SlideShare una empresa de Scribd logo

16 planeacion estrategicaseguridad

P
princess2105

Este documento presenta los conceptos clave de la planeación estratégica de seguridad de la información. Explica que la estrategia de seguridad debe estar alineada con los objetivos del negocio y cubrir aspectos como la situación actual, los objetivos futuros y el plan de acción. También introduce marcos de referencia como SABSA y COBIT que ayudan a definir atributos clave para cada nivel de la arquitectura de seguridad en el proceso de planeación.

Tecnología
1 de 62
Descargar para leer sin conexión
Definición de Estrategias de  Seguridad de la Información Wilmar Arturo Castellanos
• Esta presentación se encuentra basada en el material  público existente en Internet (SABSA, ISACA, IT  público existente en Internet (SABSA, ISACA, IT Governance Institute, entre otros).  • La propiedad de la información aquí presentada es  p p q p propiedad de sus respectivos titulares. El autor aporta sus  interpretaciones de esta información con base en su  experiencia.
Agenda • Security Governance y Estrategia de Seguridad • Planeación estratégica de seguridad Planeación estratégica de seguridad • Marcos de referencia para la planeación estratégica de  seguridad • Desarrollo de la estrategia de seguridad
Security Governance y Estrategia de  seguridad
Security Governance y Estrategia de seguridad • “Information Security Governance es responsabilidad del  consejo de administración y de la dirección ejecutiva.  Debe ser una parte integral y transparente del gobierno  corporativo. Consiste en el liderazgo y estructuras de  organización y procesos que aseguran que la seguridad de  organización y procesos que aseguran que la seguridad de información sustenta los objetivos y estrategias de la  organización”. IT Governance Institute
Security Governance y Estrategia de seguridad • El objetivo del security governance es garantizar que  existe y se mantiene un marco de referencia con el fin de  existe y se mantiene un marco de referencia con el fin de asegurar que las estrategias de seguridad de la  información están alineadas con los objetivos del negocio y que son consistentes con la regulación y leyes aplicables.
Security Governance y Estrategia de seguridad El alineamiento  estratégico de los  estratégico de los objetivos de la seguridad  de la información con los  objetivos del negocio es un  elemento crítico para un  gobierno efectivo de  bi f ti d seguridad.
Security Governance y Estrategia de seguridad La estrategia de seguridad de la información es un patrón  frente al cual una compañía toma sus decisiones de  protección de la información con base en sus objetivos y  t ió d l i f ió b bj ti propósito. El proceso de toma de decisiones requiere de  la definición de una política y de un plan de acción para  alcanzar los objetivos de seguridad de la información. La  l l bj i d id d d l i f ió L estrategia permite definir los procesos y estructuras  requeridos para satisfacer las necesidades de seguridad  de la información de los accionistas, empleados, clientes y  comunidad.
Objetivos del negocio Tolerancia al Objetivos de riesgo seguridad Estrategia de Entorno / seguridad Ambiente Políticas corporativas Cumplimiento Plan de acción Política de Procesos de Seguridad seguridad Arquitectura de Seguridad
Planeación estratégica de seguridad Planeación estratégica de seguridad
Proceso estándar de una planeación estratégica ¿Dónde estamos? ¿A dónde vamos? ¿Cómo llegamos? Situación actual Situación futura Plan de Acción Alineamiento estratégico, análisis de la  g , situación actual y definición de la futura COBIT SABSA * ISO27002 CMM GAISP Otros * Sherwood Applied Business Security Architecture
Objetivo de la estrategia de seguridad Proteger los recursos de información de la organización. ¿Qué es Proteger? –COBIT: Criterios de información, objetivos de control –ISO27002: Objetivos de control y controles Alineamiento  Alineamiento –SABSA (porqué, cómo, quién, dónde), otros estratégico ¿Cuáles Recursos de Información? –ISO27002 – 7.1 y 7.2 – Responsabilidad y Clasificación  –COBIT: Aplicaciones, Información, Infraestructura, Gente (q , ), –SABSA (qué, cuándo), otros
uridad frennte  el negocio Plan de proyectos. Recursos: Gente, procesos,  de la Segu tecnología l í jetivos de apacidad d a los obj Ca Evolución de la Seguridad
Proceso estándar de una planeación estratégica ¿Dónde estamos? ó d ? • Entender los objetivos y  Situación actual Situación actual estrategia del negocio. estrategia del negocio • Identificar, analizar y evaluar la  situación actual de la  it ió t ld l seguridad de la información. • Definir los requerimientos de  seguridad para el negocio.
Proceso estándar de una planeación estratégica ¿A dónde vamos? ¿A dó d ? • Definir la situación deseada de  Situación futura Situación futura la seguridad – objetivos  la seguridad – objetivos estratégicos. • E t bl Establecer la brecha frente a la  l b h f t l situación actual.
Proceso estándar de una planeación estratégica ¿Cómo llegamos? ó ll ? • Definir el plan de acción para  Plan de Acción Plan de Acción cerrar la brecha: cerrar la brecha: – Acciones rápidas – Proyectos y • Objetivos, recursos, beneficios – Programas • Programa de seguridad • Programa de conciencia, educación  y entrenamiento y entrenamiento
Marcos de referencia para la  planeación estratégica de seguridad
SABSA Punto de vista del negocio Arquitectura contextual Punto de vista de los arquitectos Arquitectura conceptual Punto de vista de los diseñadores Arquitectura lógica Punto de vista de los  Arquitectura física implementadores Punto de vista del comerciante  Punto de vista del comerciante Arquitectura de componente Arquitectura de componente Punto de vista del Gerente  Arquitectura operacional de infraestructura
SABSA Arquitectura contextual Describe los requerimientos de negocio Arquitectura conceptual La visión estratégica a alto nivel Arquitectura lógica Servicios de seguridad Arquitectura física Mecanismos de seguridad  Arquitectura de componente q p Productos de seguridad y herramientas g y Arquitectura operacional Administración y operación de la seguridad
SABSA Qué estoy tratando de asegurar Los ACTIVOS a proteger Cómo estamos tratando de  Cómo estamos tratando de Las FUNCIONES asociadas con los activos hacerlo? Donde se intentará asegurar? La UBICACIÓN que se asegurará Quién está involucrado? GENTE y aspectos de la organización  Cuándo se debe aplicar seguridad p g El TIEMPO  preciso  p Porqué tenemos que hacerlo? La MOTIVACIÓN
SABSA
SABSA – Matriz de desarrollo
SABSA Proceso de desarrollo Plan de acción Arquitectura  Arquitectura Objetivos del Arquitectura  Arquitectura  negocio Arquitectura  de  Arquitectura  Política de conceptual  Procesos de Seguridad de  de  componente contextual de  Tolerancia al seguridad de  j seguridad  Objetivos de seguridad  s  seguridad riesgo Arquitectura de Seguridad seguridadlógica seguridad física de  Estrategia de Entorno / seguridad seguridad Ambiente Políticas Cumplimiento corporativasArquitectura de seguridad operacional ti
SABSA
SABSA Contextual Procesos de negocio ¿Qué? ¿Porqué? ¿Cuándo? ¿Cómo? ¿Quién? ¿Dónde? Conductores  Factores de  Tiempo Función Gente Ubicación del Negocio éxito Activos Riesgos Criticidad Dependencia Responsabilidad Logística Objetivos de  Ciclos de  Modelo de  Atributos control vida / plazos confianza Modelo de  Dominios i i Conceptual Estrategia de  Seguridad
SABSA– Atributos del Negocio Atributos de  Accesible, exacto, consistente,  usuario segregado, educado, conciente,  Atributos legales y  Admisible, cumple, se  puede hacer cumplir,  motivado, informado,  regulatorios asegurable, resoluble asegurable, resoluble protegido, confiable, soportado id fi bl d Atributos de  Automatizado, cambios  controlados, costo‐efectivo,  Flexible, extendible,  gestión Atributos de  eficiente, mantenible, medido,  integrable, migrable,  estrategia técnica estrategia técnica escalable, simple, trazable l bl i l t bl soportable bl Disponible, libre de error,  Atributos  Mejora imagen, habilita al  interoperable, productivo,  Atributos de  operacionales recuperable negocio, competente,  estrategia del  confiable, creíble,  , , Atributos de  Controlado en acceso,  negocio gobernable. gestión del riesgo integridad, autenticado,  autorizado, flexible, privado,  confidencial, no repudiable
COBIT Procesos de Negocio ¿Qué? ¿Porqué? ¿Cuándo? ¿Cómo? ¿Quién? ¿Dónde? Conductores  Factores de  Tiempo Función Gente Ubicación del Negocio éxito Activos Riesgos Criticidad Dependencia Responsabilidad Logística Atributos Procesos de Gestión de TI Efectividad   Eficiencia  Objetivos de  Objetivos de Controles de nivel de aplicación Confidencialidad  Confidencialidad Integridad  control Disponibilidad  Controles generales de TI Cumplimiento  Planeación y  Adquisición e Servicio y  Monitoreo y  Confiabilidad Organización Implementación Soporte Evaluación
Otras fuentes de atributos o principios GAISP OECD Generally Accepted Information  Organisation for Economic Co‐ Security Principles y p operation and Development p p Asignación de responsabilidad  Concientización  (accountability) Responsabilidad  Conciencia Respuesta (incidentes) Ética Ética Multidisciplinariedad Democracia Proporcionalidad Evaluación del riesgo Integración Diseño y realización de la seguridad Oportunidad Gestión de la seguridad  Evaluación de riesgos Re‐evaluación Equidad
Desarrollo de la estrategia de  seguridad
Situación actual • Objetivos estratégicos del negocio – Basados en la Misión Visión o MEGA del negocio Basados en la Misión ‐ Visión o MEGA del negocio – Requieren conservar principalmente ciertos  atributos de seguridad para contribuir al negocio atributos de seguridad para contribuir al negocio – Generan necesidades de seguridad que deben ser  cubiertas (situación futura) cubiertas (situación futura)
Situación actual • Atributos y Procesos del negocio – El cumplimiento de la Misión Visión o MEGA del El cumplimiento de la Misión‐Visión o MEGA del  negocio depende de que se garanticen unos  atributos. – Cada atributo tiene una relevancia específica para  el logro de los objetivos de negocio, dentro de  g j g , cada proceso de la organización.
Situación actual – Alineamiento estratégico Objetivos del  negocio • El negocio tiene sus objetivos  estratégicos. • Igualmente permite obtener atributos  Atributos  clave del negocio que deben ser  del negocio g satisfechos por la seguridad de la  ti f h l id d d l información. Objetivos de  Objetivos de • A partir de estos atributos se pueden A partir de estos atributos se pueden  seguridad derivar los objetivos estratégicos de  seguridad de la información que  permitirán garantizar dichos atributos. iiá i di h ib
