Los principales estándares relacionados al gobierno en el tratamiento y seguridad de la información, fueron promulgados desde el propio negocio como una necesidad de disponer de una gestión que asegure sus procesos y el tratamiento de los datos propios o de terceros, bajo condiciones de calidad y respondiendo a los requerimientos de sus clientes.
Un manual creado en los ’80 por la Royal Dutch/Shell Group, el Manual de Políticas de Seguridad de la Información, dio paso a lo que hoy conocemos como el estándar normativo ISO-IEC 27001 y a toda la familia de normas ISO 27000, a través de las cuales se establece la prioridad de identificar y definir formalmente los objetivos compatibles con la dirección estratégica de la organización en relación a la seguridad de la información.
1. 23/8/2016
1
Gestión de Aseguramiento Corporativo
Fabián Descalzo
Gerente de Gobierno, Riesgo y Cumplimiento
Gerente de Servicios y Soluciones en el área de Gobierno, Riesgo y Cumplimiento (GRC) en Cybsec S.A., con
amplia experiencia en la implementación y cumplimiento de Leyes y Normativas Nacionales e
Internacionales en compañías de primer nivel de diferentes áreas de negocio en la optimización y
cumplimiento de la seguridad en sistemas de información, Gobierno de TI y Gobierno de Seguridad de la
Información.
Miembro del Comité Directivo del “Cyber Security for Critical Assets LATAM Summit” para Qatalys Global
sección Infraestructura Crítica (Gobiernos y empresas de América Latina en el sector de la energía, química,
petróleo y gas), Miembro del Comité Científico ARGENCON del IEEE (Institute of Electrical and Electronics
Engineers), Miembro del Comité Organizador CYBER 2015 de ADACSI/ISACA, certificado en Dirección de
Seguridad de la Información (Universidad CAECE), instructor certificado ITIL Fundation v3-2011 (EXIN) y
auditor ISO 20000 (LSQA-Latu).
Columnista especializado en áreas de Gobierno, Seguridad y Auditoría, Informática en Salud y Compliance
en las revistas CISALUD, PERCEPCIONES (ISACA Montevideo Chapter), El Derecho Informático, CXO-
Community, EXIN Newsletter y MAGAZCITUM; y disertante para CXO-COMMUNITY, Consejo Profesional de
Ciencias Informáticas, ISACA Buenos Aires Chapter, ISACA Montevideo Chapter.
Profesor del módulo 27001 del curso de “IT Governance, Uso eficiente de Frameworks”, y de la
“Diplomatura en Gobierno y Gestión de Servicios de IT” del Instituto Tecnológico de Buenos Aires (ITBA) y
Profesor en “Sistemas de Gestión IT” y “Seguridad de la Información” en TÜV-NORD Argentina.
Perfil del disertante
2. 23/8/2016
2
Presentación de los participantes
Alinear la
Seguridad con
los Objetivos de
la Empresa
Gobierno de TI y
Seguridad de la
Información
Gestión,
Comunicación y
Control
Cumplimiento y
entorno
regulatorio
Servicios aplicados
al resultado del
Negocio
Implementación
y Certificación
Guía de temas
3. 23/8/2016
3
Nuestra información se relaciona en gran medida con nuestras
operaciones ejecutivas, interacciones con los clientes y con terceros.
Esta información se encuentra en distintas formas y en numerosas
aplicaciones.
La mayor parte de nuestra información no está disponible al público en general
4. 23/8/2016
4
Royal Dutch
Shell Group
Royal Dutch
Shell Group
DESARROLLO: Centro de InformáticaNacional del Reino Unido (NCC), Shell, BOC Group,British
Telecom, Marks and Spencer, Midland Bank, Nationwide
APOYO: BP, British Aeroespacial, British Steel, Bull, CadburySchweppes,Cameron Markby
Hewitt, Chelsea Building Society, Ciba Geigy, digital Equipment Corporation,Reuters y TSB
Bank. BSI-DISC
La norma BS 7799 de BSI
aparece por primera vez en
1995, con objeto de
proporcionar a cualquier
empresa un conjunto de buenas
prácticas para la gestión de la
seguridad de su información.
La norma BS 7799 de BSI
aparece por primera vez en
1995, con objeto de
proporcionar a cualquier
empresa un conjunto de buenas
prácticas para la gestión de la
seguridad de su información.
Organismo encargado de promover el
desarrollo de normas internacionales de
fabricación (productos y servicios), comercio
y comunicación. Busca la estandarización de
normas de productos y seguridad para las
empresas u organizaciones (públicas o
privadas) a nivel internacional
Organismo encargado de promover el
desarrollo de normas internacionales de
fabricación (productos y servicios), comercio
y comunicación. Busca la estandarización de
normas de productos y seguridad para las
empresas u organizaciones (públicas o
privadas) a nivel internacional
ISO 27799
Salud
ISO 27799
Salud
ISO 27011
Telecomunicaciones
ISO 27011
Telecomunicaciones
ISO 27017
Cloud Computing
ISO 27017
Cloud Computing
ISO 27032
Cyberseguridad
ISO 27032
Cyberseguridad
ISO 27015
Financiera - Seguros
ISO 27015
Financiera - Seguros
ISO 27019
Energía
ISO 27019
Energía
Familia
27000
Familia
27000
27001
SGSI 27002
Controles
SGSI
27003
Implementación
SGSI
27004
Métricas
de SI
27005
Gestión de
Riesgos SI
27010
Intercambio
de
información
27013
Integración
27001 con
ISO2000
27014
Gobierno
de SI
27016
Finanzas
del SGSI
27031 TIC
Contingencia
Negocio
27034
Seguridad
aplicativa
27035
Incidentes
de SI
5. 23/8/2016
5
4. Sistema de Gestión de
Seguridad de la Información
4. Sistema de Gestión de
Seguridad de la Información
4.3 Requisitos de la Documentación4.3 Requisitos de la Documentación
4.1 Generalidades4.1 Generalidades
4.2 Implementación y gerenciamiento
del SGSI
4.2 Implementación y gerenciamiento
del SGSI
5. Responsabilidades de la
Dirección
5. Responsabilidades de la
Dirección
6. Auditoría interna del SGSI6. Auditoría interna del SGSI
7. Revisión del SGSI por parte de
la Dirección
7. Revisión del SGSI por parte de
la Dirección
8. Mejora del SGSI8. Mejora del SGSI
4. Contexto organizacional
7. Soporte
5. Liderazgo
6. Planificación
8. Operación
9. Evaluación de
funcionamiento del SGSI
10. Mejoras y acciones
correctivas
Introducción, Alcance, Referencias Normativas, Términos y definiciones2005 2013
PLAN
Establecer SGSI
PLAN
Establecer SGSI
HACER
Implementar y
operar
HACER
Implementar y
operar
CHEQUEAR
Monitorear y
revisar
CHEQUEAR
Monitorear y
revisar
ACTUAR
Mantener y
profundizar
ACTUAR
Mantener y
profundizar
Políticas de Seguridad de la
Información
Políticas de Seguridad de la
Información
Organización de la
Seguridad
Organización de la
Seguridad
Identificación y
clasificación de
Activos
Identificación y
clasificación de
Activos
Selección e
implementación
de controles
Selección e
implementación
de controles
Operacionalizar
los procesos
Operacionalizar
los procesos
Verificar y
controlar los
procesos
Verificar y
controlar los
procesos
Acciones
correctivas y
preventivas
Acciones
correctivas y
preventivas
Revisión de la
Gerencia
Revisión de la
Gerencia
Estructura de la Norma - PDCA
6. 23/8/2016
6
ACTCHECKDOPLAN
4. Contexto organizacional
7. Soporte
5. Liderazgo
6. Planificación
8. Operación
9. Evaluación de
funcionamiento del SGSI
10. Mejoras y acciones
correctivas
Entendimiento de la Organización y su contexto
Expectativas de las partes interesadas
Alcances del ISMS
Liderazgo y compromiso de la Alta Dirección
Políticas
Organización de los roles, responsables y autoridades
Como abordar riesgos y oportunidades
Recursos, competencias, concientización,
comunicación, información documentada
Plan de tratamiento de riesgos
Implementar el plan y documentar los resultados
Plan de seguimiento, medición, análisis y evaluación
Planear y realizar auditorías internas del SGSI
Revisiones regulares de la Alta Dirección
No conformidad y acciones correctivas
Mejora continua del SGSI
Estructura de la Norma - PDCA
Seguridad
Organizacional
Seguridad
Lógica
Seguridad
Física
Seguridad
Legal
ORGANIZACIONAL
Establece el marco formal de seguridad que debe
sustentar la Organización, incluyendo servicios o
contrataciones externas a la infraestructura de
seguridad, Integrando el recurso humano con la
tecnología
ORGANIZACIONAL
Establece el marco formal de seguridad que debe
sustentar la Organización, incluyendo servicios o
contrataciones externas a la infraestructura de
seguridad, Integrando el recurso humano con la
tecnología
FÍSICA
Identifica los límites mínimos que se deben cumplir
en cuanto a perímetros de seguridad y acceso
físico con base en la importancia de los activos.
FÍSICA
Identifica los límites mínimos que se deben cumplir
en cuanto a perímetros de seguridad y acceso
físico con base en la importancia de los activos.
LÓGICA
Establece e integra los mecanismos y
procedimientos, que permitan monitorear el
acceso informatizado a los activos de información
LÓGICA
Establece e integra los mecanismos y
procedimientos, que permitan monitorear el
acceso informatizado a los activos de información
LEGAL
Integra los requerimientos de seguridad que deben
cumplir todos los empleados, socios y usuarios de
la red corporativa bajo la reglamentación de la
normativa interna de políticas y manuales de
procedimientos de la Organización
LEGAL
Integra los requerimientos de seguridad que deben
cumplir todos los empleados, socios y usuarios de
la red corporativa bajo la reglamentación de la
normativa interna de políticas y manuales de
procedimientos de la Organización
EntornodeSeguridaddelaInformación
7. 23/8/2016
7
Política de SeguridadPolítica de Seguridad
Organización de la seguridadOrganización de la seguridad
Gestión de activosGestión de activos Control de accesos
Conformidad
Seguridad del personalSeguridad del personal Seguridad del entorno físicoSeguridad del entorno físico
Seguridad del entorno
tecnológico
Gestión de incidentes de
seguridad
Gestión de comunicaciones y
operaciones
Gestión de continuidad de
negocio
Gestión de continuidad de
negocio
TácticoOperativoEstratégicoNuevas Regulaciones, Requerimientos por Certificación, Planes de Trabajo por
Auditorías, Actualización Tecnológica
Nuevas Regulaciones, Requerimientos por Certificación, Planes de Trabajo por
Auditorías, Actualización Tecnológica
Impactan enImpactan en
Lo regulaLo regula Lo eligeLo eligeNEGOCIONEGOCIO
Deben acompañarDeben acompañar
Procesos de Negocio
8. 23/8/2016
8
Objetivos de mejora en su gestión que busca alcanzar la Organización:
• De gobierno, estructura organizativa, funciones y responsabilidades
• Políticas, los objetivos y las estrategias que están en marcha para
alcanzarlos
• Las capacidades, entendidas en términos de recursos y de
conocimiento (por ejemplo, capital, tiempo, personas, procesos,
sistemas y tecnologías)
• Sistemas de información, flujos de información y procesos de toma
de decisiones (tanto formales como informales)
• Relación con las percepciones y valores de los interesados internos:
• Cultura de la organización
• Normas, directrices y modelos adoptados por la organización
• Forma y el alcance de las relaciones contractuales.
