Seguridad integrada como respuesta al Negocio - Participación como conferencista en la 3a. Edición del “Congreso Internacional sobre Gobierno, Riesgos, Auditoría y Seguridad” de Tecnología de Información – CIGRAS - que se realizó en Montevideo los días 2 y 3 de agosto de 2012.
PRESENTACION EN SST, plan de trabajo del sistema de seguridad y salud en el t...
CIGRAS2012 (ISACA Montevideo) Seguridad y Negocio
1. 29/07/2012
1
www.isaca.org.uy
Seguridad integrada como
Seguridad integrada como
respuesta al Negocio
respuesta al Negocio
Fabián Descalzo, CISO
Uruguay
Uruguay -
- Argentina
Argentina
www.isaca.org.uy
Agenda
Agenda
Requerimientos del Negocio
¿Donde encontrar las respuestas?
Conociendo el interior
La seguridad del lado del Negocio
Seguridad integrada como respuesta
al Negocio
2. 29/07/2012
2
www.isaca.org.uy
Requerimientos del Negocio
Requerimientos del Negocio
www.isaca.org.uy
Requerimientos del Negocio
Requerimientos del Negocio
Establecer objetivos es
Establecer objetivos es
esencial para el éxito
esencial para el éxito
de una empresa
de una empresa
• Permiten enfocar esfuerzos hacia una
misma dirección.
• Sirven de guía para la formulación de
estrategias.
• Sirven de guía para la asignación de
recursos.
• Sirven de base para la realización de
tareas o actividades.
• Generan coordinación, organización y
control.
• Generan participación, compromiso y
motivación; y, al alcanzarlos, generan
un grado de satisfacción.
• Revelan prioridades.
• Producen sinergia.
• Disminuyen la incertidumbre.
Establece un único
resultado a lograr y es
coherente con la misión
de la empresa
3. 29/07/2012
3
www.isaca.org.uy
Cambios en el
Cambios en el
entorno de nuestro
entorno de nuestro
Negocio
Negocio
Cambio de
valor de lo
físico al valor
valor
de la
de la
información
información
(intangibles)
Nuevos
regímenes
regulatorios
Cambios del
Mercado
Nuevas
tecnologías
aplicadas al
resultado del
Negocio
Interacción
más dinámica
entre los
diferentes
procesos de
negocios
Requerimientos del Negocio
Requerimientos del Negocio
www.isaca.org.uy
Disponer de una gestión
que asegure los
procesos de negocio y
el tratamiento de los
datos propios o de
terceros alineados a:
Frameworks que
Frameworks que
aportan valor
aportan valor
agregado
agregado
Requerimientos
Requerimientos
legales y
legales y
reglamentarios
reglamentarios
Requerimientos del Negocio
Requerimientos del Negocio
4. 29/07/2012
4
www.isaca.org.uy
SEGURIDAD
SEGURIDAD
OBJETOS DE
OBJETOS DE
INFORMACIÓN
INFORMACIÓN
Requerimientos del Negocio
Requerimientos del Negocio
www.isaca.org.uy
Identificar funciones, obligaciones del
personal y establecer un marco operativo
acorde a las Requerimientos del Negocio.
Conformar grupos interdisciplinarios (Legales
/ Desarrollo / Seguridad Informática, y
representante del área involucrada) con el fin
de analizar los requerimientos del Negocio.
8
Requerimientos del Negocio
Requerimientos del Negocio
5. 29/07/2012
5
www.isaca.org.uy
¿Dónde encontrar las respuestas?
¿Dónde encontrar las respuestas?
www.isaca.org.uy
Aporte de soluciones de y a cada Sector
Aporte de soluciones de y a cada Sector
Seguridad en el Negocio
Seguridad en el Negocio
¿Dónde encontrar las respuestas?
¿Dónde encontrar las respuestas?