Objetivos del  negocio Objetivos del negocio Objetivos del negocio Objetivos de  Tolerancia al riesgo seguridad 1. Atributos de la seguridad  Tolerancia al riesgo Estrategia de  Estrategia de Entorno /  to o / de la información  Ambiente seguridad Políticas  relevantes para el negocio corporativas Cumplimiento 2. Efecto de los atributos en  Políticas corporativas Entorno / Ambiente los procesos los procesos 3. Necesidades de seguridad Cumplimiento Plan de acción Política de  Procesos de Seguridad seguridad Objetivos de seguridad Arquitectura de Seguridad
Situación actual – Identificación de atributos • Entendimiento de objetivos estratégicos del negocio • Identificación de los atributos del negocio Identificación de los atributos del negocio • Identificación de los atributos de negocio más  relevantes en su conjunto para el cumplimiento de la  relevantes en su conjunto para el cumplimiento de la estrategia • Los atributos clave identificados son base para la Los atributos clave identificados son base para la  clasificación de información y para definir la MEGA  de seguridad de información
Situación actual – Identificación de atributos • Para identificar los atributos de negocio relevantes  para la estrategia de la organización, se pueden  utilizar técnicas como: tili té i – Sesiones de facilitación con accionistas, la junta, la  gerencia ejecutiva, basado en su percepción de seguridad  de la información. d l i f ió – Diagramas de espina de pescado u otras técnicas para el  análisis de causas, a partir de los objetivos del negocio: • Ll i d id Lluvia de ideas • Diagramas de causa efecto • Diagramas de relación (causa‐relación‐efecto)
Situación actual – Identificación de atributos • Identificación de atributos de información clave en  sesiones de facilitación  sesiones de facilitación – Conocimiento de la estrategia del negocio – Entendimiento de proyectos en curso y prioridades – Elaboración de un cuestionario acorde con la cultura de la  organización y sus circunstancias pasadas, actuales y  futuras – Análisis de resultados
Percepción de impacto adverso Confidencialidad 1] Muy Bajo 1 Integridad Disponibilidad 2] Bajo 1 3] Medio 1 1 4] Alto 3 2 5 5] Muy Alto 7 8 4 0 2 4 6 8 10 12 14 16 18 20 Votos
5. La seguridad de la información es responsabilidad de TI 1 1 5 1] Muy Bajo 2] Bajo 3] Medio 4] Alto 5] Muy Alto 5
La seguridad de la información hace parte de mis responsabilidades 2 1] Muy Bajo 2] Bajo 3] Medio 4] Alto 5] Muy Alto 2 6
Usted ha analizado los riesgos de seguridad de información de su proceso 3 4 1] Muy Bajo M B j 2] Bajo 3] Medio 4] Alto 4 5] Muy Alto ] y
No se requiere más que un contrato para garantizar la seguridad con proveedores de outsourcing 2 1 0 2 1] Muy Bajo 2] Bajo 3] Medio 4] Alto 5] Muy Alto 8
La seguridad de la información involucra asuntos legales y regulatorios 1] Muy Bajo 1 2] Bajo 3] Medio 3 5 4] Alto 5] Muy Alto 2
Situación actual – Identificación de atributos • Identificación de atributos de información clave con  base en los objetivos del negocio base en los objetivos del negocio • Objetivos de negocio. Ejemplo – Objetivo 1: Crecer en la cuota de mercado en 2 dígitos  j g anuales – Objetivo 2: Obtener rentabilidad de 2 dígitos para los  accionistas i it – Objetivo 3: Desarrollar 2 nuevos productos para el  mercado anualmente mercado anualmente
Situación actual – Identificación de atributos Obtener nuevos  clientes Flexibilidad Fl ibilid d Integridad de Información Imagen Crecer en la cuota  de mercado en 2  Disponibilidad Calidad dígitos anuales Oportunidad Oportunidad Completa Disponibilidad Conocer el mercado  Retener clientes  (información) actuales
Situación actual – Identificación de atributos Mejorar márgenes (conocer  clientes y mercado) Flexibilidad Integridad Oportunidad Obtener  Disponibilidad rentabilidad de 2  t bilid d d 2 dígitos para los  Calidad Integridad accionistas Costo‐eficiente Oportunidad O t id d Flexibilidad Eficiencia
Situación actual – Identificación de atributos Investigación y desarrollo Confidencialidad C fid i lid d Adaptabilidad Oportunidad Desarrollar 2  nuevos productos  nuevos productos para el mercado  Confiabilidad Etica anualmente Conciencia Disponibilidad Recurso Humano  especializado
Situación actual – Aplicación de los atributos • Objetivos estratégicos  de seguridad de la  de seguridad de la información ATRIBUTOS DEL NEGOCIO • Priorización de procesos • Clasificación de los  activos de información
Situación actual – Atributos e información • Atributos y Clasificación de activos de  información • Obtener un inventario de activos de  información por proceso i f ió • Impacto de la pérdida de CUALIDAD DE LA  INFORMACIÓN de este activo en ATRIBUTO  Ó DEL NEGOCIO
Situación actual – Atributos e información • Ejemplo: – ¿Cuál es el impacto en IMAGEN si esta ¿Cuál es el impacto en IMAGEN si esta  información se revela de manera no autorizada a  personas no autorizadas? personas no autorizadas?
Situación actual – Atributos e información Atributos Atributos Valor del C I D activo Activo de Atributo 1 Atributo 2 Atributo 3 Atributo 1 Atributo 2 Atributo 3 Atributo 1 Atributo 2 Atributo 3 Proceso o o o o o o o o o Información C I D Activo 1 5 3 1 3 4 2 3 1 4 3.0 3.0 2.7 2.89 Activo 2 4 5 4 3 4 3 5 5 4 4.3 3.3 4.7 4.11 Activo 3 2 3 1 5 3 3 5 3 3 2.0 3.7 3.7 3.11 Proceso 1 Activo 4 3 1 3 1 3 2 3 2 5 2.3 2.0 3.3 2.56 Activo 5 3 2 1 3 1 3 4 3 4 2.0 2.3 3.7 2.67 Activo A ti 6 3 3 3 3 3 3 3 3 3 3.0 30 3.0 30 3.0 30 3.00 3 00 Activo 7 1 5 5 3 4 4 5 1 3 3.7 3.7 3.0 3.44
Situación actual – Atributos y procesos Atributos / Principios cialidad zación bilidad ción Financiero dad cto Integrac Integrid Automatiz Impac Confidenc Disponib Proceso Promedio Proceso 1 3 3 2 3 3 5 3.16666667 3 16666667 Proceso 2 3 2 3 5 3 4 3.33333333 Proceso 3 3 5 2 3 3 5 3.5 Proceso 4 5 3 2 5 3 3 3.5 Proceso 5 3 2 2 3 3 5 3 Proceso 6 3 3 2 3 2 3 2.66666667 Proceso 7 4 3 4 3 4 5 3.83333333 Proceso 8 3 2 2 2 2 2 2.16666667 Proceso 9 1 2 1 2 3 3 2
Situación futura • La relevancia de los atributos para los procesos del negocio  permite determinar: – La Misión y Visión d ó ó de seguridad. d d – La prioridad de las diferentes iniciativas estratégicas que se definan  posteriormente y su contribución al logro de los objetivos estratégicos  (necesidades de seguridad) (necesidades de seguridad) • Política de seguridad Define el la intención de los accionistas, la junta y la gerencia  ejecutiva frente a la seguridad. Establece un marco de  y p p g actuación y los principios de seguridad
Plan de  Acción • Necesidades de seguridad – En el marco de la política de seguridad y con base en la  información obtenida de atributos y su relevancia para  i f ió bt id d t ib t l i cada proceso se puede determinar: • Necesidades comunes • Necesidades particulares Necesidades particulares – Las necesidades pueden generar diferentes tipos de  iniciativas de acuerdo con el marco de referencia utilizado – Las necesidades son Objetivos de Control que deben ser Las necesidades son Objetivos de Control que deben ser  cubiertas con base en uno o varios marcos de referencia  (p. e. ISO27002, COBIT, ITIL, PMI)
Objetivos del negocio Tolerancia al Objetivos de riesgo seguridad Estrategia de Entorno / seguridad Ambiente Políticas corporativas Cumplimiento Plan de acción Política de Procesos de Seguridad seguridad Arquitectura de Seguridad
Plan de acción ‐ Necesidades de seguridad en el marco  de referencia SABSA de referencia SABSA
Plan de acción ‐ Necesidades de seguridad en el marco  de referencia SABSA de referencia SABSA • Las necesidades se traducen en: – Servicios de seguridad (Arquitectura Orientada a Servicios de seguridad (Arquitectura Orientada a  Servicios) – Procesos de seguridad Procesos de seguridad • Gestión de roles e identidades • Modelos de confianza, dominios de seguridad Modelos de confianza, dominios de seguridad • Ciclos de vida de seguridad • Conciencia, entrenamiento y educación
Plan de acción ‐ Necesidades de seguridad en el marco  de referencia SABSA de referencia SABSA • Estrategia de seguridad – Iniciativas de seguridad con base en las Iniciativas de seguridad – con base en las  necesidades identificadas – Plan estratégico Plan estratégico
Iniciativa n: Proceso de gestión de usuarios y acceso  Objetivo: Contar con un proceso uniforme de control de acceso que ….. Alcance: los sistemas de información que soportan … Beneficios: Costos: • Tener un proceso uniforme de control de acceso • Recursos internos US$ • Tener un ciclo de vida … • Recursos externos US$ • Contar con una arquitectura de ... • Gastos US$ • Centralizar labores de … • Dar a los usuarios la posibilidad de … Complejidad: Impacto: Plazo: • Controlar el proceso y sus actividades a través de … 10 MESES Principales Actividades: Recursos: • Determinar … • Hw •Integración de … • Sw •Gestión de … • Servicios •Implementar … • Gerentes funcionales (x%) •Gestión de … • Jefe de sección (x%) • Diseñar … • Ge e te Gerente de RRHH ( %) (x%) • Analizar … Prerrequisitos: • Unificación de … • Aseguramiento de … • P ti i Participación d … ió de
Tiempo  Costo (Miles de  Complejidad Impacto (5=alto, 0=bajo) No Iniciativa (Meses) USD) (5=alto, 0=bajo) 14 Asegurar  … activos de información 15 Actualizar… los procedimientos de seguridad Actualizar e implementar estándares de  16 seguridad … 17 Implementar el proceso de gestión de acceso  … definición y establecimiento de acuerdos  18 de servicio .. 19 … implementación del monitoreo y medición  implementación del monitoreo y medición del cumplimiento de la seguridad de la  información..
INICIATIVAS Año 1 Año 2 Año 3 1 2 3 4 5 6 7 8 9 10 11 12 1 2 3 4 5 6 7 8 9 10 11 12 1 2 3 4 5 6 7 8 9 10 11 12 Iniciativa 1 Iniciativa 2 Iniciativa 3 Iniciativa 4 Iniciativa 5 Iniciativa 6 Iniciativa 7 Iniciativa 8 Iniciativa 9 Iniciativa 10 Iniciativa 11 Iniciativa 12 Iniciativa 13 Iniciativa 14 Iniciativa 15 Iniciativa 16 Iniciativa 17 Iniciativa 18 Iniciativa 19 Iniciativa Iniciati a 20 Más de un US$1 millón Entre US$500 mil y US$1 millón Menos de US$500 mil
• Referencias – Deloitte – Experiencia en proyectos – Material público existente sobre el modelo SABSA – IT Governance Institute – ISACA – CISM Review Manual – ISO27002:2005 – OECD ‐ Organisation for Economic Co‐operation and Development OECD O i ti f E i C ti dD l t – www.gaisp.org
GRACIAS …! Wilmar Arturo Castellanos wcastellanos@deloitte.com

