SlideShare una empresa de Scribd logo

Estructura en un área de seguridad informática

personal
personal
1 de 21
    1   
Roles y papeles que se desempeñan
   Plasmar las estructuras
    más comunes en un área
    de Seguridad informática.

   Especificar las principales
    funciones de los roles
    involucrados.




                                  2
      3   
Algunas variables que determinan cómo es la estructura del departamento de
                          Seguridad informática.
   1990 Administrador de Antivirus / Accesos


   1995 Administrador de Firewalls


   1999 Seguridad Informática


   2003 Seguridad de la Información


   2005 Compliance y Riesgo



                                                4
 Cultura   organizacional

 Tamaño    de la Compañía

 Presupuesto    a nivel de personal / gastos / inversión




                                                     5
El tamaño del área de
                   Seguridad informática, varia
                   dependiendo del tamaño de la
                   empresa.




 Muy   Grande (>10.000 equipos)

 Grande   (1.000<10.000

 equipos)

 Mediana   (100<1.000 equipos)

 Pequeña   (<100 equipos)
                                          6
Características principales:
 Los departamentos de seguridad en grandes
  organizaciones tienden a armarse y re-agruparse de
  acuerdo a los requerimientos del negocio, presupuesto o
  compliance.
 El presupuesto de seguridad crece más rápido que el
  presupuesto de IT.
 Mas allá de que tengan presupuestos grandes, el
  promedio de gasto en seguridad por usuario es más
  pequeño que en otro tipo de organizaciones.


                                                        7
4-5 adm. de seguridad tiempo
                                                        completo.
                                                        10-15 adm. Técnicos tiempo completo.
                                                        5-10 adm. de seguridad tiempo parcial.
                                                        30-35 adm. Técnicos tiempo parcial



                                             CISO


                                                                        Compliance
                     Servicio técnico                                (cumplimiento de
                                                                     buenas prácticas)


 Evaluación de                            Consultoría                       Evaluación de
                        Malware
Vulnerabilidades                           técnica                             riesgos


                                                                            Administración
           DMZ                Clientes           Diseño
                                                                              de riesgos



         Intranet            Servidores        Arquitectura



        Clientes y
                                             Implementación                            8
        Servidores
   En este tamaño de empresa, la seguridad de la
    información en muchos casos ya maduró, integrándose
    a la cultura y planificación de Organización.

   Uno de los principales problemas, es que no siempre
    poseen los recursos necesarios para los temas de
    seguridad.




                                                          9
1-2 adm. de seguridad tiempo
                                completo.
                                3-4 adm. Técnicos tiempo completo.
                                3-4 adm. de seguridad tiempo parcial.
                                10-12 adm. Técnicos tiempo parcial




                    CISO


                           Administración de
Servicio técnico
                           riesgos y Políticas


    Firewalls/IDS


     Malware y
     Servidores                                               10
   Cuentan con un presupuesto total menor.

   Tienen un staff de seguridad de tamaño similar a
    organizaciones más pequeñas, pero sus requerimientos son
    mayores.

   Dependen de la ayuda del staff de IT para planes y
    prácticas.

   En general, su habilidad para fijar políticas, estandarizar y
    asignar recursos eficientemente es baja.
                                                                11
1 administrador de seguridad
                                   tiempo completo.
                                   1 soporte técnico tiempo parcial.




                   Gerente de la
                     Seguridad


Administrador de
                            Técnico de Seguridad
      Seguridad




                                                             12
   Cuentan con un modelo simple y centralizado de
    organización de IT.
   Gastan desproporcionadamente más en seguridad.
   La seguridad de la información en una pequeña
    empresa es en general responsabilidad de un solo
    administrador de seguridad.
   Estas organizaciones tienen frecuentemente una escasa
    política formal, planeamiento o medidas de seguridad.




                                                        13
Gerente de la Seguridad




                     14
   Opciones de dependencia:
    o Administración

    o Riesgo

    o Legal

    o Auditoria Interna

    o Finanzas

    o Recursos Humanos

    o Operaciones



                               15
   Nivel Estratégico – CISO
   Nivel de Negocio – Gerente de Seguridad
   Nivel Gerencial – Jefe de Seguridad Informática
   Nivel Técnico – Administrador de Seguridad




El área de seguridad de la información es una de las áreas con más
posibilidad de visibilidad de la Dirección.

