominios 34 Procesos Controles 215 Actividades Objetivos de Control
Basilea II (Generalidades) El comité de Basilea es un grupo compuesto por representantes de los principales actores financieros del mundo, que se reunen de manera periódica para generar normativas internacionales. Entre estas se encuentra la normativa conocida como Basilea II, la cual define el riesgo operativo y la forma en que el mismo deberá de ser medido y tratado. Basilea II define el riesgo operativo como “el riesgo de la pérdida resultante de procesos internos inadecuados o fallidos, personas o sistemas vulnerables o por eventos externos. Esta definición incluye el riesgo legal y tecnológico pero excluye el riesgo estratégico y reputacional. Así mismo, define 8 líneas de negocio básicas y 7 tipos de riesgo operativo.
Sarbanes Oxley (Sección 404) La sección 404 requiereque la administración y auditoríasexternasreporten la efectividad y lo adecuadoque son los controlesinternos de la organizaciónacerca de los reportesfinancieros. Es de sobraconocidoque en la mayoría de lasorganizaciones los procesos de reporteofinanciero se encuentranhabilitadospor TI, por lo queestaseccióntiene un impactodirecto en TI. COSO define cincoáreasprincipales de atenciónparaestasección: ,[object Object]
Control de ambiente.
Control de actividades.
Monitoreo.
Información y comunicación.,[object Object]

Recomendados

Introduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridadIntroduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridadHarold Morales
 
Auditoría y seguridad informática
Auditoría y seguridad informáticaAuditoría y seguridad informática
Auditoría y seguridad informáticaMartin Miranda
 
EDI - Respuestas al cumplimiento ¿Cada vez más complejas?
EDI - Respuestas al cumplimiento ¿Cada vez más complejas?EDI - Respuestas al cumplimiento ¿Cada vez más complejas?
EDI - Respuestas al cumplimiento ¿Cada vez más complejas?Fabián Descalzo
 
Auditoria
AuditoriaAuditoria
AuditoriaTaringa!
 
Iso 27001
Iso 27001Iso 27001
Iso 27001karen figueroa hrderera
 
Introduccion iso 17799
Introduccion iso 17799Introduccion iso 17799
Introduccion iso 17799Isaias Rubina Miranda
 
Iso 27001
Iso 27001Iso 27001
Iso 27001urquia
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad InformaticaUniversidad Dominicana OYM
 

Recomendados

Introduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridadIntroduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridadHarold Morales
 
Auditoría y seguridad informática
Auditoría y seguridad informáticaAuditoría y seguridad informática
Auditoría y seguridad informáticaMartin Miranda
 
EDI - Respuestas al cumplimiento ¿Cada vez más complejas?
EDI - Respuestas al cumplimiento ¿Cada vez más complejas?EDI - Respuestas al cumplimiento ¿Cada vez más complejas?
EDI - Respuestas al cumplimiento ¿Cada vez más complejas?Fabián Descalzo
 
Auditoria
AuditoriaAuditoria
AuditoriaTaringa!
 
Iso 27001
Iso 27001Iso 27001
Iso 27001karen figueroa hrderera
 
Introduccion iso 17799
Introduccion iso 17799Introduccion iso 17799
Introduccion iso 17799Isaias Rubina Miranda
 
Iso 27001
Iso 27001Iso 27001
Iso 27001urquia
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad InformaticaUniversidad Dominicana OYM
 
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013Ciro Bonilla
 
norma iso 17799
norma iso 17799norma iso 17799
norma iso 17799Laura Miranda Dominguez
 
Ensayo normas juan enrique
Ensayo normas juan enriqueEnsayo normas juan enrique
Ensayo normas juan enriqueJUAN ENRIQUE
 
S ce i -grupo 11 -t2-deming&si
S ce i -grupo 11 -t2-deming&siS ce i -grupo 11 -t2-deming&si
S ce i -grupo 11 -t2-deming&siAlexander Velasque Rimac
 