Recomendados

CobiT Itil Iso 27000 Marcos De Gobierno
CobiT Itil Iso 27000 Marcos De GobiernoCobiT Itil Iso 27000 Marcos De Gobierno
CobiT Itil Iso 27000 Marcos De GobiernoRoberto Soriano Domenech
 
ISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to Know
ISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to KnowISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to Know
ISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to KnowPECB
 
Security-by-Design in Enterprise Architecture
Security-by-Design in Enterprise ArchitectureSecurity-by-Design in Enterprise Architecture
Security-by-Design in Enterprise ArchitectureThe Open Group SA
 
Iso 27005-espanol
Iso 27005-espanolIso 27005-espanol
Iso 27005-espanolDaniel Arevalo
 
SABSA Implementation(Part V)_ver1-0
SABSA Implementation(Part V)_ver1-0SABSA Implementation(Part V)_ver1-0
SABSA Implementation(Part V)_ver1-0Maganathin Veeraragaloo
 
Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi...
Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi...Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi...
Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi...Amazon Web Services
 
ISO/IEC 27701 vs GDPR: What you need to know
ISO/IEC 27701 vs GDPR: What you need to knowISO/IEC 27701 vs GDPR: What you need to know
ISO/IEC 27701 vs GDPR: What you need to knowPECB
 
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...PECB
 

Recomendados

CobiT Itil Iso 27000 Marcos De Gobierno
CobiT Itil Iso 27000 Marcos De GobiernoCobiT Itil Iso 27000 Marcos De Gobierno
CobiT Itil Iso 27000 Marcos De GobiernoRoberto Soriano Domenech
 
ISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to Know
ISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to KnowISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to Know
ISO/IEC 27701 vs. ISO/IEC 27001 vs. NIST: Essential Things You Need to KnowPECB
 
Security-by-Design in Enterprise Architecture
Security-by-Design in Enterprise ArchitectureSecurity-by-Design in Enterprise Architecture
Security-by-Design in Enterprise ArchitectureThe Open Group SA
 
Iso 27005-espanol
Iso 27005-espanolIso 27005-espanol
Iso 27005-espanolDaniel Arevalo
 
SABSA Implementation(Part V)_ver1-0
SABSA Implementation(Part V)_ver1-0SABSA Implementation(Part V)_ver1-0
SABSA Implementation(Part V)_ver1-0Maganathin Veeraragaloo
 
Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi...
Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi...Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi...
Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi...Amazon Web Services
 