Calidad de Servicio
Calidad de Servicio
6. 29/07/2012
6
www.isaca.org.uy
Dirección
Dirección
Gerencia
Gerencia
Usuarios
Usuarios
Cada nivel de la Organización hace a la seguridad y
calidad en el Negocio
¿Dónde encontrar las respuestas?
¿Dónde encontrar las respuestas?
www.isaca.org.uy
Desarrollar y fomentar una cultura de la organización y el
comportamiento que debe aplicarse en todas las actividades
empresariales
VISION
¿Dónde encontrar las respuestas?
¿Dónde encontrar las respuestas?
8. 29/07/2012
8
www.isaca.org.uy
Hacen que una
función cumpla
con todos sus
procesos de
negocio
Objetivos
funcionales y
resultados
operativos
Objetivos e
imagen de la
empresa
Dirección
Dirección
Gerencia
Gerencia
Usuarios
Usuarios
Conociendo el interior
Conociendo el interior
www.isaca.org.uy
Conociendo el interior
Conociendo el interior
Trato sobre los activos
de la empresa, valor de
su información,
funciones y cada uno
de los procesos en los
que participa.
Asegurar objetivos
funcionales y resguardo
de los activos de la
Organización
Asegurar objetivos
corporativos, ya sea
tangible (económico)
como intangible
(imagen en el mercado)
Dirección
Dirección
Gerencia
Gerencia
Usuarios
Usuarios
9. 29/07/2012
9
www.isaca.org.uy
Físico: Documentos en papel, incluyendo faxes y copias
fotostáticas. Puede ser almacenada en archivos físicos,
carpetas o gabinetes.
Electrónico: Documentos electrónicos en procesador de
texto, hojas de cálculo, etc. Puede ser almacenada en
varios medios electrónicos, incluyendo CD ROM cintas de
audio, memorias USB, discos duros, Asistentes Digitales
Personales (p.e. Blackberries) y otros dispositivos similares
Interpersonal: La información es comunicada de una
persona a otra utilizando diferentes métodos o medios de
transmisión, por ejemplo: oralmente por teléfono o en
persona, o por escrito vía fax, correo postal o correo
electrónico.
Conociendo el interior
Conociendo el interior
www.isaca.org.uy
Conociendo el interior
Conociendo el interior
Marco
Marco
Normativo
Normativo
Recursos
Recursos
Humanos
Humanos
Recursos
Recursos
de
de
Hardware
Hardware
Recursos
Recursos
de
de
Software
Software
10. 29/07/2012
10
www.isaca.org.uy
La seguridad del lado del Negocio
La seguridad del lado del Negocio
www.isaca.org.uy
20
Principales objetivos de control
Principales objetivos de control
Control
Control Alcance
Alcance
1,00 Auditoría, evidencias y monitoreo
2,00 Autenticación y control de acceso
3,00 Confidencialidad y No-Repudiación
4,00 Personal externo y contratistas
5,00 Tolerancia a fallas, backup y recuperación
6,00 Respuesta y reporte de incidentes
7,00 Mantenimiento y operaciones
8,00 Red de datos
9,00 Acceso físico
10,00 Documentación electrónica y en papel
11,00 Accesos remotos
12,00 Concientización y entrenamiento en Seguridad
13,00 Política de administración de la seguridad
14,00 Configuración del sistema
15,00 Desarrollo de sistemas y control de cambios
16,00 Proveedores, profesionales y prestadores
Interpretación
Tecnología
Interpretación
Unidades
Administrativas
Interpretación
Unidades de
Servicio
La seguridad del lado del Negocio
La seguridad del lado del Negocio
11. 29/07/2012
11
www.isaca.org.uy
21
Función tradicional
Función tradicional Agregar valor al servicio
Agregar valor al servicio
Visión basada en
Visión basada en
activos
activos
Visión basada en riesgos asociados
Visión basada en riesgos asociados
al servicio
al servicio
Dirección y control
Dirección y control Liderazgo y poder de delegación
Liderazgo y poder de delegación
Nuevo Modelo de Seguridad
Nuevo Modelo de Seguridad
Nuevas tecnologías + Nuevas regulaciones