Principales riesgos de Ciberseguridad y estrategias de mitigación.
Principales riesgos de Ciberseguridad y estrategias de mitigación.Principales riesgos de Ciberseguridad y estrategias de mitigación.
Principales riesgos de Ciberseguridad y estrategias de mitigación.artseremis
 
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓNMARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓNMiguel Cabrera
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion jralbornoz
 
Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...
Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...
Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...Gabriel Marcos
 
Norma ISO 17799
Norma ISO 17799Norma ISO 17799
Norma ISO 17799Lilia Quituisaca-Samaniego
 
Seguridad
SeguridadSeguridad
SeguridadVictorAcan
 
Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Jorge Pariasca
 
Estándares de seguridad informática
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informáticaManuel Mujica
 
Seguridad
SeguridadSeguridad
SeguridadVictorAcan
 
Gobernabilidad de la TI para la Gestión de Riesgos Tecnológicos: Un Enfoque A...
Gobernabilidad de la TI para la Gestión de Riesgos Tecnológicos: Un Enfoque A...Gobernabilidad de la TI para la Gestión de Riesgos Tecnológicos: Un Enfoque A...
Gobernabilidad de la TI para la Gestión de Riesgos Tecnológicos: Un Enfoque A...Egdares Futch H.
 
ISO 27002 Grupo 2
ISO 27002 Grupo 2ISO 27002 Grupo 2
ISO 27002 Grupo 2Upon Software SA
 
Slide de sgsi
Slide de sgsiSlide de sgsi
Slide de sgsiMelvin Naun Umanzor Amaya
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticarossana mendieta
 
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002Miguel Cabrera
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocioFabián Descalzo
 
Iso 27001
Iso 27001Iso 27001
Iso 27001karen figueroa hrderera
 
I S O 27001
I S O 27001I S O 27001
I S O 27001karen figueroa hrderera
 
Iso 27001 Jonathan Blas
Iso 27001 Jonathan BlasIso 27001 Jonathan Blas
Iso 27001 Jonathan BlasJonathanBlas
 

Más contenido relacionado

La actualidad más candente

Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013Ciro Bonilla
 
Ensayo normas juan enrique
Ensayo normas juan enriqueEnsayo normas juan enrique
Ensayo normas juan enriqueJUAN ENRIQUE
 
Principales riesgos de Ciberseguridad y estrategias de mitigación.
Principales riesgos de Ciberseguridad y estrategias de mitigación.Principales riesgos de Ciberseguridad y estrategias de mitigación.
Principales riesgos de Ciberseguridad y estrategias de mitigación.artseremis
 
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓNMARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓNMiguel Cabrera
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion jralbornoz
 
Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...
Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...
Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...Gabriel Marcos
 
Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Jorge Pariasca
 
Estándares de seguridad informática
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informáticaManuel Mujica
 
Gobernabilidad de la TI para la Gestión de Riesgos Tecnológicos: Un Enfoque A...
Gobernabilidad de la TI para la Gestión de Riesgos Tecnológicos: Un Enfoque A...Gobernabilidad de la TI para la Gestión de Riesgos Tecnológicos: Un Enfoque A...
Gobernabilidad de la TI para la Gestión de Riesgos Tecnológicos: Un Enfoque A...Egdares Futch H.
 
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002Miguel Cabrera
 

La actualidad más candente (18)

Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
 
norma iso 17799
norma iso 17799norma iso 17799
norma iso 17799
 
Ensayo normas juan enrique
Ensayo normas juan enriqueEnsayo normas juan enrique
Ensayo normas juan enrique
 
S ce i -grupo 11 -t2-deming&si
S ce i -grupo 11 -t2-deming&siS ce i -grupo 11 -t2-deming&si
S ce i -grupo 11 -t2-deming&si
 
Principales riesgos de Ciberseguridad y estrategias de mitigación.
Principales riesgos de Ciberseguridad y estrategias de mitigación.Principales riesgos de Ciberseguridad y estrategias de mitigación.
Principales riesgos de Ciberseguridad y estrategias de mitigación.
 
