Charla realizada el 30-08-2017 en CIGRAS - ISACA Montevideo. Destaca la relevancia diferencial de los procesos de gobierno y gestión de la SI en la Ciberseguridad de las Organizaciones.

1. El rol determinante
de los procesos de
gobierno y gestión en
la Ciberseguridad de
las organizaciones.
Reynaldo C. de la Fuente

2. 2
¿Qué queremos cambiar?
Un escenario en el que:
La Ciberseguridad se considera una responsabilidad explosiva de TI.
La Alta Dirección no esta debidamente informada.
La Alta Dirección no asume ningún rol o responsabilidad.
Creemos que existen soluciones mágicas.
Las herramientas son los Dioses.
Medimos lo que es fácil en lugar de lo que es importante.
Las auditorías son pocas, y se concentran solo en aspectos de TI.
Seguimos haciendo lo mismo de siempre, pero esperamos resultados diferentes.

3. 3
Cambiemos. La Ciberseguridad es un catalizador del
negocio y del futuro.
Nuestra campaña:
Para la Ciberseguridad de las organizaciones es esencial el contar con
procesos de gobernanza y gestión de la seguridad de la información
maduros.
Con estructuras de control interno adecuadas.
Donde la Alta dirección entienda su rol y el liderazgo requerido.
Siguiendo marcos de referencia y estándares internacionales, pero
identificando la relevancia especial de ciertos procesos.
Concentrándonos en medir lo importante.
Implementando adecuadamente las tres líneas de defensa.
Donde los Responsables de Seguridad de la Información tenga acceso a la Alta
Dirección.
Donde la auditoría tenga un rol relevante y permanente.

4. 4
Gobierno y Gestión de la SI
Gobierno- Asegurar que las
necesidades, condiciones y
objetivos de las partes interesadas
se evalúen para determinar los
objetivos empresariales
equilibrados y acordados que
deben lograrse. Establecer una
dirección a través de la
priorización y toma de decisiones,
monitoreando el desempeño y
cumplimiento de la dirección y
objetivos acordados.
Gestión – Planifica, instruye,
ejecutar y monitorea las
actividades en alineación con la
dirección establecida por el
órganos de gobierno para alcanzar
los objetivos de la empresas.

5. 5
Principios del Gobierno de la Seguridad de la
Información
El cumplir con las
necesidades de todas las
partes interesadas y
entregar valor a cada una
es fundamental para el
éxito de la seguridad de la
información en el largo
plazo.
Establecer la seguridad de la información a lo largo
y ancho de la organización.
Adoptar un enfoque basado en riesgos.
La gestión de las inversiones en seguridad.
Asegurar el cumplimiento con requisitos internos y
externos.
Cultivar un ambiente y cultura positiva de
seguridad de la información.
La revisión del desempeño de la seguridad en
relación con los objetivos del negocio.

6. 6
Procesos de Gobierno de la Seguridad de la
Información
Se establecen los procesos de:
Dirección. Monitoreo Evaluación.
Comunicación Aseguramiento.
Procesos de Gobierno
•Los procesos de gobierno tratan de
los objetivos de gobierno de las
partes interesadas: entrega de
valor, optimización del riesgo y
de recursos – e incluye prácticas
y actividades orientadas a
evaluar opciones estratégicas,
proporcionando la dirección y
supervisando la salida (Evaluar,
orientar y supervisa.
Procesos de Gestión
•En línea con la definición de
gestión, las prácticas y actividades
de los procesos de gestión cubren
las áreas de responsabilidad de
Planificar, Construir, Ejecutar y
Supervisión de SI de la empresa y
tienen que proporcionar cobertura
de extremo a extremo

7. 7
El Modelo de las 3 líneas de defensa y la Seguridad de la
Información.
El Relacionamiento entre las Áreas Operativas, Seguridad de la Información, la Auditoria
Interna y Auditorias Externas puede tener un impacto sustancial sobre la eficacia y eficiente
de los controles implementados, y por ende del nivel de los riesgos existentes.

