Más contenido relacionado Similar a Remediacion parche o upgrade (INFORIESGO 2014) (20) Más de Fabián Descalzo (20) Remediacion parche o upgrade (INFORIESGO 2014)1. INFO-RIESGO 2014
JORNADAS CPCI-UP DE SEGURIDAD EN TICs
Copyright FABIÁN DESCALZO © – 2014 – Todos los derechos reservados
a.c.
1
Fabián Descalzo, Gerente de Governance, Risk & Compliance (GRC)
Certificado en Dirección de Seguridad de la Información (Universidad CAECE)
Instructor Certificado ITIL® version 3:2011, Certification for Information Management
Certificado ISO/IEC 20000-1:2011, Implementación de Sistemas de Gestión IT
Internal Audit ISO/IEC 20000:2011, Auditor Interno en Sistemas de Gestión IT
Proceso de Remediación,
¿Parche o Upgrade?
2. INFO-RIESGO 2014
JORNADAS CPCI-UP DE SEGURIDAD EN TICs
Lo regula NEGOCIO Lo elige
Procesos de Negocio
Copyright FABIÁN DESCALZO © – 2014 – Todos los derechos reservados
a.c.
2
Nuevas Regulaciones, Requerimientos por Certificación,
Planes de Trabajo por Auditorías, Actualización Tecnológica
Impactan en
Deben
acompañar
El principio
3. INFO-RIESGO 2014
JORNADAS CPCI-UP DE SEGURIDAD EN TICs
Situaciones de Crisis
Copyright FABIÁN DESCALZO © – 2014 – Todos los derechos reservados
a.c.
3
Áreas de
Negocio
Aplicaciones
Software de Base
Hardware
Tecnología y
Seguridad
IDENTIFICAR
LA BRECHA
¿Y DESPUÉS?
4. INFO-RIESGO 2014
JORNADAS CPCI-UP DE SEGURIDAD EN TICs
Situaciones de Crisis
Copyright FABIÁN DESCALZO © – 2014 – Todos los derechos reservados
a.c.
4
¿Parche o
Upgrade?
¿Cuál es la mejor
versión que quiero
de mis sistemas y
procesos?
Que el “remedio” cure la “enfermedad”
5. INFO-RIESGO 2014
JORNADAS CPCI-UP DE SEGURIDAD EN TICs
Decidiendo el “remedio”
Copyright FABIÁN DESCALZO © – 2014 – Todos los derechos reservados
a.c.
5
Tiempo + Recursos + Conocimiento
6. INFO-RIESGO 2014
JORNADAS CPCI-UP DE SEGURIDAD EN TICs
Asociándose con el Negocio
Copyright FABIÁN DESCALZO © – 2014 – Todos los derechos reservados
a.c.
6
Necesidades del
Negocio
Necesidades de los
Procesos Tecnológicos
7. INFO-RIESGO 2014
JORNADAS CPCI-UP DE SEGURIDAD EN TICs
Áreas de Negocio
Asociándose con el Negocio
Copyright FABIÁN DESCALZO © – 2014 – Todos los derechos reservados
a.c.
7
Nivel de
Cumplimiento
Procesos de
Negocio soportados por la tecnología
Sistemas de
Procesamiento
Tecnología de la
Información
Operaciones
Arquitectura
Desarrollo
Seguridad de la
Información
Seguridad
Organizacional
Seguridad
Informática
Seguridad Física
Seguridad Legal
8. INFO-RIESGO 2014
JORNADAS CPCI-UP DE SEGURIDAD EN TICs
Como llegar a la mejor versión
Principales actividades para una
remediación efectiva
Copyright FABIÁN DESCALZO © – 2014 – Todos los derechos reservados
a.c.
8
• Definición de estrategias en función de observaciones, alcances y
experiencia
• Identificación de recursos técnicos y humanos
• Definición de roles y funciones bien definidos
• Conformación de equipos de trabajo
• Capacitación a los diferentes equipos de acuerdo a su visión de objetivo
y a su participación en la remediación
• Definición de las evidencias a obtener y su formato
• Seleccionar la documentación que nos sirva para operar, seguir y
controlar la remediación
9. INFO-RIESGO 2014
JORNADAS CPCI-UP DE SEGURIDAD EN TICs
Resultado del análisis de brecha
Copyright FABIÁN DESCALZO © – 2014 – Todos los derechos reservados
a.c.
9
Alcance de
Observaciones
Cantidad de
Plataformas
Aplicaciones
alcanzadas
Magnitud de No-
Conformidades
Configuraciones técnicas
Cuentas de usuario
Accesos, permisos y
privilegios
Documentación de
Soporte
Conformación de los
Equipos de Trabajo
Aporta a
10. INFO-RIESGO 2014
JORNADAS CPCI-UP DE SEGURIDAD EN TICs
Orden lógico de ejecución
Copyright FABIÁN DESCALZO © – 2014 – Todos los derechos reservados
a.c.