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓNMARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion
 
Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...
Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...
Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...
 
Norma ISO 17799
Norma ISO 17799Norma ISO 17799
Norma ISO 17799
 
Seguridad
SeguridadSeguridad
Seguridad
 
Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Si semana11 iso_27001_v011
Si semana11 iso_27001_v011
 
Estándares de seguridad informática
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informática
 
Seguridad
SeguridadSeguridad
Seguridad
 
Gobernabilidad de la TI para la Gestión de Riesgos Tecnológicos: Un Enfoque A...
Gobernabilidad de la TI para la Gestión de Riesgos Tecnológicos: Un Enfoque A...Gobernabilidad de la TI para la Gestión de Riesgos Tecnológicos: Un Enfoque A...
Gobernabilidad de la TI para la Gestión de Riesgos Tecnológicos: Un Enfoque A...
 
ISO 27002 Grupo 2
ISO 27002 Grupo 2ISO 27002 Grupo 2
ISO 27002 Grupo 2
 
Slide de sgsi
Slide de sgsiSlide de sgsi
Slide de sgsi
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
 

Similar a Marcos seguridad-v040811

27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocioFabián Descalzo
 
Iso 27001 Jonathan Blas
Iso 27001 Jonathan BlasIso 27001 Jonathan Blas
Iso 27001 Jonathan BlasJonathanBlas
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióNmartin
 
Implantacion sgsi iso27001
Implantacion sgsi iso27001Implantacion sgsi iso27001
Implantacion sgsi iso27001ITsencial
 
Dumar resumen analitico investigativo sobre el iso 27005
Dumar resumen analitico investigativo sobre el iso 27005Dumar resumen analitico investigativo sobre el iso 27005
Dumar resumen analitico investigativo sobre el iso 27005ffffffffe23
 
Taller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la InformaciónTaller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la InformaciónDavid Eliseo Martinez Castellanos
 
Introduccion de ISO 17799
Introduccion de ISO 17799Introduccion de ISO 17799
Introduccion de ISO 17799mrcosmitos
 
Seguridad De La Información
Seguridad De La InformaciónSeguridad De La Información
Seguridad De La Informaciónferd3116
 
Presentacion sg tracking
Presentacion sg trackingPresentacion sg tracking
Presentacion sg trackingsgtracking
 
Organizacion del departamento de auditoria informatica.pptx
Organizacion del departamento de auditoria informatica.pptxOrganizacion del departamento de auditoria informatica.pptx
Organizacion del departamento de auditoria informatica.pptxDanny Israel Ligua Heras
 
Proceso de auditoria
Proceso de auditoriaProceso de auditoria
Proceso de auditoriajoseaunefa
 
Seg Inf Sem02
Seg Inf Sem02Seg Inf Sem02
Seg Inf Sem02lizardods
 
Sistemas de Gestión de Seguridad de la Información SGSI
Sistemas de Gestión de Seguridad de la Información SGSISistemas de Gestión de Seguridad de la Información SGSI
Sistemas de Gestión de Seguridad de la Información SGSIWiley Caceres
 
Present. int. a los sgsi.... isis licona
Present. int. a los sgsi.... isis liconaPresent. int. a los sgsi.... isis licona
Present. int. a los sgsi.... isis liconaIsis Licona
 

Similar a Marcos seguridad-v040811 (20)

27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
I S O 27001
I S O 27001I S O 27001
I S O 27001
 
Iso 27001 Jonathan Blas
Iso 27001 Jonathan BlasIso 27001 Jonathan Blas
Iso 27001 Jonathan Blas
 
Deming
DemingDeming
Deming
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióN
 
Implantacion sgsi iso27001
Implantacion sgsi iso27001Implantacion sgsi iso27001
Implantacion sgsi iso27001
 