ISO/IEC 27701 vs GDPR: What you need to know
ISO/IEC 27701 vs GDPR: What you need to knowISO/IEC 27701 vs GDPR: What you need to know
ISO/IEC 27701 vs GDPR: What you need to knowPECB
 
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...PECB
 
NIST IT Standards for Local Governments 2010
NIST IT Standards for Local Governments 2010NIST IT Standards for Local Governments 2010
NIST IT Standards for Local Governments 2010Donald E. Hester
 
Aula 1 - Conceitos de TI e PDTI
Aula 1 - Conceitos de TI e PDTIAula 1 - Conceitos de TI e PDTI
Aula 1 - Conceitos de TI e PDTIFilipo Mór
 
Design of security architecture in Information Technology
Design of security architecture in Information TechnologyDesign of security architecture in Information Technology
Design of security architecture in Information Technologytrainersenthil14
 
Security architecture analyses brief 21 april 2015
Security architecture analyses brief 21 april 2015Security architecture analyses brief 21 april 2015
Security architecture analyses brief 21 april 2015Bill Ross
 
Managed it business leader ppt
Managed it business leader pptManaged it business leader ppt
Managed it business leader pptBimadRajSinha1
 
Enterprise Security Architecture
Enterprise Security ArchitectureEnterprise Security Architecture
Enterprise Security ArchitecturePriyanka Aash
 
S8-SCPC.pptx
S8-SCPC.pptxS8-SCPC.pptx
S8-SCPC.pptxLuis Fernando Aguas Bucheli
 
CMMC, ISO/IEC 27001, ISO/IEC 27032, and NIST – What You Need to Know
CMMC, ISO/IEC 27001, ISO/IEC 27032, and NIST – What You Need to KnowCMMC, ISO/IEC 27001, ISO/IEC 27032, and NIST – What You Need to Know
CMMC, ISO/IEC 27001, ISO/IEC 27032, and NIST – What You Need to KnowPECB
 
Security models for security architecture
Security models for security architectureSecurity models for security architecture
Security models for security architectureVladimir Jirasek
 
Security architecture
Security architectureSecurity architecture
Security architectureDuncan Unwin
 
Privacy Trends: Key practical steps on ISO/IEC 27701:2019 implementation
Privacy Trends: Key practical steps on ISO/IEC 27701:2019 implementationPrivacy Trends: Key practical steps on ISO/IEC 27701:2019 implementation
Privacy Trends: Key practical steps on ISO/IEC 27701:2019 implementationPECB
 
Modelling Security Architecture
Modelling Security ArchitectureModelling Security Architecture
Modelling Security Architecturenarenvivek
 
Security review using SABSA
Security review using SABSASecurity review using SABSA
Security review using SABSAMaganathin Veeraragaloo
 
Cobit(R) 5 Fundamentos
Cobit(R) 5 FundamentosCobit(R) 5 Fundamentos
Cobit(R) 5 FundamentosJack Daniel Cáceres Meza
 
Actividad itil caso estudio1
Actividad itil caso estudio1Actividad itil caso estudio1
Actividad itil caso estudio1Yimy Pérez Medina
 
CobiT Foundation Free Training
CobiT Foundation Free TrainingCobiT Foundation Free Training
CobiT Foundation Free TrainingEnterpriseGRC Solutions, Inc.
 
Estándar iso iec 27002 2005
Estándar iso iec 27002 2005Estándar iso iec 27002 2005
Estándar iso iec 27002 2005Ciro Bonilla
 
ITIL & CMMI for Services
ITIL & CMMI for ServicesITIL & CMMI for Services
ITIL & CMMI for ServicesNUS-ISS
 
Gobierno TI
Gobierno TIGobierno TI
Gobierno TIPilar Pardo Hidalgo
 
SABSA white paper
SABSA white paperSABSA white paper
SABSA white paperSABSAcourses
 
16 planeacion estrategicaseguridad
16 planeacion estrategicaseguridad16 planeacion estrategicaseguridad
16 planeacion estrategicaseguridadroger anthony barrientos melendez
 
Construyendo un plan estratégico de Ciberseguridad
Construyendo un plan estratégico de CiberseguridadConstruyendo un plan estratégico de Ciberseguridad
Construyendo un plan estratégico de CiberseguridadatSistemas
 

Más contenido relacionado

La actualidad más candente

NIST IT Standards for Local Governments 2010
NIST IT Standards for Local Governments 2010NIST IT Standards for Local Governments 2010
NIST IT Standards for Local Governments 2010Donald E. Hester
 
Aula 1 - Conceitos de TI e PDTI
Aula 1 - Conceitos de TI e PDTIAula 1 - Conceitos de TI e PDTI
Aula 1 - Conceitos de TI e PDTIFilipo Mór
 
Design of security architecture in Information Technology
Design of security architecture in Information TechnologyDesign of security architecture in Information Technology
Design of security architecture in Information Technologytrainersenthil14
 
Security architecture analyses brief 21 april 2015
Security architecture analyses brief 21 april 2015Security architecture analyses brief 21 april 2015
Security architecture analyses brief 21 april 2015Bill Ross
 
Managed it business leader ppt
Managed it business leader pptManaged it business leader ppt
Managed it business leader pptBimadRajSinha1
 
Enterprise Security Architecture
Enterprise Security ArchitectureEnterprise Security Architecture
Enterprise Security ArchitecturePriyanka Aash
 
CMMC, ISO/IEC 27001, ISO/IEC 27032, and NIST – What You Need to Know
CMMC, ISO/IEC 27001, ISO/IEC 27032, and NIST – What You Need to KnowCMMC, ISO/IEC 27001, ISO/IEC 27032, and NIST – What You Need to Know
CMMC, ISO/IEC 27001, ISO/IEC 27032, and NIST – What You Need to KnowPECB
 
Security models for security architecture
Security models for security architectureSecurity models for security architecture
Security models for security architectureVladimir Jirasek
 
Security architecture
Security architectureSecurity architecture
Security architectureDuncan Unwin
 
Privacy Trends: Key practical steps on ISO/IEC 27701:2019 implementation
Privacy Trends: Key practical steps on ISO/IEC 27701:2019 implementationPrivacy Trends: Key practical steps on ISO/IEC 27701:2019 implementation
Privacy Trends: Key practical steps on ISO/IEC 27701:2019 implementationPECB
 
Modelling Security Architecture
Modelling Security ArchitectureModelling Security Architecture
Modelling Security Architecturenarenvivek
 
Estándar iso iec 27002 2005
Estándar iso iec 27002 2005Estándar iso iec 27002 2005
Estándar iso iec 27002 2005Ciro Bonilla
 
ITIL & CMMI for Services
ITIL & CMMI for ServicesITIL & CMMI for Services
ITIL & CMMI for ServicesNUS-ISS
 

La actualidad más candente (20)

NIST IT Standards for Local Governments 2010
NIST IT Standards for Local Governments 2010NIST IT Standards for Local Governments 2010
NIST IT Standards for Local Governments 2010
 
Aula 1 - Conceitos de TI e PDTI
Aula 1 - Conceitos de TI e PDTIAula 1 - Conceitos de TI e PDTI
Aula 1 - Conceitos de TI e PDTI
 
Design of security architecture in Information Technology
Design of security architecture in Information TechnologyDesign of security architecture in Information Technology
Design of security architecture in Information Technology
 
Security architecture analyses brief 21 april 2015
Security architecture analyses brief 21 april 2015Security architecture analyses brief 21 april 2015
Security architecture analyses brief 21 april 2015
 
Managed it business leader ppt
Managed it business leader pptManaged it business leader ppt
Managed it business leader ppt
 
Enterprise Security Architecture
Enterprise Security ArchitectureEnterprise Security Architecture
Enterprise Security Architecture
 
S8-SCPC.pptx
S8-SCPC.pptxS8-SCPC.pptx
S8-SCPC.pptx
 
CMMC, ISO/IEC 27001, ISO/IEC 27032, and NIST – What You Need to Know
CMMC, ISO/IEC 27001, ISO/IEC 27032, and NIST – What You Need to KnowCMMC, ISO/IEC 27001, ISO/IEC 27032, and NIST – What You Need to Know
CMMC, ISO/IEC 27001, ISO/IEC 27032, and NIST – What You Need to Know
 
Security models for security architecture
Security models for security architectureSecurity models for security architecture
Security models for security architecture
 
Security architecture
Security architectureSecurity architecture
Security architecture
 