PLAN DE
NEGOCIO
OBJETIVOS ESTRATÉGICOS DEL
NEGOCIO
Objetivo
de servicio
de SI
Objetivo
de servicio
de IT
Confidencialidad,
Integridad y
Disponibilidad
Confidencialidad,
Integridad y
Disponibilidad
Operatividad y
Gobernabilidad
Operatividad y
Gobernabilidad
CALIDADCALIDAD
9. 23/8/2016
9
SEGURIDAD
PROCESOS FUNCIONALES
PROCESOS TECNOLÓGICOS
GOBERNABILIDAD
Gobierno de la Seguridad de la
Información proporciona 6
resultados básicos:
• Alineación Estratégica
• Entrega de valor
• Gestión de Riesgos
• Gestión de Rendimiento
• Gestión de Recursos
• Aseguramiento del proceso de
Negocio
NEGOCIONEGOCIO
ISO 27014 – Gobierno de Seguridad de la Información
ISO 20000 – Gestión de Servicios de TI
ISO 27013 – Integración de ISO 27001 con ISO 20000
Entender nuestro modelo
de negocio Conocer las regulaciones, marco
normativo y estándares del Negocio
Sugef 18-16
Reglamento sobre gestión del riesgo operativo
No solo tomarlo como algo a cumplir, sino
como guía para nuestros parámetros de
gestión y cumplimiento
10. 23/8/2016
10
Nivel de
Cumplimiento de
Servicio y Regulatorio
Áreas de Negocio
Procesos de Negocio que procesan información física e
informatizada
Sistemas de
Procesamiento
Tecnología de la
Información
Operaciones
Arquitectura
Desarrollo
Seguridad de la
Información
Seguridad
Organizacional
Seguridad
Informática
Seguridad Física
Seguridad Legal
ENTORNO = RIESGOS
CUMPLIMIENTO
Leyes, Regulaciones, Políticas Internas
Asociar las áreas Legales,
Auditoría y Seguridad con
las áreas Funcionales y
Tecnológicas
GOBIERNO
Establecer procesos
funcionales y de servicio
tecnológico protegidos,
compliance y pensados para
El Negocio
Reconocer los diferentes
riesgos y metodología para
su gestión
11. 23/8/2016
11
Administración de
riesgos
Un Análisis de Riesgo puede ser desarrollado con cualquier tipo
de metodología, siempre y cuando sea completa y metódica.
El resultado final de un análisis de riesgo, es:
• Clara identificación, definición y descripción de los activos.
• El impacto que podría ocasionar un problema sobre cada
uno.
• Conjunto de acciones que pueden realizarse (agrupadas).
• Propuesta varios cursos de acción posibles.
• Finalmente: Elección y Aprobación de un curso de acción por
parte de la Dirección. Es decir, el compromiso que asume en
virtud de su propia estrategia (Costo/beneficio/Negocio), para
tratar las acciones de ese curso de acción y ASUMIR el
riesgo residual que quedará con lo que no esté dispuesto a
abordar (…..o en definitiva a pagar…..).
12. 23/8/2016
12
Revisión del
entorno
Identificación de
Riesgos
Análisis de
Respuestas al
Riesgo
Plan de
Respuestas al
riesgo
Plan de Revisión o
cambios en el
Entorno
Procesos del negocio
• Procesos cuya pérdida o degradación
hacen que sea imposible llevar a cabo la
misión de la organización
• Procesos que contienen procesos
secretos o procesos que involucran
tecnología propietaria
• Procesos que, si se modifican, pueden
afectar en gran medida el logro de la
misión de la organización.
• Procesos que son necesarios para que la
organización cumpla con requerimientos
contractuales, legales o reglamentarios.
Información:
• Información vital para el ejercicio de la
misión de la organización o el negocio
• Información personal, tal como
específicamente puede definirse en el
sentido de las legislaciones nacionales
respecto a la privacidad
• Información estratégica necesaria para
lograr los objetivos determinados por las
orientaciones estratégicas
• Información de costo alto cuya
recolección, almacenamiento,
procesamiento y transmisión requieren
mucho tiempo y/o implican un alto costo
de adquisición
13. 23/8/2016
13
ACTIVO
Identificación
Amenazas
Vulnerabilidades
Propietario o
Dueño del Riesgo
Procesos de tratamiento y procesamiento de informaciónProcesos de tratamiento y procesamiento de información
Enfoque a procesos
La apreciación de riesgos debe ser sistematizada y orientada a procesos, es decir, que se
integre en el día a día de las operaciones de la organización.
Responsable que se encarga de dirigir y controlar las acciones de mejora (aplicación e
implementación de los controles del Anexo A de la norma ISO 27002:2013) para que
exista una trazabilidad y no se detecten riesgos que luego no vayan a ser tratados,
controlados y evaluados.
Áreas de Negocio
Proceso FuncionalProceso Funcional
Proceso de Servicios Tecnológicos y de Seguridad al NegocioProceso de Servicios Tecnológicos y de Seguridad al Negocio
Registros y Controles
14. 23/8/2016
14
Propietario
del Riesgo
Garantiza la
correcta
clasificación
Usuarios Clave
Seguridad de
la Información
Brinda
soporte a
Áreas de
Negocio y IT
Determina el riesgo
apropiado
Evaluar la probabilidad
de ocurrencia
Propietario
del Riesgo
Aprueba la
clasificación
y definiciones
tomadas
Áreas de IT
Implementan las
soluciones indicadas por
los Usuarios y
recomendaciones de SI
Considerar el impacto al
determinar el riesgo
Evaluación y tratamiento de riesgos
Evaluación de riesgos de seguridad
Se puede usar cualquier método de gestión de riesgos de seguridad de la
información, con preferencia por métodos documentados, estructurados y
generalmente aceptados
15. 23/8/2016
15
Evaluación y tratamiento de riesgos
Tratamiento de riesgos de seguridad
Implementación: La Gerencia (específicamente los propietarios de riesgos) necesita
evaluar los riesgos y decidir qué hacer con ellos. Tales decisiones deben documentarse
en un Plan de Tratamiento de Riesgos (PTR). Es aceptable que la dirección decida
explícitamente no hacer nada con ciertos riesgos de seguridad de la información que se
estiman dentro de la "tolerancia al riesgo" de la organización, sin que sea éste el enfoque
por defecto.
En el que se dispone un listado de controles que sirven para orientarse en las
posibles acciones a efectuar para reducir los riesgos, que pueden formar parte
del "Plan de Tratamiento de Riesgos"
Planificación de
Administración
de Riesgos
•Alcance
•Metodología
Identificación de
Riesgos
•Confidencialidad
•Integridad
•Disponibilidad
Análisis de
Riesgos
•Riesgos
•Costos / Beneficios
Plan de Acción
•Tratamiento / Respuesta a
los riesgos
•Aceptar riesgo residual
Monitoreo de los Riesgos
•Actividades de control
•Información y comunicación
•Supervisión
Mitigar
• Controles
Transferir
• Seguros
• Proveedores
Aceptar
• No hacer nada
Evitar
• Cesar la actividad que lo
origina
Apetito de Riesgo
= Nivel de riesgo
aceptado para
cumplir las metas
Apetito de Riesgo
= Nivel de riesgo
aceptado para
cumplir las metas
16. 23/8/2016
16
ESCENARIOS DE
INFORMACIÓN
Entorno
Físico
De negocio (legal, procesos)
Procesamiento /
Tratamiento
Digital
Manual
Transmisión
Interempresa / Intersector
Intersistemas
Escenarios
Determinación de alcance
Unidades
de
Negocio
TERCER ALCANCE
Análisis de riesgo de
procesos de negocio
Procesos
funcionales
críticos del
negocio
INFORMACIÓN
PRIMER ALCANCE
Centro de la información y de los
procesos tecnológicos críticos de la
organización
Aplicaciones
críticas
Gestión de
Usuarios
(Identidades
/ Accesos)
SEGUNDO ALCANCE
Análisis de riesgo de
procesos de servicio
tecnológicos
Procesos
críticos de
tecnología
17. 23/8/2016
17
INFORMACIÓN
Acceso Físico
Acceso lógico
Operación de
sistemas
Seguridad de las
redes
Seguridad en las
comunicaciones
/ transmisión
Seguridad
ambiental
Continuidad de
procesamiento
Continuidad de
las
comunicaciones
Recuperación
del
procesamiento
Resguardo de
información
Hardware y
Software
Determinación de alcance
Riesgos a la información por su ubicación física o
por su entorno de cercanía:
• Entorno de riesgo (estaciones de servicios,
depósitos de material inflamable)
• Laptop cerca de ventanas
• Sectores con información sensible con
ubicación inadecuada
• Necesidad de impresoras locales
• Acceso indebido en áreas restringidas
Laptop
Destructura
Imp de Red
Imp de Local
Fax
Riesgos a la información por errores en su
tratamiento manual o tecnológico:
• Procesos de gestión erróneos
• Robo de información
• Fraude
• Falta de controles en el ingreso de datos
• Fallas de integridad de datos
18. 23/8/2016
18
ISO 31000/31010
Directrices de implantación y técnicas de
evaluación de riesgos
MAGERIT
Metodología de Análisis y Gestión de Riesgos
de los Sistemas de Información
• Establecimiento del contexto
• Evaluación del riesgo
• Tratamiento del riesgo
• Aceptación del riesgo
• Comunicación del riesgo
• Monitorización y revisión del riesgo
ISO 27005
Describe el proceso
recomendado de análisis de
riesgo y las fases que lo
conforman
ISO 27002
Objetivos de control para la
gestión de riesgos
Modelo
MAGERIT
Etapa 1
“Planificación
de análisis y
gestión de
riesgos”
Etapa 2
“Análisis de
riesgos”
Etapa 3
“Gestión de
riesgos”
Etapa 4
“Selección de
salvaguarda”
Establece consideraciones necesarias
para comenzar el análisis y gestión de
riesgos, investigación de
oportunidades, define objetivos y áreas
de dominio.
Selecciona los diferentes
mecanismos a implementar, elabora
una orientación del plan de
implantación de los diferentes
mecanismos, recoge documentos de
trabajo del proceso de análisis y
gestiona los riesgos.
Identifica las diferentes funciones que
reducen el riesgo, selecciona medidas
aceptables para las funciones existentes y
las restricciones.
Facilita la identificación y valora
entidades que intervienen en el
riesgo, obtiene evaluación de dichas
áreas de dominio y estima los
diferentes riesgos.
19. 23/8/2016
19
Etapa 1: Planificación de análisis y gestión de riesgos
• Oportunidad de realización: se clarifica la oportunidad de realización.
• Definición del dominio y los objetivos: se especifica el dominio de los objetivos
del proyecto.
• Planificación del proyecto: se planifican las entrevistas.
• Puesta en marcha del proyecto: seleccionar criterios de evaluación y técnicas
para el proyecto, asignar los recursos necesarios.
Etapa 2: Análisis de riesgos
• Recogida de información: preparar la información.
• Identificación y agrupación de activos: identificar los grupos de activos y
valorarlos.
• Identificación y evaluación de amenazas: identificar y agrupar las amenazas.
• Identificación y estimación de vulnerabilidades: identificar y estimar las
vulnerabilidades.
• Identificación y valoración de impactos: identificar, tipificar y valorar los
impactos.
• Evaluación del riesgo: evaluar y analizar el riesgo.
Etapa 3: Gestión de riesgos
• Interpretación del riesgo: interpretar los diferentes riesgos.
• Identificación y estimación de las funciones para proteger la información:
identificar las funciones de protección.
• Seleccionar las mejores funciones de protección: aplicar parámetros de selección.
• Cumplir con los objetivos marcados: determinar el cumplimiento de los objetivos.
Etapa 4: Selección de medidas de protección
• Identificar mecanismos de protección de información: identificar, estudiar e
incorporar restricciones.
• Selección de mecanismos de protección: identificar los diferentes mecanismos a
implantar.
• Especificación de los mecanismos de implantación: especificar los mecanismos
que implantar.
• Planificar la implementación: priorizar y evaluar los mecanismos.
• Integrar los resultados: integrar los resultados
20. 23/8/2016
20
Etapa 5:
• Comunicación del riesgo de
seguridad de la información
• Seguimiento (monitoring) y
revisión del riesgo de seguridad
de la información
Comunicaciones
• Comunicación interna/externa e implementación
de los mecanismos de información definidos
Controles y Awareness
• Asociación con la definición de objetivos de control
y controles que deben ser implementados para
satisfacer los requerimientos identificados a través
de la evaluación de riesgos
• Hasta 1 charla por área de interés (Dirección -
Técnica - Gerencias - Usuarios)
Mi recomendación… una más
NEGOCIO
• Pérdida de rendimiento
• Daños materiales
(elevación de costos,
pérdida monetaria, entre
otros, daños físicos)
NEGOCIO
• Pérdida de rendimiento
• Daños materiales
(elevación de costos,
pérdida monetaria, entre
otros, daños físicos)
SERVICIOS DE TI y SI
• El porcentaje de objetivos de TI y SI que
dan soporte al plan estratégico del Negocio
• Cantidad de escalamientos o problemas sin
resolver debido a la carencia o insuficiencia
de asignaciones de responsabilidad
• Cantidad de ocasiones en que se puso en
riesgo la información confidencial
• Cantidad de interrupciones al negocio
debido a interrupciones en el servicio de TI
• Cantidad y tipo de modificaciones de
emergencia a componentes de la
infraestructura o aplicaciones críticas
• Porcentaje de plataformas que no están de
acuerdo con los estándares de seguridad,
arquitectura y tecnología, etc
SERVICIOS DE TI y SI
• El porcentaje de objetivos de TI y SI que
dan soporte al plan estratégico del Negocio
• Cantidad de escalamientos o problemas sin
resolver debido a la carencia o insuficiencia
de asignaciones de responsabilidad
• Cantidad de ocasiones en que se puso en
riesgo la información confidencial
• Cantidad de interrupciones al negocio
debido a interrupciones en el servicio de TI
• Cantidad y tipo de modificaciones de
emergencia a componentes de la
infraestructura o aplicaciones críticas
• Porcentaje de plataformas que no están de
acuerdo con los estándares de seguridad,
arquitectura y tecnología, etc
Probabilidad
de Ocurrencia
Probabilidad
de Ocurrencia
Nivel de
Impacto
Nivel de
Impacto
21. 23/8/2016
21
“Matriz de análisis y Evaluación del Riesgo”, o Mapa de riesgo, en el
cual se presentan la totalidad de los riesgos.