Dumar resumen analitico investigativo sobre el iso 27005
Dumar resumen analitico investigativo sobre el iso 27005Dumar resumen analitico investigativo sobre el iso 27005
Dumar resumen analitico investigativo sobre el iso 27005
 
Taller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la InformaciónTaller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la Información
 
Introduccion de ISO 17799
Introduccion de ISO 17799Introduccion de ISO 17799
Introduccion de ISO 17799
 
Seguridad De La Información
Seguridad De La InformaciónSeguridad De La Información
Seguridad De La Información
 
Presentacion sg tracking
Presentacion sg trackingPresentacion sg tracking
Presentacion sg tracking
 
Organizacion del departamento de auditoria informatica.pptx
Organizacion del departamento de auditoria informatica.pptxOrganizacion del departamento de auditoria informatica.pptx
Organizacion del departamento de auditoria informatica.pptx
 
Proceso de auditoria
Proceso de auditoriaProceso de auditoria
Proceso de auditoria
 
Seg Inf Sem02
Seg Inf Sem02Seg Inf Sem02
Seg Inf Sem02
 
Sistemas de Gestión de Seguridad de la Información SGSI
Sistemas de Gestión de Seguridad de la Información SGSISistemas de Gestión de Seguridad de la Información SGSI
Sistemas de Gestión de Seguridad de la Información SGSI
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Present. int. a los sgsi.... isis licona
Present. int. a los sgsi.... isis liconaPresent. int. a los sgsi.... isis licona
Present. int. a los sgsi.... isis licona
 
Seguridad
SeguridadSeguridad
Seguridad
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
 

Más de faau09

Informe anual 2011
Informe anual 2011Informe anual 2011
Informe anual 2011faau09
 
Ejemplo para Pablo
Ejemplo para PabloEjemplo para Pablo
Ejemplo para Pablofaau09
 
Preparacionexamenpink
PreparacionexamenpinkPreparacionexamenpink
Preparacionexamenpinkfaau09
 
1 marcos habilitar-la gobernabilidad-v040811
1 marcos habilitar-la gobernabilidad-v0408111 marcos habilitar-la gobernabilidad-v040811
1 marcos habilitar-la gobernabilidad-v040811faau09
 
1 marcos marcos-de-referencia-v040811
1 marcos marcos-de-referencia-v0408111 marcos marcos-de-referencia-v040811
1 marcos marcos-de-referencia-v040811faau09
 
Enfoque de-certificaciones v040811
Enfoque de-certificaciones v040811Enfoque de-certificaciones v040811
Enfoque de-certificaciones v040811faau09
 
Como implementar-itil v040811
Como implementar-itil v040811Como implementar-itil v040811
Como implementar-itil v040811faau09
 
Catalogo de-servicios v040811
Catalogo de-servicios v040811Catalogo de-servicios v040811
Catalogo de-servicios v040811faau09
 
Implementar estrategia itsm-v040811
Implementar estrategia itsm-v040811Implementar estrategia itsm-v040811
Implementar estrategia itsm-v040811faau09
 
Marcos lean-mgt-en-ti-v040811
Marcos lean-mgt-en-ti-v040811Marcos lean-mgt-en-ti-v040811
Marcos lean-mgt-en-ti-v040811faau09
 
Marcos gobernabilidad-sin-mapa-v040811
Marcos gobernabilidad-sin-mapa-v040811Marcos gobernabilidad-sin-mapa-v040811
Marcos gobernabilidad-sin-mapa-v040811faau09
 
Marcos encuestas-v040811
Marcos encuestas-v040811Marcos encuestas-v040811
Marcos encuestas-v040811faau09
 
Marcos cobi t -e-itil-v040811
Marcos cobi t -e-itil-v040811Marcos cobi t -e-itil-v040811
Marcos cobi t -e-itil-v040811faau09
 
