Experiencias en la implementación           de un programa de mejorade la gestión de la seguridad de la información       ...
Agenda•   Las experiencias.•   Los objetivos y valor detrás de la SI.•   Las razones legales.•   Las restricciones existen...
Las experiencias que consideramos.• Implantación de CERTs   – Difusión de buenas practicas, capacitación, concientización....
¿Cuál es el objetivo de la SI en un organismo del estado?¿Por qué se implementa SGSI en organismos del estado?Si el valor ...
¿Por qué invierten las organizaciones                    en SI?•   Proteger los datos de los usuarios (clientes, ciudadano...
Objetivos de la seguridad de laInformación:• La seguridad de la información consiste en procesos y  controles diseñados pa...
Renunció.
¿Cuál es el valor esperado?• ¿Por qué razones fundamentales NO debemos  implementar un SGSI?  – Queremos obtener la certif...
¿Cuál es el valor esperado?• ¿Por qué razones fundamentales SI debemos implementar  un SGSI?   – Somos consientes de que d...
La Normativa sobre Seguridad de la Información.LAS RAZONES LEGALES                                Datasec           12
Legislación Aplicable• Leyes de Habeas Data y Protección de Datos Personales.   –   Proceso de Habeas Data   –   Protecció...
Cliente, Ciudadanos, Funcionarios, Accionistas, Socios de Negocios,                  Proveedores, Gobierno, otros.ASUMIEND...
Restricciones que podrían afectar•   Es fundamental tomar en consideración todas las restricciones que afectan a la organi...
¿Como percibimos los riesgos en américa latina?¿Nos preocupa la privacidad realmente?¿Son los organismos consientes de los...
Incidente                  Consecuencia                   ImpactoCaída de los sistemas de     Interrupción de los procesos...
Se debe iniciar un proceso gradual, que implica un cambio cultural.La seguridad de la información, y la de sus sistemas de...
Nuestra Experiencia- Primeras Tareas           Claves a Realizar• Establecer el marco Organizacional para la Gestión de  l...
Nuestra Experiencia- Primeras Tareas           Claves a Realizar• Establecer las bases del marco formal.   – Resolución de...
Nuestra Experiencia- Plan de Mejora           Anual (Gradual)• Entre los primeros controles y tareas a realizar se  encuen...
Nuestra experiencia - Algunas prácticas             recomendadas• Desarrollar un conjunto mínimo de buenas prácticas  homo...
Impulsar una cultura de la seguridad, en la que la seguridad de lainformación, la privacidad, la transparencia sean parte....
´ El apoyo visible y el compromiso evidente de la altadirección ´FACTORES CRÍTICOS DE ÉXITO                         Datase...
Factores críticos de éxito• GESTION DEL CAMBIO:     Es fundamental comprender que se requiere un cambio en la forma de    ...
Factores críticos de éxito              GESTION DE                           INDICADORES               EVENTOS            ...
“SEGURIDAD DE LA INFORMACIÓN: ELQUINTO ELEMENTO EN LA ESTRATEGIADE GOBIERNO ELECTRÓNICO DEL PERÚ”
Datasec -  Experiencias - Cybersecurity 2013
Datasec -  Experiencias - Cybersecurity 2013
Datasec -  Experiencias - Cybersecurity 2013
Próxima SlideShare
Cargando en…5
×

Datasec - Experiencias - Cybersecurity 2013

226 visualizaciones

Publicado el

Presentación realizada en el evento CyberSecurity Goverment 2013 en Lima, organizado por el capitulo local de la ISSA.

Publicado en: Empresariales
0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
226
En SlideShare
0
De insertados
0
Número de insertados
2
Acciones
Compartido
0
Descargas
0
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Datasec - Experiencias - Cybersecurity 2013