Privacy Trends: Key practical steps on ISO/IEC 27701:2019 implementation
Privacy Trends: Key practical steps on ISO/IEC 27701:2019 implementationPrivacy Trends: Key practical steps on ISO/IEC 27701:2019 implementation
Privacy Trends: Key practical steps on ISO/IEC 27701:2019 implementation
 
Modelling Security Architecture
Modelling Security ArchitectureModelling Security Architecture
Modelling Security Architecture
 
Security review using SABSA
Security review using SABSASecurity review using SABSA
Security review using SABSA
 
Cobit(R) 5 Fundamentos
Cobit(R) 5 FundamentosCobit(R) 5 Fundamentos
Cobit(R) 5 Fundamentos
 
Actividad itil caso estudio1
Actividad itil caso estudio1Actividad itil caso estudio1
Actividad itil caso estudio1
 
CobiT Foundation Free Training
CobiT Foundation Free TrainingCobiT Foundation Free Training
CobiT Foundation Free Training
 
Estándar iso iec 27002 2005
Estándar iso iec 27002 2005Estándar iso iec 27002 2005
Estándar iso iec 27002 2005
 
ITIL & CMMI for Services
ITIL & CMMI for ServicesITIL & CMMI for Services
ITIL & CMMI for Services
 
Gobierno TI
Gobierno TIGobierno TI
Gobierno TI
 
SABSA white paper
SABSA white paperSABSA white paper
SABSA white paper
 

Similar a 16 planeacion estrategicaseguridad

Construyendo un plan estratégico de Ciberseguridad
Construyendo un plan estratégico de CiberseguridadConstruyendo un plan estratégico de Ciberseguridad
Construyendo un plan estratégico de CiberseguridadatSistemas
 
Unidad ii sesion 01 (politicas de seguridad)
Unidad ii sesion 01 (politicas de seguridad)Unidad ii sesion 01 (politicas de seguridad)
Unidad ii sesion 01 (politicas de seguridad)Jesus Vilchez
 
QA and Security Testing in the SDLC
QA and Security Testing in the SDLCQA and Security Testing in the SDLC
QA and Security Testing in the SDLCRoger CARHUATOCTO
 
Eulen Seguridad - ALAMYS - Cartagena de Indias Colombia - abril 2010
Eulen Seguridad - ALAMYS - Cartagena de Indias Colombia - abril 2010 Eulen Seguridad - ALAMYS - Cartagena de Indias Colombia - abril 2010
Eulen Seguridad - ALAMYS - Cartagena de Indias Colombia - abril 2010 Ricardo Cañizares Sales
 
Pgpsi fib-upc-material trabajo-ramoncosta-2009
Pgpsi fib-upc-material trabajo-ramoncosta-2009Pgpsi fib-upc-material trabajo-ramoncosta-2009
Pgpsi fib-upc-material trabajo-ramoncosta-2009Ramon Costa i Pujol
 
Calidad y Seguridad en Procesos de Desarrollo de Software
Calidad y Seguridad en Procesos de Desarrollo de SoftwareCalidad y Seguridad en Procesos de Desarrollo de Software
Calidad y Seguridad en Procesos de Desarrollo de SoftwareConferencias FIST
 
Euetii 200910 Introduccion Proyectos Ciclos Vida Gestion Proyectos
Euetii 200910 Introduccion Proyectos Ciclos Vida Gestion ProyectosEuetii 200910 Introduccion Proyectos Ciclos Vida Gestion Proyectos
Euetii 200910 Introduccion Proyectos Ciclos Vida Gestion ProyectosRamon Costa i Pujol
 
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...Cein
 
Proyecto para la definición de un sistema de gestión de la seguridad de la in...
Proyecto para la definición de un sistema de gestión de la seguridad de la in...Proyecto para la definición de un sistema de gestión de la seguridad de la in...
Proyecto para la definición de un sistema de gestión de la seguridad de la in...Cein
 
La Convergencia de la Seguridad: la seguridad integral
La Convergencia de la Seguridad: la seguridad integralLa Convergencia de la Seguridad: la seguridad integral
La Convergencia de la Seguridad: la seguridad integralRicardo Cañizares Sales
 
La Convergencia de la Seguridad - la seguridad integral
La Convergencia de la Seguridad - la seguridad integralLa Convergencia de la Seguridad - la seguridad integral
La Convergencia de la Seguridad - la seguridad integralRicardo Cañizares Sales
 
Microsoft power point_-_auditoria_plan_de_continuidad_bcp_drp
Microsoft power point_-_auditoria_plan_de_continuidad_bcp_drpMicrosoft power point_-_auditoria_plan_de_continuidad_bcp_drp
Microsoft power point_-_auditoria_plan_de_continuidad_bcp_drpCarmelo Branimir España Villegas
 
Seguridad De La Información
Seguridad De La InformaciónSeguridad De La Información
Seguridad De La Informaciónferd3116
 
Bfc Consulting Portafolio De Servicios
Bfc Consulting Portafolio De ServiciosBfc Consulting Portafolio De Servicios
Bfc Consulting Portafolio De ServiciosJorge García
 
Ciberseguridad e Inteligencia Artificial.pdf
Ciberseguridad e Inteligencia Artificial.pdfCiberseguridad e Inteligencia Artificial.pdf
Ciberseguridad e Inteligencia Artificial.pdfPatricio Galdames
 
"I+D+i: Seguridad adaptativa" - Etxahun Sánchez
"I+D+i: Seguridad adaptativa" - Etxahun Sánchez"I+D+i: Seguridad adaptativa" - Etxahun Sánchez
"I+D+i: Seguridad adaptativa" - Etxahun SánchezNextel S.A.
 
Implementando SGSI en Instituciones Estatales, por Roberto Puyó
Implementando SGSI en Instituciones Estatales, por Roberto PuyóImplementando SGSI en Instituciones Estatales, por Roberto Puyó
Implementando SGSI en Instituciones Estatales, por Roberto PuyóForo Global Crossing
 
Caso: Implementando CGSI en Instituciones Estatales, por Roberto Puyó
Caso: Implementando CGSI en Instituciones Estatales, por Roberto PuyóCaso: Implementando CGSI en Instituciones Estatales, por Roberto Puyó
Caso: Implementando CGSI en Instituciones Estatales, por Roberto PuyóForo Global Crossing
 

Similar a 16 planeacion estrategicaseguridad (20)

16 planeacion estrategicaseguridad
16 planeacion estrategicaseguridad16 planeacion estrategicaseguridad
16 planeacion estrategicaseguridad
 
Construyendo un plan estratégico de Ciberseguridad
Construyendo un plan estratégico de CiberseguridadConstruyendo un plan estratégico de Ciberseguridad
Construyendo un plan estratégico de Ciberseguridad
 
Unidad ii sesion 01 (politicas de seguridad)
Unidad ii sesion 01 (politicas de seguridad)Unidad ii sesion 01 (politicas de seguridad)
Unidad ii sesion 01 (politicas de seguridad)
 
QA and Security Testing in the SDLC
QA and Security Testing in the SDLCQA and Security Testing in the SDLC
QA and Security Testing in the SDLC
 
Eulen Seguridad - ALAMYS - Cartagena de Indias Colombia - abril 2010
Eulen Seguridad - ALAMYS - Cartagena de Indias Colombia - abril 2010 Eulen Seguridad - ALAMYS - Cartagena de Indias Colombia - abril 2010
Eulen Seguridad - ALAMYS - Cartagena de Indias Colombia - abril 2010
 
Pgpsi fib-upc-material trabajo-ramoncosta-2009
Pgpsi fib-upc-material trabajo-ramoncosta-2009Pgpsi fib-upc-material trabajo-ramoncosta-2009
Pgpsi fib-upc-material trabajo-ramoncosta-2009
 
Calidad y Seguridad en Procesos de Desarrollo de Software
Calidad y Seguridad en Procesos de Desarrollo de SoftwareCalidad y Seguridad en Procesos de Desarrollo de Software
Calidad y Seguridad en Procesos de Desarrollo de Software
 
Euetii 200910 Introduccion Proyectos Ciclos Vida Gestion Proyectos
Euetii 200910 Introduccion Proyectos Ciclos Vida Gestion ProyectosEuetii 200910 Introduccion Proyectos Ciclos Vida Gestion Proyectos
Euetii 200910 Introduccion Proyectos Ciclos Vida Gestion Proyectos
 
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
 
Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013
 
Proyecto para la definición de un sistema de gestión de la seguridad de la in...
Proyecto para la definición de un sistema de gestión de la seguridad de la in...Proyecto para la definición de un sistema de gestión de la seguridad de la in...
Proyecto para la definición de un sistema de gestión de la seguridad de la in...
 