Marcos cloud-in-the-castle-v040811
Marcos cloud-in-the-castle-v040811Marcos cloud-in-the-castle-v040811
Marcos cloud-in-the-castle-v040811faau09
 
Introduccion a-la-gobernabilidad-v040811
Introduccion a-la-gobernabilidad-v040811Introduccion a-la-gobernabilidad-v040811
Introduccion a-la-gobernabilidad-v040811faau09
 
Implementar quick wins_v040811
Implementar quick wins_v040811Implementar quick wins_v040811
Implementar quick wins_v040811faau09
 
Implementar outsourcing v040811
Implementar outsourcing v040811Implementar outsourcing v040811
Implementar outsourcing v040811faau09
 
Implementar modelo financiero v040811
Implementar modelo financiero v040811Implementar modelo financiero v040811
Implementar modelo financiero v040811faau09
 
Implementar modelo de cambio cultural v040811
Implementar modelo de cambio cultural v040811Implementar modelo de cambio cultural v040811
Implementar modelo de cambio cultural v040811faau09
 
Implementar kp is_v040811
Implementar kp is_v040811Implementar kp is_v040811
Implementar kp is_v040811faau09
 

Más de faau09 (20)

Informe anual 2011
Informe anual 2011Informe anual 2011
Informe anual 2011
 
Ejemplo para Pablo
Ejemplo para PabloEjemplo para Pablo
Ejemplo para Pablo
 
Preparacionexamenpink
PreparacionexamenpinkPreparacionexamenpink
Preparacionexamenpink
 
1 marcos habilitar-la gobernabilidad-v040811
1 marcos habilitar-la gobernabilidad-v0408111 marcos habilitar-la gobernabilidad-v040811
1 marcos habilitar-la gobernabilidad-v040811
 
1 marcos marcos-de-referencia-v040811
1 marcos marcos-de-referencia-v0408111 marcos marcos-de-referencia-v040811
1 marcos marcos-de-referencia-v040811
 
Enfoque de-certificaciones v040811
Enfoque de-certificaciones v040811Enfoque de-certificaciones v040811
Enfoque de-certificaciones v040811
 
Como implementar-itil v040811
Como implementar-itil v040811Como implementar-itil v040811
Como implementar-itil v040811
 
Catalogo de-servicios v040811
Catalogo de-servicios v040811Catalogo de-servicios v040811
Catalogo de-servicios v040811
 
Implementar estrategia itsm-v040811
Implementar estrategia itsm-v040811Implementar estrategia itsm-v040811
Implementar estrategia itsm-v040811
 
Marcos lean-mgt-en-ti-v040811
Marcos lean-mgt-en-ti-v040811Marcos lean-mgt-en-ti-v040811
Marcos lean-mgt-en-ti-v040811
 
Marcos gobernabilidad-sin-mapa-v040811
Marcos gobernabilidad-sin-mapa-v040811Marcos gobernabilidad-sin-mapa-v040811
Marcos gobernabilidad-sin-mapa-v040811
 
Marcos encuestas-v040811
Marcos encuestas-v040811Marcos encuestas-v040811
Marcos encuestas-v040811
 
Marcos cobi t -e-itil-v040811
Marcos cobi t -e-itil-v040811Marcos cobi t -e-itil-v040811
Marcos cobi t -e-itil-v040811
 
Marcos cloud-in-the-castle-v040811
Marcos cloud-in-the-castle-v040811Marcos cloud-in-the-castle-v040811
Marcos cloud-in-the-castle-v040811
 
Introduccion a-la-gobernabilidad-v040811
Introduccion a-la-gobernabilidad-v040811Introduccion a-la-gobernabilidad-v040811
Introduccion a-la-gobernabilidad-v040811
 
Implementar quick wins_v040811
Implementar quick wins_v040811Implementar quick wins_v040811
Implementar quick wins_v040811
 
Implementar outsourcing v040811
Implementar outsourcing v040811Implementar outsourcing v040811
Implementar outsourcing v040811
 