                                                                     16
17
18
19
20
   La estructura de un área de Seguridad Informática
    dentro de una organización, cualquier que esta sea,
    dependerá en gran medida de las dimensiones de dicha
    organización y de la relevancia que se le dé a nivel
    estratégico.
   Los roles y funciones que cada miembro debe
    desempeñar en dicha estructura, estarán segregadas en
    función de los principales campos que atañen a la
    seguridad informática, desde los aspectos técnicos y los
    legales.
   Es en las empresas más pequeñas donde la labor del
    Oficial de Seguridad es más compleja al tener que
    desempeñar todos los roles y generalmente estar bajo la
    supervisión de TI.
                                                          21

Más contenido relacionado

La actualidad más candente

Auditoria de Base de Datos
Auditoria de Base de DatosAuditoria de Base de Datos
Auditoria de Base de DatosMaria Jaspe
 
Los activos de seguridad de la informacion
Los activos de seguridad de la informacionLos activos de seguridad de la informacion
Los activos de seguridad de la informacionmaxol03
 
Gobierno y administración de TI en un contexto global
Gobierno y administración de TI en un contexto globalGobierno y administración de TI en un contexto global
Gobierno y administración de TI en un contexto globalDavid Solis
 
ISO 27001 - information security user awareness training presentation - Part 1
ISO 27001 - information security user awareness training presentation - Part 1ISO 27001 - information security user awareness training presentation - Part 1
ISO 27001 - information security user awareness training presentation - Part 1Tanmay Shinde
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónPECB
 
Unidad II Fases de la Auditoria de Sistemas
Unidad II Fases de la Auditoria de SistemasUnidad II Fases de la Auditoria de Sistemas
Unidad II Fases de la Auditoria de SistemasEva Salmerón
 
Mapa conceptual sobre Seguridad de la Información
Mapa conceptual sobre Seguridad de la InformaciónMapa conceptual sobre Seguridad de la Información
Mapa conceptual sobre Seguridad de la Informaciónjmarquez23
 
Valores eticos del auditor dentro de sistemas informáticos
Valores eticos del auditor dentro de sistemas informáticosValores eticos del auditor dentro de sistemas informáticos
Valores eticos del auditor dentro de sistemas informáticosDoraliza Veloz
 
AUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSAUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSGRECIAGALLEGOS
 
Principales areas de la auditoria informatica
Principales areas de la auditoria informaticaPrincipales areas de la auditoria informatica
Principales areas de la auditoria informaticaCarlos Ledesma
 
Mapa mental seguridad informatica
Mapa mental seguridad informaticaMapa mental seguridad informatica
Mapa mental seguridad informaticaestherbenaim
 
Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Jonathan López Torres
 
PECB Webinar: ¿Por qué toda organización necesita un CISO?
PECB Webinar: ¿Por qué toda organización necesita un CISO?PECB Webinar: ¿Por qué toda organización necesita un CISO?
PECB Webinar: ¿Por qué toda organización necesita un CISO?PECB
 
Mapa conceptual de la Seguridad de la información
Mapa conceptual de la Seguridad de la informaciónMapa conceptual de la Seguridad de la información
Mapa conceptual de la Seguridad de la informaciónYessika Hernández
 
Information security management
Information security managementInformation security management
Information security managementUMaine
 
Normas generales para la auditoría de sistemas de información
Normas generales para la auditoría de sistemas de informaciónNormas generales para la auditoría de sistemas de información
Normas generales para la auditoría de sistemas de informaciónvryancceall
 

La actualidad más candente (20)

Auditoria de Base de Datos
Auditoria de Base de DatosAuditoria de Base de Datos
Auditoria de Base de Datos
 
Los activos de seguridad de la informacion
Los activos de seguridad de la informacionLos activos de seguridad de la informacion
Los activos de seguridad de la informacion
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Gobierno y administración de TI en un contexto global
Gobierno y administración de TI en un contexto globalGobierno y administración de TI en un contexto global
Gobierno y administración de TI en un contexto global
 
ISO 27001 - information security user awareness training presentation - Part 1
ISO 27001 - information security user awareness training presentation - Part 1ISO 27001 - information security user awareness training presentation - Part 1
ISO 27001 - information security user awareness training presentation - Part 1
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la Información
 