La Convergencia de la Seguridad: la seguridad integral
La Convergencia de la Seguridad: la seguridad integralLa Convergencia de la Seguridad: la seguridad integral
La Convergencia de la Seguridad: la seguridad integral
 
La Convergencia de la Seguridad - la seguridad integral
La Convergencia de la Seguridad - la seguridad integralLa Convergencia de la Seguridad - la seguridad integral
La Convergencia de la Seguridad - la seguridad integral
 
Microsoft power point_-_auditoria_plan_de_continuidad_bcp_drp
Microsoft power point_-_auditoria_plan_de_continuidad_bcp_drpMicrosoft power point_-_auditoria_plan_de_continuidad_bcp_drp
Microsoft power point_-_auditoria_plan_de_continuidad_bcp_drp
 
Seguridad De La Información
Seguridad De La InformaciónSeguridad De La Información
Seguridad De La Información
 
Bfc Consulting Portafolio De Servicios
Bfc Consulting Portafolio De ServiciosBfc Consulting Portafolio De Servicios
Bfc Consulting Portafolio De Servicios
 
Ciberseguridad e Inteligencia Artificial.pdf
Ciberseguridad e Inteligencia Artificial.pdfCiberseguridad e Inteligencia Artificial.pdf
Ciberseguridad e Inteligencia Artificial.pdf
 
"I+D+i: Seguridad adaptativa" - Etxahun Sánchez
"I+D+i: Seguridad adaptativa" - Etxahun Sánchez"I+D+i: Seguridad adaptativa" - Etxahun Sánchez
"I+D+i: Seguridad adaptativa" - Etxahun Sánchez
 
Implementando SGSI en Instituciones Estatales, por Roberto Puyó
Implementando SGSI en Instituciones Estatales, por Roberto PuyóImplementando SGSI en Instituciones Estatales, por Roberto Puyó
Implementando SGSI en Instituciones Estatales, por Roberto Puyó
 
Caso: Implementando CGSI en Instituciones Estatales, por Roberto Puyó
Caso: Implementando CGSI en Instituciones Estatales, por Roberto PuyóCaso: Implementando CGSI en Instituciones Estatales, por Roberto Puyó
Caso: Implementando CGSI en Instituciones Estatales, por Roberto Puyó
 

Último

Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estossgonzalezp1
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfvladimiroflores1
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxAlan779941
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxMiguelAtencio10
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanamcerpam
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfAnnimoUno1
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfJulian Lamprea
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
presentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptxpresentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptxlosdiosesmanzaneros
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
Presentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmerilPresentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmerilJuanGallardo438714
 

Último (15)

Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
presentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptxpresentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptx
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Presentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmerilPresentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmeril
 