Implementar modelo financiero v040811
Implementar modelo financiero v040811Implementar modelo financiero v040811
Implementar modelo financiero v040811
 
Implementar modelo de cambio cultural v040811
Implementar modelo de cambio cultural v040811Implementar modelo de cambio cultural v040811
Implementar modelo de cambio cultural v040811
 
Implementar kp is_v040811
Implementar kp is_v040811Implementar kp is_v040811
Implementar kp is_v040811
 

Marcos seguridad-v040811

  • 1. La estrategia de seguridad como un habilitador para el cumplimiento de los objetivos estratégicos de las organizaciones Pink Elephant Iberoamérica
  • 2. "La estrategia de seguridad como un habilitador para el cumplimiento de los objetivos estratégicos de las organizaciones." Seguridad de la Información
  • 3. Seguridad de la Información La Seguridad de la información se define como la preservación de las siguientes características: Confidencialidad: se garantiza que la información sea accesible sólo a aquellas personas autorizadas a tener acceso a ella. Integridad: se salvaguarda la exactitud y totalidad de la información y los métodos de procesamiento. Disponibilidad: se garantiza que los usuarios autorizados tengan acceso a la información y a los recursos relacionados con ella toda vez que se requiera.
  • 4.
  • 5.
  • 6.
  • 7. Visibilidad limitada de información clasificadas81% de compañías afectadas no cumplían con estándares (PCI) $6.7 costo de incidentes
  • 8. Anatomía de un Incidente Crimen organizado Usuarios bien intencionados Ataques internos
  • 9. Entorno del Manejo de Información EMPRESASSIN MUROS EXPLOSIÓN DE DATOS EL PAPELDE LA SEGURIDAD Un perímetro que se desvanece La oficina se encuentra “en cualquier lugar” Tercerización y relocalización Los datos se encuentran en todas partes Datos estructurados, contenido no estructurado PI, cliente y datos clasificados Riesgos y cumplimiento Presupuestolimitado Habilitador de negocio
  • 10. Alineación de la Seguridad al Negocio
  • 12.
  • 13.
  • 14. Requerimientos explícitos de confidencialidad, disponibilidad y seguridad de la información
  • 17.
  • 18.
  • 19. Propósito fundamental de la Seguridad. Alto Evitar Transferir El propósito fundamental de la seguridad es: “Administrar el riesgo al cual la organización se encuentra expuesta con respecto a la información” Nivel de riesgo inaceptable Impacto al negocio Nivel de riesgo aceptable Aceptar Reducir Alto Bajo Probabilidad de que se aprovechen las brechas de seguridad
  • 20. Visión de los Sistemas de Gestión de Seguridad de la Información (SGSI). Factor Humano Compromiso Directivo SGSI Riesgos Tecnología Gestión
  • 21. Modelo de Madurez Nivel 5 Sistema Optimizado Procesos inconsistentes Nivel 4 Sistema Administrado Procesos desorganizados Nivel 3 Sistema Definido Mejores prácticas Procesos inexistentes Nivel 2 Sistema Intuitivo Procesos medidos y monitoreados Nivel 1 Sistema Intermitente Procesos documentados y comunicados Nivel 0 Sistema Inexistente
  • 22.
  • 23. ¿Cuál es el valor real de mis activos de información?
  • 24. ¿Qué tipo de amenazas se encuentran presentes al día de hoy en nuestra organización?
  • 25. ¿Qué nivel de riesgo se presenta actualmente en la organización?
  • 26.
  • 27. ¿Cuáles son los costos y gastos asociados a la falta de gestión de la seguridad de información?
  • 28. ¿Cómo estructuramos el liderazgo de seguridad de información a manera de garantizar la aceptación de nuevos controles y prácticas?
  • 29. De acuerdo al nivel de seguridad y riesgo, ¿Cuáles deben ser nuestras prioridades de implementación de controles?Mecanismos de implementación