  1. 1. Experiencias en la implementación de un programa de mejorade la gestión de la seguridad de la información a nivel nacional.
  2. 2. Agenda• Las experiencias.• Los objetivos y valor detrás de la SI.• Las razones legales.• Las restricciones existentes en organismos• Implantación de SGSI – Responsabilidad social• Principales Hitos.• Factores Claves
  3. 3. Las experiencias que consideramos.• Implantación de CERTs – Difusión de buenas practicas, capacitación, concientización. – Protección de Activos de Información Críticos del Estado.• Implantación de Buenas Practicas en Gestión de la Seguridad de la Información en Organismos Públicos.• Implantación de un conjunto mínimo de controles en los Organismos para la protección de activos críticos.
  4. 4. ¿Cuál es el objetivo de la SI en un organismo del estado?¿Por qué se implementa SGSI en organismos del estado?Si el valor esperado no es el correcto, el valor obtenido nunca estaráalienado!VALOR ESPERADO
  5. 5. ¿Por qué invierten las organizaciones en SI?• Proteger los datos de los usuarios (clientes, ciudadanos)• Prevenir caída y fallas de sistemas.• Cumplir con Requisitos legales.• Proteger la reputación de la organización.• Mantener la integridad de los datos• Continuidad del negocio en un desastre.• Proteger Propiedad Intelectual.• Oportunidades de negocios/servicios• Fuente PWC 2012
  6. 6. Objetivos de la seguridad de laInformación:• La seguridad de la información consiste en procesos y controles diseñados para proteger información de su divulgación no autorizada, transferencia, modificación o destrucción, a los efectos de: – asegurar la continuidad del negocio; – minimizar posibles daños al negocio; – maximizar oportunidades de negocios.”
  7. 7. Renunció.
  8. 8. ¿Cuál es el valor esperado?• ¿Por qué razones fundamentales NO debemos implementar un SGSI? – Queremos obtener la certificación ISO/IEC 27001! – Nos lo solicita la casa matriz! – Existe un subsidio que nos permite justificar otros gastos! – Una legislación/regulación/contrato nos lo requiere! – Nos robaron/hackearon/etc. información y en virtud de esto queremos revisar nuestra seguridad – Pensamos que es un sistema/software/solución que nos hará estar seguro ante ataques externos.
  9. 9. ¿Cuál es el valor esperado?• ¿Por qué razones fundamentales SI debemos implementar un SGSI? – Somos consientes de que debemos trabajar en la seguridad de la información (de nuestros clientes,, ciudadanos, operaciones) y entendemos que debemos comenzar por su gestión! – Deseamos demostrarle a todas las partes interesadas que contamos con un adecuado sistema para la gestión de la seguridad de la información. Que se cumplen con las políticas y procedimientos establecido, solicitando auditorías anuales por parte de un tercero. – Deseamos brindar transparencia y rendir cuentas por la seguridad de la información (CID) almacenada, procesada y transmitida
  10. 10. La Normativa sobre Seguridad de la Información.LAS RAZONES LEGALES Datasec 12
  11. 11. Legislación Aplicable• Leyes de Habeas Data y Protección de Datos Personales. – Proceso de Habeas Data – Protección de los datos personales almacenados – Registro de Bases – Consentimiento Informado..• Leyes de Transparencia y de Acceso a la Información Pública. – Establecer procedimiento para la Clasificación de la información – Publicar información Pública. – Establecer procedimientos de acceso a la información para los ciudadanos.• Existen diferentes casos en los que surgen conflictos entre ambas leyes. Datasec 13
  12. 12. Cliente, Ciudadanos, Funcionarios, Accionistas, Socios de Negocios, Proveedores, Gobierno, otros.ASUMIENDO QUE TENEMOS TODAS LAS BUENAS RAZONES, ¿PODEMOS HACERLO?
  13. 13. Restricciones que podrían afectar• Es fundamental tomar en consideración todas las restricciones que afectan a la organización y que determinan la factibilidad de desarrollar y aplicar con éxito un conjunto de planes de mejora. Los orígenes de estas situaciones pueden estar dentro de la organización, en cuyo caso ésta tiene algún control sobre ellas, o fuera de la organización y por lo tanto, en general, son poco negociables (pero deben ser igualmente identificadas). – Restricciones de naturaleza política – Restricciones de naturaleza estratégica – Restricciones territoriales – Restricciones que se originan en el clima político y económico – Restricciones estructurales (organizativas) – Restricciones funcionales – Restricciones relacionadas con el personal – Restricciones que se originan en el calendario de la organización – Restricciones relacionadas con los métodos y tecnología. – Restricciones de naturaleza cultural. – Restricciones de presupuesto