Normas de Seguridad de la Información
Normas de Seguridad de la InformaciónNormas de Seguridad de la Información
Normas de Seguridad de la Información
 
Unidad II Fases de la Auditoria de Sistemas
Unidad II Fases de la Auditoria de SistemasUnidad II Fases de la Auditoria de Sistemas
Unidad II Fases de la Auditoria de Sistemas
 
Norma iso 17799
Norma iso  17799Norma iso  17799
Norma iso 17799
 
Mapa conceptual sobre Seguridad de la Información
Mapa conceptual sobre Seguridad de la InformaciónMapa conceptual sobre Seguridad de la Información
Mapa conceptual sobre Seguridad de la Información
 
Valores eticos del auditor dentro de sistemas informáticos
Valores eticos del auditor dentro de sistemas informáticosValores eticos del auditor dentro de sistemas informáticos
Valores eticos del auditor dentro de sistemas informáticos
 
AUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSAUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOS
 
Principales areas de la auditoria informatica
Principales areas de la auditoria informaticaPrincipales areas de la auditoria informatica
Principales areas de la auditoria informatica
 
Mapa mental seguridad informatica
Mapa mental seguridad informaticaMapa mental seguridad informatica
Mapa mental seguridad informatica
 
Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información
 
PECB Webinar: ¿Por qué toda organización necesita un CISO?
PECB Webinar: ¿Por qué toda organización necesita un CISO?PECB Webinar: ¿Por qué toda organización necesita un CISO?
PECB Webinar: ¿Por qué toda organización necesita un CISO?
 
Mapa conceptual de la Seguridad de la información
Mapa conceptual de la Seguridad de la informaciónMapa conceptual de la Seguridad de la información
Mapa conceptual de la Seguridad de la información
 
Information security management
Information security managementInformation security management
Information security management
 
Normas generales para la auditoría de sistemas de información
Normas generales para la auditoría de sistemas de informaciónNormas generales para la auditoría de sistemas de información
Normas generales para la auditoría de sistemas de información
 
FUNDAMENTOS DE AUDITORIA DE SISTEMAS
FUNDAMENTOS DE AUDITORIA DE SISTEMASFUNDAMENTOS DE AUDITORIA DE SISTEMAS
FUNDAMENTOS DE AUDITORIA DE SISTEMAS
 

Similar a Estructura en un área de seguridad informática

Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)Gabriel Marcos
 
5 Preguntas que los Ejecutivos necesitan hacer a sus equipos de Seguridad
5 Preguntas que los Ejecutivos necesitan hacer a sus equipos de Seguridad5 Preguntas que los Ejecutivos necesitan hacer a sus equipos de Seguridad
5 Preguntas que los Ejecutivos necesitan hacer a sus equipos de SeguridadDavid Barea Bautista
 
Red segura
Red seguraRed segura
Red segurarosslili
 
Perfiles profesionales-seguridad-informatica-practico
Perfiles profesionales-seguridad-informatica-practicoPerfiles profesionales-seguridad-informatica-practico
Perfiles profesionales-seguridad-informatica-practicoALEX VALENZUELA
 
Seguridad digital pequeña y mediana empresa Bizwin
Seguridad digital pequeña y mediana empresa Bizwin Seguridad digital pequeña y mediana empresa Bizwin
Seguridad digital pequeña y mediana empresa Bizwin Roger Reverter
 
politicas de seguridad informatica normas
politicas de seguridad informatica normaspoliticas de seguridad informatica normas
politicas de seguridad informatica normasgalactico_87
 
Políticas de seguridad
Políticas de seguridadPolíticas de seguridad
Políticas de seguridadGuiro Lin
 
Seguridad y continuidad de negocio
Seguridad y continuidad de negocioSeguridad y continuidad de negocio
Seguridad y continuidad de negocioepublishe
 
Ser pyme no es excusa, para no ocuparse de la ciberseguridad
Ser pyme no es excusa, para no ocuparse de la ciberseguridadSer pyme no es excusa, para no ocuparse de la ciberseguridad
Ser pyme no es excusa, para no ocuparse de la ciberseguridadSantiago Cavanna
 
Presentacion 7 acciones que mejoraran seguridad informatica
Presentacion 7 acciones que mejoraran seguridad informaticaPresentacion 7 acciones que mejoraran seguridad informatica
Presentacion 7 acciones que mejoraran seguridad informaticaservidoresdedic
 