Nuevas tecnologías + Nuevas regulaciones
+ Cambio en el valor + Pautas del Mercado
+ Cambio en el valor + Pautas del Mercado
La seguridad del lado del Negocio
La seguridad del lado del Negocio
www.isaca.org.uy
27000
22
Calidad + Seguridad + Gobernabilidad
Calidad + Seguridad + Gobernabilidad
La seguridad del lado del Negocio
La seguridad del lado del Negocio
12. 29/07/2012
12
www.isaca.org.uy
La seguridad del lado del Negocio
La seguridad del lado del Negocio
www.isaca.org.uy
Política de Seguridad
Política de Seguridad
Aspectos organizativos de la seguridad
Aspectos organizativos de la seguridad
Clasificación y control de activos
Clasificación y control de activos Control de accesos
Control de accesos
Conformidad
Conformidad
Seguridad del personal
Seguridad del personal Seguridad del entorno físico
Seguridad del entorno físico
Seguridad del entorno
Seguridad del entorno
tecnológico
tecnológico
Desarrollo y mantenimiento
Desarrollo y mantenimiento
de sistemas
de sistemas
Gestión de comunicaciones y
Gestión de comunicaciones y
operaciones
operaciones
Gestión de continuidad
Gestión de continuidad
de negocio
de negocio
Seguridad Organizativa
Seguridad Organizativa
Seguridad lógica
Seguridad lógica
Seguridad física
Seguridad física
Seguridad legal
Seguridad legal
Táctico
Táctico
Operativo
Operativo
Estratégico
Estratégico
La seguridad del lado del Negocio
La seguridad del lado del Negocio
13. 29/07/2012
13
www.isaca.org.uy
25
Calidad +
Calidad +
Seguridad +
Seguridad +
Gobernabilidad
Gobernabilidad
La seguridad del lado del Negocio
La seguridad del lado del Negocio
www.isaca.org.uy
• Implementación de frameworks integrados para facilitar el cumplimiento de leyes y
regulaciones, asociados a los estándares y las políticas corporativas
• El enfoque integrador
enfoque integrador, todos los participantes son involucrados en los logros del
proyecto
• Resultados concretos en cortos plazos, con avances graduales hacia el cumplimiento
de los objetivos
Requerimientos del Servicio
Requerimientos del Servicio
Tecnología
Tecnología Procesos
Procesos Personas
Personas
Assessment
(GAP, Plan Preliminar)
• Herramientas
• Interfaces
• Documentación
• Nivel de Madurez
• GAP
• Estructura
• Instituciones
• Nivel de destrezas
• Capacitación
Implementación
(Procesos implantados)
• Herramientas
• Migraciones
• Interfaces
• Diseño lógico
• Diseño Físico
• Vinculaciones
• Documentación
• Validación de
Funcionamiento
• Roles y
responsabilidades
• Entrenamiento
• Cambio Cultural
• Herramientas de
capacitación
Mejoramiento continuo
• Herramientas
• Interfaces
• Seguimiento
• Ajustes
• Refinamientos
• Nuevos Procesos
• Entrenamiento
• Capacitación
26
La seguridad del lado del Negocio
La seguridad del lado del Negocio
14. 29/07/2012
14
www.isaca.org.uy
Seguridad y Gobernabilidad Asociadas
Seguridad y Gobernabilidad Asociadas
Política General y
Normas de Seguridad
Familia ISO 27000
Normas,
procedimientos
Estándares Registros
Procesos de Negocio
Norma ISO 9001 / Norma ISO 20000
Documentación
asociada a las áreas
administrativas
Procedimientos Formularios
Documentación de
los sistemas y
operaciones
Manuales Instructivos
27
La seguridad del lado del Negocio
La seguridad del lado del Negocio
www.isaca.org.uy
Seguridad integrada como
Seguridad integrada como
respuesta al Negocio
respuesta al Negocio
15. 29/07/2012
15
www.isaca.org.uy
• El Negocio debe comunicar cuáles son sus
futuros objetivos, para conseguir el soporte
conseguir el soporte
necesario por parte de la Organización
necesario por parte de la Organización, ya
sea desde sus áreas administrativas como de
sus áreas tecnológicas.