8. 8
El rol de la gestión de riesgos.
¿Qué nivel de Ciberseguridad puede
tener una organización que nunca ha
realizado un análisis de riesgos, y en
especial vinculados a la seguridad de su
sistemas e información?

9. 9
El rol de la unidad de Seguridad de la Información.
¿Qué nivel de Ciberseguridad puede
tener una organización en la que
nadie es responsable por la gestión?
En cualquier organización la Gestión de
la Seguridad de la información requiere
de la formalización de roles y
responsabilidades que surgen
naturalmente de la implantación de
diferentes procesos de gestión, así
como políticas, procedimientos y
controles que deben ser
implementados, monitoreados y
mejorados.
La jerarquía, independencia, y acceso
a la Alta Dirección con la que cuente es
determinante para su eficacia.
Sensibilizació
n en
Seguridad de
la
Información
Gestionar los
incidentes y
riesgos de
Seguridad
Asesorar en
materia de
Seguridad de
la Información
Mantener
actualizado el
Manual de
políticas de
seguridad
Acompañar a
las áreas en la
Implementació
n de controles
Monitoreo de
Controles
Cumplimiento
Protección de
Datos
Personales

10. 10
El rol de las métricas e indicadores
¿Qué nivel de Ciberseguridad puede
tener una organización que no mide
nada?
Medir es fabuloso. Salvo que se este
midiendo lo que es fácil, en lugar de lo que
es importante. – Godin
Los procesos de Gobierno y Gestión de la SI
requieren contar con métricas e indicadores,
de eficacia y de cumplimiento.
Alineados con los objetivos, riesgos,
requisitos, y diferentes controles que han
sido implementados para generar el valor
esperado.

11. 11
El rol de la auditoría interna – externa.
¿Qué nivel de Ciberseguridad puede
tener una organización que nunca ha
recibido una auditoría interna o externa
en la materia?
La función de seguridad de la Información y
la auditoría interna debería implementar
roles complementarios.
La frecuencia y alcance de las auditorías,
así como el conocimiento en SI, es
determinante para el relacionamiento y
nivel de SI alcanzado.

12. Nuestros Referentes.
ISO-IEC 27001
COBIT 5
Marco Ciberseguridad.
Estándares Mínimos BCU

13. 13
El caso de la ISO/IEC 27001:2013
La ISO-IEC 27001 estable un conjunto de
procesos clave para el gobierno y la
gestión de la seguridad de la información.
Diferencia claramente los roles de:
– La Alta Dirección.
– Las Gerencias Operativas.
– El Rol de Seguridad de la
Información.
– La Auditoría Interna.
– La Auditoría Externa (en caso de ser
contratada)
Liderazgo y
Responsabilidad
de la Alta
Dirección.
Formalización de
Objetivos y
Políticas
Gestión de Riesgos
Gestión de
Métricas e
Indicadores
Gestión de Eventos
e Incidentes.
Cultura y
Capacitación de
RRHH
Cumplimiento de
Requisitos
Dominios de
controles.
Auditoria Interna y
Externa

14. 14
COBIT 5 para la Seguridad de la Información.
COBIT 5 define un conjunto de
catalizadores para la implementación
de los procesos de Gobierno y Gestión
de la TI, que son igualmente relevantes
para la SI.
Se establecen a su vez una clara
distinción entre los procesos de
Gobierno y de Gestión de la SI, así
como de los roles involucrados en cada
caso.