Centros de Operaciones de Seguridad al servicio del negocio
Centros de Operaciones de Seguridad al servicio del negocioCentros de Operaciones de Seguridad al servicio del negocio
Centros de Operaciones de Seguridad al servicio del negocioNicolás Ezequiel Raggi
 
Seguridad informática cni
Seguridad informática cniSeguridad informática cni
Seguridad informática cniEdwin mendez
 
Dilema de seguridad actual
Dilema de seguridad actualDilema de seguridad actual
Dilema de seguridad actualJaime Restrepo
 
Curso Seguridad Estandares ISO 27001
Curso Seguridad Estandares ISO 27001Curso Seguridad Estandares ISO 27001
Curso Seguridad Estandares ISO 27001dcordova923
 

Similar a Estructura en un área de seguridad informática (20)

Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
 
5 Preguntas que los Ejecutivos necesitan hacer a sus equipos de Seguridad
5 Preguntas que los Ejecutivos necesitan hacer a sus equipos de Seguridad5 Preguntas que los Ejecutivos necesitan hacer a sus equipos de Seguridad
5 Preguntas que los Ejecutivos necesitan hacer a sus equipos de Seguridad
 
Red segura
Red seguraRed segura
Red segura
 
10 mandamientos2.0
10 mandamientos2.010 mandamientos2.0
10 mandamientos2.0
 
ISE Soluciones Estratégicas
ISE Soluciones EstratégicasISE Soluciones Estratégicas
ISE Soluciones Estratégicas
 
Perfiles profesionales-seguridad-informatica-practico
Perfiles profesionales-seguridad-informatica-practicoPerfiles profesionales-seguridad-informatica-practico
Perfiles profesionales-seguridad-informatica-practico
 
Seguridad digital pequeña y mediana empresa Bizwin
Seguridad digital pequeña y mediana empresa Bizwin Seguridad digital pequeña y mediana empresa Bizwin
Seguridad digital pequeña y mediana empresa Bizwin
 
politicas de seguridad informatica normas
politicas de seguridad informatica normaspoliticas de seguridad informatica normas
politicas de seguridad informatica normas
 
Pdictseguridadinformaticapoliticas
PdictseguridadinformaticapoliticasPdictseguridadinformaticapoliticas
Pdictseguridadinformaticapoliticas
 
Políticas de seguridad
Políticas de seguridadPolíticas de seguridad
Políticas de seguridad
 
Seguridad y continuidad de negocio
Seguridad y continuidad de negocioSeguridad y continuidad de negocio
Seguridad y continuidad de negocio
 
Ser pyme no es excusa, para no ocuparse de la ciberseguridad
Ser pyme no es excusa, para no ocuparse de la ciberseguridadSer pyme no es excusa, para no ocuparse de la ciberseguridad
Ser pyme no es excusa, para no ocuparse de la ciberseguridad
 
Presentacion 7 acciones que mejoraran seguridad informatica
Presentacion 7 acciones que mejoraran seguridad informaticaPresentacion 7 acciones que mejoraran seguridad informatica
Presentacion 7 acciones que mejoraran seguridad informatica
 
Centros de Operaciones de Seguridad al servicio del negocio
Centros de Operaciones de Seguridad al servicio del negocioCentros de Operaciones de Seguridad al servicio del negocio
Centros de Operaciones de Seguridad al servicio del negocio
 
Seguridad informática cni
Seguridad informática cniSeguridad informática cni
Seguridad informática cni
 
Dilema de seguridad actual
Dilema de seguridad actualDilema de seguridad actual
Dilema de seguridad actual
 
Dossier Tasecurity
Dossier TasecurityDossier Tasecurity
Dossier Tasecurity
 
Curso Seguridad Estandares ISO 27001
Curso Seguridad Estandares ISO 27001Curso Seguridad Estandares ISO 27001
Curso Seguridad Estandares ISO 27001
 
Deming
DemingDeming
Deming
 
S ce i -grupo 11 -t2-deming&si
S ce i -grupo 11 -t2-deming&siS ce i -grupo 11 -t2-deming&si
S ce i -grupo 11 -t2-deming&si
 