“Plan de Tratamiento del Riesgo” o Plan de acción, en el cual se
detallan todos aquellos riesgos para los cuales la respuesta al riesgo
residual es distinta de “se asume” y por consiguiente se ha especificado
un plan de acción con los controles/actividades tendientes a mitigar el
riesgo.
“Administración de Riesgos (Actualización al DD/MM/AAAA)”,
• Detalle de nuevos riesgos y factores incorporados
• Detalle de riesgos y factores dados de baja, con la
correspondiente justificación de esta acción
• Detalle de riesgos para los cuales se registran cambios en la
evaluación, incluyendo la evaluación anterior, la evaluación
actual y la justificación del cambio realizado
Dominios Procesos Dominios Procesos
Gestión de Seguridad Física Gestión Documental
Gestión de Controles y Monitoreo Gestión de los Recursos Humanos
Gestión de Continuidad Gestión de Capacidad
Gestión de los Recursos Humanos Gestión de Incidentes / Gestión de Crisis
Gestión de Configuración Gestión de Incidentes / Gestión de Crisis
Gestión de Seguridad Informática Gestión Documental
Gestión Documental Gestión de los Recursos Humanos
Gestión de Controles y Monitoreo Gestión de Continuidad
Gestión de Proveedores Gestión de Activos de Información
Gestión de Resguardo Gestión de la Operación
Gestión de Capacidad Gestión de los Recursos Humanos
Gestión de Continuidad Gestión de Seguridad Informática
Gestión de Incidentes / Gestión de Crisis Gestión de Identidades
Gestión de Seguridad Física Gestión de Riesgos
Gestión de Proyectos Gestión de Activos de Información
Gestión de Proveedores Gestión de Configuración
Gestión de Cambios Gestión de Cambios
Gestión de los Recursos Humanos Gestión Documental
Gestión de Incidentes / Gestión de Crisis Gestión de Proyectos
Planificación de TI Gestión de Proveedores
Organización de la Función de TI Gestión de Continuidad
Gestión de Riesgos Gestión de Resguardo
Gestión de Activos de Información Gestión de la Operación
Gestión de Controles y Monitoreo Gestión de Controles y Monitoreo
Gestión de Riesgos Gestión de Capacidad
Gestión de Proveedores Gestión de los Recursos Humanos
Gestión de los Recursos Humanos
Legal
Recursos Humanos
Reputación
Servicio al Cliente
Tecnología de la Información
Continuidad
Cumplimiento
Entorno
Estrategia
Gerenciamiento
23. 23/8/2016
23
Documentos y registros principales
Análisis de
mitigantes Respaldar Registrar
CIA
“Matriz de análisis y Evaluación del
Riesgo”, o Mapa de riesgo, en el cual se
presentan la totalidad de los riesgos.
“Plan de Tratamiento del Riesgo” o Plan
de acción, con el detalle de los riesgos
que requieren un plan de acción con los
controles/actividades tendientes a mitigar
el riesgo.
“Informe de Administración de Riesgos
(Actualización al DD/MM/AAAA)”,
• Detalle de nuevos riesgos y factores
incorporados
• Detalle de riesgos y factores dados de
baja, con la correspondiente
justificación de esta acción
• Detalle de riesgos para los cuales se
registran cambios en la evaluación,
incluyendo la evaluación anterior, la
evaluación actual y la justificación del
cambio realizado
RIESGOS
NEGOCIO• Definidos por tipo e
identificados por
asociación con aplicación
crítica
• Parámetros de medición
establecidos
• Metodología de tratamiento
de riesgos
• Análisis y evaluación de
riesgos documentado
• Plan de Mitigación
• Procesos identificados
• Entorno regulatorio
cumplido
• Mejora de cultura
interna y madurez
frente al riesgo
• Entorno documental
adecuado
MATRIZ DE RIESGOMATRIZ DE RIESGO
AVAL ANTE EL DIRECTORIO Y CLIENTES
CRÍTICOS
AVAL ANTE EL DIRECTORIO Y CLIENTES
CRÍTICOS
24. 23/8/2016
24
Revisión de la
operación y soporte
Plan
Estratégico de
la Empresa
Marca
Reputación
Plan
Estratégico de
Seguridad
PLAN DE NEGOCIO
Política de Seguridad de
la Información
Organización
25. 23/8/2016
25
Política de seguridad
Política de seguridad de la información
Implementación: Piense en términos de un manual o wiki de políticas de seguridad de la
información que contenga un conjunto coherente e internamente consistente de
políticas, normas, procedimientos y directrices.
Determine la frecuencia de revisión de la política de seguridad de la información y las
formas de comunicación a toda la organización. La revisión de la idoneidad y
adecuación de la política de seguridad de la información puede ser incluida en las
revisiones de la dirección.
Métricas: Cobertura de la política (es decir, porcentaje de secciones de ISO/IEC
27001/2 para las cuales se han especificado, escrito, aprobado y publicado políticas y
sus normas, procedimientos y directrices asociadas.
Grado de despliegue y adopción de la política en la organización (medido por
auditoría, gerencia o auto-evaluación).
1. Introducción
2. Incumplimiento
3. Documentación de referencia
4. Definiciones
5. Lineamientos
Propiedad de la información y derecho de acceso
Información Interna
Existencia de privacidad
Responsabilidades
Clasificación de la Información
Información Confidencial y Patrimonial
Control de Acceso
Uso de acceso remoto
Uso de Internet
Comunicaciones
Uso del Correo Electrónico
Norma para colegas
Recuperación ante desastres
Respuesta ante incidentes
Registro de pistas de auditoria
1. Introducción
2. Incumplimiento
3. Documentación de referencia
4. Definiciones
5. Lineamientos
Propiedad de la información y derecho de acceso
Información Interna
Existencia de privacidad
Responsabilidades
Clasificación de la Información
Información Confidencial y Patrimonial
Control de Acceso
Uso de acceso remoto
Uso de Internet
Comunicaciones
Uso del Correo Electrónico
Norma para colegas
Recuperación ante desastres
Respuesta ante incidentes
Registro de pistas de auditoria
Políticas Generales de SeguridadPolíticas Generales de Seguridad
26. 23/8/2016
26
Aspectos organizativos de la seguridad de la información
Organización interna
Implementación: Reproduzca la estructura y tamaño de otras funciones corporativas
especializadas, como Legal, Riesgos y Compliance.
Métricas: Porcentaje de funciones/unidades organizativas para las cuales se ha
implantado una estrategia global para mantener los riesgos de seguridad de la
información por debajo de umbrales explícitamente aceptados por la dirección.
Porcentaje de empleados que han (a) recibido y (b) aceptado formalmente, roles y
responsabilidades de seguridad de la información.
Terceras Partes
Implementación: Haga inventario de conexiones de red y flujos de información
significativos con 3as partes, evalúe sus riesgos y revise los controles de
seguridad de información existentes respecto a los requisitos. ¡Esto puede dar miedo,
pero es 100% necesario!
Considere exigir certificados en ISO/IEC 27001 a los terceros más críticos, tales
como outsourcing de TI, proveedores de servicios de seguridad TI, etc.
Métricas: Porcentaje de conexiones/actividades con terceras partes que han sido
identificadas, evaluadas en cuanto a su riesgo y estimadas como seguras.
Gestión de activos
Responsabilidad sobre los activos
Implementación: Elabore y mantenga un inventario de activos de información (similar al
preparado en su día para el Efecto 2000), mostrando los propietarios de los activos (directivos
o gestores responsables de proteger sus activos) y los detalles relevantes (p. ej., ubicación,
nº de serie, nº de versión, estado de desarrollo / pruebas / producción, etc.).
Use códigos de barras para facilitar las tareas de realización de inventario y para vincular
equipos de TI que entran y salen de las instalaciones con empleados.
Métricas: Porcentaje de activos de información en cada fase del proceso de clasificación
(identificado / inventariado / propietario asignado / riesgo evaluado / clasificado / asegurado).
Porcentaje de activos de información claves para los cuales se ha implantado una estrategia
global para mitigar riesgos de seguridad de la información según sea necesario y para
mantener dichos riesgos en niveles aceptables.
Clasificación de la información
Implementación; ¡Mantenga la sencillez! Distinga los requisitos de seguridad básicos
(globales) de los avanzados, de acuerdo con el riesgo. Comience quizás con la
confidencialidad, pero no olvide los requisitos de integridad y disponibilidad.
Métricas: Porcentaje de activos de información en cada categoría de clasificación (incluida la
de "aún sin clasificar").
27. 23/8/2016
27
Seguridad ligada a los recursos humanos
Antes de la contratación
Implementación: Conjuntamente con RRHH, asegure que se emplea un proceso de
verificación de antecedentes proporcional a la clasificación de seguridad de aquella
información a la que va a acceder el empleado a contratar. Dicho simplemente, el
proceso de contratación de un administrador de sistemas TI debería ser muy diferente
del de un administrativo. Haga comprobaciones de procedencia, formación,
conocimientos, etc.
Métricas: Porcentaje de nuevos empleados o pseudompleados (contratistas,
consultores, temporales, etc.) que hayan sido totalmente verificados y aprobados de
acuerdo con las políticas de la empresa antes de comenzar a trabajar.
Durante la contratación
Implementación: La responsabilidad con respecto a la protección de la información no
finaliza cuando un empleado se va a casa o abandona la organización. Asegure que
esto se documenta claramente en materiales de concienciación, contratos de empleo,
etc. Contemple la posibilidad de una revisión anual por RRHH de los contratos junto
con los empleados para refrescar las expectativas expuestas en los términos y
condiciones de empleo, incluyendo su compromiso con la seguridad de la información.
Métricas: Respuesta a las actividades de concienciación en seguridad medidas por, p.
ej., el número de e-mails y llamadas relativas a iniciativas de concienciación individuales.
Cese o cambio de puesto de trabajo
La devolución de los activos de la organización cuando un empleado se marcha sería
mucho más sencilla de verificar si el inventario de activos ha sido actualizado y
verificado regularmente. Examine qué accesos necesita revocar en primer lugar cuando
un empleado presenta su carta de dimisión: ¿cuáles son los sistemas más críticos o
vulnerables? Haga un seguimiento del uso del e-mail por estas personas an- tes de salir
definitivamente de la empresa, por si comienzan a sacar información confidencial
(sujeto a las políticas aplicables y a consideraciones legales sobre privacidad).
Métricas: Porcentaje de identificadores de usuario pertenecientes a personas que han
dejado la organización, separados por las categorías de activos (pendientes de
desactivación) e inactivos (pendientes de archivo y borrado).
28. 23/8/2016
28
Seguridad física y ambiental
Áreas seguras
Implementación: El estándar parece centrarse en el CPD pero hay muchas otras áreas
vulnerables a considerar, p. ej., armarios de cableado, "servidores departamentales"
y archivos (recuerde: los estándares se refieren a asegurar la información, no sólo las
TI).
Examine la entrada y salida de personas a/de su organización.
¿Hasta dónde podría llegar el repartidor de pizza o el mensajero sin ser parado,
identificado y acompañado? ¿Qué podrían ver, llevarse o escuchar mientras están
dentro? Algunas organizaciones usan tarjetas de identificación de colores para indicar
las áreas accesibles por los visitantes (p. ej., azul para la 1ª planta, verde para la 3ª,
etc.; ahora, si ve a alguien con una identificación verde en la 4º planta, reténgalo).
Asegúrese de retirar todos los pases de empleado y de visita cuando se vayan. Haga
que los sistemas de acceso con tarjeta rechacen y alarmen ante intentos de acceso.
Use pases de visita que se vuelvan opacos o muestren de alguna manera que ya no
son válidos a las X horas de haberse emitido.