  • 30. "La estrategia de seguridad como un habilitador para el cumplimiento de los objetivos estratégicos de las organizaciones." 3.- Marcos de Referencia, Requerimientos y Regulaciones
  • 31. Definiciones Básicas Define una estructura básica de controles utilizados para resolver cuestiones complejas como el lograr el cumplimiento de ciertas regulaciones u objetivos o realizar auditorías sobre procesos específicos. Se basa en técnicas, métodos, controles, etc., probadas en la industria que provocan esperados resultados y medibles al implementar controles y procesos. Estándar/ Norma Marcos de Referencia Regulaciones Mejores Prácticas Consiste en una serie de requerimientos y reglas impuestos ya sea por el gobierno o la industria para la utilización de ciertos mecanismos y que en caso de no cumplirse pueden ocasionar multas o la prohibición de realizar ciertas actividades. Las regulaciones pretenden controlar salidas y/o entradas. Establece una serie de especificaciones y controles independientes de fabricantes. Además cuenta con reconocimiento internacional mediante procesos certificados.
  • 32. Esquemas referenciables Especifico Tecnología / Reqs. adicionales Sistemas de reporte financiero Desarrollo de sistemas Entrega de serv. TI / Operaciones Seguridad de la Información Controles a nivel compañía COSO/COSO 2/COBIT Guías de Mejores prácticas ITIL ISO 20000-2 CMM ISO21827 RUP, ASL ITGI SOX *COBIT, COSO SOX 404 COSO COSO 2 (ERM) ISO27002 ISO27005 X ISO X ANSI Normas o estándares certificables ISO 20000-1 ISO 27001 CNBV, SHCP PCI, FFIEC HIPAA, CNBV HL7, SHCP PCI, FFIEC HIPAA, CNBV HL7, SHCP PCI, FFIEC HIPAA, CNBV HL7, SHCP Regulatorio, Requerimientos de Industria PCAOB SOX SAS 70 TRUST SERVICES Webtrust For CAs Marcos de referencia PCAOB
  • 33. Mapa de relación de marcos Desempeño Metas de negocio Cumplimiento SOX, BASILEA II, PCI, ETC Motivadores BSC Val IT COSO PRINCE 2 / PMBOK GobiernoCorporativo COBIT Gobierno de TI ISO 9001 ISO 20000 ISO 27005 CMMI Estándares y normas SSE - CMM ISO 27001 BS 25999 Procedimientos de desarrollo y mantenimiento Procedimientos de seguridad ITIL Principios de Seguridad (OECD) DRII Procesos y procedimientos
  • 35. Composición de Cobit 4 Dominios 34 Procesos Controles 215 Actividades Objetivos de Control
  • 36. Basilea II (Generalidades) El comité de Basilea es un grupo compuesto por representantes de los principales actores financieros del mundo, que se reunen de manera periódica para generar normativas internacionales. Entre estas se encuentra la normativa conocida como Basilea II, la cual define el riesgo operativo y la forma en que el mismo deberá de ser medido y tratado. Basilea II define el riesgo operativo como “el riesgo de la pérdida resultante de procesos internos inadecuados o fallidos, personas o sistemas vulnerables o por eventos externos. Esta definición incluye el riesgo legal y tecnológico pero excluye el riesgo estratégico y reputacional. Así mismo, define 8 líneas de negocio básicas y 7 tipos de riesgo operativo.
  • 37.
  • 41.
  • 42.
  • 45. 3. Definiciones y Terminología
  • 46. 4. Sistema de Gestión para la Seguridad de la Información
  • 47. 5. Responsabilidad de la gerencia..
  • 48. 6. Auditorias Internas para el SGSI
  • 51.
  • 52. Existen 3 problemas típicos que incrementan complejidad en las implementaciones y crean barreras para el logro de los beneficios esperados Falta de objetivos claros de negocio Dificultades primarias experimentadas por los líderes de los esfuerzos de implementación “Exhaustividad” en el enfoque de implementación Minimización del factor humano (cultural) Dificultad experimentada por toda la organización Fuente: Análisis Dicta