10
• Parámetros
• Carpetas
compartidas
• Cuentas de
Usuario
• Permisos
• Servicios
1
Sistema
Operativo
• Parámetros
• Cuentas de
Usuario
• Permisos
2
Base de
Datos
• Parámetros
• Cuentas de
usuario
• Funciones
3
Aplicación
Inconsistencia en el software de base que generan
demoras y retrabajo sobre la aplicación (Interfaces,
Tareas Programadas, Cuentas Especiales, Servicios, etc.)
11. INFO-RIESGO 2014
JORNADAS CPCI-UP DE SEGURIDAD EN TICs
Jefes de Aplicación o Líderes
Funcionales de Sistemas
Copyright FABIÁN DESCALZO © – 2014 – Todos los derechos reservados
a.c.
11
Equipos de Trabajo
Seguridad de la
Información
Tecnología
Líderes de
Proyecto
Adm SO Adm BBDD Operación
Compliance
Conocedores del funcionamiento
aplicativo para responder a los
requerimientos del Negocio
Servicio consultivo y
de soporte técnico
Acompañamiento y
operación de
relevamiento y
remediación
Capacitación y
definiciones de
cumplimiento
12. INFO-RIESGO 2014
JORNADAS CPCI-UP DE SEGURIDAD EN TICs
Copyright FABIÁN DESCALZO © – 2014 – Todos los derechos reservados
a.c.
12
Identificación de argumentos de remediación
Normas Estándares
Aplicaciones Plataformas
Matriz de
Revisión
• Remediación posible y
cumpliendo los plazos
• Remediación posible
pero fuera de plazo con
Plan de Trabajo
• No se puede remediar y
debe exceptuarse
Definición de Registros
y Documentos para
Control y Seguimiento
13. INFO-RIESGO 2014
JORNADAS CPCI-UP DE SEGURIDAD EN TICs
Copyright FABIÁN DESCALZO © – 2014 – Todos los derechos reservados
a.c.
13
Definición de registros para evidencias
Tipo y
formato de
evidencia
Completitud
de datos a
obtener por
evidencia
Estrategia de
generación y
administración
de evidencias
Certifica que la
remediación ha sido
efectiva y evidencia
aceptada por una
probable Auditoría
Optimiza la operación de
obtención y el volumen
de archivos de datos a
tratar y almacenar
14. INFO-RIESGO 2014
JORNADAS CPCI-UP DE SEGURIDAD EN TICs
Copyright FABIÁN DESCALZO © – 2014 – Todos los derechos reservados
a.c.
14
Gestión de Excepciones
Limitaciones
Funcionales
Obsolescencia
Tecnológica
Análisis
de
mitigantes
Respaldar Registrar
CIA
15. INFO-RIESGO 2014
JORNADAS CPCI-UP DE SEGURIDAD EN TICs
Diseñar la Capacitación
(Ampliar la Visión)
Equipo Técnico Equipo Funcional
Estrategias asumidas
Copyright FABIÁN DESCALZO © – 2014 – Todos los derechos reservados
a.c.
15
Entendimiento del
Proyecto y motivos de
los cambios
Roles y funciones
Componentes del
Marco Normativo
Contexto Aplicativo
(Procesos de Negocio,
Manuales)
Excepciones
16. INFO-RIESGO 2014
JORNADAS CPCI-UP DE SEGURIDAD EN TICs
Plan definido para la mejora
Copyright FABIÁN DESCALZO © – 2014 – Todos los derechos reservados
a.c.
16
Ejecución ordenada en el tiempo
especificado, orientada al resultado y de
bajo impacto en el Negocio
Análisis de
brecha
Orden de
Ejecución
Armado de
Equipos de
trabajo
Argumentos de
Remediación
Definición de
Registros
Gestión de
Excepciones
Diseño de
Capacitación
17. INFO-RIESGO 2014
JORNADAS CPCI-UP DE SEGURIDAD EN TICs
Recordemos que todos somos el Negocio
Copyright FABIÁN DESCALZO © – 2014 – Todos los derechos reservados
a.c.
17
Valoremos cada participación que tengamos en
los diferentes frentes de trabajo y aprendamos
que la tarea en equipo nutre de conocimiento y
18. INFO-RIESGO 2014
JORNADAS CPCI-UP DE SEGURIDAD EN TICs
Copyright FABIÁN DESCALZO © – 2014 – Todos los derechos reservados
a.c.
18
Muchas gracias
por su atención
FABIÁN DESCALZO
Gerente de Governance, Risk & Compliance
CYBSEC S.A. - www.cybsec.com
(5411) 4371-4444
fdescalzo@cybsec.com