Métricas: Informes de inspecciones periódicas de seguridad física de instalaciones,
incluyendo actualización regular del estado de medidas correctivas identificadas en
inspecciones previas que aún estén pendientes.
Seguridad de los equipos
Implementación: Haga que los vigilantes de seguridad impidan a cualquiera
(empleados, visitas, personas de soporte TI, mensajeros, personal de mudanzas,
etc.) sacar equipos informáticos de las instalaciones sin autorización escrita.
Conviértalo en un elemento di- suasorio visible mediante chequeos aleatorios (o,
incluso, arcos de detección de metales). Esté especialmente atento a puertas
traseras, rampas de carga, salidas para fumadores, etc. Tome en consideración el
uso de códigos de barras para hacer los chequeos más eficientes.
Métricas: Número de chequeos (a personas a la salida y a existencias en stock)
realizados en el último mes y porcentaje de chequeos que evidenciaron
movimientos no autorizados de equipos o soportes informáticos u otras cuestiones
de seguridad.
29. 23/8/2016
29
Comunicaciones y operaciones
Responsabilidades y procedimientos de operación
Implementación: Documente procedimientos, normas y directrices de seguridad de la
información, además de roles y responsabilidades, identificadas en el manual de
política de seguridad de la organización.
Métricas: De madurez de procesos TI relativos a seguridad, tales como el
semiperiodo de aplicación de parches de seguridad (tiempo que ha llevado parchear
al menos la mitad de los sistemas vulnerables -esta medida evita la cola variable
provocada por los pocos sistemas inevitables que permanecen sin parchear por no ser
de uso diario, estar normalmente fuera de la oficina o cualquier otra razón).
Gestión de la provisión de servicios por terceros
Implementación: ¿Lo que recibe vale lo que paga por ello? Dé respuesta a esta
pregunta y respáldela con hechos, estableciendo un sistema de supervisión de
terceros proveedores de servicios y sus respectivas entregas de servicio. Revise
periódicamente los acuerdos de nivel de servicio (SLA) y compárelos con los
registros de supervisión. En algunos casos puede funcionar un sistema de premio y
castigo. Esté atento a cambios que tengan impacto en la seguridad.
Métricas: Costo del tiempo de inactividad debido al incumplimiento de los acuerdos de
nivel de servicio. Evaluación del rendimiento de proveedores incluyendo la calidad
de servicio, entrega, costo, etc.
Planificación y aceptación del sistema
Implementación: Adopte procesos estructurados de planificación de capacidad TI,
desarrollo seguro, pruebas de seguridad, etc., usando estándares aceptados como ISO
20000 (ITIL) donde sea posible. Defina e imponga estándares de seguridad básica
(mínimos aceptables) para todas las plataformas de sistemas operativos, usando las
recomendaciones de seguridad de CIS, NIST, NSA y fabricantes de sistemas operativos y,
por supuesto, sus propias políticas de seguridad de la información.
Métricas: Porcentaje de cambios de riesgo bajo, medio, alto y de emergencia. Número y
tendencia de cambios revertidos y rechazados frente a cambios exitosos. Porcentaje de
sistemas (a) que deberían cumplir con estándares de seguridad básica o similares y (b)
cuya conformidad con dichos estándares ha sido comprobada mediante benchmarking o
pruebas.
Protección contra código malicioso
Implementación: Combine controles tecnológicos (p. ej., software antivirus) con medidas no
técnicas (educación, concienciación y formación). ¡No sirve de mucho tener el mejor
software antivirus del mercado si los empleados siguen abriendo e-mails de remitentes
desconocidos o descargando ficheros de sitios no confiables!
Métricas: Tendencia en el número de virus, gusanos, troyanos o spam detectados y
bloqueados. Número y costos acumulados de incidentes por software malicioso.
30. 23/8/2016
30
Copias de seguridad
Implementación: Implante procedimientos de backup y recuperación que satisfagan no sólo
requisitos contractuales sino también requisitos de negocio "internos" de la organización.
Básese en la evaluación de riesgos realizada para determinar cuáles son los activos de
información más importantes y use esta información para crear su estrategia de backup y
recuperación. Hay que decidir y establecer el tipo de almacenamiento, soporte a utilizar,
aplicación de backup, frecuencia de copia y prueba de soportes. Encripte copias de
seguridad y archivos que contengan datos sensibles o valiosos (en realidad, serán
prácticamente todos porque, si no, ¿para qué hacer copias de seguridad?).
Métricas: Porcentaje de operaciones de backup exitosas. Porcentaje de recuperaciones de
prueba exitosas. Tiempo medio transcurrido desde la recogida de los so- portes de backup
de su almacenamiento fuera de las instalaciones hasta la recuperación exitosa de los datos
en todas ubicaciones principales. Porcentaje de backups y archivos con datos sensibles o
valiosos que están encriptados.
Gestión de la seguridad de las redes
Implementación: Prepare e implante estándares, directrices y procedimientos de seguridad
técnicos para redes y herramientas de seguridad de red como IDS/IPS (detección y
prevención de intrusiones), ges- tión de vulnerabilidades, etc.
Métricas: Número de incidentes de seguridad de red identificados en el mes anterior,
dividido por categorías de leve / importante / grave, con análisis de tendencias y descripción
comentada de todo incidente serio y tendencia adversa.
Manejo de los soportes
Implementación: Asegure los soportes y la información en tránsito no solo físico sino
electrónico (a través de las redes). Encripte todos los datos sensibles o valiosos
antes de ser transportados.
Métricas: Porcentaje de soportes de backup o archivo que están totalmente
encriptados.
Intercambio de información
Implementación: Estudie canales de comunicaciones alternativos y "preautorizados", en
especial direcciones de e-mail secundarias por si fallan las primarias o el servidor de
correo, y comunicaciones offline por si caen las redes. El verificar canales de
comunicación alternativos reducirá el estrés en caso de un incidente real.
Métricas: Porcentaje de enlaces de terceras partes para los cuales se han (a) definido y
(b) implementado satisfactoriamente los requisitos de seguridad de la información.
31. 23/8/2016
31
Servicios de comercio electrónico
Implementación: Trabaje estrechamente con las unidades de negocio para desarrollar un
eBusiness seguro, incorporando requisitos de seguridad de la información en los proyectos,
y con ello en los sistemas de eCommerce, desde el principio (también en cualquier
cambio/actualización posterior). Insista en el valor añadido de la seguridad en la reducción
de riesgos comerciales, legales y operativos asociados al eBusiness. Trabaje los 3 aspectos
clave de la seguridad: confidencialidad, integridad y disponibilidad.
Métricas: "Estado de la eSeguridad", es decir, un informe sobre el nivel global de
confianza de la dirección, basado en el análisis de los últimos tests de penetración,
incidentes actuales o recientes, vulnerabilidades actuales conocidas, cambios planificados,
etc.
Supervisión
Implementación: La necesidad de implantar procesos de supervisión es más evidente ahora
que la medición de la eficacia de los controles se ha convertido en un requisito específico.
Analice la criticidad e importancia de los datos que va a monitorizar y cómo esto afecta a
los objetivos globales de negocio de la organización en relación a la seguridad de la
información.
Métricas: Porcentaje de sistemas cuyos logs de seguridad (a) están adecuadamente
configurados, (b) son transferidos con seguridad a un sistema de gestión centralizada de
logs y (c) son monitorizados/revisados/evaluados regularmente. Tendencia en el número de
entradas en los logs de seguridad que (a) han sido registradas, (b) han sido analizadas y (c)
han conducido a actividades de seguimiento.
Control de accesos
Requisitos de negocio para el control de accesos
Implementación: Los propietarios de activos de información que son responsables ante la
dirección de la protección "sus" activos deberían tener la capacidad de definir y/o aprobar
las reglas de control de acceso y otros controles de seguridad. Asegúrese de que se les
responsabiliza de incumplimientos, no conformidades y otros incidentes.
Métricas: Porcentaje de sistemas y aplicaciones corporativas para los que los
"propietarios" adecuados han: (a) sido identificados, (b) aceptado formalmente sus
responsabilidades, (c) llevado a cabo o encargado revisiones de accesos y seguridad de
aplicaciones, basadas en riesgo y (d) definido las reglas de control de acceso basadas en
roles.
Gestión de acceso de usuario
Implementación: Cree la función diferenciada de "administrador de seguridad", con
responsabilidades operativas para aplicar las reglas de control de acceso definidas por
los propietarios de las aplicaciones y la dirección de seguridad de la información. Invierta
en proporcionar al administrador de seguridad herramientas para realizar sus tareas lo
más eficientemente posible.
Métricas: Tiempo medio transcurrido entre la solicitud y la realización de peticiones de
cambio de accesos y número de solicitudes de cambio de acceso cursadas en el mes
anterior (con análisis de tendencias y comentarios acerca de cualquier pico / valle (p. ej.,
"Implantada nueva aplicación financiera este mes").
32. 23/8/2016
32
Responsabilidades del usuario
Implementación: Asegúrese que se establecen las responsabilidades de seguridad y
que son entendidas por el personal afectado. Una buena estrategia es definir y
documentar claramente las responsabilidades relativas a seguridad de la
información en las descripciones o perfiles de los puestos de trabajo. Son
imprescindibles las revisiones periódicas para incluir cualquier cambio. Comunique
regularmente a los empleados los perfiles de sus puestos (p. ej., en la revisión anual
de objetivos), para recordarles sus responsabilidades y recoger cualquier cambio.
Métricas: Porcentaje de descripciones de puesto de trabajo que incluyen
responsabilidades en seguridad de la información (a) totalmente documentadas y
(b) formalmente aceptadas.
Control de acceso a la red
Implementación: Mantenga el equilibrio entre controles de seguridad perimetrales
(LAN/WAN) e internos (LAN/LAN), frente a controles de seguridad en aplicaciones
(defensa en profundidad).
Métricas: Estadísticas de cortafuegos, tales como porcentaje de paquetes o sesiones
salientes que han sido bloqueadas (p. ej., intentos de acceso a páginas web
prohibidas; número de ataques potenciales de hacking repelidos, clasificados en
insignificantes/preocupantes/críticos).
Control de acceso al sistema operativo
Implementación: Implante estándares de seguridad básica para todas las plataformas
informáticas y de comunicaciones, recogiendo las mejores prácticas de CIS, NIST,
fabricantes de sistemas, etc.
Métricas: Estadísticas de vulnerabilidad de sistemas y redes, como nº de
vulnerabilidades conocidas cerradas, abiertas y nuevas; velocidad media de
parcheo de vulnerabilidades (analizadas por prioridades/categorías del fabricante o
propias).
Control de acceso a la aplicación y a la información
Implementación: Implante estándares de seguridad básica para todas las aplicaciones
y middleware, recogiendo las mejores prácticas y checklists de CIS, NIST,
fabricantes de software, etc.
Métricas: Porcentaje de plataformas totalmente conformes con los estándares de
seguridad básica (comprobado mediante pruebas independientes), con anotaciones
sobre los sistemas no conformes (p. ej., "Sistema de finanzas será actualizado para ser
conforme en cuarto trimestre)".
33. 23/8/2016
33
Ordenadores portátiles y teletrabajo
Implementación: Tenga políticas claramente definidas para la protección, no sólo de
los propios equipos informáticos portátiles (es decir, laptops, PDAs, etc.), sino, en
mayor medida, de la información almacenada en ellos. Por lo general, el valor de la
información supera con mucho el del hardware. Asegúrese de que el nivel de
protección de los equipos informáticos utilizados dentro de las instalaciones de la
organización tiene su correspondencia en el nivel de protección de los equipos
portátiles, en aspectos tales como antivirus, parches, actualizaciones, software
cortafuegos, etc.
Métricas: "Estado de la seguridad en entorno portátil / teletrabajo", es decir, un informe
sobre el estado actual de la seguridad de equipos informáticos portátiles (laptops,
PDAs, teléfonos móviles, etc.), y de teletrabajo (en casa de los empleados, fuerza de
trabajo móvil), con comentarios sobre incidentes recientes/actuales, vulnerabilidades
actuales de seguridad conocidas y pronósticos sobre cualquier riesgo creciente,
despliegue de configuraciones seguras, antivirus, firewalls personales, etc.
Adquisición, desarrollo y mantenimiento de los sistemas de información
Requisitos de seguridad de los sistemas de información
Implementación: Involucre a los "propietarios de riesgos" en evaluaciones de riesgos a alto nivel y
consiga su aprobación de los requisitos de seguridad que surjan. Si son realmente responsables de
proteger sus activos, es en interés suyo el hacerlo bien. Esté al tanto de las novedades sobre
vulnerabilidades comunes o actuales en aplicaciones e identifique e implemente las medidas
protectoras o defensivas apropiadas. Numerosas referencias ofrecen orientación sobre la
implementación, como, p. ej., OWASP.