15. 15
El caso del Marco de Ciberseguridad - AGESIC.
En el caso del Marco de Ciberseguridad de
AGESIC se observa claramente que los
controles vinculados a procesos de
gobernanza y gestión de la seguridad de la
información se encuentran entre aquellos con
Prioridad1, es decir que deben ser
implementados en un plazo no mayor a 1
año. En la medida que el perfil de la
organización es más avanzado el numero de
controles técnico prioritarios se incrementa.
A su vez, en la relación con el Modelo de
Madurez asociado, el primer nivel del modelo
requiere que “la Dirección ha tomado
conciencia de la necesidad de empezar a
definir procesos de seguridad de la
información.”.
0
1
2
3
4
Gestión de Activos
(ID.GA)
Ambiente de Negocio
(ID.AN)
Gobernanza (ID.GO)
Evaluación de Riesgos
(ID.ER)
Control de Acceso
(PR.CA)
Concientización y
Formación (PR.CF)
Procesos y
procedimientos para…
Tecnología de
protección (PR.TP)
Anomalías y eventos
(DE.AE)
Monitoreo contínuo
de la seguridad…
Planificación de la
respuesta (RE.PR)
Comunicaciones
(RE.CO)
Análisis (RE.AN)
Mitigación (RE.MI)
0
1
2
3
4
Gestión de Activos (ID.GA)
Ambiente de Negocio (ID.AN)
Gobernanza (ID.GO)
Evaluación de Riesgos (ID.ER)
Control de Acceso (PR.CA)
Concientización y Formación
(PR.CF)
Procesos y procedimientos
para la protección de la
información (PR.PI)
Tecnología de protección
(PR.TP)
Anomalías y eventos (DE.AE)
Monitoreo contínuo de la
seguridad (DE.MC)
Planificación de la respuesta
(RE.PR)
Comunicaciones (RE.CO)
Análisis (RE.AN)
Mitigación (RE.MI)

16. 16
Los estándares mínimos de gestión para IIF del BCU
En los EMGIIF del BCU la mención a
la Seguridad de la Información de la
Organización se destaca en los
Estándares de Gobierno
Corporativo, en las
responsabilidades del Directorio, de
la Alta Gerencia y de la Auditoría
Interna.
Luego se menciona a nivel de Riesgo
Operacional y Estándares de TI, entre
diversos controles relevantes.

17. Cerrando la Campaña

18. 18
Nuestro cierre de campaña.
Los procesos de Gobierno y Gestión de la SI son indispensable
para obtener adecuados niveles de Ciberseguridad, que
permitan a la organización estar preparada.
NO es razonable esperar lo mismo de organizaciones que:
– NO cuentan con procesos de gobierno y gestión defendidos.
– NO cuentan con roles y responsabilidades de SI definidos.
– NO cuentan con presupuesto definido.
– NO cuentan con métricas e indicadores
– NO realizan análisis de riesgos.
– NO son auditadas regularmente.
La vanguardia en Ciberseguridad depende de un enfoque y un
actitud adecuada por parte de la Dirección de la Organización, no
de un proceso tecnológico.

19. 19
1. ¿Se cuenta con una dirección estratégica para la SI
definida por la alta dirección, en base a Principios y
Objetivos de SI?
2. ¿Se cuenta con Políticas de SI alienadas con los objetivos
definidos, aprobadas, difundidas e implementadas?
3. ¿Se cuenta con procesos de gestión de riesgos y de
eventos e incidentes de SI implementado y operativo, que
presenta informes periódicos a la alta dirección?
4. ¿Se cuenta con un área independiente de SI que reporta
de forma periódica a la alta dirección?
5. ¿Se han asignado roles y responsabilidades a lo largo y
ancho de la organización para la SI, que son
adecuadamente capacitados, concientizados e
empoderados?
6. ¿Se cuenta con controles operativos y de seguridad
informática debidamente implementados, en virtud de las
políticas definidas y los planes de tratamiento de riesgos
establecidos?
7. ¿Se cuenta con métrica e indicadores que permiten evaluar
el estado de situación de los controles y procesos
implementados de forma regular?
8. ¿Se cuenta con planes de Respuesta a Eventos e
Incidentes de SI y de Continuación Operativa.
9. ¿Se cuenta con un presupuesto establecido para la SI?
10. ¿Se cuenta con auditorías internas y externas que
presentan informes periódicos a la alta dirección cubriendo
de forma adecuada la SI?
Las 10 preguntas
que deseamos
responder
afirmativamente!

20. Reynaldo C. de la Fuente