Estructura en un área de seguridad informática

  • 1. 1  Roles y papeles que se desempeñan
  • 2. Plasmar las estructuras más comunes en un área de Seguridad informática.  Especificar las principales funciones de los roles involucrados. 2
  • 3. 3  Algunas variables que determinan cómo es la estructura del departamento de Seguridad informática.
  • 4. 1990 Administrador de Antivirus / Accesos  1995 Administrador de Firewalls  1999 Seguridad Informática  2003 Seguridad de la Información  2005 Compliance y Riesgo 4
  • 5.  Cultura organizacional  Tamaño de la Compañía  Presupuesto a nivel de personal / gastos / inversión 5
  • 6. El tamaño del área de Seguridad informática, varia dependiendo del tamaño de la empresa.  Muy Grande (>10.000 equipos)  Grande (1.000<10.000 equipos)  Mediana (100<1.000 equipos)  Pequeña (<100 equipos) 6
  • 7. Características principales:  Los departamentos de seguridad en grandes organizaciones tienden a armarse y re-agruparse de acuerdo a los requerimientos del negocio, presupuesto o compliance.  El presupuesto de seguridad crece más rápido que el presupuesto de IT.  Mas allá de que tengan presupuestos grandes, el promedio de gasto en seguridad por usuario es más pequeño que en otro tipo de organizaciones. 7
  • 8. 4-5 adm. de seguridad tiempo completo. 10-15 adm. Técnicos tiempo completo. 5-10 adm. de seguridad tiempo parcial. 30-35 adm. Técnicos tiempo parcial CISO Compliance Servicio técnico (cumplimiento de buenas prácticas) Evaluación de Consultoría Evaluación de Malware Vulnerabilidades técnica riesgos Administración DMZ Clientes Diseño de riesgos Intranet Servidores Arquitectura Clientes y Implementación 8 Servidores
  • 9. En este tamaño de empresa, la seguridad de la información en muchos casos ya maduró, integrándose a la cultura y planificación de Organización.  Uno de los principales problemas, es que no siempre poseen los recursos necesarios para los temas de seguridad. 9
  • 10. 1-2 adm. de seguridad tiempo completo. 3-4 adm. Técnicos tiempo completo. 3-4 adm. de seguridad tiempo parcial. 10-12 adm. Técnicos tiempo parcial CISO Administración de Servicio técnico riesgos y Políticas Firewalls/IDS Malware y Servidores 10
  • 11. Cuentan con un presupuesto total menor.  Tienen un staff de seguridad de tamaño similar a organizaciones más pequeñas, pero sus requerimientos son mayores.  Dependen de la ayuda del staff de IT para planes y prácticas.  En general, su habilidad para fijar políticas, estandarizar y asignar recursos eficientemente es baja. 11
  • 12. 1 administrador de seguridad tiempo completo. 1 soporte técnico tiempo parcial. Gerente de la Seguridad Administrador de Técnico de Seguridad Seguridad 12
  • 13. Cuentan con un modelo simple y centralizado de organización de IT.  Gastan desproporcionadamente más en seguridad.  La seguridad de la información en una pequeña empresa es en general responsabilidad de un solo administrador de seguridad.  Estas organizaciones tienen frecuentemente una escasa política formal, planeamiento o medidas de seguridad. 13
  • 14. Gerente de la Seguridad 14
  • 15. Opciones de dependencia: o Administración o Riesgo o Legal o Auditoria Interna o Finanzas o Recursos Humanos o Operaciones 15
  • 16. Nivel Estratégico – CISO  Nivel de Negocio – Gerente de Seguridad  Nivel Gerencial – Jefe de Seguridad Informática  Nivel Técnico – Administrador de Seguridad El área de seguridad de la información es una de las áreas con más posibilidad de visibilidad de la Dirección. 16
  • 17. 17
  • 18. 18
  • 19. 19
  • 20. 20
  • 21. La estructura de un área de Seguridad Informática dentro de una organización, cualquier que esta sea, dependerá en gran medida de las dimensiones de dicha organización y de la relevancia que se le dé a nivel estratégico.  Los roles y funciones que cada miembro debe desempeñar en dicha estructura, estarán segregadas en función de los principales campos que atañen a la seguridad informática, desde los aspectos técnicos y los legales.  Es en las empresas más pequeñas donde la labor del Oficial de Seguridad es más compleja al tener que desempeñar todos los roles y generalmente estar bajo la supervisión de TI. 21