Métricas: Porcentaje de sistemas y aplicaciones corporativas para los que los "propietarios"
adecuados han: (a) sido identificados, (b) aceptado formalmente sus responsabilidades, (c)
llevado a cabo -o encargado- revisiones de accesos y seguridad de aplicaciones, basadas en riesgo
y (d) definido las reglas de control de acceso basadas en roles.)
Procesamiento correcto en las aplicaciones
Implementación: Siempre que sea posible, utilice librerías y funciones estándar para necesidades
corrientes como validación de datos de entrada, restricciones de rango y tipo, integridad
referencial, etc. Para mayor confianza con datos vitales, construya e incorpore funciones
adicionales de validación y chequeo cruzado (p. ej., sumas totalizadas de control). Desarrolle y use
herramientas -y habilidades- de prueba auto- matizadas y manuales, para comprobar cuestiones
habituales como desbordamientos de memoria, inyección SQL, etc.
Métricas: Porcentaje de sistemas para los cuales los controles de validación de datos se han (a)
definido y (b) implementado y demostrado eficaces mediante pruebas.
34. 23/8/2016
34
Seguridad de los archivos de sistema
Implementación: Aplique consistentemente estándares de seguridad básica,
asegurando que se siguen las recomendaciones de CIS, NIST, fabricantes de
sistemas, etc.
Métricas: Porcentaje de sistemas evaluados de forma independiente como totalmente
conformes con los estándares de seguridad básica aprobados, respecto a aquellos que
no han sido evaluados, no son conformes o para los que no se han aprobado dichos
estándares.
Seguridad en los procesos de desarrollo y soporte
Implementación: Incorpore la seguridad de la información al ciclo de vida de desarrollo
de sistemas en todas sus fases, desde la concepción hasta la desaparición de un
sistema, por medio de la inclusión de "recordatorios" sobre seguridad en los
procedimientos y métodos de desarrollo, operaciones y gestión de cambios. Trate el
desarrollo e implementación de software como un pro- ceso de cambio. Integre las
mejoras de seguridad en las actividades de gestión de cambios (p. ej., documentación
y formación procedimental para usuarios y administradores).
Métricas: "Estado de la seguridad en sistemas en desarrollo", es decir, un informe
sobre el estado actual de la seguridad en los procesos de desarrollo de software, con
comentarios sobre incidentes recientes/actuales, vulnerabilidades actuales de
seguridad conocidas y pronósticos sobre cualquier riesgo creciente, etc.
Gestión de la vulnerabilidad técnica
Implementación: Haga un seguimiento constante de parches de seguridad mediante
herramientas de gestión de vulnerabilidades y/o actualización automática siempre
que sea posible (p. ej., Microsoft Update o Secunia Software Inspector). Evalúe la
relevancia y criticidad o urgencia de los parches en su entorno tecnológico. Pruebe y
aplique los parches críticos, o tome otras medidas de protección, tan rápida y
extensamente como sea posible, para vulnerabilidades de seguridad que afecten
a sus sistemas y que estén siendo explotadas fuera activamente. Evite quedarse tan
atrás en la rutina de actualización de versiones que sus sis- temas queden fuera de
soporte por el fabricante.
Métricas: Latencia de parcheo o semiperiodo de despliegue (tiempo que ha llevado
parchear la mitad de los sistemas vulnera- bles -evita variaciones circunstanciales
debidas a retrasos en unos pocos sistemas, tales como portátiles fuera de la empresa
o almacenados-).
35. 23/8/2016
35
Gestión de incidentes en la seguridad de la información
Notificación de eventos y puntos débiles de la seguridad de la información
Implementación: Establezca y dé a conocer una hotline (generalmente, el helpdesk
habitual de TI) para que la gente pueda informar de incidentes, eventos y problemas de
seguridad.
Métricas: Estadísticas del helpdesk de TI, con análisis sobre el número y tipos de llamadas
relativas a seguridad de la información (p. ej., cambios de contraseña; porcentaje de
preguntas acerca de riesgos y controles de seguridad de la información respecto al total de
preguntas). A partir de las estadísticas, cree y publique una tabla de clasificación por
departamentos (ajustada según el número de empleados por departamento), mostrando
aquellos que están claramente concienciados con la seguridad, frente a los que no lo están.
Gestión de incidentes de seguridad de la información y mejoras
Implementación: Las revisiones post incidente y los casos de estudio para incidentes
serios, tales como fraudes, ilustran los puntos débiles de control, identifican oportunidades
de mejora y conforman por sí mismos un mecanismo eficaz de concienciación en
seguridad.
Número y gravedad de incidentes; evaluaciones de los costes de analizar, detener y
reparar los incidentes y cualquier pérdida tangible o intangible producida.
Métricas: Porcentaje de incidentes de seguridad que han causado costes por encima de
umbrales aceptables definidos por la dirección.
Gestión de la continuidad del negocio
Aspectos de seguridad de la información en la gestión de la continuidad del
negocio
Implementación: Considere la gestión de continuidad de negocio como un pro- ceso
con entradas procedentes de diversas funciones (alta dirección, TI, operaciones,
RRHH, etc.) y actividades (evaluación de riesgos, etc.). Asegure la coherencia y
concienciación mediante personas y unidades organizativas relevantes en los planes
de continuidad de negocio.
Deberían llevarse a cabo las pruebas pertinentes (tales como pruebas sobre el
papel, simulacros, pruebas de failover, etc.) para (a) mantener los planes
actualizados, (b) aumentar la confianza de la dirección en los planes y (c) familiarizar a
los empleados relevantes con sus funciones y responsabilidades bajo condiciones de
desastre.
Métricas: Porcentaje de planes de continuidad de negocio en cada una de las fases
del ciclo de vida (requerido / especificado / documentado / probado).
Porcentaje de unidades organizativas con planes de continuidad de negocio que han
sido adecuadamente (a) documentados y (b) probados mediante test apropiados en
los últimos 12 meses.
36. 23/8/2016
36
Cumplimiento de los requisitos legales
Implementación: Obtenga asesoramiento legal competente, especialmente si la
organización opera o tiene clientes en múltiples jurisdicciones.
Métricas: Número de cuestiones o recomendaciones de cumplimiento legal, agrupadas
y analizadas por su estado (cerradas, abiertas, nuevas, retrasadas) e importancia o
nivel de riesgo (alto, medio o bajo). Porcentaje de requisitos externos clave que,
mediante auditorías objetivas o de otra forma admisible, han sido considerados
conformes.
Cumplimiento de las políticas y normas de seguridad y cumplimiento técnico
Implementación: Alinee los procesos de autoevaluación de controles de seguridad con
las auto-evaluaciones de gobierno corporativo, cumplimiento legal y regulador, etc.
Métricas: Número de cuestiones o recomendaciones de política interna y otros
aspectos de cumplimiento, agrupadas y analizadas por su estado (cerradas, abiertas,
nuevas, retrasadas) e importancia o nivel de riesgo (alto, medio o bajo). Porcentaje de
revisiones de cumplimiento de seguridad de la información sin incumplimientos
sustanciales.
Consideraciones de las auditorías de los sistemas de información
Implementación: Invierta en auditoría TI cualificada que utilice ISO 27001,
COBIT, ITIL, CMM y estándares y métodos de buenas prácticas similares como
referencias de comparación. Examine ISO 19011 "Directrices para la auditoría de los
sistemas de gestión de la calidad y/o ambiental”.
Métricas: Número de cuestiones o recomendaciones de auditoría, agrupadas y
analizadas por su estado (cerradas, abiertas, nuevas, retrasadas) e importancia o
nivel de riesgo (alto, medio o bajo). Porcentaje de hallazgos de auditoría relativos a
seguridad de la información que han sido resueltos y cerrados, respecto al total de
abiertos en el mismo periodo. Tiempo medio real de resolución/cierre de
recomendaciones, respecto a los plazos acordados por la dirección al final de las
auditorías.
37. 23/8/2016
37
Consiste en un documento que relaciona los controles que se aplican en el sistema de gestión,
seleccionados por la Organización para implantar y mantener en su sistema.
El resultado de la elección de los controles forma parte del Plan de Tratamiento de riesgos, de modo que
éste tiene como salida la Declaración de Aplicabilidad.
39. 23/8/2016
39
Gestión
Gobierno
Necesidades del Negocio
Retroalimentación
Gerencial
MonitorearDirijir
Evaluar
COBIT propone a las organizaciones que implementen procesos de gobierno y
administración de tal manera que las áreas claves queden cubiertas de la
siguiente forma
Evaluar, Dirigir, Supervisar
(EDM)
Alinear, Planear,
Organizar (APO)
Alinear, Planear,
Organizar (APO)
Construir,
Adquirir,
Implantar (BAI)
Construir,
Adquirir,
Implantar (BAI)
Entrega,
Servicio, Soporte
(DSS)
Entrega,
Servicio, Soporte
(DSS)
Supervisar,
Evaluar y Valorar
(MEA)
Supervisar,
Evaluar y Valorar
(MEA)
Alinear, Planear, Organizar (APO)
01 Gestionar el marco de gestión de TI.
02 Gestionar la estrategia.
03 Gestionar la arquitectura empresarial.
04 Gestionar la innovación.
05 Gestionar el portafolio.
06 Gestionar el presupuesto y los costes.
07 Gestionar los recursos humanos.
08 Gestionar las relaciones.
09 Gestionar los acuerdos de servicio.
10 Gestionar los proveedores.
11 Gestionar la calidad.
12 Gestionar el riesgo.
13 Gestionar la seguridad.
Construir, Adquirir, Implantar (BAI)
01 Gestionar programas y proyectos.
02 Gestionar la definición de requisitos.
03 Gestionar la identificación y construcción de
soluciones.
04 Gestionar la disponibilidad y la capacidad.
05 Gestionar la introducción del cambio organizativo.
06 Gestionar los cambios.
07 Gestionar la aceptación del cambio y la transición.
08 Gestionar el conocimiento.
09 Gestionar los activos.
10 Gestionar la configuración.
Entrega, Servicio, Soporte (DSS)
01 Gestionar operaciones.
02 Gestionar peticiones e incidentes de servicio.
03 Gestionar problemas.
04 Gestionar la continuidad.
05 Gestionar servicios de seguridad.
06 Gestionar controles de procesos de negocio
Supervisar, Evaluar y Valorar (MEA)
01 Supervisar, evaluar y valorar el rendimiento y la
conformidad.
02 Supervisar, evaluar y valorar el sistema de control
interno.
03 Supervisar, evaluar y valorar la conformidad con
los requerimientos externos
40. 23/8/2016
40
COBIT 5 para seguridad de la información puede ayudar a las
empresas a reducir sus perfiles de riesgo a través de la adecuada
administración de la seguridad relacionando sus procesos
Proceso Descripción Información
APO13 Gestionar la seguridad Política de SGSI
Declaración de alcance del SGSI
Plan de tratamiento de riesgos de Seguridad de la Información
Informes de auditoría de SGSI
Casos de negocio para Seguridad de la Información
APO10 Gestionar los proveedores Catálogo de proveedores
Matriz de riesgos de proveedores
Informes del resultado al monitoreo de cumplimiento de los
proveedores
DSS02 Gestionar las peticiones y los
Incidentes del Servicio
Esquema de clasificación de incidentes de Seguridad de la
Información
Procedimientos de recolección de evidencia
Plan de respuesta a incidentes
Información: para cada proceso se identifica la información que los procesos deben
generar o usar para su procesamiento:
Proceso Descripción Información
APO13 Gestionar la seguridad Política de SGSI
Política de cumplimiento
Política de gestión de activos
APO10 Gestionar los proveedores Política de gestión de proveedores
DSS02 Gestionar las peticiones y los
incidentes del servicio
Política de respuesta a incidentes
APO12 Gestionar el riesgo Política de gestión de riesgos
DSS03 Gestionar los problemas Políticas para tratar las causas raíz
DSS04 Gestionar la continuidad Política de continuidad de negocio
DSS01 Gestionar las operaciones Política de gestión de operaciones y comunicaciones
Política de Seguridad física y ambiental
APO07 Gestionar los recursos humanos Política de seguridad de información personal
Política de reglas de comportamiento
Políticas de confidencialidad debidamente firmadas
DSS05 Gestionar los servicios de
seguridad
Política de prevención de software malicioso
Política de conectividad
Política de control de acceso
Política de seguridad para dispositivos de usuario final
Políticas: se identifican las políticas por medio de los procesos
identificados como prioritarios
42. 23/8/2016
42
Lista de
procesos
Lista de
procesos
Lista de rolesLista de roles
CISO/CSO
Jefe de Seguridad de la Información
CISO/CSO
Jefe de Seguridad de la Información
Gestión de SeguridadGestión de Seguridad
Analista de
Seguridad
Informática
Analista de
Seguridad
Informática
Administrador
de Seguridad
Informática
Administrador
de Seguridad
Informática
Líder de
Seguridad en
Proyectos
Líder de
Seguridad en
Proyectos
Gestión de Riesgos y
Controles
Gestión de Riesgos y
Controles
Analista de
Cumplimiento
(Marco Regulatorio
PCI – Habeas Data-
BCRA – Política
Interna)
Analista de
Cumplimiento
(Marco Regulatorio
PCI – Habeas Data-
BCRA – Política
Interna)
Analista de
Controles de
Seguridad
Informática
Analista de
Controles de
Seguridad
Informática
Analista de
Riesgos de
Seguridad
Informática
Analista de
Riesgos de
Seguridad
Informática
Departamento de Seguridad de la Información
43. 23/8/2016
43
CSO
Responsable máximo de la Seguridad de la Información, de todos los procesos que
integran el SGSI y de la Política de Seguridad de la Información y su Marco Normativo
de la Organización.