16 planeacion estrategicaseguridad

  • 2. • Esta presentación se encuentra basada en el material  público existente en Internet (SABSA, ISACA, IT  público existente en Internet (SABSA, ISACA, IT Governance Institute, entre otros).  • La propiedad de la información aquí presentada es  p p q p propiedad de sus respectivos titulares. El autor aporta sus  interpretaciones de esta información con base en su  experiencia.
  • 3. Agenda • Security Governance y Estrategia de Seguridad • Planeación estratégica de seguridad Planeación estratégica de seguridad • Marcos de referencia para la planeación estratégica de  seguridad • Desarrollo de la estrategia de seguridad
  • 5. Security Governance y Estrategia de seguridad • “Information Security Governance es responsabilidad del  consejo de administración y de la dirección ejecutiva.  Debe ser una parte integral y transparente del gobierno  corporativo. Consiste en el liderazgo y estructuras de  organización y procesos que aseguran que la seguridad de  organización y procesos que aseguran que la seguridad de información sustenta los objetivos y estrategias de la  organización”. IT Governance Institute
  • 6. Security Governance y Estrategia de seguridad • El objetivo del security governance es garantizar que  existe y se mantiene un marco de referencia con el fin de  existe y se mantiene un marco de referencia con el fin de asegurar que las estrategias de seguridad de la  información están alineadas con los objetivos del negocio y que son consistentes con la regulación y leyes aplicables.
  • 8. Security Governance y Estrategia de seguridad La estrategia de seguridad de la información es un patrón  frente al cual una compañía toma sus decisiones de  protección de la información con base en sus objetivos y  t ió d l i f ió b bj ti propósito. El proceso de toma de decisiones requiere de  la definición de una política y de un plan de acción para  alcanzar los objetivos de seguridad de la información. La  l l bj i d id d d l i f ió L estrategia permite definir los procesos y estructuras  requeridos para satisfacer las necesidades de seguridad  de la información de los accionistas, empleados, clientes y  comunidad.
  • 9. Objetivos del negocio Tolerancia al Objetivos de riesgo seguridad Estrategia de Entorno / seguridad Ambiente Políticas corporativas Cumplimiento Plan de acción Política de Procesos de Seguridad seguridad Arquitectura de Seguridad
  • 11. Proceso estándar de una planeación estratégica ¿Dónde estamos? ¿A dónde vamos? ¿Cómo llegamos? Situación actual Situación futura Plan de Acción Alineamiento estratégico, análisis de la  g , situación actual y definición de la futura COBIT SABSA * ISO27002 CMM GAISP Otros * Sherwood Applied Business Security Architecture
  • 12. Objetivo de la estrategia de seguridad Proteger los recursos de información de la organización. ¿Qué es Proteger? –COBIT: Criterios de información, objetivos de control –ISO27002: Objetivos de control y controles Alineamiento  Alineamiento –SABSA (porqué, cómo, quién, dónde), otros estratégico ¿Cuáles Recursos de Información? –ISO27002 – 7.1 y 7.2 – Responsabilidad y Clasificación  –COBIT: Aplicaciones, Información, Infraestructura, Gente (q , ), –SABSA (qué, cuándo), otros
  • 13. uridad frennte  el negocio Plan de proyectos. Recursos: Gente, procesos,  de la Segu tecnología l í jetivos de apacidad d a los obj Ca Evolución de la Seguridad
  • 14. Proceso estándar de una planeación estratégica ¿Dónde estamos? ó d ? • Entender los objetivos y  Situación actual Situación actual estrategia del negocio. estrategia del negocio • Identificar, analizar y evaluar la  situación actual de la  it ió t ld l seguridad de la información. • Definir los requerimientos de  seguridad para el negocio.
  • 15. Proceso estándar de una planeación estratégica ¿A dónde vamos? ¿A dó d ? • Definir la situación deseada de  Situación futura Situación futura la seguridad – objetivos  la seguridad – objetivos estratégicos. • E t bl Establecer la brecha frente a la  l b h f t l situación actual.
  • 16. Proceso estándar de una planeación estratégica ¿Cómo llegamos? ó ll ? • Definir el plan de acción para  Plan de Acción Plan de Acción cerrar la brecha: cerrar la brecha: – Acciones rápidas – Proyectos y • Objetivos, recursos, beneficios – Programas • Programa de seguridad • Programa de conciencia, educación  y entrenamiento y entrenamiento
  • 18. SABSA Punto de vista del negocio Arquitectura contextual Punto de vista de los arquitectos Arquitectura conceptual Punto de vista de los diseñadores Arquitectura lógica Punto de vista de los  Arquitectura física implementadores Punto de vista del comerciante  Punto de vista del comerciante Arquitectura de componente Arquitectura de componente Punto de vista del Gerente  Arquitectura operacional de infraestructura
  • 19. SABSA Arquitectura contextual Describe los requerimientos de negocio Arquitectura conceptual La visión estratégica a alto nivel Arquitectura lógica Servicios de seguridad Arquitectura física Mecanismos de seguridad  Arquitectura de componente q p Productos de seguridad y herramientas g y Arquitectura operacional Administración y operación de la seguridad
  • 20. SABSA Qué estoy tratando de asegurar Los ACTIVOS a proteger Cómo estamos tratando de  Cómo estamos tratando de Las FUNCIONES asociadas con los activos hacerlo? Donde se intentará asegurar? La UBICACIÓN que se asegurará Quién está involucrado? GENTE y aspectos de la organización  Cuándo se debe aplicar seguridad p g El TIEMPO  preciso  p Porqué tenemos que hacerlo? La MOTIVACIÓN
  • 21. SABSA
  • 23. SABSA Proceso de desarrollo Plan de acción Arquitectura  Arquitectura Objetivos del Arquitectura  Arquitectura  negocio Arquitectura  de  Arquitectura  Política de conceptual  Procesos de Seguridad de  de  componente contextual de  Tolerancia al seguridad de  j seguridad  Objetivos de seguridad  s  seguridad riesgo Arquitectura de Seguridad seguridadlógica seguridad física de  Estrategia de Entorno / seguridad seguridad Ambiente Políticas Cumplimiento corporativasArquitectura de seguridad operacional ti
  • 24. SABSA
  • 25. SABSA Contextual Procesos de negocio ¿Qué? ¿Porqué? ¿Cuándo? ¿Cómo? ¿Quién? ¿Dónde? Conductores  Factores de  Tiempo Función Gente Ubicación del Negocio éxito Activos Riesgos Criticidad Dependencia Responsabilidad Logística Objetivos de  Ciclos de  Modelo de  Atributos control vida / plazos confianza Modelo de  Dominios i i Conceptual Estrategia de  Seguridad
  • 26. SABSA– Atributos del Negocio Atributos de  Accesible, exacto, consistente,  usuario segregado, educado, conciente,  Atributos legales y  Admisible, cumple, se  puede hacer cumplir,  motivado, informado,  regulatorios asegurable, resoluble asegurable, resoluble protegido, confiable, soportado id fi bl d Atributos de  Automatizado, cambios  controlados, costo‐efectivo,  Flexible, extendible,  gestión Atributos de  eficiente, mantenible, medido,  integrable, migrable,  estrategia técnica estrategia técnica escalable, simple, trazable l bl i l t bl soportable bl Disponible, libre de error,  Atributos  Mejora imagen, habilita al  interoperable, productivo,  Atributos de  operacionales recuperable negocio, competente,  estrategia del  confiable, creíble,  , , Atributos de  Controlado en acceso,  negocio gobernable. gestión del riesgo integridad, autenticado,  autorizado, flexible, privado,  confidencial, no repudiable
  • 27. COBIT Procesos de Negocio ¿Qué? ¿Porqué? ¿Cuándo? ¿Cómo? ¿Quién? ¿Dónde? Conductores  Factores de  Tiempo Función Gente Ubicación del Negocio éxito Activos Riesgos Criticidad Dependencia Responsabilidad Logística Atributos Procesos de Gestión de TI Efectividad   Eficiencia  Objetivos de  Objetivos de Controles de nivel de aplicación Confidencialidad  Confidencialidad Integridad  control Disponibilidad  Controles generales de TI Cumplimiento  Planeación y  Adquisición e Servicio y  Monitoreo y  Confiabilidad Organización Implementación Soporte Evaluación
  • 28. Otras fuentes de atributos o principios GAISP OECD Generally Accepted Information  Organisation for Economic Co‐ Security Principles y p operation and Development p p Asignación de responsabilidad  Concientización  (accountability) Responsabilidad  Conciencia Respuesta (incidentes) Ética Ética Multidisciplinariedad Democracia Proporcionalidad Evaluación del riesgo Integración Diseño y realización de la seguridad Oportunidad Gestión de la seguridad  Evaluación de riesgos Re‐evaluación Equidad
  • 30. Situación actual • Objetivos estratégicos del negocio – Basados en la Misión Visión o MEGA del negocio Basados en la Misión ‐ Visión o MEGA del negocio – Requieren conservar principalmente ciertos  atributos de seguridad para contribuir al negocio atributos de seguridad para contribuir al negocio – Generan necesidades de seguridad que deben ser  cubiertas (situación futura) cubiertas (situación futura)
  • 31. Situación actual • Atributos y Procesos del negocio – El cumplimiento de la Misión Visión o MEGA del El cumplimiento de la Misión‐Visión o MEGA del  negocio depende de que se garanticen unos  atributos. – Cada atributo tiene una relevancia específica para  el logro de los objetivos de negocio, dentro de  g j g , cada proceso de la organización.
  • 32. Situación actual – Alineamiento estratégico Objetivos del  negocio • El negocio tiene sus objetivos  estratégicos. • Igualmente permite obtener atributos  Atributos  clave del negocio que deben ser  del negocio g satisfechos por la seguridad de la  ti f h l id d d l información. Objetivos de  Objetivos de • A partir de estos atributos se pueden A partir de estos atributos se pueden  seguridad derivar los objetivos estratégicos de  seguridad de la información que  permitirán garantizar dichos atributos. iiá i di h ib
  • 33. Objetivos del  negocio Objetivos del negocio Objetivos del negocio Objetivos de  Tolerancia al riesgo seguridad 1. Atributos de la seguridad  Tolerancia al riesgo Estrategia de  Estrategia de Entorno /  to o / de la información  Ambiente seguridad Políticas  relevantes para el negocio corporativas Cumplimiento 2. Efecto de los atributos en  Políticas corporativas Entorno / Ambiente los procesos los procesos 3. Necesidades de seguridad Cumplimiento Plan de acción Política de  Procesos de Seguridad seguridad Objetivos de seguridad Arquitectura de Seguridad