  • 53.
  • 54. Sistema Estratégico de Seguridad de la Información (SESI) Un Plan Estratégico de Seguridad permite definir la estrategia y el plan para la implantación de un buen Gobierno de Seguridad alineado con los objetivos estratégicos de la organización basado en el valor y el riesgo presente de la información protegida. Proporciona además un modelo de procesos para enmarcar las necesidades de Gobierno de Seguridad y sobre el cual se definan los componentes tácticos y operativos, así como las políticas, metodologías, estándares, procedimientos y controles asociados a cada componente.
  • 55. Modelo Integral de la Seguridad de la Información
  • 56. ComponentesMínimos de la Estrategia de Seguridad
  • 57. Integración Negocio-Tecnología Identificación de procesos de negocio Definición de Criticidad de Procesos Plataforma Habilitadora de los Procesos Identificación de información por procesos Análisis de Riesgo Procesos-Personas-Tecnología Definición y Desarrollo de Estrategia Controles y Gestión Procesos-Personas-Tecnología
  • 58. Ciclo del SESI Estrategia Cumplimiento Política Prevención Detección Monitoreo (Nivel de Riesgo) Conciencia Corrección Implementación
  • 59. Road Map SistemaEstratégico de Seguridad de la Información
  • 60. Ciclo de Mejora Continua Partes interesadas: Clientes Proveedores Usuarios Accionistas Otros Partes interesadas: Clientes Proveedores Usuarios Accionistas Otros Establecimiento del SGSI PLAN Implementación del SGSI DO Mejora del SGSI ACT Requerimientos y Expectativas de Seguridad de Información Requerimientos y Expectativas de Seguridad de Información Monitoreo y revisión del SGSI CHECK
  • 61.
  • 62. Miedo a la exposición
  • 63. Falta de conocimiento de los usuarios
  • 67. Falta de habilidades y conocimientostécnicosparaimplementarcontroles
  • 68. Creenciaqueexistirá un incremento en gastos de operación
  • 71.
  • 72. "La estrategia de seguridad como un habilitador para el cumplimiento de los objetivos estratégicos de las organizaciones." Beneficios
  • 73.
  • 74. Mejora continua de procesos a través de accionesderivadas de procesos de revisión.
  • 77. Análisis de riesgoorientado a impactos de negocio.
  • 78. Reducción de gastosderivados de erroreshumanos en el manejoseguro de información
  • 79. Incremento del retorno de inversiónsobreiniciativas de seguridad, derivado de la planeaciónadecuada del tratamiento del riesgo.
  • 80. Reducción de costos en mesa de ayuda y de servicio.
  • 81. Justificaciónbasada en riesgos de negocioparaproyectos de TI.
  • 82. Reducción del riesgotecnológico a través de metodologías de analisis y gestiónbasadas e estándares.
  • 83. Facilidad de integración con otrossistemas ISO.
  • 84.
  • 85. Retribución sobre la inversión en tecnología y sobre el negocio
  • 86. Ahorro en costos y gastos
  • 88.
  • 89. Protección a la inversión
  • 91.
  • 92. Para los colaboradores:
  • 93. Calidad de vida.
  • 95. Lealtad y productividad
  • 96.
  • 97. Mayor nivel de confianza
  • 98. Mayor nivel de servicio
  • 99.
  • 100. Para la comunidad:
  • 101. Garantía de operación continua que genera fuentes de empleo y satisface el apoyo social.
  • 104.
  • 105. Para los proveedores:
  • 106. Relaciones seguras, de calidad, confianza y transparencia.
  • 108.
  • 109. Pink Elephant - Expertos en Gestión de Servicios de TI info.mx@pinkelephant.com www.pinkelephant.com