Gerente IT
Responsable de disponibilizar y gestionar los sistemas de tratamiento y procesamiento
de información, así como los recursos tecnológicos asociados y comunicaciones.
Gerente de
Finanzas
Responsable de velar por la gestión financiera y económica, tanto en lo preventivo
como correctivo relacionado a cualquier actividad del SGSI.
Gerente de
RRHH
Responsable de velar por el cumplimiento del código de ética de la Organización, y de
brindar asesoramiento en el alcance de medidas relacionadas con lo laboral acorde a
la regulación impuesta por el Ministerio de Trabajo
Gerente de
Facilities
Responsable de velar por el cumplimiento de las condiciones físicas del entorno de la
información, tanto en su infraestructura como en los controles físicos de acceso y
ambientales, y de brindar asesoramiento en el alcance de acciones relacionadas con
medidas preventivas o correctivas edilicias relacionadas con la seguridad de la
información y las personas acorde a la regulación de las entidades Municipales y
Nacionales que corresponda.
Legales
Representante del Directorio y responsable de velar por el cumplimiento legal y
regulatorio, a nivel Nacional e Internacional, en cada una de las actividades
desarrolladas en el marco del SGSI, y de brindar asesoramiento en el alcance de
medidas relacionadas con la realización de contratos de todo tipo, mediaciones, juicios
y definiciones técnico-legales relacionadas a cualquier actividad del SGSI.
Servicios de
Seguridad
Servicios de
Seguridad
Servicios al
Negocio
Servicios al
Negocio
Tecnología y Operaciones
Infraestructura de IT
Comunicaciones
Áreas funcionales
Sectores administrativos
Recursos Humanos
Seguridad de la Información
Seguridad Informática
Seguridad Física
Áreas de contraloría
Auditoría Interna
44. 23/8/2016
44
Interpretación
Conocimiento del
Negocio y sus
Regulaciones
Cultura interna de la
Organización
Identificación de
riesgos asociados al
Negocio
Implementación
Capacitación y
couching
Mejora del proceso de
Proyectos
Mejora de procesos de
servicio IT/SI
Mitigación de Riesgos
Remediación de
procesos funcionales y
entorno de producción
Gestión
Gestión de riesgos
Gobierno Corporativo
Gobierno de TI
Gobierno de SI
Gobierno de Proyectos
ETAPA DE CONOCIMIENTO
• Marco legal y regulatorio
• Certificaciones y Políticas Internas de la Organización
• Relevamiento de procesos de negocio
• Relevamiento de servicios TI y SI
• Relevamiento del Marco Normativo
• Análisis de cumplimiento
ETAPA DE CONOCIMIENTO
• Marco legal y regulatorio
• Certificaciones y Políticas Internas de la Organización
• Relevamiento de procesos de negocio
• Relevamiento de servicios TI y SI
• Relevamiento del Marco Normativo
• Análisis de cumplimiento
ETAPA DE ENTENDIMIENTO
• Mapeo adecuado de los procesos de Negocio
• Mapeo adecuado de los procesos de Servicio IT/SI
• Identificación de riesgos asociados al Negocio y los servicios
que lo soportan
• Identificación de documentos del Marco Normativo según
leyes y regulaciones
ETAPA DE ENTENDIMIENTO
• Mapeo adecuado de los procesos de Negocio
• Mapeo adecuado de los procesos de Servicio IT/SI
• Identificación de riesgos asociados al Negocio y los servicios
que lo soportan
• Identificación de documentos del Marco Normativo según
leyes y regulaciones
45. 23/8/2016
45
Conocimiento y Entendimiento del entorno del Negocio y de los servicios que
soportan sus procesos
Identificación de registros y controles
Mapeo adecuado de
los procesos de
Negocio
Mapeo adecuado de
los procesos de
Servicio IT/SI
Identificación de documentos
del Marco Normativo según
leyes y regulaciones
Adecuación de documentos del
Marco Normativo a los procesos
y regulaciones del Negocio
Nivel de Madurez de la Gestión de Gobierno y Cumplimiento
Identificación de riesgos asociados al entorno del Negocio y a los
servicios que soportan sus procesos
ETAPA DE CAPACITACIÓN
• Cumplimiento sobre el Marco legal, regulatorio y Políticas
Internas de la Organización
• Intervención y responsabilidades en procesos funcionales y de
servicio
• Selección de medios de comunicación para la capacitación y
concientización
ETAPA DE CAPACITACIÓN
• Cumplimiento sobre el Marco legal, regulatorio y Políticas
Internas de la Organización
• Intervención y responsabilidades en procesos funcionales y de
servicio
• Selección de medios de comunicación para la capacitación y
concientización
ETAPA DE REMEDIACIÓN
• Definición del proceso de gestión de riesgos
• Ejecución del plan de mitigación
• Adecuación del proceso de proyectos
• Adecuación de los procesos de Servicio IT/SI
• Adecuación de los sistemas en producción
• Definición de los procesos de Auditoría
ETAPA DE REMEDIACIÓN
• Definición del proceso de gestión de riesgos
• Ejecución del plan de mitigación
• Adecuación del proceso de proyectos
• Adecuación de los procesos de Servicio IT/SI
• Adecuación de los sistemas en producción
• Definición de los procesos de Auditoría
46. 23/8/2016
46
Hacen que una
función cumpla con
todos sus procesos
de negocio
Objetivos
funcionales y
resultados
operativos
Objetivos e imagen
de la empresa, y
resultados
económicos
Dirección Gerencia Usuarios
OBJETIVOS DE LOS INTERESADOS INTERNOS
Trato sobre los
activos de la
empresa, valor de
su información,
funciones y cada
uno de los procesos
en los que participa.
Asegurar objetivos
funcionales y
resguardo de los
activos de la
Organización
Asegurar objetivos
corporativos, ya sea
tangible
(económico) como
intangible (imagen
en el mercado)
Dirección Gerencia Usuarios
ALCANCE DE OBJETIVOS DE LOS INTERESADOS INTERNOS
47. 23/8/2016
47
Aseguramiento del proceso de
gestión comercial
Aseguramiento de su
información en nuestros
sistemas
Calidad y disponibilidad servicios
o productos
Aseguramiento de su
información en nuestros
sistemas
Clientes Proveedores
OBJETIVOS DE LOS INTERESADOS EXTERNOS
ALCANCE E INTERPRETACIÓN POR PÚBLICO DE INTERÉS
FuncionalesFuncionales
TécnicosTécnicos
Áreas
tecnológicas y
de seguridad
Áreas
tecnológicas y
de seguridad
Dirección y
Gerencia
Dirección y
Gerencia
Usuarios clave
y finales
Usuarios clave
y finales
Marco LegalMarco Legal
48. 23/8/2016
48
TRANSMÍSIÓN DE CONOCIMIENTO
Leyes y
Regulaciones
Leyes y
Regulaciones
Aspectos de
solución técnica
Aspectos de
solución técnica
Procesos de Servicio
adecuados o Nuevos
procesos
Procesos de Servicio
adecuados o Nuevos
procesos
Procesos Funcionales
adecuados o Nuevos
procesos
Procesos Funcionales
adecuados o Nuevos
procesos
ProyectosProyectos
RemediacionesRemediaciones
Revisiones y
Auditorías
Revisiones y
Auditorías
TRANSMÍSIÓN DE CONOCIMIENTO
Material de
concientización
Material de
concientización
Material de InducciónMaterial de Inducción
Plan de Capacitación
Anual
Plan de Capacitación
Anual
RRHHRRHH
Charlas,
workshops,
cursos
Charlas,
workshops,
cursos
Mails,
posters, etc.
Mails,
posters, etc.
49. 23/8/2016
49
Entorno y responsabilidades
Soporte Tecnológico
Marco
Normativo
Recursos
Humanos
Recursos
de
Hardware
Recursos
de
Software
Conocer su responsabilidad en cuanto a
la Seguridad de la Información y lo que se
espera de él.
Entrenamiento inicial y continuo a sus
colegas de área, y aporte en el
mantenimiento activo de la
documentación y los controles
Conocer las políticas organizacionales,
haciendo hincapié en el cumplimiento de
la Política de Seguridad.
Incrementar la conciencia de la necesidad de proteger la información y a
entrenar a los usuarios en la utilización de la misma para que ellos puedan
llevar a cabo sus funciones en forma segura, minimizando la ocurrencia de
errores y pérdidas.
50. 23/8/2016
50
Definir como comunicarnos y
establecer la forma de
hacerlo con la Organización
Definir como comunicarnos y
establecer la forma de
hacerlo con la Organización
El modelo de comunicación
es una herramienta que se
debe diseñar "a medida"
El modelo de comunicación
es una herramienta que se
debe diseñar "a medida"
Dirección
Gerencia
Usuarios
INCIDENTES
CRISIS
CONTINGENCIAS
CONCIENTIZACIÓN
TAREAS OPERATIVAS
PUBLICACIONES
Charlas de inducción
Charlas de capacitación SGSI
Posters y mails sobre temas relacionados
Artículos de uso diario con motivos del tema
Concientización
Comunicación
Selección de medios a utilizar
Formato de comunicación
Estrategia de selección de público por tema
(p.e. ante nuevos proyectos)
51. 23/8/2016
51
Nivel 4 = REGISTROS / CHECKLIST / FORMULARIOS
Proporciona las pruebas objetivas del cumplimiento
Nivel 3 = INSTRUCTIVOS
Describe las actividades y tareas específicas , indicando
como se realizan
Nivel 2 = PROCEDIMIENTOS
Describe procesos (qué, quien, cuando, donde)
Nivel 1 = MANUAL DE SEGURIDAD / NORMAS
Políticas, alcance, evaluación de riesgos, declaración de
aplicabilidad, Normas que indican lo que “debe”
hacerse
Un Marco Normativo sobre estas bases permite contar con la certeza sobre la
Información de respaldo y pruebas objetivas para el control y desarrollo de la Seguridad
de la Información.