  • 34. Situación actual – Identificación de atributos • Entendimiento de objetivos estratégicos del negocio • Identificación de los atributos del negocio Identificación de los atributos del negocio • Identificación de los atributos de negocio más  relevantes en su conjunto para el cumplimiento de la  relevantes en su conjunto para el cumplimiento de la estrategia • Los atributos clave identificados son base para la Los atributos clave identificados son base para la  clasificación de información y para definir la MEGA  de seguridad de información
  • 35. Situación actual – Identificación de atributos • Para identificar los atributos de negocio relevantes  para la estrategia de la organización, se pueden  utilizar técnicas como: tili té i – Sesiones de facilitación con accionistas, la junta, la  gerencia ejecutiva, basado en su percepción de seguridad  de la información. d l i f ió – Diagramas de espina de pescado u otras técnicas para el  análisis de causas, a partir de los objetivos del negocio: • Ll i d id Lluvia de ideas • Diagramas de causa efecto • Diagramas de relación (causa‐relación‐efecto)
  • 36. Situación actual – Identificación de atributos • Identificación de atributos de información clave en  sesiones de facilitación  sesiones de facilitación – Conocimiento de la estrategia del negocio – Entendimiento de proyectos en curso y prioridades – Elaboración de un cuestionario acorde con la cultura de la  organización y sus circunstancias pasadas, actuales y  futuras – Análisis de resultados
  • 37. Percepción de impacto adverso Confidencialidad 1] Muy Bajo 1 Integridad Disponibilidad 2] Bajo 1 3] Medio 1 1 4] Alto 3 2 5 5] Muy Alto 7 8 4 0 2 4 6 8 10 12 14 16 18 20 Votos
  • 38. 5. La seguridad de la información es responsabilidad de TI 1 1 5 1] Muy Bajo 2] Bajo 3] Medio 4] Alto 5] Muy Alto 5
  • 39. La seguridad de la información hace parte de mis responsabilidades 2 1] Muy Bajo 2] Bajo 3] Medio 4] Alto 5] Muy Alto 2 6
  • 40. Usted ha analizado los riesgos de seguridad de información de su proceso 3 4 1] Muy Bajo M B j 2] Bajo 3] Medio 4] Alto 4 5] Muy Alto ] y
  • 41. No se requiere más que un contrato para garantizar la seguridad con proveedores de outsourcing 2 1 0 2 1] Muy Bajo 2] Bajo 3] Medio 4] Alto 5] Muy Alto 8
  • 42. La seguridad de la información involucra asuntos legales y regulatorios 1] Muy Bajo 1 2] Bajo 3] Medio 3 5 4] Alto 5] Muy Alto 2
  • 43. Situación actual – Identificación de atributos • Identificación de atributos de información clave con  base en los objetivos del negocio base en los objetivos del negocio • Objetivos de negocio. Ejemplo – Objetivo 1: Crecer en la cuota de mercado en 2 dígitos  j g anuales – Objetivo 2: Obtener rentabilidad de 2 dígitos para los  accionistas i it – Objetivo 3: Desarrollar 2 nuevos productos para el  mercado anualmente mercado anualmente
  • 44. Situación actual – Identificación de atributos Obtener nuevos  clientes Flexibilidad Fl ibilid d Integridad de Información Imagen Crecer en la cuota  de mercado en 2  Disponibilidad Calidad dígitos anuales Oportunidad Oportunidad Completa Disponibilidad Conocer el mercado  Retener clientes  (información) actuales
  • 45. Situación actual – Identificación de atributos Mejorar márgenes (conocer  clientes y mercado) Flexibilidad Integridad Oportunidad Obtener  Disponibilidad rentabilidad de 2  t bilid d d 2 dígitos para los  Calidad Integridad accionistas Costo‐eficiente Oportunidad O t id d Flexibilidad Eficiencia
  • 46. Situación actual – Identificación de atributos Investigación y desarrollo Confidencialidad C fid i lid d Adaptabilidad Oportunidad Desarrollar 2  nuevos productos  nuevos productos para el mercado  Confiabilidad Etica anualmente Conciencia Disponibilidad Recurso Humano  especializado
  • 47. Situación actual – Aplicación de los atributos • Objetivos estratégicos  de seguridad de la  de seguridad de la información ATRIBUTOS DEL NEGOCIO • Priorización de procesos • Clasificación de los  activos de información
  • 48. Situación actual – Atributos e información • Atributos y Clasificación de activos de  información • Obtener un inventario de activos de  información por proceso i f ió • Impacto de la pérdida de CUALIDAD DE LA  INFORMACIÓN de este activo en ATRIBUTO  Ó DEL NEGOCIO
  • 49. Situación actual – Atributos e información • Ejemplo: – ¿Cuál es el impacto en IMAGEN si esta ¿Cuál es el impacto en IMAGEN si esta  información se revela de manera no autorizada a  personas no autorizadas? personas no autorizadas?
  • 50. Situación actual – Atributos e información Atributos Atributos Valor del C I D activo Activo de Atributo 1 Atributo 2 Atributo 3 Atributo 1 Atributo 2 Atributo 3 Atributo 1 Atributo 2 Atributo 3 Proceso o o o o o o o o o Información C I D Activo 1 5 3 1 3 4 2 3 1 4 3.0 3.0 2.7 2.89 Activo 2 4 5 4 3 4 3 5 5 4 4.3 3.3 4.7 4.11 Activo 3 2 3 1 5 3 3 5 3 3 2.0 3.7 3.7 3.11 Proceso 1 Activo 4 3 1 3 1 3 2 3 2 5 2.3 2.0 3.3 2.56 Activo 5 3 2 1 3 1 3 4 3 4 2.0 2.3 3.7 2.67 Activo A ti 6 3 3 3 3 3 3 3 3 3 3.0 30 3.0 30 3.0 30 3.00 3 00 Activo 7 1 5 5 3 4 4 5 1 3 3.7 3.7 3.0 3.44
  • 51. Situación actual – Atributos y procesos Atributos / Principios cialidad zación bilidad ción Financiero dad cto Integrac Integrid Automatiz Impac Confidenc Disponib Proceso Promedio Proceso 1 3 3 2 3 3 5 3.16666667 3 16666667 Proceso 2 3 2 3 5 3 4 3.33333333 Proceso 3 3 5 2 3 3 5 3.5 Proceso 4 5 3 2 5 3 3 3.5 Proceso 5 3 2 2 3 3 5 3 Proceso 6 3 3 2 3 2 3 2.66666667 Proceso 7 4 3 4 3 4 5 3.83333333 Proceso 8 3 2 2 2 2 2 2.16666667 Proceso 9 1 2 1 2 3 3 2
  • 52. Situación futura • La relevancia de los atributos para los procesos del negocio  permite determinar: – La Misión y Visión d ó ó de seguridad. d d – La prioridad de las diferentes iniciativas estratégicas que se definan  posteriormente y su contribución al logro de los objetivos estratégicos  (necesidades de seguridad) (necesidades de seguridad) • Política de seguridad Define el la intención de los accionistas, la junta y la gerencia  ejecutiva frente a la seguridad. Establece un marco de  y p p g actuación y los principios de seguridad
  • 53. Plan de  Acción • Necesidades de seguridad – En el marco de la política de seguridad y con base en la  información obtenida de atributos y su relevancia para  i f ió bt id d t ib t l i cada proceso se puede determinar: • Necesidades comunes • Necesidades particulares Necesidades particulares – Las necesidades pueden generar diferentes tipos de  iniciativas de acuerdo con el marco de referencia utilizado – Las necesidades son Objetivos de Control que deben ser Las necesidades son Objetivos de Control que deben ser  cubiertas con base en uno o varios marcos de referencia  (p. e. ISO27002, COBIT, ITIL, PMI)
  • 54. Objetivos del negocio Tolerancia al Objetivos de riesgo seguridad Estrategia de Entorno / seguridad Ambiente Políticas corporativas Cumplimiento Plan de acción Política de Procesos de Seguridad seguridad Arquitectura de Seguridad
  • 55. Plan de acción ‐ Necesidades de seguridad en el marco  de referencia SABSA de referencia SABSA
  • 56. Plan de acción ‐ Necesidades de seguridad en el marco  de referencia SABSA de referencia SABSA • Las necesidades se traducen en: – Servicios de seguridad (Arquitectura Orientada a Servicios de seguridad (Arquitectura Orientada a  Servicios) – Procesos de seguridad Procesos de seguridad • Gestión de roles e identidades • Modelos de confianza, dominios de seguridad Modelos de confianza, dominios de seguridad • Ciclos de vida de seguridad • Conciencia, entrenamiento y educación
  • 57. Plan de acción ‐ Necesidades de seguridad en el marco  de referencia SABSA de referencia SABSA • Estrategia de seguridad – Iniciativas de seguridad con base en las Iniciativas de seguridad – con base en las  necesidades identificadas – Plan estratégico Plan estratégico
  • 58. Iniciativa n: Proceso de gestión de usuarios y acceso  Objetivo: Contar con un proceso uniforme de control de acceso que ….. Alcance: los sistemas de información que soportan … Beneficios: Costos: • Tener un proceso uniforme de control de acceso • Recursos internos US$ • Tener un ciclo de vida … • Recursos externos US$ • Contar con una arquitectura de ... • Gastos US$ • Centralizar labores de … • Dar a los usuarios la posibilidad de … Complejidad: Impacto: Plazo: • Controlar el proceso y sus actividades a través de … 10 MESES Principales Actividades: Recursos: • Determinar … • Hw •Integración de … • Sw •Gestión de … • Servicios •Implementar … • Gerentes funcionales (x%) •Gestión de … • Jefe de sección (x%) • Diseñar … • Ge e te Gerente de RRHH ( %) (x%) • Analizar … Prerrequisitos: • Unificación de … • Aseguramiento de … • P ti i Participación d … ió de
  • 59. Tiempo  Costo (Miles de  Complejidad Impacto (5=alto, 0=bajo) No Iniciativa (Meses) USD) (5=alto, 0=bajo) 14 Asegurar  … activos de información 15 Actualizar… los procedimientos de seguridad Actualizar e implementar estándares de  16 seguridad … 17 Implementar el proceso de gestión de acceso  … definición y establecimiento de acuerdos  18 de servicio .. 19 … implementación del monitoreo y medición  implementación del monitoreo y medición del cumplimiento de la seguridad de la  información..
  • 60. INICIATIVAS Año 1 Año 2 Año 3 1 2 3 4 5 6 7 8 9 10 11 12 1 2 3 4 5 6 7 8 9 10 11 12 1 2 3 4 5 6 7 8 9 10 11 12 Iniciativa 1 Iniciativa 2 Iniciativa 3 Iniciativa 4 Iniciativa 5 Iniciativa 6 Iniciativa 7 Iniciativa 8 Iniciativa 9 Iniciativa 10 Iniciativa 11 Iniciativa 12 Iniciativa 13 Iniciativa 14 Iniciativa 15 Iniciativa 16 Iniciativa 17 Iniciativa 18 Iniciativa 19 Iniciativa Iniciati a 20 Más de un US$1 millón Entre US$500 mil y US$1 millón Menos de US$500 mil
  • 61. • Referencias – Deloitte – Experiencia en proyectos – Material público existente sobre el modelo SABSA – IT Governance Institute – ISACA – CISM Review Manual – ISO27002:2005 – OECD ‐ Organisation for Economic Co‐operation and Development OECD O i ti f E i C ti dD l t – www.gaisp.org
  • 62. GRACIAS …! Wilmar Arturo Castellanos wcastellanos@deloitte.com