• La organización, desde las diferentes áreas
brindará el soporte necesario acorde a los
brindará el soporte necesario acorde a los
requerimientos del Negocio
requerimientos del Negocio
Seguridad Integrada al Negocio
Seguridad Integrada al Negocio
www.isaca.org.uy
Sistemas de Gestión de Seguridad de la Información
Sistemas de Gestión de Seguridad de la Información
Planes Directores de Seguridad
Planes Directores de Seguridad
Evaluación y diagnóstico de la Seguridad de la Información
Evaluación y diagnóstico de la Seguridad de la Información
Planes de continuidad de negocios
Planes de continuidad de negocios
Adecuación a buenas prácticas (ITIL / ISO 20000)
Adecuación a buenas prácticas (ITIL / ISO 20000)
Certificaciones de SGC y SGS (ISO 9001 / ISO 27000)
Certificaciones de SGC y SGS (ISO 9001 / ISO 27000)
Planes de formación y concientización
Planes de formación y concientización
Governance, Risk & Compliance
Governance, Risk & Compliance
Auditorias y revisiones periódicas
Auditorias y revisiones periódicas
30
Seguridad Integrada al Negocio
Seguridad Integrada al Negocio
16. 29/07/2012
16
www.isaca.org.uy
Seguridad
Seguridad
Organizativa
Organizativa
Seguridad
Seguridad
Lógica
Lógica
Seguridad
Seguridad
Lógica
Lógica
Seguridad
Seguridad
Física
Física
Seguridad
Seguridad
Legal
Legal
Seguridad
Seguridad
Legal
Legal
Mejor calidad de
Mejor calidad de
Servicios y
Servicios y
Productos
Productos
Aseguramiento
Aseguramiento
de activos del
de activos del
negocio
negocio
Asegurar la
Asegurar la
continuidad en
continuidad en
el tiempo
el tiempo
Seguridad Integrada al Negocio
Seguridad Integrada al Negocio
www.isaca.org.uy
Métricas
de
Seguridad
Métricas
de
Seguridad
Programa
de
Protección
Programa
de
Protección
Gestión
de
Riesgos
Gestión
de
Riesgos
32
Políticas de
Políticas de
Seguridad
Seguridad
Procedimientos de
Procedimientos de
Seguridad
Seguridad
Procesos
Procesos
Planes
Planes
Proyectos
Proyectos
Seguridad
Seguridad es parte del Plan de Negocios en el marco
es parte del Plan de Negocios en el marco
empresario actual, brindando a través de ella
empresario actual, brindando a través de ella Calidad y
Calidad y
Gobernabilidad
Gobernabilidad sobre todos los servicios de IT
sobre todos los servicios de IT
Objetivos de la
Objetivos de la
Empresa
Empresa
Leyes y Regulación
Leyes y Regulación
17. 29/07/2012
17
www.isaca.org.uy
Plan
Plan
Estratégico de
Estratégico de
la Empresa
la Empresa
Marca
Marca
Reputación
Reputación
Plan
Plan
Estratégico de
Estratégico de
Seguridad
Seguridad
PLAN DE NEGOCIO
PLAN DE NEGOCIO
Seguridad Integrada al Negocio
Seguridad Integrada al Negocio
www.isaca.org.uy
Preguntas
Preguntas?
?
Muchas
Muchas Gracias
Gracias
Fabián Descalzo, CISO
fdescalzo@cidi.com.ar
Uruguay
Uruguay -
- Argentina
Argentina