Formato
Procesos
Gestión
Marco Documental
Seguridad y Gobernabilidad Asociadas
Política General y
Normas de Seguridad
Familia ISO 27000
Normas,
procedimientos
Estándares Registros
Procesos de Negocio
Norma ISO 9001 / Norma ISO 20000
Documentación
asociada a las áreas
administrativas
Procedimientos Formularios
Documentación de
los sistemas y
operaciones
Manuales Instructivos
52. 23/8/2016
52
Capacidades
(Adquiridas o Enseñadas)
Equipo Técnico Equipo Funcional
Entendimiento del
Proyecto y motivos de
los cambios
Roles y funciones
Componentes del
Marco Normativo
Contexto Aplicativo
(Procesos de Negocio,
Manuales)
Estrategias asumidas
Excepciones
Diseñar la Capacitación
(Ampliar la Visión)
Equipo Técnico Equipo Funcional
53. 23/8/2016
53
Equipos de Trabajo
Seguridad de la
Información
Tecnología
Jefes de Aplicación o Líderes
Funcionales de Sistemas
Líderes de
Proyecto
Adm SO Adm BBDD Operación
Compliance
Conocedores del funcionamiento
aplicativo para responder a los
requerimientos del Negocio
Servicio consultivo y
de soporte técnico
Acompañamiento y
operación
Capacitación y
definiciones de
cumplimiento
CAPA DE USUARIO
CAPA TÉCNICA O
INFRAESTRUCTURA
CAPA DE
COMUNICACIONES CAPA DE
PROvEEDORES
CAPA
DOCUMENTAL
CAPA
REGULATORIA
54. 23/8/2016
54
PLATAFORMAS
Proyecto
Clonación
Plantilla de
software de base
Puede no
mantener nombre
de máquina
Clonación
completa
Mantiene nombre
de máquina
Instalación nueva
+ Copia de entorno
App
No mantiene
nombre de
máquina
Operaciones
Nuevas
Aplicaciones
Arquitectura
(SO + BD)
Tecnología
Renovación
tecnológica
Arquitectura
(SO + BD)
Tecnología
SEGURIDAD - COMPLIANCE
OPERACIONES
Proyecto 1
Clonación
Plantilla de software
de base (GUEST)
Puede no mantener
nombre de máquina
Clonación completa
Mantiene nombre
de máquina
Instalaciónnueva +
Copia de entorno
App
EXCEPCIÓN: Terminal Server
Se trabaja sobre una plantilla de software de base (SO
+ BD). Esta plantilla no está validada con los nuevos
estándares
Se efectúa copia fiel del servidor y se pasa con
todos los parámetros configurados. Si el servidor
está remediado, el cambio es transparente ya que
tampoco cambia el nombre (V2V – P2V)
Proyecto 2Proyecto 2
SUCEDE EXCEPCIONALMENTE
Instalación nueva o plantilla de software de base (SO + BD). No está
validada contra los nuevos estándares
Equipo de
proyecto
NOTA: Las máquinas con nuevos
nombres salen bajo la nueva
nomenclatura alfanumérica
SRV5003sv [código alfanumérico]
NOTA: Las máquinas con nuevos
nombres salen bajo la nueva
nomenclatura alfanumérica
SRV5003sv [código alfanumérico]
55. 23/8/2016
55
A INCLUIR EN LOS TICKET DE
IMPLEMENTACIÓN
Verificar cumplimiento de securitización de Sistema
Operativo
Verificar cumplimiento de securitización de Motor
de Base de Datos
Verificar la activación de logs de auditoría y el
período de retención
Bloquear / Eliminar cuentas de instalación, de
prueba o aquellas indicadas como no-compliance
en las Normas de la Organización
Identificar y certificar de estas listas los usuarios
especiales (de servicio, emergencia, etc.) que
tengan a nivel de SO + BD + APP
Verificar que estas cuentas estén con las
contraseñas resguardadas en SAT
Emitir registros nativos de salida del sistema donde
se muestren los parámetros configurados y listas de
usuarios en formato TXT (no print de pantalla) y
enviarlo por mail a Compliance y Seguridad de la
Información
A INCLUIR EN CHECKLIST DE
PLANIFICACIÓN
Revisión del estándar de seguridad de Sistema
Operativo y Motor de Base de Datos (por
excepciones, etc.)
Pasos de configuración de estándares de seguridad
Previsión de activación de logs de auditoría y
configuración de retención acorde a la política
(performance, espacio de almacenamiento)
Revisión de cuentas de usuario del Sistema
Operativo y Base de Datos de cada servidor.
Identificar las creadas para las implementaciones y
pruebas y planificar el momento de eliminación
Identificar las cuentas de usuarios especiales que
tengan a nivel de SO + BD + APP
Verificar que estas cuentas estén con las
contraseñas resguardadas en SAT
Seguir el proceso de ensobrado de contraseñas
En caso de haber cambio de equipos o nombre de
equipos, informar equipo saliente vs equipo
entrante por mail a Compliance y Seguridad de la
Información
• Parámetros
• Carpetas
compartidas
• Cuentas de
Usuario
• Permisos
• Servicios
1
Sistema
Operativo
• Parámetros
• Cuentas de
Usuario
• Permisos
2
Base de
Datos
• Parámetros
• Cuentas de
usuario
• Funciones
3
Aplicación
56. 23/8/2016
56
• Convocar a todo proyecto un Líder de Seguridad Informática
• Incluir en la planificación y en la tareas del ticket los puntos
mencionados en la página anterior
• Tener en cuenta los parámetros de activación y retención de logs
estipulados
• Planificar en equipo con el Jefe Funcional y el líder de Seguridad
Informática
• Analizar el impacto de la implementación de los estándares de
seguridad
• Analizar y documentar las condiciones de excepción que puedan
generarse por las cuales no pueden ser aplicados los estándares de
seguridad
• Documentar las cuentas excepcionales a utilizar, y su tratamiento en
pre y post pasaje a producción
• Utilizar plantillas de software de base basadas en los estándares de
seguridad para entorno VMWare
• Todos los participantes técnicos deben contar con los estándares
de seguridad
• Las plantillas de software de base deben estar actualizadas
respecto de los estándares vigentes
• Se debe instruir a todos los equipos para que se incluya en los
checklist de instalaciones la verificación de configuración de
seguridad de acuerdo a los estándares
• Crear un repositorio general subdivido por plataforma para alojar
la evidencia de las instalaciones/clonaciones que correspondan
• Establecer y cumplir un proceso de comunicación planteado para
todos los escenarios posibles en el proyecto.
57. 23/8/2016
57
REVISIÓN DE
CONTROLES Y
REGISTROS
APLICACBLES
ALCANCES DE COMPLIANCE
• Estándares de seguridad
• Certificación de cuentas
• Privilegios / Permisos
PLANIFICACIÓN EN EQUIPO
• Líder Funcional
• Líder Tecnológico
• Líder de Seguridad
Informática
PROYECTOS - OPERACIÓN
ASPECTOS Y REQUISITOS ADICIONALES
• Cuentas asociadas a las aplicaciones
• Excepciones a parámetros de
seguridad
• Condicionamiento a la activación de
auditoría
• Interfaces y carpetas compartidas
IMPLEMENTACIÓN
Incluye revisión de
parámetros de
seguridad y revisión
de cuentas de usuario
Obtención de
registros
DOCUMENTAR
SI SI
SI
SI
SI
SI
SI
SI
59. 23/8/2016
59
Cualquier persona, directa o indirectamente,
recibe información diariamente o la crean
como parte de sus actividades diarias. Mucha
de esa información es considerada ‘sensible’ y
requiere un manejo especial
Los distintos tipos de información cubren un
amplio rango de procesos de negocio y
según su tratamiento, por lo que su
sensibilidad puede variar significativamente
e impactar negativamente en el negocio.
Todos los empleados de una Organización que
generan, recopilan, procesan, almacenan o
transfieren información de la Organización, son
responsables de su tratamiento y deben
hacerlo de acuerdo a reglas establecidas.
Los ‘TERCEROS’, que pueden ser contratistas
autorizados, socios comerciales y otros
proveedores de servicios responsables del
manejo de información sensible de la
Organización también deben cumplir con las
Normativas de Seguridad de la Información
de la Organización.
60. 23/8/2016
60
Procesos de la
Organización
CONOCER
Alcances del
Ciclo de Vida
Cadena de la Información
Información
estratégica de la
Organización
Información
estratégica de la
Organización
Gestión
estratégica
de Terceras
Partes
Gestión
estratégica
de Terceras
Partes
Gestión
estratégica de
usuarios
Gestión
estratégica de
usuarios
Gestión de
información
confidencial y
sensible
Gestión de
información
confidencial y
sensible
61. 23/8/2016
61
Gestión
estratégica
de Terceras
Partes
Gestión
estratégica
de Terceras
Partes
Gestión
estratégica de
usuarios
Gestión
estratégica de
usuarios
Gestión de
información
confidencial y
sensible
Gestión de
información
confidencial y
sensible
ENTORNO DE RESPUESTA
• Planificación y gestión de recursos
• Gestión financiera
• Gestión de la demanda
• Gestión de contratos
• Gestión de tratamiento de la
información
• Gestión de funcionalidad de la
información
ENTORNO DE RESPUESTA
• Planificación y gestión de recursos
• Gestión financiera
• Gestión de la demanda
• Gestión de contratos
• Gestión de tratamiento de la
información
• Gestión de funcionalidad de la
información
Establecer el
desarrollo de los
procesos de
negocio
Establecer el
desarrollo de la
cadena de
información
Establecer el
desarrollo de los
medios
tecnológicos
Gestión del Ciclo de
Vida de la información
Gestión del Ciclo de
Vida de la información
Gestión de los activos
de información
Gestión de los activos
de información
62. 23/8/2016
62
DATOINFORMACIÓNCONOCIMIENTO
Clasificación Tratamiento Destrucción
PROCESOS ADMINISTRATIVOS Y TECNOLÓGICOS
PUNTOS DE CONTROL
PUNTOS DE REGISTRACIÓN
1. La información se clasifica en base a su valor para la Organización y
para quienes se relacionan con ella, considerando el daño que podría
causarse si se divulga sin autorización.
2. Los tres niveles de clasificación recomendados en orden ascendente
de sensibilidad son:
• Información Pública
• Información Interna
• Información Confidencial
3. La información personal y/o la información relacionada con los datos
de tarjeta o sensibles (de salud, por ejemplo) pueden incluirse tanto
en nivel Interno como Confidencial dependiendo de su disociación.
63. 23/8/2016
63
Información Pública
Incluye toda aquella información que no posee asociado un riesgo significativo para la
Organización. Por ejemplo: información publicada en el sitio Web de Internet, notas
periodísticas, otros.
Información Interna
Incluye toda aquella información que se utiliza en las actividades laborales diarias y
que puede tener asociados riesgos mínimos para la Organización. Por ejemplo:
información publicada en la Intranet, normas, procedimientos, en carteleras, otros.
Información Confidencial
Incluye toda aquella información que puede presentar riesgos para la Organización, y
cuyo acceso debe ser expresamente autorizado por el responsable y restringido a un
grupo reducido de usuarios que la necesite para el desarrollo de sus tareas habituales.
Por ejemplo: Base de Datos de Recursos Humanos de Clientes, Informes de
contabilidad, Planes de Ventas, datos críticos de Tarjetas de Pago otros.
INFORMACIÓN PÚBLICA
• Folleto de información de productos.
• Comunicados de prensa autorizados
• Biografías en un sitio público de Internet, que describen al equipo directivo e
incluyen sus fotografías y trayectorias sin mencionar sus datos personales
INFORMACIÓN INTERNA
• Información financiera sobre iniciativas de planeación y/o proyectos.
• Planes de viaje y reuniones que incluyen nombres del cuerpo administrativo, no
disponibles al público. No se proporcionan más detalles personales sobre el
personal.
• Álbum de fotos on-line del personal conteniendo nombres, departamentos y
fotografías.
• Información disociada de clientes
INFORMACIÓN CONFIDENCIAL
• Información sobre precios y márgenes de ganancia de productos
• Resultados preliminares de estudios médicos laborales
• Listas de clientes
• Datos de tarjetas de pago
• Planes estratégicos a nivel corporativo
64. 23/8/2016
64
Niveles
• Pública
• Interna
• Confidencial
Alcance
• Información de la Compañía, contenida y procesada en cualquier medio
(magnético o físico) incluyendo sus métodos de transmisión y
comunicación
• Seguridad física y Ambiental para la protección de la información
Resultado
• Actualización de la Matriz de Riesgo para protección de datos
• Plan de remediación SOX, Habeas Data, PCI
Desarrollar y fomentar una cultura de la orden y
comportamiento adecuado que debe aplicarse en la
protección de la información de la Organización en
todas las actividades empresariales
NUEVA VISIÓN Y ALCANCES
Seguridad Física
Comportamiento en el
lugar de trabajo
Comportamiento fuera
de la Organización Seguridad Lógica
65. 23/8/2016
65
Seguridad
de la
Información
Dueño de
Datos
Usuario
Clave /
Responsable
de los datos
Coordina las actividades de implementación
de la seguridad o respuesta ante incidentes
Controla que se cumplan los requerimientos
de seguridad
Recomienda sobre las medidas de seguridad a
implementar
Responsable de clasificarla y
establecer su nivel de criticidad y
disposición final, establece su
periodicidad de resguardo, informa
a la Gerencia de Gestión de Riesgos
Informáticos
Todos los usuarios generan información y
son responsables en el tratamiento de la
información confiada, utilizando las
medidas de seguridad necesarias acorde a
la clasificación de la información
establecida por ellos
Dueño de Datos
Garantizar
correcta
clasificación
Determinan la categoría
apropiada
Usuarios Clave
Seguridad de
la Información
Brinda
soporte a
Áreas de
Negocio y IT
Considerar el impacto al
clasificar
Evaluar la probabilidad
de ocurrencia
Dueño de Datos
Aprueba la
clasificación y
definiciones
tomadas
Áreas de IT
Implementan las
soluciones indicadas
por los Usuarios y
recomendaciones de
SI
66. 23/8/2016
66
La Información ofrecida desde las Áreas Usuarias ayudan a
establecer y documentar medidas preventivas y obtener
un Plan de Protección de la Información, que incluye:
•Identificación del riesgo potencial y de exposición
por objetivo de control
•Clasificación de la información, estableciendo su
importancia de acuerdo a su nivel de
Confidencialidad, Integridad y Disponibilidad
necesaria
Por ejemplo, tenemos dos fuentes de
información diferente:
• La Fuente de información A contiene
información relacionada con nombres y
números de tarjeta de los Clientes de la
Organización y es clasificado como
información de ‘Uso Interno’.