  14. 14. ¿Como percibimos los riesgos en américa latina?¿Nos preocupa la privacidad realmente?¿Son los organismos consientes de los riesgos?¿Cuantificamos el impacto de los incidentes?RIESGOS PERCIBIDOS
  15. 15. Incidente Consecuencia ImpactoCaída de los sistemas de Interrupción de los procesos información vitales de negocio Pérdida de imagenError de control de acceso Fuga de información Pérdida de mercado Robo de notebooks Juicios, reclamos legales Pérdida financieraEmpleados descontentoscon acceso a información Divulgación de información Pérdida de confianza sensible confidencial/ estratégica
  16. 16. Se debe iniciar un proceso gradual, que implica un cambio cultural.La seguridad de la información, y la de sus sistemas de procesamiento,debe ser un prioridad, y parte fundamental de la responsabilidad socialde las organizaciones.EL SGSI EN LA ORGANIZACIONESPUBLICAS Y PRIVADASUNA RESPONSABILIDAD SOCIAL Datasec 19
  17. 17. Nuestra Experiencia- Primeras Tareas Claves a Realizar• Establecer el marco Organizacional para la Gestión de la Seguridad de la Información. – Concientizar a los actores claves. – Designar y apoderar al Comité de Seguridad de la Información y – Designar y apoderar al Responsable de Seguridad de la Información. – Establecer las responsabilidades de todos los actores involucrados. Datasec 20
  18. 18. Nuestra Experiencia- Primeras Tareas Claves a Realizar• Establecer las bases del marco formal. – Resolución de Políticas de: Seguridad de la Información, Gestión de Riesgos y Gestión de Incidentes. – Establecer un Procedimiento y Herramienta para el Reporte de Incidentes de Seguridad. – Establecer un Plan de Capacitación y Concientización en Seguridad• Realizar un primer Análisis de Riesgos de Seguridad en un alcance limitado.• Establecer un Plan de Seguridad Anual (gradual de mejora).
  19. 19. Nuestra Experiencia- Plan de Mejora Anual (Gradual)• Entre los primeros controles y tareas a realizar se encuentran: – Formalización de Políticas, Procedimientos y controles para el control de acceso físico, incorporación/egreso de RRHH . – Formalización de Políticas, Procedimientos y controles para el control de acceso lógico a sistemas/aplicaciones y documentación. – Formalización de un Plan para la continuidad Operativa. – Formalización de Procedimientos para el cumplimiento con la Legislación de Transparencia y Protección de Datos Personales. – Capacitación y Concientización del Personal – Monitoreo de la eficacia de los controles técnicos y físicos para la implementación de las políticas y procedimientos definidos. – Auditorías Externas/Revisiones de Seguridad. Datasec 22
  20. 20. Nuestra experiencia - Algunas prácticas recomendadas• Desarrollar un conjunto mínimo de buenas prácticas homogéneas a nivel nacional: – Política General de Seguridad de la Información para el Estado. – Política de Gestión de incidentes, riesgos, continuidad del negocio. – Formalización de roles claves (comité, responsable)• Impulsar la capacitación continua en materia de gestión de la seguridad de la información – entre otros temas - para todo el estado.• Definir un conjunto mínimo de compras (consultorías, auditorias, controles) homogéneas para los diferentes organismos.
  21. 21. Impulsar una cultura de la seguridad, en la que la seguridad de lainformación, la privacidad, la transparencia sean parte.Difundir buenas practicas en materia de seguridad de la información anivel nacional a todos los actores de la sociedad.Impulsar la seguridad de la información como parte de la responsabilidadsocial de las organizaciones y las personas.A NIVEL NACIONAL.
  22. 22. ´ El apoyo visible y el compromiso evidente de la altadirección ´FACTORES CRÍTICOS DE ÉXITO Datasec 25
  23. 23. Factores críticos de éxito• GESTION DEL CAMBIO: Es fundamental comprender que se requiere un cambio en la forma de trabajo. Esto siempre genera turbulencias dentro de la organización, que deben ser analizadas y adecuadamente tratadas. De lo contrario, tal vez el proyecto de implantación sea exitoso, pero difícilmente su operación y mantenimiento lo sea. Finalmente, no aportará el valor esperado. Este es un cambio a nivel nacional y personal. Si los funcionarios, ciudadanos, clientes, no comprenden lo que implica, difícilmente se obtendrá el valor esperado. El desarrollo de actividades de capacitación a todos los niveles es un elemento clave del éxito a mediano plazo de estas iniciativas. Datasec 26
  24. 24. Factores críticos de éxito GESTION DE INDICADORES EVENTOS de EFICACIA TRATAMIENTO DE COMPROMISO RRRIESGOS OBJETIVOS CONCIENTIZACION y CAPACITACION
  25. 25. “SEGURIDAD DE LA INFORMACIÓN: ELQUINTO ELEMENTO EN LA ESTRATEGIADE GOBIERNO ELECTRÓNICO DEL PERÚ”

×