• La Fuente de información B contiene el
número de cuenta de los Clientes junto con su
dirección particular y es clasificado también
como información de ‘Uso Interno’.
Cuando creamos materiales nuevos que
contienen información de ambas fuentes, dicha
información se podría clasificar como
‘Confidencial’.
Uso
Interno
Uso
Interno
Confidencial
Los Autores pueden generar o crear información ‘desde cero’ o pueden recopilar información a
partir de fuentes existentes. Tomar dicha información y combinarla con otra de una segunda fuente,
ya sea en forma verbal o escrita, crea efectivamente información “nueva” que debe ser clasificada.
67. 23/8/2016
67
Es importante entender que si creamos una
carpeta para que la vean los demás, en papel
o electrónica, que contenga tanto la Fuente de
información A como la Fuente de información
B, entonces habremos creado una fuente de
información combinada. Quien cree la Fuente
de información C es quien confirma que la
carpeta resultante esté protegida
apropiadamente.
CICLO
DE
TRATAMIENTO
Creación
Clasificación
Uso –
Combinación
Almacenamiento
Disposición Final
68. 23/8/2016
68
Dueño de
Datos
Áreas
Tecnológicas y
de Seguridad
Responsables de implementar
procedimientos de resguardo
y tratamiento de información
Responsables de clasificar y
determinar el nivel de
resguardo y tratamiento de
información
• Seguridad Física y Electrónica
• Seguridad Lógica
• Asegurar integridad, disponibilidad y
confidencialidad
• Distribución física de sectores
• Medios de almacenamiento
• Resguardo externo
• Protección de equipos móviles
• Medios y métodos de destrucción
• Disponibilidad y Confidencialidad
• Estimación de impacto en el Negocio
• Certificación de usuarios
• Validación de accesos
• Validación de permisos sobre accesos
• Asignación de responsables
• Tiempos de retención y destrucción
• Elementos en contingencia
• Elementos para confidencialidad
• Elementos de seguridad física de
componentes
Ayuda a identificar riesgos a la información
por su ubicación física o por su entorno de
cercanía:
• Laptop cerca de ventanas
• Sectores con información sensible
• Necesidad de impresoras locales
Laptop
Destructura
Imp de Red
Imp de Local
Fax
69. 23/8/2016
69
USO INTERNO
Etiqueta la nueva
información
Fotocopia lo
necesario
Elige donde
imprimir
Copia solo a
dispositivos
autorizados
Destruye lo
que ya no
necesites
No abras adjuntos
en equipos
públicos
Identifica la
clasificación en
el cuerpo del FAX
CONFIDENCIAL
Etiqueta la nueva
información
Datos
sensibles
confirmar con
el Dueño de
Datos
Elige donde
imprimir
Copia solo a
dispositivos
autorizados
Destruye lo
que ya no
necesites
No abras adjuntos
en equipos
públicos
Confirma el Nro.
receptor y avisa
previamente
sobre el envío
Guarda física
y lógica
controlada
Escritorios
limpios
No divulgues
lo que
proteges
70. 23/8/2016
70
Confidencialidad y Divulgación
• Evitar discutir información confidencial o negocios de la Organización en
lugares públicos.
• Obtener la autorización apropiada antes de divulgar cualquier información a
personas externas. Esto podría incluir un acuerdo de no-divulgación o
confidencialidad.
• Tener siempre en mente el principio de ‘necesitad de conocer’ (need to
know) la información.
Identificación
• Portar en todo momento nuestra credencial de identidad.
• Desafiar cortésmente a cualquier persona que no lo esté haciendo y
reportar violaciones aparentes al Departamento de Seguridad.
• Escoltar a invitados y visitantes en todo momento dentro de la
Organización.
• Limitar las horas de acceso a personas autorizadas y registrar
cuidadosamente dichos accesos a través de la Administración de las
Instalaciones.
Escritorios, Oficinas y Monitores Limpios
• Guarda bajo llave documentos del negocio e Información Personal
cuando no la utilices.
• Nunca dejes documentos sensibles o faxes desatendidos en impresoras
u otros sitios.
• Borra los pizarrones después de utilizarlos.
• Asegúrate que ninguna información confidencial pueda ser vista en tu
pantalla por personal no autorizado. Puedes utilizar pantallas de
privacidad en tu laptop.
• Siempre utiliza un protector de pantalla protegido con contraseña y un
candado de disco (disklock).
• Conserva en un lugar cerrado hardware valioso como laptops, CDs,
memorias USB y PDAs como Blackberries, cuando no los uses.
• Nunca los dejes desatendidos en hoteles, aeropuertos, centros de
conferencias u otros lugares.
• Protege el hardware contra robo, cuidando particularmente los
dispositivos portátiles.
72. 23/8/2016
72
Componentes y herramientas del proceso
Documentación normativa y regulatoria
• Norma de clasificación y protección de información (WORD)
• Norma de funciones de propietarios de la información (WORD)
Documentación de soporte al proceso
• Nómina de dueños de datos y usuarios clave (EXCEL)
• Procedimiento de clasificación y protección de información
(WORD)
• Matriz de análisis de riesgo de activos de información (EXCEL)
• Matriz de control de activos de información (EXCEL)
• Procedimiento de retención y disposición final de activos de
información (WORD)
• Cronograma de ejecución y mantenimiento del Plan de Protección
de Información (PROJECT)
Concientización y capacitación
• Handbook del Dueño de Datos – Manual para el proceso de
clasificación (WORD)
• Presentación para charla de capacitación a Dueños de Datos y
Usuarios Clave (POWERPOINT)
• Cronograma anual de actividades de concientización (mails –
posters – charlas) (EXCEL)
• Mail informativo a Usuarios sobre objetivo y alcance de las
actividades (WORD)
• Mails de temas generales relacionados incluidos en el cronograma
anual (WORD)
• Posters de temas generales relacionados incluidos en el
cronograma anual POWERPOINT)
• Encuestas / Charlas de temas generales relacionados incluidos en
el cronograma anual
Componentes y herramientas del proceso
73. 23/8/2016
73
Otros documentos asociados al proceso
Otros documentos que deben reflejar y soportar lo indicado en este
proceso a través de su documentación son:
• Responsabilidades de la Gerencia de Seguridad de la Información
• Capacitación y concientización del personal
• Tratamiento de áreas restringidas
• Procedimiento de encripción
• Administración de resguardos y restauración de información
• Administración de accesos físicos y lógicos a la información
• Desarrollo seguro y administración de códigos fuentes
• Recuperación del entorno tecnológico y continuidad del Negocio
Componentes y herramientas del proceso
Optimización en la
estrategia de backups
(p.e. ventana horaria)
Ahorro en el uso de
insumos para resguardo y
horas de operación
Optimización de espacio físico
en la guarda externa
Optimización en el
almacenamiento de datos
Orden en la gestión de recursos de
hardware y software
(esfuerzo de implementación de seguridad)
Optimización de los
esfuerzos de recuperación
Mejora en las decisiones del
CIA para el tratamiento de
Datos en aplicaciones
Optimización de esfuerzos en el
monitoreo y disposición final de la
información
Ventajas de clasificar la información
74. 23/8/2016
74
Limita la cantidad de información que es clasificada:
• Cuando sea posible, coloca la información sensible en Anexos
y márcalos como restringidos, en lugar de marcar todo el
documento
• Cuando sea apropiado, crea resúmenes ejecutivos para que
puedan ser marcados con clasificaciones menores, para
permitir una distribución más amplia
• Evita sobre-evaluar y sub-evaluar la información, con el fin de
considerar tanto la seguridad efectiva como la eficiencia del
negocio.
• En términos generales, las clasificaciones se relacionan con los
Lineamientos para la Administración de la Protección de la Información,
cuyos Niveles de Protección de Información van de 0 a 3.
• Los documentos impresos o electrónicos deben ser etiquetados con la
clasificación apropiada utilizando el idioma nativo (lenguaje original) del
documento y utilizando la sintaxis correcta del idioma para reflejar el
significado de ‘Uso Interno’ o ‘Confidencial’. Cualquier duda sobre la
idoneidad de las traducciones del idioma debe ser revisada con el
consejero legal que conozca el idioma.
• En términos del impacto financiero por divulgación, se debe establecer una
guía única para evaluar la información a los propósitos de clasificación, por
ejemplo:
Uso Interno –> impacto financiero: < $120M
Confidencial –> impacto financiero: $120M - >
148
75. 23/8/2016
75
• Como mínimo, encriptar la información almacenada en medios
removibles como CDs y memorias USB, dentro de archivos ‘Zip’
protegidos con una contraseña, utilizando las normas de rotulación.
• Utilizar únicamente plataformas de procesamiento/almacenamiento
de TI que cumplan con las Normas Mínimas de Seguridad.
• Para control de acceso electrónico, utiliza únicamente accesos
protegidos con contraseña y como mínimo, privilegios de acceso con
base al rol o a la persona.
• Establecer un Registro de Control para toda la información
designada como ‘Confidencial’, mantenerlo y conservarlo bajo su
control (o bajo el control del usuario clave asignado). El registro
debe conservarse y estar disponible para revisiones de auditoría.
• Reducir al mínimo el envío vía correo electrónico y la circulación de
información confidencial, y siempre verificar la ‘necesidad de conocer’
(need to know) la información en cada solicitud. Registrar la destrucción de
todas las copias de la información en el Registro de Control.
• Limitar el escaneo de dicha información a menos que se cuente con el
consentimiento específico del Propietario; use marcas de agua cuando sea
posible para desalentar dichas actividades y para identificar las copias
genuinas autorizadas.
• Utilizar únicamente contenedores anti-violación, cerrados y aprobados,
como cajas de seguridad, gabinetes de alta calidad resistentes a incendios o
cuartos restringidos con contraseña para almacenar copias impresas
(hardcopy) de información ‘Confidencial’.
• Requerir la aprobación de todos los accesos solicitados a dicha información
y realizar las actualizaciones apropiadas al Registro de Control para registrar
los accesos otorgados.
76. 23/8/2016
76
• Utilizar controles de acceso y soluciones de encripción aprobadas;
éstas incluyen funciones Disklock para Laptop, memorias USB
encriptadas aprobadas (flash drives), etc.
• Nunca utilizar medios removibles o dispositivos personales que no
pertenezcan a la Organización para guardar o tratar informaciónde
ella (PDAs, tarjetas/memorias, CDs, etc.).
• Cuando sea posible, almacenar información electrónica en
plataformas de procesamiento de TI administradas centralmente
que cuentan funciones de control y registro de acceso.
• Asegurar que el desecho de información ‘Confidencial’ sea
registrado en el Registro de Control/Hoja de trabajo e incluya la
fecha y la persona que realizó el desecho de la información.
• Establecer ‘Fechas de Revisión de la Clasificación’, en las cuales
dicha clasificación sea modificada, en caso de ser necesario
• Cuando el nivel de sensibilidad aumenta, re-etiquetar las copias
electrónicas con el nuevo nivel y destruir cualquier copia impresa
con clasificaciones obsoletas
• Independientemente de la clasificación de un documento, todos los
documentos deben conservarse de acuerdo a los programas de
retención de registros Corporativos y Divisionales para cumplir con
los requerimientos legales/reglamentarios y organizacionales, y
administrar la necesidad de retener registros bajo retención
jurídica.
• En general, los Dueños de Datos deben garantizar la revisión
oportuna y regular de la clasificación.
77. 23/8/2016
77
GOBERNABILIDAD
ASEGURAMIENTO
CALIDAD
“Establecer un Gobierno
ordenado y metodológico de la
Información nos permitirá
administrarla de forma segura y
bajo un criterio único de
asignación de responsabilidades
y recursos, brindando un entorno
fiable de trabajo para cada uno
de sus Empleados asegurando
calidad a los objetivos del
Negocio”
Gobernando IT